[发明专利]一种APT攻击事件检测方法、装置及存储介质

说明书

本发明实施例公开了一种APT攻击事件检测方法、装置及存储介质，涉及网络安全技术领域，能够及时发现APT攻击组织相关活动。所述方法包括：获取待检测对象并判断是否为APT攻击事件，并将待检测对象相关信息更新至APT情报数据库；基于APT情报数据库生成APT攻击者画像；其中，所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息；若预设时间段内，某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值，则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种APT攻击事件检测方法、装置及存储介质。

背景技术

APT(Advanced Persistent Threat)--------高级持续性威胁，是利用先进的攻击手法对特定的目标进行长期持续性的网络攻击的攻击形式。

鉴于APT攻击事件的日趋严峻，APT攻击长期有计划有组织性的针对特定对象收集大量关于用户业务流程和目标系统使用情况的精确信息，并且广泛的使用0day漏洞、隐蔽通讯、签名仿冒、社会工程学等攻击手段进行入侵，对信息系统的安全性构成了极大威胁。因此，对于有效发现APT攻击及进一步发现其攻击组织成为目前网络安全备受关注的焦点。

发明内容

有鉴于此，本发明实施例提供了一种APT攻击事件检测方法、装置及存储介质，通过生成APT攻击者画像进而及时发现恶意攻击组织相关的APT攻击活动。

第一方面，本发明实施例提供一种APT攻击事件检测方法，包括：

获取待检测对象并判断是否为APT攻击事件，并将待检测对象相关信息更新至APT情报数据库；

基于APT情报数据库生成APT攻击者画像；其中，所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息；

若预设时间段内，某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值，则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。

根据本发明实施例的一种具体实现方式，所述APT攻击者画像与至少一个APT攻击事件相关，各APT攻击事件至少包括预设个数相同的特征；

其中，所述特征包括：源服务器、源国家、基础设施情况、攻击动作特征。

根据本发明实施例的一种具体实现方式，还包括：基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量，预测该APT攻击事件未来发生的时间点和趋势。

根据本发明实施例的一种具体实现方式，所述获取待检测对象并判断是否为APT攻击事件，并将待检测对象相关信息更新至APT情报数据库，具体包括：

运行待检测对象并收集产生的相关数据；

分析相关数据并提取待检测对象相关的待检测特征；

对待检测特征进行归一化操作形成特征数据；

将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件；

将所述特征数据更新至APT情报数据库，包括待检测对象是否为APT攻击事件的标识；

其中，相关数据为待检测对象的行为和特征相关的数据，包括：待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。

根据本发明实施例的一种具体实现方式，所述待检测特征包括：待检测对象是否有联网行为；待检测对象是否试图向外网传输数据；待检测对象处理的数据是否有针对性。