具体的,攻击源信息包括:下载网址、原始下载文件、木马开放通信端口 ;被攻击对象信息包括:终端A的IP地址、主机名等;攻击行为信息包括:木马打开端口、发起外连对象IP地址。
[0083]终端A感染定制木马后被远程控制,攻击者利用终端A作为跳板,在内网进行扫描,发现存在远程溢出漏洞(MS12-020)的新上线服务器B对其进行攻击,在新建具备管理员权限的账户的同时,上传定制的木马并释放。APT攻击识别装置通过漏洞签名分析发现由终端A发起针对服务器B的攻击,APT攻击识别装置记录攻击事件3,并记录为利用漏洞实施入侵类攻击事件;通过高危网络事件签名分析发现存在持续性扫描行为、以及新建管理员权限账户行为,将持续性扫描行为记录为攻击事件4,将新建管理员权限账户行为记录为攻击事件5,并记录为控制破坏信息窃取类攻击事件;其中,记录的信息包括攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:终端A的IP地址、主机名;被攻击对象信息包括:服务器B的IP地址、主机名;攻击行为信息包括:所执行命令;通过深度内容检测和模拟行为检测发现上传和释放木马行为,记录为攻击事件6,并记录为释放木马内部渗透类攻击事件。
[0084]此后,攻击者利用服务器B为跳板,通过同样的溢出漏洞进行攻击,获得服务器C的管理员权限,并在服务器C上收集敏感信息,加密后外发。APT攻击识别装置可识别由服务器B发起的针对服务器C的溢出攻击和新建管理员权限账户行为;记录溢出攻击为攻击事件7,新建管理员权限账户行为攻击事件8。通过基于深度内容的检测,发现向外传输加密内容的可疑外连数据传输链路,记录为攻击事件9,并记录为控制破坏信息窃取类攻击事件;其中,记录的信息包括攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:对外连接IP地址;被攻击对象信息包括:服务器B的IP地址、主机名;攻击行为信息包括:外发文件内容。至此,在攻击事件4、5、9发生时,均可通过相关事件回溯关联来分析识别APT攻击事件。
[0085]攻击事件4发生,攻击事件5至攻击事件9未发生时,事件关联过程如图5所示,包括以下步骤:
[0086]步骤301,记录终端A向服务器B发起的控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找被攻击对象为服务器B的控制破坏信息窃取类攻击事件;
[0087]这里,未关联到任何记录。
[0088]步骤302,在记录的攻击事件中寻找被攻击对象为服务器B的释放木马内部渗透类攻击事件;
[0089]这里,未关联到任何记录。
[0090]步骤303,在记录的攻击事件中寻找被攻击对象为服务器B的利用漏洞实施入侵类攻击事件;
[0091]这里,关联到攻击事件3。
[0092]步骤304,在记录的攻击事件中寻找被攻击对象为终端A的控制破坏信息窃取类攻击事件;
[0093]这里,未关联到任何记录。
[0094]步骤305,在记录的攻击事件中寻找被攻击对象为终端A的释放木马内部渗透类攻击事件;
[0095]这里,关联到攻击事件2,并且攻击事件2的攻击源为外部,确定为APT攻击事件。
[0096]步骤306,在记录的攻击事件中寻找被攻击对象为终端A的利用漏洞实施入侵类攻击事件;
[0097]这里,关联到事件I。
[0098]步骤307,完成遍历,对步骤305的APT攻击事件进行报告。
[0099]攻击事件9发生时,事件关联过程如图6所示,包括以下步骤:
[0100]步骤401,记录由外部向服务器C发起的控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找被攻击对象为服务器C的控制破坏信息窃取类攻击事件;
[0101]这里,关联到由服务器B向服务器C发起的攻击事件8。
[0102]步骤402,在记录的攻击事件中寻找被攻击对象为服务器C的释放木马内部渗透类攻击事件;
[0103]这里,未关联到任何记录。
[0104]步骤403,在记录的攻击事件中寻找服务器C遭受的利用漏洞实施入侵类攻击事件;
[0105]这里,关联到由服务器B向服务器C发起的攻击事件7。
[0106]步骤404,在记录的攻击事件中寻找被攻击对象为服务器B的控制破坏信息窃取类攻击事件;
[0107]这里,关联到攻击事件4和攻击事件5 ;
[0108]其中,攻击事件4和攻击事件5的发起攻击者均为终端A。
[0109]步骤405,在记录的攻击事件中寻找被攻击对象为终端A的控制破坏信息窃取类攻击事件;
[0110]这里,未关联到任何记录。
[0111]步骤406,在记录的攻击事件中寻找被攻击对象为终端A的释放木马内部渗透类攻击事件;
[0112]这里,关联到攻击事件2;
[0113]其中,事件2的攻击源为外部,确定为APT攻击事件。
[0114]步骤407,在记录的攻击事件中寻找外部发起的被攻击对象为终端A的利用漏洞实施入侵类攻击事件;
[0115]这里,关联到攻击事件I。
[0116]步骤408,在记录的攻击事件中寻找外部发起的被攻击对象为服务器B的释放木马内部渗透类攻击事件;
[0117]这里,未关联到任何记录。
[0118]步骤409,在记录的攻击事件中寻找外部发起的被攻击对象为服务器B的利用漏洞实施入侵类攻击事件;
[0119]这里,关联到由终端A向服务器B发起的攻击事件3。
[0120]步骤410,在记录的攻击事件中寻找被攻击对象为终端A的控制破坏信息窃取类攻击事件;
[0121]这里,未关联到任何记录。
[0122]步骤411,在记录的攻击事件中寻找被攻击对象为终端A的释放木马内部渗透类攻击事件;
[0123]这里,关联到攻击事件2 ;
[0124]其中,攻击事件2的攻击源为外部,确定为APT攻击事件。
[0125]步骤412,在记录的攻击事件中寻找外部发起被攻击对象为终端A的利用漏洞实施入侵类攻击事件;
[0126]这里,关联到事件I。
[0127]步骤413,完成遍历,结束APT识别过程,对步骤406和步骤411的APT攻击事件进行报告。
[0128]为实现上述高级持续威胁攻击识别方法,本发明实施例还提供了一种高级持续威胁攻击识别装置,所述高级持续威胁攻击识别装置组成结构如图7所示,该装置包括检测模块10、记录模块20、和关联模块30 ;其中,
[0129]检测模块10,用于检测攻击事件;
[0130]记录模块20,用于记录检测模块10检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;
[0131]关联模块30,用于在记录模块20的记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
[0132]进一步的,关联模块30,还用于将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
[0133]关联模块30,还用于将所关联到的攻击事件与其攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到第一攻击者所遭受的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
[0134]进一步的,所述检测模块检10测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
[0135]所述外部来源为:基于外部访问的检测装置检测到的攻击事件。
[0136]所述关联模块30将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶