[发明专利]高级持续性攻击检测方法、装置、计算机设备和介质

说明书

本公开涉及一种高级持续性攻击检测方法、装置、计算机设备和介质。通过对历史告警事件数据以预设时间周期进行划分，得到多个历史告警事件数据子集，根据历史告警事件的源地址和目的地址，构建每个历史告警事件数据子集对应的攻击关系图，对所有攻击关系图构成的图集进行频繁子图挖掘，能够挖掘出隐蔽性较强的攻击线索，从而，提高了网络攻击检测的准确性，保障了网络的安全运行。

技术领域

本公开涉及网络安全技术领域，尤其涉及一种高级持续性攻击检测方法、装置、计算机设备和介质。

背景技术

高级持续性攻击(Advanced Persistent Threat，APT)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击经常使用恶意软件对系统漏洞进行利用，并使用命令和控制服务器对攻击的特定目标进行持续监控和数据窃取，周期较长，隐蔽性极强，并且主要针对国家的关键信息基础设施和重要信息系统进行。

目前常用的APT检测方法，大多是从APT攻击的手段进行检测分析，例如：针对水坑攻击、网络钓鱼和鱼叉式钓鱼攻击进行检测；或者通过对攻击手段的建模分析，结合杀伤链或对抗战术、技术和常识的框架，对攻击行为进行多层次刻画跟踪，确定APT攻击事件。

然而，现有的APT检测方法，不利于发现潜伏的APT攻击事件，检测准确性较低且存在严重的滞后性，影响了网络的安全运行。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种高级持续性攻击检测方法、装置、计算机设备和介质。

第一方面，本公开提供一种高级持续性攻击检测方法，包括：

获取网络中的历史告警事件数据；

以预设时间周期对所述历史告警事件数据进行分类，得到多个历史告警事件数据子集；

根据历史告警事件的源地址和目的地址，生成每个历史告警事件数据子集对应的攻击关系图；

对所有攻击关系图进行频繁子图挖掘，获取目标攻击线索。

可选的，所述根据历史告警事件的源地址和目的地址，生成每个历史告警事件数据子集对应的攻击关系图，包括：

根据历史告警事件的源网络协议(Internet Protocol，IP)地址、目标IP地址和事件类型，生成每个历史告警事件数据子集对应的攻击关系图，其中，所述攻击关系图中的节点为所述源IP地址或者所述目标IP地址，所述攻击关系图中的边为所述事件类型。

可选的，所述对所有攻击关系图进行频繁子图挖掘，获取目标攻击线索，包括：

对所有攻击关系图进行频繁子图挖掘，获取候选攻击线索；

对所述候选攻击线索进行分析，获取目标攻击线索。

可选的，所述对所述候选攻击线索进行分析，获取目标攻击线索，包括：

根据设置的频繁攻击行为的白名单，修改所述候选攻击线索中所述白名单对应的节点，确定修改后的候选攻击线索为所述目标攻击线索。

第二方面，本公开提供一种高级持续性攻击检测装置，包括：

获取模块，用于获取网络中的历史告警事件数据；

处理模块，用于以预设时间周期对所述历史告警事件数据进行分类，得到多个历史告警事件数据子集；

所述处理模块，还用于根据历史告警事件的源地址和目的地址，生成每个历史告警事件数据子集对应的攻击关系图；

所述处理模块，还用于对所有攻击关系图进行频繁子图挖掘，获取目标攻击线索。

可选的，所述处理模块具体用于：