一种高级持续威胁攻击识别方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全防御技术,尤其涉及一种高级持续威胁攻击识别的方法及装置。
【背景技术】
[0002]面对日益严峻的网络安全形势,如何持续提升对网络攻击的防御能力,以及能够及时发现并迅速有效处理网络攻击,是各组织、企业IT部门关注的核心问题。随着虚拟化和云计算技术的发展,大型数据中心虚拟化程度越来越高,网络边界变得日益模糊。与此同时,高级持续威胁(AdvancedPersistent Threat,APT)攻击成为大众关注的焦点,APT攻击还被称作“针对特定目标”的攻击,是一种有组织、有特定目标、持续时间极长的新型攻击;APT攻击利用各种先进的攻击手段和社会工程学方法,为被攻击对象编写特定的攻击程序;此外,APT攻击具有持续性,APT攻击者不断尝试各种攻击手段,并在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报加密后通过隐蔽通道进行持续性外发,因此,APT攻击周期可长达数年;更加危险的是,这些新型的攻击和威胁主要针对国家重要的基础设施和单位进行。
[0003]目前,广泛使用的安全防护手段是按照最为常用的防护、检测、响应、恢复模型(Protect1n, Detect1n, React1n, Recovery, I3DRR),通过在网络边界对特定网段及服务建立攻击监控体系,实时检测出大部分攻击,并采取相应的防护手段,如断开网络连接、记录攻击过程、跟踪攻击源等;现有技术中,主流的网络安全防护检测体系为入侵防护系统(Intrus1n Prevent1n System, IPS)。
[0004]IPS深入网络数据内部,查找IPS熟悉的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载、分析;IPS能够主动防御已知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等。
[0005]但是,现有网络安全防护检测体系对攻击行为的发现和判断基于已知的安全漏洞和缺陷、已知的木马行为和特征,对于采用未知或变形的安全漏洞和缺陷、位置或变形的木马行为和特征、未知的攻击行为、未知的加密内容的APT攻击却难以实现安全防护检测。
【发明内容】
[0006]为解决现有存在的技术问题,本发明实施例主要提供一种高级持续威胁攻击识别方法及装置,能够实现对APT攻击的安全防护检测。
[0007]本发明实施例的技术方案是这样实现的:
[0008]一种高级持续威胁攻击识别方法,所述高级持续威胁APT攻击包括第一阶段、第二阶段和第三阶段,所述方法包括:检测攻击事件;记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;所述记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
[0009]优选地,该方法还包括:将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
[0010]优选地,该方法还包括:将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
[0011]优选地,所述检测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
[0012]优选地,所述检测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
[0013]优选地,所述将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
[0014]优选地,所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联为:查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
[0015]本发明实施例还提供一种高级持续威胁攻击识别装置,所述APT攻击包括第一阶段、第二阶段和第三阶段,所述装置包括:检测模块、记录模块、以及关联模块;其中,
[0016]检测模块,用于检测攻击事件;
[0017]记录模块,用于记录检测模块检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;
[0018]关联模块,用于在记录模块的记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
[0019]优选地,所述关联模块,还用于将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
[0020]优选地,所述关联模块,还用于将所关联到的攻击事件与其第一攻击者的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所述关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
[0021]优选地,所述检测模块检测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
[0022]优选地,所述将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
[0023]优选地,所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联为:查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在