[发明专利]一种APT攻击的检测方法及装置

权利要求书

1.一种APT攻击的检测方法，其特征在于，包括：

采集系统运行产生的系统数据；每种系统数据对应一可观测实体；

根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系；

根据所述感兴趣实体的状态信息确定所述APT攻击的当前所处攻击状态，进而完成APT攻击检测；

其中，建立所述APT攻击检测知识图谱，包括：

获取至少一个情景数据模型；每个情景数据模型包括至少一个可观测实体的状态信息，以及每种可观测实体状态信息的组合与一感兴趣实体状态信息的对应关系；

根据每个情景数据模型，确定可观测实体状态、可观测实体的输入信息和实体与实体的关系；

根据所述可观测实体状态、可观测实体的输入信息和实体与实体的关系，结合所述系统数据推理出感兴趣实体以及所述感兴趣实体的状态；

根据所述可观测实体、可观测实体状态、可观测实体的输入信息和实体与实体的关系、感兴趣实体以及感兴趣实体状态，建立所述APT攻击检测知识图谱。

2.根据权利要求1所述的APT攻击的检测方法，其特征在于，还包括：

确定当前APT攻击的类型；每种APT攻击对应一APT攻击检测知识图谱；

根据当前APT攻击的类型查找对应的APT攻击检测知识图谱；

所述根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，包括：

将所述系统数据按照对应的可观测实体输入至对应的APT攻击检测知识图谱，得到感兴趣实体的状态信息。

3.根据权利要求1所述的APT攻击的检测方法，其特征在于，所述根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，包括：

根据所述系统数据生成可观测实体的状态信息；

将所述可观测实体的状态信息与预设阈值进行比对，得到比对结果；

根据所述比对结果和预定义的比对结果与感兴趣实体的状态信息之间的关联规则，生成对应的感兴趣实体的状态信息。

4.根据权利要求1所述的APT攻击的检测方法，其特征在于，所述情景数据模型为武器构建情景模型，所述可观测实体包括：网络流量、防火墙、IDS以及操作系统，所述感兴趣实体包括内存刮取、窃取方法以及武器构建；其中所述内存刮取的状态由所述网络流量、防火墙和IDS状态推导得出，所述窃取方法的状态由所述内存刮取的状态推导得出，所述武器构建的状态由窃取方法和操作系统的状态推导。

5.根据权利要求1所述的APT攻击的检测方法，其特征在于，所述情景数据模型为主机指标/安装植入情景，所述可观测实体包括：新注册表项、应用程序数据存储文件夹，所述感兴趣实体包括：注册表项，以及主机指标/安装植入；其中所述注册表项的状态由新注册表项的状态推导得出，所述主机指标/安装植入由所述注册表项和应用程序数据存储文件夹的状态推导得出。

6.根据权利要求1所述的APT攻击的检测方法，其特征在于，所述情景数据模型为网络指标情景，所述可观测实体包括：网址请求和网站域名，所述感兴趣实体包括：协议和网络指标；其中，所述协议的状态由所述网址请求的状态推导得出，所述网络指标的状态由网址请求和网站域名的状态推导得出。

7.根据权利要求1所述的APT攻击的检测方法，其特征在于，所述情景数据模型为漏洞情景，所述可观测实体包括：应用程序漏洞，所述感兴趣实体包括：漏洞；其中，所述应用程序漏洞的输入信息包括：漏洞ID和漏洞类型，所述漏洞的状态由应用程序漏洞状态推导得出。

8.根据权利要求1所述的APT攻击的检测方法，其特征在于，还包括：

基于情景推理、专家库、机器学习、语义分析、模糊逻辑中的至少一种设置所述至少一个情景数据模型。