一种基于规则的apt攻击行为的检测方法

一种基于规则的apt攻击行为的检测方法
【技术领域】
[0001]本发明是关于APT (Advanced Persistent Threat，高级持续性威胁)检测领域，特别涉及一种基于规则的APT攻击行为的检测方法。
【背景技术】
[0002]APT攻击是一种有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁，它的主要特点是:
[0003]单个攻击源隐蔽能力强:为了躲避传统检测系统，APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。
[0004]攻击手段多，攻击持续时间长:APT攻击分为多个步骤，从最初的信息搜集，获取入口点，实施远程控制到重要数据发现、信息窃取并外传等等，往往要经历几个月、一年甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪，无法识别攻击者的真实意图，之前已发生过、未能引起分析人员注意的告警，有可能隐藏着蓄意攻击意图。因此只有将长时间的可疑行为进行关联分析才能实现APT的有效检测。
[0005]基于APT攻击所体现出来的上述特点，使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。因此要有效识别、对抗APT，必须采取新的检测方法。

【发明内容】

[0006]本发明的主要目的在于克服现有技术中的不足，提供一种基于规则的APT攻击行为的检测方法及其系统。为解决上述技术问题，本发明的解决方案是:
[0007]提供一种基于规则的APT攻击行为的检测方法，用于对APT行为进行分析与检测，所述基于规则的APT攻击行为的检测方法包括下述步骤:
[0008]步骤一:定义创建APT攻击场景规则使用的语法:
[0009](1)整理与攻击行为相关的属性，用于定义规则；常见的与攻击行为相关的属性包括基准告警类型(检测准确性高的告警或者非常重要的告警类型)、追溯时间范围、关联告警类型、告警相关的IP位置信息；
[0010](2)整理规则自身使用的信息，包括规则ID、规则名称、规则描述、新规则开始标识；
[0011](3)将(1)和(2)整理的信息作为可配置项，约定配置项名称，且规定每一个配置项的配置方法、可取值范围；
[0012]步骤二:创建APT攻击场景规则，构建APT攻击场景知识库:
[0013](4)依据已经发生的(典型的)APT攻击事件以及攻击者常用的攻击手段，进行归纳与总结，定义APT攻击场景规则(APT攻击场景规则，就是根据以前发生过的典型APT攻击事情、案例以及发展趋势，总结提炼得到的APT攻击使用的方法和步骤)，且定义的APT攻击场景规则包括基于WEB的APT攻击、基于邮件社工的APT攻击、文件传输与访问的APT攻击;
[0014](5)将(4)中定义的APT攻击场景规则用步骤一约定的语法表示出来，保存到配置文件，用于后续规则解析模块读取、解析、加载；
[0015]步骤三:分析模块调用规则解析模块，解析、加载APT攻击场景规则；
[0016]步骤四:采集模块对(常见)应用层协议全流量采集，获得流量数据；
[0017]步骤五:数据筛选:
[0018]检测模块(使用多种检测工具和方法)对步骤四采集的流量数据进行全面检测，对于和攻击无关的数据设置成短时间存储，过期后进行删除操作；对于和攻击相关的风险数据(或者可疑数据)进行保留并在平台中进行长期存储；
[0019]步骤六:分析重要告警:
[0020]分析模块循环对已经产生的告警数据和可疑数据做进一步深入分析，依次对每一条告警信息、对每一个APT攻击场景规则进行检测判断，判断是否为当前APT攻击场景规则的基准告警或者关联告警，若属于基准告警，则初始化一条记录，保存到基准告警信息表(数据库表)，保存的信息包括IP值、APT场景规则ID、告警类型、当前告警ID，进入步骤七；若属于当前APT攻击场景规则的关联告警类型，进入步骤八；
[0021]步骤七:识别行为:识别告警之间的攻击层语义关系，根据基准告警建立完整攻击场景;
[0022]分析模块根据APT攻击场景规则，当基准告警产生时，触发场景分析，追溯历史数据，将与基准告警相关的各类攻击告警、可疑数据(关联告警)进行关联，若发现有关联数据，则将关联告警的主要信息保存到关联告警信息表(数据库表)，保存的主要信息包括关联告警ID、告警类型、基准告警信息表记录ID、关联IP值，同时更新基准告警信息表已经分析的最近告警时间，并且根据APT攻击场景规则判断，截至到当前的关联结果是否已经构成APT攻击行为；若是，则针对该IP与当前规则的分析已经结束，更新基准告警信息表，设置状态为完成，表示已经构成APT攻击行为；若不是，则判断是否超过历史追溯范围，若超过历史追溯范围，则设置状态为构成APT场景失败；
[0023]步骤八:根据IP值和告警类型查询基准告警信息表，若可以查询到记录，则给关联告警信息表添加一条记录，保存的主要信息包括关联告警ID、告警类型、基准告警信息表记录ID、关联IP值，同时更新基准告警信息表已经分析的最近告警时间，并且根据规则判断，当前的关联结果是否已经构成APT攻击场景；若是，则针对该IP值与当前规则的分析已经结束，更新基准告警信息表，设置状态为完成，表示已经构成APT攻击行为；若不是，则判断是否超过历史追溯范围，若超过历史追溯范围，则设置状态为构成APT场景失败；
[0024]步骤九:构建APT攻击行为失败的处理:
[0025]对于因超过追溯时间范围没有构成APT攻击行为的关联告警数据，通过分析人员进行定位可疑行为。
[0026]在本发明中，所述步骤九中，需要分析人员对多次构建失败的事件进行归纳、总结，调整已有的规则或者创建新的规则，避免因不准确的APT攻击场景规则导致构建失败；若规则配置信息有变动，进入步骤二。
[0027]在本发明中，所述对已经构建完成的APT攻击行为，也需要人工分析的参与，分析已经识别出来的APT攻击行为是否准确，对于识别正确的攻击行为，进一步采取干预措施，防御、阻断攻击行为，避免重要信息泄露，减少受攻击范围，对于识别错误的攻击行为，结合实际风险发生情况，删除以前的规则，重新创建新的规则；若规则配置信息有变动，进入步骤二。
[0028]提供基于所述检测方法的APT行为检测系统，包括采集模块、检测模块、分析模块、规则解析模块；
[0029]所述采集模块用于网络流量采集，能直接从网卡上采集数据，也能直接接收其他系统发送过来的流量数据的程序；
[0030]所述检测模块由检测子模块组成，检测子模块包括恶意代码检测子模块、Webshell检测子模块、发件人欺骗检测子模块、邮件头欺骗检测子模块、邮件钓鱼检测子模块、邮件恶意链接检测子模块、邮件附件恶意代码检测子模块、Web特征检测子模块、异常访问检测子模块、C&C IP/URL检测子模块、恶意木马回连检测子模块、传送非法数据检测子模块、Web行为分析子模块；其中，恶意代码检测子模块包括分别用于病毒检测、静态检测和动态检测的子模块；
[0031]所述分析模块用于实现APT行为检测功能，包括从已经产生的告警数据中识别基准告警数据、关联告警数据，尝试构建APT攻击场景；
[0032]所述规则解析模块用于读取APT攻击场景规则的配置文件，并对其中的每一个规则进行解析(判断语法配置是否有错误，配置项的名称是否合法，以及配置项的值是否在取值范围内)，对于解析正确的规则加载到内存里，供分析模块使用，对于解析出现错误的规则，视为无效规则。
[0033]本发明的工作原理:提炼总结典型的APT攻击场景，抽象成对应的APT攻击行为规贝1J，在规则中设置一些重要的关键性告警作为基准告警，当检测模块检测到风险时，根据IP与风险类型关联分析历史