[发明专利]APT攻击事件溯源分析方法、装置和计算机可读介质

说明书

本发明涉及一种APT攻击事件溯源分析方法、装置和计算机可读介质，方法包括：从待分析APT攻击事件的相关数据中提取多个攻击基因；确定待分析APT攻击事件中包括的与多个攻击基因具有关联关系的若干个攻击实体；其中，每一个攻击实体与至少一个攻击基因相关联；根据预先构建的攻击阶段映射库，确定各攻击基因分别所属的攻击阶段；根据若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因，构建攻击场景图谱；根据攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段，还原出待分析APT攻击事件的攻击链路；根据还原出的攻击链路，溯源出待分析APT攻击事件的攻击信息。本方案，可以准确还原出APT攻击事件的攻击链路，进而溯源出攻击信息。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种APT攻击事件溯源分析方法、装置和计算机可读介质。

背景技术

APT(Advanced Persistent Threat)攻击，即高级可持续威胁攻击,是指某组织对特定对象展开的持续有效的攻击活动。APT攻击具有针对性、连续性、先进性、阶段性、共享性、间接性等特点，其攻击手段变化多端、攻击效果显著且难以防范。因此，对APT攻击事件的溯源分析十分有必要。

传统APT攻击事件的检测往往只是基于局部的攻击相关的信息，无法还原出完整的攻击链路，在攻击检测的实际作战中，一旦攻击链路中断，往往导致无功而返，使得大量溯源分析工作变得毫无价值，导致无法溯源出APT攻击事件的攻击信息。

鉴于此，针对以上不足，需要提供一种APT攻击事件溯源分析方法、装置和计算机可读介质，以溯源出APT攻击事件的攻击信息。

发明内容

本发明要解决的技术问题在于如何溯源出APT攻击事件的攻击信息，针对现有技术中的缺陷，提供了一种APT攻击事件溯源分析方法、装置和计算机可读介质。

为了解决上述技术问题，本发明提供了一种APT攻击事件溯源分析方法，该方法包括：

获取待分析APT攻击事件的相关数据；

从所述待分析APT攻击事件的相关数据中提取多个攻击基因；所述攻击基因是所述待分析APT攻击事件的相关数据中具有恶意攻击特征的数据；

确定所述待分析APT攻击事件中包括的与所述多个攻击基因具有关联关系的若干个攻击实体；其中，每一个攻击实体与至少一个攻击基因相关联；

根据预先构建的攻击阶段映射库，确定各攻击基因分别所属的攻击阶段；所述攻击阶段映射库包括攻击基因与所属攻击阶段的映射关系；

根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因，构建攻击场景图谱；

根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段，还原出所述待分析APT攻击事件的攻击链路；

根据还原出的所述攻击链路，溯源出所述待分析APT攻击事件的攻击信息。

优选地，所述攻击阶段映射库通过以下方式构建：

获取至少两个样本APT攻击事件分别对应的相关数据；

从每一个所述样本APT攻击事件的相关数据中分别提取出攻击基因；

针对每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因，将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配，将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段，并建立该攻击基因与攻击阶段的映射关系；

将每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中，得到攻击阶段映射库。

优选地，所述攻击基因至少包括以下任意一项或多项静态的攻击基因：代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因；