[发明专利]一种APT攻击事件检测方法、装置及存储介质

权利要求书

1.一种APT攻击事件检测方法，其特征在于，包括：

获取待检测对象并判断是否为APT攻击事件，并将待检测对象相关信息更新至APT情报数据库；

基于APT情报数据库生成APT攻击者画像；其中，所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息；

若预设时间段内，某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值，则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。

2.如权利要求1所述的方法，其特征在于，所述APT攻击者画像与至少一个APT攻击事件相关，各APT攻击事件至少包括预设个数相同的特征；

其中，所述特征包括：源服务器、源国家、基础设施情况、攻击动作特征。

3.如权利要求1所述的方法，其特征在于，还包括：基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量，预测该APT攻击事件未来发生的时间点和趋势。

4.如权利要求1所述的方法，其特征在于，所述获取待检测对象并判断是否为APT攻击事件，并将待检测对象相关信息更新至APT情报数据库，具体包括：

运行待检测对象并收集产生的相关数据；

分析相关数据并提取待检测对象相关的待检测特征；

对待检测特征进行归一化操作形成特征数据；

将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件；

将所述特征数据更新至APT情报数据库，包括待检测对象是否为APT攻击事件的标识；

其中，相关数据为待检测对象的行为和特征相关的数据，包括：待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。

5.如权利要求4所述的方法，其特征在于，所述待检测特征包括：待检测对象是否有联网行为；待检测对象是否试图向外网传输数据；待检测对象处理的数据是否有针对性。

6.如权利要求4所述的方法，其特征在于，将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件，具体包括：判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值，若是则判定为同类APT攻击事件。

7.一种APT攻击事件检测装置，其特征在于，包括：

情报数据库建立模块，用于获取待检测对象并判断是否为APT攻击事件，并将待检测对象相关信息更新至APT情报数据库；

攻击者画像生成模块，用于基于APT情报数据库生成APT攻击者画像；其中，所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息；

攻击活动发现模块，用于若预设时间段内，某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值，则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。

8.如权利要求7所述的装置，其特征在于，所述APT攻击者画像与至少一个APT攻击事件相关，各APT攻击事件至少包括预设个数相同的特征；

其中，所述特征包括：源服务器、源国家、基础设施情况、攻击动作特征。

9.如权利要求7所述的装置，其特征在于，还包括：攻击活动预测模块，用于基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量，预测该APT攻击事件未来发生的时间点和趋势。