CN117319082B - 一种apt攻击检测方法和系统 - Google Patents
一种apt攻击检测方法和系统 Download PDFInfo
- Publication number
- CN117319082B CN117319082B CN202311581641.6A CN202311581641A CN117319082B CN 117319082 B CN117319082 B CN 117319082B CN 202311581641 A CN202311581641 A CN 202311581641A CN 117319082 B CN117319082 B CN 117319082B
- Authority
- CN
- China
- Prior art keywords
- attack
- node
- abnormal data
- data packet
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 93
- 230000002159 abnormal effect Effects 0.000 claims abstract description 195
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000004806 packaging method and process Methods 0.000 claims abstract description 9
- 238000001228 spectrum Methods 0.000 claims description 21
- 238000001914 filtration Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 9
- 238000012216 screening Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 229920006395 saturated elastomer Polymers 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及攻击检测技术领域,提供了一种APT攻击检测方法和系统,包括:根据APT攻击模板获取待处理异常数据包;判断待处理异常数据包对应的基础攻击是否为APT攻击模板中的第一步攻击;若是,将其封装为节点加入到正序攻击图谱;若不是,确定其对应的基础攻击的上一步攻击需要满足的第一条件,在正序攻击图谱中存在满足所述第一条件的第一节点且待处理异常数据包满足预设条件的情况下,将待处理异常数据包封装为节点加入到正序攻击图谱并与第一节点建立关联关系,再以当前加入节点为起点对正序攻击图谱进行遍历,直至遍历到APT攻击模板中第一步攻击对应的节点为止;根据遍历的路径获取APT攻击数据链路推送给用户终端。本方法能够提高检测准确性。
Description
技术领域
本发明属于攻击检测技术领域,尤其涉及一种APT攻击检测方法和系统。
背景技术
高级持续性威胁(Advanced Persistent Threat,APT),又称为高级长期威胁,是一种针对特定目标的复杂而持续的网络攻击,其通常包括入侵、探测、渗透、数据采集等攻击阶段。
目前,APT攻击被认为是比传统的网络攻击更危险、更难以检测和更难以清除的攻击类型,因为它们长期存在于目标系统中,并且隐匿性较好,通常不会引起警报或怀疑。
常见的APT攻击检测方法有行为分析法,该方法通过对网络流量、系统日志、进程信息等进行深入分析,识别出异常、异常组合以及可能存在的攻击行为。然而,由于被分析的数据(例如日志数据)的到达顺序并不总是会和发生顺序一致,其在传输过程中或多线程处理场景下,容易产生乱序数据,从而对检测结果造成影响,降低检测的准确性。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高检测准确性的APT攻击检测方法和系统。
本发明提供一种APT攻击检测方法,包括:
根据APT攻击模板获取待处理异常数据包;
判断所述待处理异常数据包对应的基础攻击是否为所述APT攻击模板中的第一步攻击;若是,将所述待处理异常数据包封装为节点加入到正序攻击图谱;若不是,根据所述APT攻击模板中各基础攻击之间的关系确定所述待处理异常数据包对应的基础攻击的上一步攻击需要满足的第一条件;
在所述正序攻击图谱中存在满足所述第一条件的第一节点、所述第一节点对应的异常数据包的产生时间早于所述待处理异常数据包的产生时间、且所述待处理异常数据包对应的基础攻击是所述APT攻击模板中的最后一步攻击时,将所述待处理异常数据包封装为节点加入到所述正序攻击图谱并与所述第一节点建立关联关系,再以当前加入节点为起点,基于节点之间的关联关系在所述正序攻击图谱中进行遍历,直至遍历到所述APT攻击模板中第一步攻击对应的节点为止;
根据所述遍历的路径获取APT攻击数据链路推送给用户终端。
进一步的,所述方法还包括:
在所述正序攻击图谱中存在满足所述第一条件的第一节点、所述第一节点对应的异常数据包的产生时间早于所述待处理异常数据包的产生时间、但所述待处理异常数据包对应的基础攻击不是所述APT攻击模板中的最后一步攻击时,将所述待处理异常数据包封装为节点加入到所述正序攻击图谱并与所述第一节点建立关联关系,再根据所述APT攻击模板中各基础攻击之间的关系确定所述待处理异常数据包对应的基础攻击的下一步攻击需要满足的第二条件,并根据所述第二条件从乱序攻击图谱中检索第二节点;
在检索到所述第二节点且该节点对应的异常数据包的产生时间晚于所述待处理异常数据包的产生时间时,将所述第二节点加入到所述正序攻击图谱并与所述待处理异常数据包对应的节点建立关联关系。
进一步的,所述方法还包括:
在所述正序攻击图谱中不存在满足所述第一条件的第一节点或所述第一节点对应的异常数据包的产生时间不早于所述待处理异常数据包的产生时间时,将所述待处理异常数据包封装为节点加入到所述乱序攻击图谱。
进一步的,所述方法还包括:
监测攻击图谱中各节点的加入时长;所述攻击图谱包括正序攻击图谱和乱序攻击图谱;
将所述加入时长大于预设限制时长的节点从所述攻击图谱中移除。
进一步的,所述方法还包括以下任意一项或多项:
第一项:接收所述用户终端的模板注册请求,根据所述模板注册请求增加对应的APT攻击模板;
第二项:接收所述用户终端的模板注销请求,根据所述模板注销请求注销对应的APT攻击模板。
进一步的,所述根据APT攻击模板获取待处理异常数据包之前,所述方法还包括:
获取所有的异常数据包;
筛除与所述APT攻击模板不相匹配的所述异常数据包后,将剩余的所述异常数据包作为待处理异常数据包;其中,当所述异常数据包对应的基础攻击存在于任一所述APT攻击模板中时,确定所述异常数据包与所述APT攻击模板相匹配。
本发明还提供一种APT攻击检测系统,包括:异常流量检测设备、K8s服务器集群、缓存服务器以及用户终端;所述K8s服务器集群包括以docker容器方式运行的计算节点;
所述异常流量检测设备,用于监测获取网络传输过程中的异常数据包,并将所述异常数据包发送到所述缓存服务器存储;
所述K8s服务器集群中的所述计算节点,用于从所述缓存服务器获取待处理异常数据包,对所述待处理异常数据包进行APT攻击检测,并将检测得到的APT攻击数据链路推送给所述用户终端。
进一步的,所述K8s服务器集群还包括以docker容器方式运行的过滤节点;
所述过滤节点用于从所述缓存服务器获取所有的异常数据包;筛除与所述APT攻击模板不相匹配的所述异常数据包后,将剩余的所述异常数据包作为待处理异常数据包,并返回给缓存服务器存储在相匹配的所述APT攻击模板对应的缓存区域;其中,当所述异常数据包对应的基础攻击存在于任一所述APT攻击模板中时,确定所述异常数据包与所述APT攻击模板相匹配。
进一步的,所述K8s服务器集群还包括以docker容器方式运行的调度节点;
所述调度节点用于接收所述用户终端的模板注册请求,根据所述模板注册请求增加对应的APT攻击模板,并分发给所述计算节点和所述过滤节点;
所述调度节点还用于接收所述用户终端的模板注销请求,根据所述模板注销请求调度所述计算节点和所述过滤节点注销对应的APT攻击模板。
进一步的,所述调度节点还用于在所述计算节点的任务饱和时,调用K8s服务器集群提供的接口增加新的计算节点。
上述APT攻击检测方法和系统,在获取到异常数据包之后,根据APT攻击模板检测这些异常数据中是否存在匹配攻击模板的APT攻击,如果存在APT攻击,则将整个APT攻击链路相关的数据包发送到用户终端存储攻击数据,以供后续使用。其中,异常数据到达后,会基于正序攻击图谱和一个乱序攻击图谱进行异常数据包的匹配,采用图谱的匹配方式能够快速判断出基础攻击之间是否存在关联关系,无需遍历查询然后对比,正序攻击图谱和乱序攻击图谱能够避免数据乱序导致的检测失败,而APT攻击模板支持增加和删除,可实现动态的APT攻击检测,提高系统的灵活性。
附图说明
图1为一个实施例中APT攻击检测方法的应用系统架构图;
图2为一个实施例中APT攻击检测方法的流程示意图;
图3为一个实施例中APT攻击模板的示意图;
图4为一个实施例中异常数据包的示意图;
图5为一个实施例中APT攻击检测系统的交互流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请提供的一种APT攻击检测方法,可以应用于如图1所示的应用环境中,该应用环境包括异常流量检测设备102、检测服务器104和用户终端106。其中,异常流量检测设备102和用户终端106通过网络与检测服务器104进行通信。异常流量检测设备102可以是任意一种能够检测异常流量的设备,如入侵检测系统(Intrusion Detection Systems,IDS)设备,IDS设备能够对网络传输进行即时监视,并在发现可疑传输时发出警报或者采取主动反应措施,其部署位置一般尽可能靠近攻击源和受保护资源,如将IDS设备接入到交换机上。用户终端106包括但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和携带式可穿戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
具体的,检测服务器104根据APT攻击模板从异常流量检测设备102获取待处理异常数据包后,对该待处理异常数据包进行APT攻击检测处理;在服务器104获取到APT攻击数据链路之后,再将该APT攻击数据链路推送给用户终端106;用户终端106保存并基于这个APT攻击数据链路指示如何进行后续处理。
在一个实施例中,如图2所示,提供一种APT攻击检测方法的流程示意图,包括以下步骤:
S201,根据APT攻击模板获取待处理异常数据包。
其中,APT攻击一般由多个基础攻击构成,且每一步基础攻击之间具有一定的关联。以APT攻击中的复杂攻击NetTraveler为例,一般包括三个步骤的基础攻击:第一步攻击是钓鱼攻击,第二步攻击是安装病毒程序,第三步攻击是通过密钥记录器捕获凭据。这三个步骤之间的关联关系是:第一步攻击的攻击源地址等于第二步攻击的攻击源地址,而第二步攻击的攻击源地址也等于第三步攻击的攻击源地址。因此,本申请实施例中的APT攻击模板是基于APT攻击的基础攻击以及各基础攻击之间的关联关系构成的模板。示例性的,上述复杂攻击NetTraveler可生成如图3所示的JSON格式的APT攻击模板。
参考图3,该APT攻击模板包含三个攻击步骤,step表示每个步骤的基础攻击及其名称,relationship表示每个步骤之间的地址关系,其中src表示攻击源地址。因此,其他类型的APT攻击也可以抽象成类似于图3所示的APT攻击模板,不同的APT攻击模板之间,一般只有攻击步骤step及对应的基础攻击和各步骤之间的攻击源地址或目标地址之间的关系不同。
具体的,待处理异常数据包通常有几种获取方式,第一种是由检测服务器从异常流量检测设备处直接获取异常数据包;第二种是异常流量检测设备将异常数据包发送给其他设备之后,检测服务器再从其他设备获取异常数据包。为了对不同的APT攻击进行精准检测处理,检测服务器可以利用APT攻击模板获取对应的待处理异常数据包。图4展示的是从入侵检测设备(IDS)中获取的异常数据包。
S202,判断待处理异常数据包对应的基础攻击是否为APT攻击模板中的第一步攻击。若是,进入S203,若否,进入S204。
S203,将待处理异常数据包封装为节点加入到正序攻击图谱,返回S201。
S204,根据APT攻击模板中各基础攻击之间的关系确定待处理异常数据包对应的基础攻击的上一步攻击需要满足的第一条件。
S205,判断正序攻击图谱中是否存在满足第一条件的第一节点。若是,进入S206。若否,进入S210。
S206,判断第一节点对应的异常数据包的产生时间是否早于待处理异常数据包的产生时间。若是,进入S207。若否,进入S210。
S207,判断待处理异常数据包对应的基础攻击是否为APT攻击模板中的最后一步攻击。若是,进入S208。若否,进入S211。
S208,将待处理异常数据包封装为节点加入到正序攻击图谱并与第一节点建立关联关系之后,以当前加入节点为起点,基于节点之间的关联关系在正序攻击图谱中进行遍历,直至遍历到APT攻击模板中第一步攻击对应的节点为止。
S209,根据遍历的路径获取APT攻击数据链路推送给用户终端,返回S201。
S210,将待处理异常数据包封装为节点加入到乱序攻击图谱,返回S201。
S211,将待处理异常数据包封装为节点加入到正序攻击图谱并与第一节点建立关联关系之后,根据APT攻击模板中各基础攻击之间的关系确定待处理异常数据包对应的基础攻击的下一步攻击需要满足的第二条件。
S212,根据第二条件从乱序攻击图谱检索第二节点。若存在第二节点,进入S213。若不存在第二节点,返回S201。其中,第二节点的获取采用检索的方式,即给数据建立索引,检索效率更高。
S213,判断第二节点对应的异常数据包的产生时间是否晚于待处理异常数据包的产生时间。若是,进入S214。若否,返回S201。
S214,将第二节点加入到正序攻击图谱并与待处理异常数据包对应的节点建立关联关系。
其中,攻击图谱是服务器维护的缓存图谱,用于缓存APT攻击对应的异常数据包,图谱中每一个节点都对应一个封装好的异常数据包。对于正序攻击图谱来说,其中各节点存在上一步攻击指向下一步攻击的关联关系。而乱序攻击图谱则用于存储乱序到达、服务器找不到明确攻击顺序的异常数据包。也就是说,乱序攻击图谱中各节点之间不存在上一步攻击指向下一步攻击的关联关系。
具体的,检测服务器获取到待处理异常数据包之后,首先判断这个待处理异常数据包对应的基础攻击是否为APT攻击模板中所包括的基础攻击步骤中的第一步攻击。如果是,则将这个待处理异常数据包封装为节点直接加入到正序攻击图谱,待处理异常数据包加入到攻击图谱之后,表示检测服务器已经完成了APT攻击检测任务,因此检测服务器返回S201,开始新一轮的检测任务;如果不是,则需要先找到其对应的上一步攻击。因此,检测服务器根据APT攻击模板中各个基础攻击之间的关系确定待处理异常数据包对应的基础攻击的上一步攻击需要满足的第一条件。其中,第一条件是指待处理异常数据包对应基础攻击的上一步攻击需要满足的条件。例如,下一步攻击的src需要等于上一步攻击的src,则可以根据上一步攻击的src推测出下一步攻击的src。
然后,检测服务器判断正序攻击图谱中是否存在满足第一条件的第一节点。同时,由于上一步攻击必然早于下一步攻击,因此检测服务器会同时判断满足第一条件的第一节点对应的异常数据包的产生时间是否早于这个待处理异常数据包的产生时间。如果正序攻击图谱中不存在满足第一条件的第一节点,或者存在满足第一条件的第一节点但是第一节点对应的异常数据包的产生时间不早于这个待处理异常数据包的产生时间,则表明正序攻击图谱中不存在这个待处理异常数据包对应基础攻击对应的上一步攻击的节点。此时,由于无法确定待处理异常数据包对应基础攻击与正序攻击图谱中其他节点对应基础攻击之间的关联关系,即将待处理异常数据包封装为节点加入到正序攻击图谱中也无法建立与其他节点的关联关系。因此,服务器将这个待处理异常数据包作为乱序的异常数据包,封装为节点加入到乱序攻击图谱。
而如果正序攻击图谱中存在满足第一条件的第一节点,且第一节点对应的异常数据包的产生时间早于这个待处理异常数据包的产生时间,则表示这个第一节点对应异常数据包对应的基础攻击是这个待处理异常数据包对应基础攻击的上一步攻击。因此,检测服务器将这个待处理异常数据包封装为节点加入到正序攻击图谱,并且将待处理异常数据包对应的节点与这个第一节点建立关联关系,表示这个第一节点是待处理异常数据包对应节点的上一个节点,从而完成上一步攻击与下一步攻击关联关系的建立。
最后,为了得到一个完整的APT攻击数据链路,对于不是第一步攻击加入到正序攻击图谱的节点,需要进一步判断对应的基础攻击是否为APT攻击模板的最后一步攻击。也就是说,检测服务器将待处理异常数据包封装为节点加入到正序攻击图谱(以下称为当前加入节点)并于第一节点建立关联关系之后,还要再判断一下当前加入节点对应基础攻击是否为APT攻击模板的最后一步攻击。如果是最后一步攻击,表示正序攻击图谱中可能存在一个完整的APT攻击数据链路。因此,检测服务器以当前加入节点为起点,深度遍历正序攻击图谱中这个当前加入节点的关联关系,直至遍历到APT攻击模板中第一步攻击对应的节点时停止遍历。也就是说,检测服务器通过节点之间的关联关系,在正序攻击图谱从最后一步攻击遍历到了第一步攻击,得到了一个完整的APT数据链路。进而,检测服务器将这个APT攻击数据链路发送给用户终端。
而如果不是最后一步攻击,则表示当前加入节点还有对应的下一步攻击,检测服务器先从乱序到达的异常数据包中寻找是否已经获取到了这个下一步攻击。即,检测服务器根据APT攻击模板中各基础攻击之间的关系确定待处理异常数据包对应的基础攻击的下一步攻击需要满足的第二条件。然后,基于这个第二条件去乱序攻击图谱中检索判断是否存在满足第二条件的第二节点。
同理,由于下一步攻击必然晚于上一步攻击,所以检测服务器同时需要判断满足第二条件的第二节点对应的异常数据包的产生时间是否晚于这个待处理异常数据包的产生时间。如果不存在满足第二条件的第二节点,或者存在满足第二条件的第二节点但是第二节点对应的异常数据包的产生时间不晚于这个待处理异常数据包的产生时间,则确定乱序攻击图谱中不存在这个待处理异常数据包对应基础攻击对应的下一步攻击的节点。而如果存在满足第二条件和时间条件的第二节点,则将这个第二节点加入到正序攻击图谱并与待处理异常数据包对应的节点(即当前加入节点)建立关联关系。
另外,为了保险起见,在获取到待处理异常数据包之后、检测服务器对待处理异常数据进行检测之前,可以额外判断一下待处理异常数据包对应的基础攻击是否在APT攻击模板中。如果不在,则表示这个待处理异常数据包与当前的APT攻击模板是不匹配的,即利用当前的APT攻击模板无法进行准确的攻击检测,因此需要丢弃这个待处理异常数据包。
上述APT攻击检测方法,在获取到异常数据包之后,根据APT攻击模板检测这些异常数据中是否存在匹配攻击模板的APT攻击,如果存在APT攻击,则将整个APT攻击链路相关的数据包发送到用户终端存储攻击数据,以供后续使用。其中,异常数据到达后,会基于正序攻击图谱和一个乱序攻击图谱进行异常数据包的匹配,采用图谱的匹配方式能够快速判断出基础攻击之间是否存在关联关系,无需遍历查询然后对比,正序攻击图谱和乱序攻击图谱能够避免数据乱序导致的检测失败,而APT攻击模板支持增加和删除,可实现动态的APT攻击检测,提高系统的灵活性。
在一些实施例中,S201之前,还包括:获取所有的异常数据包;筛除与APT攻击模板不相匹配的异常数据包后,将剩余的异常数据包作为待处理异常数据包;其中,当异常数据包对应的基础攻击存在于在任一APT攻击模板中时,确定异常数据包与APT攻击模板相匹配。
具体的,检测服务器通过预先获取异常流量检测设备所监测到的所有异常数据包与APT攻击模板进行匹配,筛除与APT攻击无关的异常数据包,从而实现数据的过滤和分发,使得后续监测服务器获取异常数据包进行处理时,所获取的数据都是与APT检测任务相关的数据,从而提高检测效率。
在一些实施例中,APT攻击检测方法还包括:接收用户终端的模板注册请求,根据模板注册请求增加对应的APT攻击模板,以及接收用户终端的模板注销请求,根据模板注销请求注销对应的APT攻击模板。
具体的,用户终端可以在任意时间向服务器注册或者注销APT攻击模板。因此,本申请实施例支持即时的APT攻击模板注册,确保在发现漏洞后可立即注册进行检测。
在一些实施例中,APT攻击检测方法还包括:监测攻击图谱中各节点的加入时长;将加入时长大于预设限制时长的节点从攻击图谱中移除。其中,攻击图谱包括正序攻击图谱和乱序攻击图谱。预设限制时长是预先配置的用于限制异常数据包的缓存时长。
具体的,检测服务器通过定时任务监测正序攻击图谱和乱序攻击图谱中各节点的加入时长,一旦确定某一个节点的加入时长超过预设限制时长,则可以将该节点从攻击图谱移除,相当于将加入时长超过预设限制时长的待处理异常数据包从服务器移除。进而,异常数据包到达服务器后,确保不会进行持久化存储,只会在内存中缓存。而缓存的时间取决于预设限制时长,这个时间在实际生产中是可控的,可降低数据存储的成本。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供一种APT攻击检测系统,包括异常流量检测设备、K8s服务器集群、缓存服务器以及用户终端。K8s服务器集群包括以docker容器方式运行的计算节点、调度节点和过滤节点。
其中,异常流量检测设备,用于监测获取网络传输过程中的异常数据包。缓存服务器用于存储异常流量检测设备发送的异常数据包。在缓存服务器中,异常数据包可以存储在消息中间件或者数据库中。消息中间件只保留一段时间,数据库可以持久存储。为了保证系统的吞吐量和可用性,可以优选消息中间件缓存等待计算节点处理的异常数据包。其中,消息中间件可以是kafka等分布式软件,通过分布式部署能够保证吞吐量和可用性。
用户终端主要向调度节点进行APT攻击模板的注册和销毁,以及接受检测到的APT攻击。当有新发现的APT攻击模板时,用户终端可随时向调度节点进行APT攻击模板注册,并指定检测所需的资源。
在一个实施例中,K8s服务器集群上的调度节点,用于接受用户终端发送的APT攻击模板注册请求,检查计算节点的负载,对计算节点进行扩容或者缩容,将APT攻击模板分发给合适的计算节点,并将APT攻击模板分发给过滤节点。同时,用户终端进行APT攻击模板注销时,可删除计算节点中对应的APT攻击模板,并回收计算节点的资源。即,调度节点用于接收用户终端的模板注册请求,根据模板注册请求增加对应的APT攻击模板并分发给计算节点和过滤节点,以及用于接收用户终端的模板注销请求,根据模板注销请求调度计算节点和过滤节点注销对应的APT攻击模板。
在一个实施例中,K8s服务器集群上的调度节点还用于在计算节点的任务饱和时,调用K8s服务器集群提供的接口增加新的计算节点。其中,任务饱和度依据当前计算节点的实例数量、计算节点分配的APT攻击模板数量、每个APT攻击模板配置的内存资源占用来计算。比如当前有2个计算节点实例,单个实例分配有4G内存,单个APT攻击模板配置4G的内存,如果此时已经注册有2个APT攻击模板,则计算节点任务已经饱和。当再次注册APT攻击模板时,调度节点会调用K8S提供的API增加计算节点的实例,新注册的APT攻击模板会分发给新启动的计算节点实例来运行。
在一个实施例中,K8s服务器集群上的计算节点由调度节点进行调度和部署,在机器资源(CPU/内存、网络带宽)充足的情况下,可与调度节点部署在同一个服务器上。计算节点用于接受调度节点的APT攻击模板分配和删除,根据分配的APT攻击模板获取异常数据包,并将异常数据包以图的结构(正序攻击图谱或乱序攻击图谱)缓存在内存中。每接入一条异常数据包,就在内存的攻击图谱中进行一次检测,判断是否满足APT攻击模板。如果满足,则将该异常数据包封装为节点加入到攻击图谱中。在完全匹配APT攻击模板时,输出满足该APT攻击模板的数据链路,也就是检测到了一个APT攻击。而当接收到APT攻击模板注销请求时,将清除该APT攻击模板的所有缓存,释放内存,如果计算节点无负载,则可销毁该计算节点。其中,计算节点检测APT攻击的处理过程可以参考上述实施例描述的APT攻击检测方法,具体详情可以参考上述图2所示的方法流程图,在此不再赘述。另外,计算节点还用于监测攻击图谱中各节点的加入时长,并将加入时长大于预设限制时长的节点从攻击图谱中移除。
在一个实施例中,K8s服务器集群上的过滤节点,可根据实际数据流量大小部署一个或单个实例,在机器资源(CPU/内存、网络带宽)充足的情况下,可与调度节点部署在同一个服务器上。过滤节点用于接受调度节点的APT攻击模板注册和APT攻击注销请求进行模板注册和注销,还用于获取异常数据包,将无法匹配到APT攻击模板的数据丢弃,从而实现数据的划分和裁剪。即,过滤节点用于从缓存服务器的消息中间件获取所有的异常数据包,筛除与APT攻击模板不相匹配的异常数据包后,将剩余的异常数据包作为待处理异常数据包返回给缓存服务器存储到相匹配的APT攻击模板对应的缓存区域,从而实现分类存储。例如,可以基于不同的APT攻击模板在消息中间件中划分不同的缓存区域。过滤节点根据待处理异常数据包相匹配的APT攻击模板,将待处理异常数据包返回给缓存器存储到对应的缓存区域中。后续,计算节点可以根据APT攻击模板直接在对应的缓存区域获取待处理异常数据包,从而减少无关数据的处理。其中,当异常数据包对应的基础攻击存在于任一APT攻击模板中时,确定异常数据包与APT攻击模板相匹配。
利用上述APT攻击检测系统实现的APT攻击检测方法,由于系统采用了分治的思想,能够提升攻击检测的效率;在过滤节点上对异常数据包提前进行过滤和分发,能够减少大量的噪音数据,使得计算节点能够从消息中间件直接获取与APT攻击检测任务相关的数据,从而避免噪音数据干扰的问题,提高检测准确性;用户终端随时可以在系统上注册APT攻击模板,即使发生历史未知的新漏洞,也可以在发现漏洞后立即补充模板实现对应的攻击检测,有效保证了检测的实效性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种APT攻击检测方法,其特征在于,包括:
根据APT攻击模板获取待处理异常数据包;
判断所述待处理异常数据包对应的基础攻击是否为所述APT攻击模板中的第一步攻击;若是,将所述待处理异常数据包封装为节点加入到正序攻击图谱;若不是,根据所述APT攻击模板中各基础攻击之间的关系确定所述待处理异常数据包对应的基础攻击的上一步攻击需要满足的第一条件;
在所述正序攻击图谱中存在满足所述第一条件的第一节点、所述第一节点对应的异常数据包的产生时间早于所述待处理异常数据包的产生时间、且所述待处理异常数据包对应的基础攻击是所述APT攻击模板中的最后一步攻击时,将所述待处理异常数据包封装为节点加入到所述正序攻击图谱并与所述第一节点建立关联关系,再以当前加入节点为起点,基于节点之间的关联关系在所述正序攻击图谱中进行遍历,直至遍历到所述APT攻击模板中第一步攻击对应的节点为止;
根据所述遍历的路径获取APT攻击数据链路推送给用户终端。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述正序攻击图谱中存在满足所述第一条件的第一节点、所述第一节点对应的异常数据包的产生时间早于所述待处理异常数据包的产生时间、但所述待处理异常数据包对应的基础攻击不是所述APT攻击模板中的最后一步攻击时,将所述待处理异常数据包封装为节点加入到所述正序攻击图谱并与所述第一节点建立关联关系,再根据所述APT攻击模板中各基础攻击之间的关系确定所述待处理异常数据包对应的基础攻击的下一步攻击需要满足的第二条件,并根据所述第二条件从乱序攻击图谱中检索第二节点;
在检索到所述第二节点且该节点对应的异常数据包的产生时间晚于所述待处理异常数据包的产生时间时,将所述第二节点加入到所述正序攻击图谱并与所述待处理异常数据包对应的节点建立关联关系。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述正序攻击图谱中不存在满足所述第一条件的第一节点或所述第一节点对应的异常数据包的产生时间不早于所述待处理异常数据包的产生时间时,将所述待处理异常数据包封装为节点加入到所述乱序攻击图谱。
4.根据权利要求1所述方法,其特征在于,所述方法还包括:
监测攻击图谱中各节点的加入时长;所述攻击图谱包括正序攻击图谱和乱序攻击图谱;
将所述加入时长大于预设限制时长的节点从所述攻击图谱中移除。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括以下任意一项或多项:
第一项:接收所述用户终端的模板注册请求,根据所述模板注册请求增加对应的APT攻击模板;
第二项:接收所述用户终端的模板注销请求,根据所述模板注销请求注销对应的APT攻击模板。
6.根据权利要求1所述的方法,其特征在于,所述根据APT攻击模板获取待处理异常数据包之前,所述方法还包括:
获取所有的异常数据包;
筛除与所述APT攻击模板不相匹配的所述异常数据包后,将剩余的所述异常数据包作为待处理异常数据包;其中,当所述异常数据包对应的基础攻击存在于任一所述APT攻击模板中时,确定所述异常数据包与所述APT攻击模板相匹配。
7.一种APT攻击检测系统,其特征在于,包括:异常流量检测设备、K8s服务器集群、缓存服务器以及用户终端;所述K8s服务器集群包括以docker容器方式运行的计算节点;
所述异常流量检测设备,用于监测获取网络传输过程中的异常数据包,并将所述异常数据包发送到所述缓存服务器存储;
所述K8s服务器集群中的所述计算节点,用于从所述缓存服务器获取待处理异常数据包,基于上述权利要求1-4任一项所述APT攻击检测方法对所述待处理异常数据包进行APT攻击检测,并将检测得到的APT攻击数据链路推送给所述用户终端。
8.根据权利要求7所述的系统,其特征在于,所述K8s服务器集群还包括以docker容器方式运行的过滤节点;
所述过滤节点用于从所述缓存服务器获取所有的异常数据包;筛除与所述APT攻击模板不相匹配的所述异常数据包后,将剩余的所述异常数据包作为待处理异常数据包,并返回给缓存服务器存储在相匹配的所述APT攻击模板对应的缓存区域;其中,当所述异常数据包对应的基础攻击存在于任一所述APT攻击模板中时,确定所述异常数据包与所述APT攻击模板相匹配。
9.根据权利要求8所述的系统,其特征在于,所述K8s服务器集群还包括以docker容器方式运行的调度节点;
所述调度节点用于接收所述用户终端的模板注册请求,根据所述模板注册请求增加对应的APT攻击模板,并分发给所述计算节点和所述过滤节点;
所述调度节点还用于接收所述用户终端的模板注销请求,根据所述模板注销请求调度所述计算节点和所述过滤节点注销对应的APT攻击模板。
10.根据权利要求9所述的系统,其特征在于,所述调度节点还用于在所述计算节点的任务饱和时,调用K8s服务器集群提供的接口增加新的计算节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311581641.6A CN117319082B (zh) | 2023-11-24 | 2023-11-24 | 一种apt攻击检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311581641.6A CN117319082B (zh) | 2023-11-24 | 2023-11-24 | 一种apt攻击检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117319082A CN117319082A (zh) | 2023-12-29 |
| CN117319082B true CN117319082B (zh) | 2024-03-08 |
Family
ID=89250107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311581641.6A Active CN117319082B (zh) | 2023-11-24 | 2023-11-24 | 一种apt攻击检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117319082B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN114363010A (zh) * | 2021-12-14 | 2022-04-15 | 杭州安恒信息技术股份有限公司 | 一种服务器的apt攻击检测方法、装置、系统及存储介质 |
| CN115664860A (zh) * | 2022-12-26 | 2023-01-31 | 广东财经大学 | 网络安全威胁评估方法和系统 |
| CN116112211A (zh) * | 2022-12-07 | 2023-05-12 | 珠海横琴跨境说网络科技有限公司 | 一种基于知识图谱的网络攻击链还原方法 |
| CN116846612A (zh) * | 2023-06-20 | 2023-10-03 | 中债金科信息技术有限公司 | 攻击链补全方法、装置、电子设备及存储介质 |
-
2023
- 2023-11-24 CN CN202311581641.6A patent/CN117319082B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN114363010A (zh) * | 2021-12-14 | 2022-04-15 | 杭州安恒信息技术股份有限公司 | 一种服务器的apt攻击检测方法、装置、系统及存储介质 |
| CN116112211A (zh) * | 2022-12-07 | 2023-05-12 | 珠海横琴跨境说网络科技有限公司 | 一种基于知识图谱的网络攻击链还原方法 |
| CN115664860A (zh) * | 2022-12-26 | 2023-01-31 | 广东财经大学 | 网络安全威胁评估方法和系统 |
| CN116846612A (zh) * | 2023-06-20 | 2023-10-03 | 中债金科信息技术有限公司 | 攻击链补全方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| 发布订阅系统中的拒绝服务攻击;张圣鸣等人;《计算机工程与应用》;20110901;第47卷(第25期);全文 * |
| 基于知识图谱的APT组织追踪治理安全;XvrgMatlab;《CSDN》;20230924;全文 * |
| 带你读顶会论文|基于溯源图的APT攻击检测;华为云开发者联盟;《知乎》;20220528;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117319082A (zh) | 2023-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10873597B1 (en) | Cyber attack early warning system | |
| US20200336459A1 (en) | Network threat prediction and blocking | |
| US9571508B2 (en) | Systems and methods for distributed rule-based correlation of events | |
| US11368470B2 (en) | Real-time alert reasoning and priority-based campaign discovery | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| US10419457B2 (en) | Selecting from computing nodes for correlating events | |
| US20210352104A1 (en) | Detecting malicious activity in a cluster | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN114510711A (zh) | 防护cc攻击的方法、装置、介质以及计算机设备 | |
| JP2022067092A (ja) | サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム | |
| CN117319082B (zh) | 一种apt攻击检测方法和系统 | |
| US11063975B2 (en) | Malicious content detection with retrospective reporting | |
| CN105653948B (zh) | 一种阻止恶意操作的方法及装置 | |
| CN114205150B (zh) | 容器环境的入侵防御方法及装置、电子设备、存储介质 | |
| KR101420301B1 (ko) | DDoS 공격 검출 방법 및 장치 | |
| US11770388B1 (en) | Network infrastructure detection | |
| JP2022067091A (ja) | サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム | |
| JP2021077373A (ja) | 脅威検出方法及びコンピュータ装置 | |
| KR102285661B1 (ko) | 침입 탐지 시스템에서 로드 밸런싱 방법 및 장치 | |
| CN114584623B (zh) | 流量请求清理方法、装置、存储介质以及计算机设备 | |
| CN116938605B (zh) | 网络攻击防护方法、装置、电子设备及可读存储介质 | |
| US20230239315A1 (en) | Computer security system with rules engine for network traffic analysis | |
| CN111787024B (zh) | 网络攻击证据的搜集方法、电子装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |