的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
[0057]进一步的,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所在所关联到的攻击事件具有内部来源时,将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件;
[0058]将所关联到的攻击事件的第一攻击者与第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
[0059]本发明实施例中,APT攻击包括第一阶段、第二阶段和第三阶段;其中,第一阶段为利用漏洞实施入侵,攻击者基于各种载体利用漏洞将木马传递到被攻击者的网络环境中;第二阶段为释放木马内部渗透,攻击者释放木马并突破防御体系植入木马,进行权限提升和内部渗透;第三阶段为控制破坏信息窃取,攻击者执行破坏性动作、收集敏感信息、与控制服务器通讯传递敏感信息;在实际应用中,APT攻击的三个阶段的潜伏期可能持续一年甚至更长的时间。
[0060]本发明实施例攻击事件进行关联的具体实现流程如图3所示,包括以下步骤:
[0061]步骤201,在记录的攻击事件中寻找被攻击对象所遭受的所有控制破坏信息窃取类攻击事件或者遍历步骤204或步骤207寻找控制破坏信息窃取类攻击事件,在所找到的控制破坏信息窃取类攻击事件中寻找该控制破坏信息窃取类攻击事件被攻击对象所遭受的控制破坏信息窃取类攻击事件。
[0062]步骤202,遍历步骤201、或步骤204、或步骤207找到的所有控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找控制破坏信息窃取类攻击事件的被攻击对象所遭受的释放木马内部渗透类攻击事件;
[0063]不存在释放木马内部渗透类攻击事件、或已经完成遍历,执行步骤203 ;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在内部来源,执行步骤204。
[0064]步骤203,遍历步骤201、或步骤204、或步骤207找到的所有控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找所述控制破坏信息窃取类攻击事件被攻击对象所遭受的利用漏洞实施入侵类攻击事件;
[0065]不存在利用漏洞实施入侵类攻击事件,或已经完成遍历,执行步骤210 ;存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在内部来源,执行步骤207。
[0066]步骤204,遍历步骤202、或205、或208找到的所有内部来源释放木马内部渗透类攻击事件,在记录的攻击事件中寻找该释放木马内部渗透类攻击事件的攻击者所遭受的控制破坏信息窃取类攻击事件;
[0067]存在控制破坏信息窃取类攻击事件,执行步骤201,不存在控制破坏信息窃取类攻击事件或者已经完成遍历,执行步骤205。
[0068]步骤205,遍历步骤202、或步骤208找到的所有内部来源释放木马内部渗透类攻击事件,在记录的攻击事件中寻找该释放木马内部渗透类攻击事件的攻击者所遭受的释放木马内部渗透类攻击事件;
[0069]存在释放木马内部渗透类攻击事件,执行步骤204 ;不存在释放木马内部渗透类攻击事件、或者已经完成遍历,执行步骤206。
[0070]步骤206,遍历步骤202、或步骤205、或步骤208找到的所有内部来源释放木马内部渗透类攻击事件,在记录的攻击事件中寻找该释放木马内部渗透类攻击事件的攻击者所遭受的利用漏洞实施入侵类攻击事件;
[0071]存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在漏洞实施入侵类攻击事件,并且漏洞实施入侵类攻击事件存在内部来源,执行步骤207 ;不存在漏洞实施入侵类攻击事件、或者已经完成遍历,执行步骤210。
[0072]步骤207,遍历步骤203、或步骤206、或步骤209找到的所有内部来源利用漏洞实施入侵类攻击事件,在记录的攻击事件中寻找该利用漏洞实施入侵类攻击事件的攻击者所遭受的控制破坏信息窃取类攻击事件;
[0073]存在控制破坏信息窃取类攻击事件,执行步骤201 ;不存在控制破坏信息窃取类攻击事件、或已经完成遍历,执行步骤208。
[0074]步骤208,遍历步骤203、或步骤206、或步骤209找到的所有内部来源利用漏洞实施入侵类攻击事件,在记录的攻击事件中寻找该利用漏洞实施入侵类攻击事件的攻击者所遭受的释放木马内部渗透类攻击事件;
[0075]存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在内部来源,执行步骤204 ;不存在释放木马内部渗透类攻击事件、或者已经完成遍历,执行步骤209。
[0076]步骤209,遍历步骤203、或步骤206找到的所有内部来源利用漏洞实施入侵类攻击事件,在记录的攻击事件中寻找该利用漏洞实施入侵类攻击事件的攻击者所遭受的利用漏洞实施入侵类攻击事件;
[0077]存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在外部来源,确定为APT攻击事件;存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在内部来源,执行步骤207 ;不存在利用漏洞实施入侵类攻击事件、或者已经完成遍历,执行步骤210。
[0078]步骤210,跳回上一层遍历,如所有遍历已结束,上报APT攻击事件。
[0079]需要说明的是,本发明实施例中,外部来源指攻击事件的攻击源为网络环境的外部,内部来源指攻击事件的攻击源为网络环境的内部。
[0080]以一次虚拟APT攻击的两个不同时间点为例,APT攻击者通过钓鱼攻击的方式诱骗被攻击对象通过超文本转移协议(Hypertext transfer protocol,HTTP)下载特殊的多文本格式(Rich Text Format, RTF)文档附件;利用ODay漏洞释RTF文件放后,重用远程代码执行漏洞执行其中的恶意代码,APT攻击的具体过程如图4所示,包括以下过程:
[0081]APT攻击识别装置在被攻击对象A进行下载时,首先进行基于签名的检测,在无法识别ODay漏洞的攻击时,针对RTF文档深度内容的检测发现可疑内容;通过沙箱进行模拟执行后,发现会后台下载并执行可疑文件属于典型的木马行为;APT攻击识别装置记录攻击事件1,并记录为利用漏洞实施入侵类攻击事件;其中,记录的事件信息包括攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:下载网址、原始下载文档;被攻击对象信息包括:终端A的IP地址、主机名;攻击行为信息包括:下载链接统一资源定位器(Uniform Resoure Locator, URL)。
[0082]终端A下载并打开文档,自动执行恶意代码下载攻击者定制的特殊木马;由于APT攻击属于定制木马,APT攻击识别装置基于已知签名的检测无法识别该木马程序;基于深度内容检测,可发现该下载内容发现可疑内容;通过沙箱进行模拟执行后,发现该文件执行后将打开若干端口,并发起对外连接,属于典型的木马程序行为;APT攻击识别装置记录攻击事件2,并记录为释放木马内部渗透类攻击事件;其中,记录的信息包括:攻击源信息、被攻击对象信息和攻击行为信息;