一种基于规则的apt攻击行为的检测方法_2

数据，尝试构建完整攻击路径图。
[0034]与现有技术相比，本发明的有益效果是:
[0035]对于APT这样的时间跨度长、攻击目标明确的攻击行为，在整个攻击过程中总会存在若干个攻击暴露点，本发明以此为基础对相关的流量进行回溯关联，改变传统基于单个时间点进行特征匹配的局面，对长时间窗的数据进行关联分析，实现对攻击者完整攻击意图的识别。
【附图说明】
[0036]图1为本发明的分析APT攻击行为主体流程图。
[0037]图2为本发明的完善APT攻击行为规则流程图。
【具体实施方式】
[0038]首先需要说明的是，本发明涉及的APT攻击行为检测方法，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明，不存在无法理解或无法再现的可能性。前述软件功能模块包括但不限于:采集模块、检测模块、规则解析模块、分析模块等，其具体实现方式可以有很多种，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。
[0039]下面结合附图与【具体实施方式】对本发明作进一步详细描述，本发明中采用的数据库在具体实施中可以采用MySQL、0racle等关系型数据库管理系统(RDBMS)或者基于NoSQL的分布式计算框架，用以保存网络会话审计数据、告警数据、分析结果。
[0040]如图1、图2所示，一种基于规则的APT攻击行为的检测方法，用于对一定时间范围的告警进行关联分析，识别APT攻击行为。检测方法具体包括下述步骤:
[0041]步骤一:定义创建APT行为规则使用的语法语义。
[0042]归纳典型APT攻击行为涉及的事件元素，形成可配置项，同时规定各个配置项的取值范围、配置方法。
[0043]1、整理与攻击行为相关的属性，用于定义规则，常见的与攻击行为相关的属性包括以下部分:基准告警类型(检测结果准确性高的告警或者非常重要的告警类型)、追溯时间范围(即当有新的风险发生时，追溯一个时间段内的相关风险，支持时间单位年、月、日、小时)、关联告警类型、基准告警IP (源IP或者目标IP，即使用源IP还是目标IP去关联历史告警信息)、关联告警IP (源IP或者目标IP)、基准告警顺序要求(当一个规则配置基准告警数多于一个时，是否要求发生的告警的时间按照规则里配置的先后顺序)、关联告警顺序要求(当一个规则配置关联告警数多于一个时，是否要求发生告警的时间按照规则里配置的先后顺序)、基准告警源IP位置(属于监控单位内网IP或者远程服务器外网IP)、基准告警目的IP位置、关联告警源IP位置、关联告警目的IP位置、多个告警是否在同一个会话里(基准告警或者关联告警类型数多于一个时，是否要求这些告警必须发生在网络连接同一个会话里)。
[0044]2、规则自身使用的信息:规则ID、规则名称、规则描述、新规则开始标识。
[0045]3、将第1步和第2步整理的信息作为可配置项，约定配置项名称，且规定每一个配置项的配置方法，如果需要赋值，则规定配置项的可取值范围。
[0046]步骤二:创建APT攻击场景规则，构建APT攻击场景知识库。
[0047]归纳典型APT攻击行为涉及的事件特征(一次APT攻击行为里先后可能发生的几种告警类型或者可疑行为、攻击时间范围、IP位置、先后发生的告警类型等)，创建对应的APT攻击行为规则。
[0048]APT攻击场景规则，就是根据以前发生过的典型APT攻击事情、案例以及发展趋势，总结提炼得到的APT攻击使用的方法和步骤。创建规则相关的语法，在具体应用中，完全可以根据实际的需要，增加新的配置项，约定其他的创建规则的语法和配置方法，可参考下述示范:
[0049]例如，在2011年发生的RSA SecurlD窃取攻击事件，大致的攻击过程如下(注:以下攻击过程信息来源于互联网，典型的APT攻击事件还有，Google极光攻击、夜龙攻击、超级工厂病毒攻击(震网攻击)等等):
[0050]a、攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2011Recruitment plan.xls”；
[0051]b、其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的Adobe Flash的Oday 漏洞(CVE-2011-0609)命中；
[0052]c、该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务；
[0053]d、首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；
[0054]e、RSA发现开发用服务器(Staging server)遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹；
[0055]f、在拿到SecurlD信息后，攻击者开始对使用SecurlD的公司展开进一步攻击。
[0056]根据以上描述的攻击过程，我们可以定义这样的APT攻击场景规则:
[0057]邮件社工攻击+恶意代码攻击+Web行为分析/木马回连/C&C ip/url (目标IP发起)=成功的邮件APT攻击
[0058]其中，邮件社工攻击包括以下几种类型:发件人欺骗、邮件头欺骗、邮件钓鱼、邮件恶意链接。恶意代码主要指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机婦虫(简称婦虫)、后门、逻辑炸弹、间谋软件(spyware)、恶意共享软件(malic1usshareware)等。它们通常为伪装成普通的安装软件、办公文档等。
[0059]WEB行为分析，是基于多个维度的统计型告警，在指定的维度基础上、指定时间内发生的WEB行为(可以是普通访问行为，也可以是Web特征攻击等)次数达到指定次数时，进行告警，例如:对某个Web服务器在10分钟内对同一个表单(例如，用户登录页面的用户名和密码)执行了超过1000次的提交(HTTP协议POST方法)，WEB行为分析功能经过统计后，认为此类行为构成了为Web表单暴力破解，诸如此类的还有，多个客户端IP在一个时间段内对同一个Web服务器进行大量的CC攻击(Challenge Collapsar，是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃)，WEB行为分析功能经过统计分析后，认为此类行为构成了 WEB CC攻击，等等。WEB行为分析的统计玮度可以由以下方面:攻击源IP个数、http普通访问行为还是某种web攻击、统计周期时间、访问次数、访问文件类型等。
[0060]木马回连，是指恶意代码在运行时，连接某一远程服务器，利用某个方法(例如，利用http协议80端口传送非http协议的数据)把所在网络里的重要数据传送到远程服务器的行为。
[0061]C&C ip/url，C&C服务器为远程命令和控制服务器，目标机器可以接收来自服务器的命令，从而达到服务器控制目标机器的目的。该方法常用于病毒木马控制被感染的机器。
[0062]对上文定义的APT攻击场景规则，粗体标识的“WEB行为分析/木马回连/C&C ip/url”，可以看作是基准告警，WEB行为分析告警或者木马回连告警或者C&C ip/url告警，这样的告警是APT攻击过程中非常关键的一个步骤，当发现该类型告警时立即触发场景分析，对历史数据进行追溯，通过与发生告警相关的IP地址、端口、告警类型等元素去关联查询历史告警数据，以及后续再次发生的相关的告警数据，如果关联分析的结果符合某个APT攻击场景规则，则认为实际已经发生了 APT攻击行为。
[0063]在具体实施中，可以使用下面的语法来描述上文定义的规则，便于程序解析: