[发明专利]一种APT威胁预测方法及系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种APT威胁预测方法及系统。

背景技术

APT（Advanced Persistent Threat）--------高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的C&C网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。APT与一般攻击的区别在两方面：（1）高级性：使用的工具或恶意程序一般都是专门开发的，很难检测到；另外攻击中会用到一个或多个0day漏洞。（2）持续性：一般会花比较长时间，观察、踩点、收集信息、社会工程、逐步渗透、信息回传等等。

目前，对APT危机所采取的措施主要是用户主动防御。即第一，提高企业用户的信息安全意识，防患于未然；第二，安装网络安全预警系统。然而，网络安全预警系统是一种基于硬件的网络安全技术，能够针对局域网内的安全事件自动进行归纳总结，并根据这些数据对全网安全进行预警。但是，对于从海量数据中分析中所潜伏的威胁，上述防御措施存在漏洞，并且很难对所有海量数据进行分析，因此可能会错过潜伏的APT攻击。

发明内容

为了解决上述技术问题，本发明提供了一种APT威胁预测方法及系统，通过运用网络安全态势理解技术，建立APT攻击威胁发展模型，为安全保障工作的进行提供数据和理论支持，建立APT攻击威胁发展模型，为安全保障工作的进行提供数据和理论支持。

为了达到本发明目的，本发明提供一种APT安全威胁预测方法，包括：

采集海量异构安全数据，并对所述海量异构安全数据进行关联分析；

根据所述关联分析结果，建立APT安全威胁态势感知的体系框架；

基于多层次、多角度的态势评估，建立APT安全威胁态势评估的体系框架,并对APT安全威胁态势进行评估；

建立APT安全威胁发展模型，对APT安全威胁进行预测；

根据所述预测，如果确定潜在威胁，则进行预警。

该方法还包括：对所述APT安全威胁态势进行评估至少包括：将海量异构安全数据归类为资产数据、威胁数据、脆弱性数据和网络结构数据；去除上述数据的重复冗余信息；将资产数据、威胁数据、脆弱性数据和网络结构数据相关联，综合分析得到每个威胁的威胁传播网络。

优选地，建立APT安全威胁态势感知的体系框架时，对所述关联分析结果，用如下加密/解密算法进行加密/解密：

A=B^e2 mod n；B=A^e1 mod n

其中A为明文，B为密文，n为二进制表示密钥长度，e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1）*(q-1）互质；再选择e2，要求（e2*e1）mod((p-1）*(q-1））=1；p、q取值为超过具体环境阈值的任意的大质数。

优选地，其中对APT安全威胁态势进行评估至少包括：采用粒子群PSO算法进行评估。

优选地，其中所述PSO算法在迭代时，依次循环使用如下非线性函数作为权重函数：

F(X,Y,Z)=(X&Y)|((～X)&Z)；

G(X,Y,Z)=(X&Z)|(Y&(～Z));

H(X,Y,Z)=X^Y^Z；

I(X,Y,Z)=Y^(X|(～Z))；

其中，X、Y、Z是态势感知中的加密数据对三元组，分别表示信息安全的CIA三要素：保密性、完整性、可用性。

优选地，其中所述PSO算法当发现异常行为时，跳出所述非线性函数，执行下列关联函数：

FF(a,b,c,d,Mj,s,ti）表示a=b+((a+F(b,c,d)+Mj+ti)<<s)

GG(a,b,c,d,Mj,s,ti）表示a=b+((a+G(b,c,d)+Mj+ti)<<s)

HH(a,b,c,d,Mj,s,ti）表示a=b+((a+H(b,c,d)+Mj+ti)<<s)

Ⅱ（a,b,c,d,Mj,s,ti）表示a=b+((a+I(b,c,d)+Mj+ti)<<s)