[发明专利]一种APT攻击检测方法、装置、电子设备及可读存储介质

说明书

本申请公开了一种APT攻击检测方法，针对获取到的DNS请求数据，本申请首先对其进行文法分析得到实际文法特征，并通过与恶意文法特征的一致性对比来从文法特征上判断是否包含APT攻击，考虑到实际情况下CDN类业务往往也会表现出相类似的文法特征，因此为尽可能的减少误判，本申请通过确定该DNS请求对应的DNS服务器是否为可信的DNS服务器，从而避免将正常的DNS请求数据误判为包含APT攻击的恶意请求数据。包含APT攻击的DNS请求最终总要达到由攻击者自行搭建的DNS服务器上才能发挥作用，因此可以很好的避免误判的产生。本申请还同时公开了一种APT攻击检测装置、电子设备及可读存储介质，具有上述有益效果。

技术领域

本申请涉及恶意攻击检测技术领域，特别涉及一种APT攻击检测方法、装置、电子设备及可读存储介质。

背景技术

APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。通过网络渠道进行的APT攻击则具有更高的危害程度，因此必须加以防范。

现今针对APT攻击的一种方式为封锁端口，例如封锁80端口来禁止上网，但DNS(Domain Name System，域名服务协议)作为企业基础网络的必要服务，则经常是开放访问的。这也给了APT攻击基于DNS请求来进行信息传输和命令控制。例如某些APT攻击者将需要传输的数据放在DNS记录的queries字段中，伪装成正常的域名请求，以此迷惑、绕过常规的安全检查。

而现今针对DNS请求的安全检查还不全面，要么误判率较高，要么容易漏判，效果均不佳。

因此，如何在不漏判的基础上尽可能的降低误判率，是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种APT攻击检测方法、装置、电子设备及可读存储介质，目的在于在不漏判的基础上尽可能的降低误判率。

为实现上述目的，本申请提供了一种APT攻击检测方法，包括：

获取DNS请求数据，并从所述DNS请求数据中提取得到实际文法特征；

判断所述实际文法特征与恶意文法特征是否一致；其中，所述恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征；

若一致，则确定所述DNS请求数据对应的DNS服务器；

判断所述DNS服务器是否可信；

若不一致或可信，则判定所述DNS请求数据中不包含APT攻击；

若不可信，则判定所述DNS请求数据中包含APT攻击。

可选的，从所述DNS请求数据中提取得到实际文法特征，包括：

从所述DNS请求数据中提取得到包括中英文特征、域名长度特征、域名级数特征、域名编码率特征、访问时间分布特征在内的至少一项实际文法特征。

可选的，当所述实际文法特征和所述恶意文法特征均仅基于域名编码率特征构建时，判断所述实际文法特征与恶意文法特征是否一致，包括：

判断所述实际文法特征的编码量和信息熵是否分别处于所述恶意文法特征的编码量范围和信息熵范围；

若所述实际文法特征的编码量和信息熵均处于所述恶意文法特征对应的编码量范围和信息熵范围，判定所述实际文法特征与所述恶意文法特征一致；

若所述实际文法特征的编码量和编码量未均处于所述恶意文法特征对应的编码量范围和信息熵范围，判定所述实际文法特征与所述恶意文法特征不一致。

可选的，该APT攻击检测方法还包括：

利用机器学习算法，将从包含有APT攻击的DNS请求数据中提取得到的各项恶意文法特征进行建模，得到分类器；