[发明专利]APT攻击事件溯源分析方法、装置和计算机可读介质

权利要求书

1.一种APT攻击事件溯源分析方法，其特征在于，包括：

获取待分析APT攻击事件的相关数据；

从所述待分析APT攻击事件的相关数据中提取多个攻击基因；所述攻击基因是所述待分析APT攻击事件的相关数据中具有恶意攻击特征的数据；

确定所述待分析APT攻击事件中包括的与所述多个攻击基因具有关联关系的若干个攻击实体；其中，每一个攻击实体与至少一个攻击基因相关联；

根据预先构建的攻击阶段映射库，确定各攻击基因分别所属的攻击阶段；所述攻击阶段映射库包括攻击基因与所属攻击阶段的映射关系；

根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因，构建攻击场景图谱；所述攻击场景图谱是所述待分析APT攻击事件所涉及的各攻击实体之间的关联关系图；

根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段，还原出所述待分析APT攻击事件的攻击链路；

根据还原出的所述攻击链路，溯源出所述待分析APT攻击事件的攻击信息。

2.根据权利要求1所述的方法，其特征在于，所述攻击阶段映射库通过以下方式构建：

获取至少两个样本APT攻击事件分别对应的相关数据；

从每一个所述样本APT攻击事件的相关数据中分别提取出攻击基因；

针对每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因，将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配，将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段，并建立该攻击基因与攻击阶段的映射关系；

将每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中，得到攻击阶段映射库。

3.根据权利要求1或2所述的方法，其特征在于，

所述攻击基因至少包括以下任意一项或多项静态的攻击基因：代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因；

所述攻击基因至少还包括以下任意一项或多项动态的攻击基因：反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因。

4.根据权利要求1所述的方法，其特征在于，所述根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因，构建攻击场景图谱，包括：

分析出所述多个攻击基因之间的关联关系；

根据与每一个攻击实体相关联的至少一个攻击基因，以及分析出的所述多个攻击基因之间的关联关系，确定出所述若干个攻击实体中具有关联关系的任意两个攻击实体；

将确定出具有关联关系的任意两个攻击实体之间进行连线，以形成攻击场景图谱。

5.根据权利要求4所述的方法，其特征在于，所述根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段，还原出所述待分析APT攻击事件的攻击链路，包括：

根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段，确定各攻击实体所属的攻击阶段；

对各攻击实体所属的攻击阶段进行时序分析；

根据时序分析结果确定所述攻击场景图谱中各连线的方向；

将所述若干个攻击实体按照各连线的方向进行排序，得到所述待分析APT攻击事件的攻击链路。

6.根据权利要求1所述的方法，其特征在于，所述根据还原出的所述攻击链路，溯源出所述待分析APT攻击事件的攻击信息，包括：

根据所述攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果；所述判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项；

融合多源情报关联拓线数据以及所述判定结果，溯源所述APT攻击事件的攻击信息；所述攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。