[发明专利]基于入侵途径的APT威胁检测方法和系统

权利要求书

1.一种基于入侵途径的APT威胁检测方法，其特征在于，包括：

S1：对入侵途径领域进行知识库建模；知识库建模采用多维异构数据源集成与整合模型；实现对各种异构的数据源进行综合、集成，动态调用恰当的数据挖掘算法，提高分析的效率，其主要设计思想是：

a.使用统一的知识表达方法：互联网的数据的形式包括结构化的数据、半结构化的数据和非结构化的数据；结构化的只占到10%,其余90%都是半结构化和非结构化的数据，以XML作为数据的基本存储形式,包括数据格式、知识模型和语义元数据的表达，在一个协同的平台上,跨Internet和Intranet集成多个异构数据源；

b.协议转换：对系统自身收集设备采集的数据进行实时转换，并根据协议类别库，识别数据的协议类型，然后保存到数据库；对由其他监控设备收集到的数据，以实时或非实时的方式实现数据的转换和汇聚；

c.动态加载算法：每一规则动态地与多个特定分析对象相关联，动态加载算法根据规则的数据提取时间定期从数据源获取数据，将数据存入案件数据库中；而对于已经存在的数据则不做任何提取；

S2：采集行为数据，包括采集主机行为数据与采集网络行为数据，所述的采集主机行为数据包括采集进/线程信息记录、端口信息记录、磁盘数据的操作记录、系统注册表信息变更记录、终端系统基础信息更记录、外设设备连接及数据传输记录和第三方应用程序信息记录，所述的采集网络行为数据，采用以CIP和SIP为依据的数据分流技术，支持快速进行大数据的截取、分流与还原；在关键词匹配技术中采用改进的AC-BM算法，提高搜索效率；采用高效的负载均衡算法，实现大型网络中心的负载均衡；采用节点探测方式进行不同主机之间的数据交换与通信，提高了系统的整体吞吐率；首先将对网络行为进行分类标记，然后进行网络行为数据还原，并记录、跟踪网络系统的运维服务信息及外部连接信息，最后将数据保存在本地；

所述改进的AC-BM算法为BMH2算法，其具体步骤如下：

设字符集合为 ∑，判断∑中的单个字符在pattern中出现的次数，将出现一次的字符集合设为A1，将出现两次或以上的字符集合设为A2，将出现0次的字符集合设为A0；

将pattern中倒数第二次出现的text[ k]与文本中的text[ k] 对齐后开始新一轮匹配，当text[ k] ∈( A0∪A1) 时，扫描文本的指针向前移动最大距离m，其中，m为pattern的长度；而当text[ k]∈A2时，扫描文本的指针向前移动距离为text[k]对应字符在pattern中两次出现的字符距离；

增加一个newSkip数组，如果字符ch在模式串pattern中出现的次数为0或1，则newSkip[ch] =m；如果字符ch在pattern中出现的大于等于2，记f表示ch在 pattern中倒数第二次出现的位置，则newSkip[ch] =m-f -1；另外，定义preChar数组，如果字符ch在模式串pattern中最后出现在pattern[ e]，则preChar[ ch] =pattern[ e-1]；如果字符ch没有在pattern中出现过，则preChar[ch] =-1；当pattern[0]在模式串中仅出现一次时，由于pattern[0]前面没有字符，因此将newSkip[pattern[0]] 单独赋值为m-1；newSkip数组和preChar数组的长度与skip数组相同，均为字符集中元素的个数；若为ASCII码，则长度为256；

当匹配开始比较text[ k -m+1…k]和pattern[0…m-1] 时，从右至左依次检查 text[ k] …text[k-m+1]；如果发现不匹配，则比较text[k-1]和preChar[text[k]]；当text[ k-1] ! =preChar[text[ k]] 时，将文本指针重新赋值为k +newSkip[ text[ k]]；否则将文本指针重新赋值为k+skip[text[k]]；当text[k]没有出现在模式串中时，preChar[text[ k]]初始化为任意值；因为此时skip[text[k]]和newSkip[ text[ k]]的值均为m，无论text[ k -1]和preChar[ text[ k]]的值是否相等，文本指针都将重新赋值为k +m；

S3：对采集行为数据的结果进行关联分析，首先重构攻击过程，将分别来源于主机和网络的行为数据以设定的逻辑条件进行关联分析；

S4：证据的保全，还原出攻击风险行为证据保全，形成针对事故的完整证据；

S5：呈现所述证据；

所述APT威胁检测方法业务流程为通过邮件及社交网站领域知识库建模，针对用户内网网络数据流白名单建模，将分别来源于主机和网络的行为数据以设定的逻辑条件进行关联分析，还原出攻击风险行为证据保全，形成针对事故的完整证据并呈现所述证据；检测方法还包括面向主题的信息分类，用于收集和后台的数据挖掘部分，事件分类是在给定条件下，对数据进行分类，使用分类技术，对报警事件进行自动分类，从而实现异常事件的确认；在应用层证据分析中，根据端口号，将应用层协议划分为HTTP上行，HTTP下行，发送邮件和接收邮件；根据每种应用的特征码，对HTTP上行细分为登录信息、BBS、Web聊天室和WebMail；分类器实现的关键技术是文本表示、分词、特征提取与分类算法；采取经典的向量空间模型和向量的余弦值的方法来计算每篇文档与用户的需求之间的相似度；

检测方法还包括事件聚类，对各类证据进行分析聚类，实现各类安全事件的动态感知，事件聚类是在无监督条件下，根据数据的不同特征，将其划分到不同的数据类；使属于同一类别的个体之间距离尽可能小，而不同类别上的个体间的距离尽可能大；在基于主动防御的取证系统中，通过聚类，分析成团出现的报警事件，发现异常规律，从而产生预警信息。