[发明专利]基于入侵途径的APT威胁检测方法和系统

说明书

本发明涉及基于入侵途径的APT威胁检测方法和系统，基于入侵途径的APT威胁检测方法，其包括：S1：对入侵途径领域进行知识库建模；S2：采集行为数据，包括采集主机行为数据与采集网络行为数据；S3：对采集行为数据的结果进行关联分析；S4：证据的保全，还原出攻击风险行为证据保全；S5：呈现所述证据。基于入侵途径的APT威胁检测系统由证据呈现模块、行为证据关联分析模块、知识库模块、证据保全模块和证据收集模块组成。本发明的有益效果是：从源头上截断APT攻击发起者的入侵，实现针对入侵途径防患于未然，低成本、高效率的建设，采集过程隐蔽，完全透明，网络无负担，证据呈现易于使用，操作简单。

技术领域

本发明涉及APT威胁检测技术领域，具体涉及一种基于入侵途径的APT威胁检测方法和系统。

背景技术

金融、政府是APT攻击的主要目标行业，分别高达84％和77％。接下来是电信达到66％，军队达到64％，工业企业54％，其他占到14％。电子邮件和社交网站成为黑客发动APT攻击最主要的途径，电子邮件被利用高达68％，社交网站被利用高达65％。电子邮件和社交网站甚至超越了病毒、恶意链接、钓鱼网站等传统的黑客攻击途径。

我们通过这一趋势可以看到近几年来随着社交网络的流行，企业传统的安全防护手段已无法有效对社交网络进行管控，而电子邮件一直以来就是企业安全防护的重灾区。除了缺乏有效的安全管控策略，员工的安全意识在这方面就显得尤为重要了。电子邮件和社交网站的运营均属于员工个人，攻击者也正是在这一点上看到了机会，对于企业中安全意识单薄的员工个人的电子邮件、社交网站进行渗透作为入手，一步步入侵企业的服务器和网络。

APT攻击之所以让受攻击者难以防护，其主要原因是它独特的攻击方式和手段难以检测到。APT攻击作为信息安全的一大隐忧，这类威胁的防范必须融入到一个更大的监测及预防策略中，并整合现有的网络防御。因此，用户会更加关注如何加强防范APT攻击与进阶威胁、避免攻击破坏网络及泄露敏感信息，更能完全的发挥用户已投资的安全防护产品和技术。

通过调研国内外目前主流的防范APT攻击技术手段，有77％的用户认为异常检测方案最为有效。另外，沙箱方案有69％的用户选择，全流量审计方案有66％的用户选择，基于未知恶意代码检测有55％的用户选择。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于入侵途径的APT威胁检测方法和系统，实现从源头上截断APT攻击发起者的入侵，达到低成本、高效率的建设目标。

本发明的目的是通过以下技术方案来实现的：一种基于入侵途径的APT威胁检测方法，其过程为：

S1：对入侵途径领域进行知识库建模；

S2：采集行为数据，包括采集主机行为数据与采集网络行为数据，所述的采集主机行为数据包括采集进/线程信息记录、端口信息记录、磁盘数据的操作记录、系统注册表信息变更记录、终端系统基础信息更记录、外设设备连接及数据传输记录和第三方应用程序信息记录，所述的采集网络行为数据，首先将对网络行为进行分类标记，然后进行网络行为数据还原，并记录、跟踪网络系统的运维服务信息及外部连接信息，最后将数据保存在本地；

S3：对采集行为数据的结果进行关联分析，首先重构攻击过程，将分别来源于主机和网络的行为数据以设定的逻辑条件进行关联分析；

S4：证据的保全，还原出攻击风险行为证据保全，形成针对事故的完整证据；

S5：呈现所述证据。

APT入侵途径为邮件及社交网站。

知识库建模采用多维异构数据源集成与整合模型，实现对各种异构的数据源进行综合、集成，可以动态调用恰当的数据挖掘算法，提高分析的效率，其主要设计思想是：