[发明专利]一种基于用户行为分析的高级持续性威胁分析方法

说明书

本发明提供一种基于用户行为分析的高级持续性威胁分析方法，基于用户行为分析的高级持续性威胁检测方法，使其能够在符合检测要求的前提下，尽可能地获取详细的用户行为，分析用户终端的进程、命令行参数、指令、使用的互联网服务、文件操作、数据访问等，分析得到用户行为异常，分析可疑、恶意行为，用户终端层面捕获内核及内核信息，通过分析用户行为的可疑度并匹配攻击特征库进行决策，动态分析系统用户行为，确定是否存在恶意的攻击行为，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。

技术领域

本发明是一种基于用户行为分析的高级持续性威胁分析方法，属于网络安全技术领域。

背景技术

现有技术中，高级持续性威胁（APT）是一种针对特定高价值的商业或政治实体目标的长时间持续性攻击。高级持续性攻击在长时间的攻击中通常会使用多种复杂技术并长期保持隐匿性，在顺利进入目标系统后往往会缓慢提升自己的权限，监控攻击目标并提取目标数据。对于这种隐蔽性极强的攻击，我们需要有能力即使发现并对其进行处理，保护系统安全、数据安全。

高级持续性威胁的攻击通常可分为4个阶段：搜集阶段，进入阶段，渗透阶段以及收获阶段。通常在不同阶段应用不同技术方法进行防御。

搜集阶段：在这一阶段攻击者主要收集目标信息并制定攻击计划。在此阶段如果能够通过威胁检测与预警系统发现攻击者对商业或政治团体的网络嗅探和扫描行为，提前进行防范，也可以减少系统信息的暴露。

进入阶段：在此阶段攻击者会试图通过各种方式获得系统内部的一台计算机或一个账户作为发动攻击的起点，常见方法有恶意链接、恶意文件、系统漏洞、购买肉鸡等。防御者可以通过防火墙等检测预警系统在此阶段进行防御。

渗透阶段：此阶段攻击者会通过已经建立的立足点在系统内部构建命令与控制信道（C&C）通过远程控制的方法逐步提升权限、搜索敏感数据，这一阶段可能会持续相当长的一段时间。在此阶段应当注重对全系统状态、用户行为的审计与分析，定期进行安全风险评估，加强权限管理与敏感数据管理。

收获阶段：在收获阶段攻击者会试图建立一条隐匿通信线路将之前阶段获得的有价值数据发送出来，此阶段一般会持续到攻击被发现为止。常见防御策略是加强对网络流量的审查，检测敏感流量与非法链接。

经对现有技术文献的检索发现，现有专利及申请中没有基于用户行为分析的对高级持续性威胁的检测方案。

发明内容

针对现有技术存在的不足，本发明目的是提供一种基于用户行为分析的高级持续性威胁分析方法，以解决上述背景技术中提出的问题，本发明使用方便，便于操作，稳定性好，可靠性高。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于用户行为分析的高级持续性威胁分析方法，包括如下步骤：

步骤1：接管系统内核所有程序执行管道；

步骤2：监控系统终端，若发现进程、文件等异常则系统告警；

步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；

步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；

步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；

步骤6：从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行。