一種基于規(guī)則的apt攻擊行為的檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于APT (Advanced Persistent Threat��,高級(jí)持續(xù)性威脅)檢測領(lǐng)域����,特別涉及一種基于規(guī)則的APT攻擊行為的檢測方法��。
【背景技術(shù)】
[0002]APT攻擊是一種有組織���、有特定目標(biāo)�、隱蔽性強(qiáng)���、破壞力大�、持續(xù)時(shí)間長的新型攻擊和威脅����,它的主要特點(diǎn)是:
[0003]單個(gè)攻擊源隱蔽能力強(qiáng):為了躲避傳統(tǒng)檢測系統(tǒng),APT更加注重動(dòng)態(tài)行為和靜態(tài)文件的隱蔽性�。例如通過隱蔽通道、加密通道避免網(wǎng)絡(luò)行為被檢測���,或者通過偽造合法簽名的方式避免惡意代碼文件本身被識(shí)別��,這就給傳統(tǒng)基于簽名的檢測帶來很大困難�。
[0004]攻擊手段多�,攻擊持續(xù)時(shí)間長:APT攻擊分為多個(gè)步驟,從最初的信息搜集��,獲取入口點(diǎn)��,實(shí)施遠(yuǎn)程控制到重要數(shù)據(jù)發(fā)現(xiàn)��、信息竊取并外傳等等�����,往往要經(jīng)歷幾個(gè)月�、一年甚至更長的時(shí)間。而傳統(tǒng)的檢測方式是基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測��,難以對跨度如此長的攻擊進(jìn)行有效跟蹤��,無法識(shí)別攻擊者的真實(shí)意圖���,之前已發(fā)生過�、未能引起分析人員注意的告警,有可能隱藏著蓄意攻擊意圖�����。因此只有將長時(shí)間的可疑行為進(jìn)行關(guān)聯(lián)分析才能實(shí)現(xiàn)APT的有效檢測���。
[0005]基于APT攻擊所體現(xiàn)出來的上述特點(diǎn)���,使得傳統(tǒng)以實(shí)時(shí)檢測、實(shí)時(shí)阻斷為主體的防御方式難以有效發(fā)揮作用��。因此要有效識(shí)別�、對抗APT,必須采取新的檢測方法�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)中的不足,提供一種基于規(guī)則的APT攻擊行為的檢測方法及其系統(tǒng)�����。為解決上述技術(shù)問題�,本發(fā)明的解決方案是:
[0007]提供一種基于規(guī)則的APT攻擊行為的檢測方法,用于對APT行為進(jìn)行分析與檢測��,所述基于規(guī)則的APT攻擊行為的檢測方法包括下述步驟:
[0008]步驟一:定義創(chuàng)建APT攻擊場景規(guī)則使用的語法:
[0009](1)整理與攻擊行為相關(guān)的屬性,用于定義規(guī)則��;常見的與攻擊行為相關(guān)的屬性包括基準(zhǔn)告警類型(檢測準(zhǔn)確性高的告警或者非常重要的告警類型)��、追溯時(shí)間范圍��、關(guān)聯(lián)告警類型�、告警相關(guān)的IP位置信息���;
[0010](2)整理規(guī)則自身使用的信息����,包括規(guī)則ID�����、規(guī)則名稱����、規(guī)則描述、新規(guī)則開始標(biāo)識(shí)���;
[0011](3)將(1)和(2)整理的信息作為可配置項(xiàng)��,約定配置項(xiàng)名稱�,且規(guī)定每一個(gè)配置項(xiàng)的配置方法、可取值范圍��;
[0012]步驟二:創(chuàng)建APT攻擊場景規(guī)則���,構(gòu)建APT攻擊場景知識(shí)庫:
[0013](4)依據(jù)已經(jīng)發(fā)生的(典型的)APT攻擊事件以及攻擊者常用的攻擊手段�,進(jìn)行歸納與總結(jié)�����,定義APT攻擊場景規(guī)則(APT攻擊場景規(guī)則����,就是根據(jù)以前發(fā)生過的典型APT攻擊事情、案例以及發(fā)展趨勢��,總結(jié)提煉得到的APT攻擊使用的方法和步驟)�,且定義的APT攻擊場景規(guī)則包括基于WEB的APT攻擊、基于郵件社工的APT攻擊�����、文件傳輸與訪問的APT攻擊;
[0014](5)將(4)中定義的APT攻擊場景規(guī)則用步驟一約定的語法表示出來�,保存到配置文件,用于后續(xù)規(guī)則解析模塊讀取、解析�����、加載���;
[0015]步驟三:分析模塊調(diào)用規(guī)則解析模塊��,解析�、加載APT攻擊場景規(guī)則���;
[0016]步驟四:采集模塊對(常見)應(yīng)用層協(xié)議全流量采集,獲得流量數(shù)據(jù)��;
[0017]步驟五:數(shù)據(jù)篩選:
[0018]檢測模塊(使用多種檢測工具和方法)對步驟四采集的流量數(shù)據(jù)進(jìn)行全面檢測��,對于和攻擊無關(guān)的數(shù)據(jù)設(shè)置成短時(shí)間存儲(chǔ)����,過期后進(jìn)行刪除操作;對于和攻擊相關(guān)的風(fēng)險(xiǎn)數(shù)據(jù)(或者可疑數(shù)據(jù))進(jìn)行保留并在平臺(tái)中進(jìn)行長期存儲(chǔ)�;
[0019]步驟六:分析重要告警:
[0020]分析模塊循環(huán)對已經(jīng)產(chǎn)生的告警數(shù)據(jù)和可疑數(shù)據(jù)做進(jìn)一步深入分析,依次對每一條告警信息���、對每一個(gè)APT攻擊場景規(guī)則進(jìn)行檢測判斷���,判斷是否為當(dāng)前APT攻擊場景規(guī)則的基準(zhǔn)告警或者關(guān)聯(lián)告警�,若屬于基準(zhǔn)告警����,則初始化一條記錄,保存到基準(zhǔn)告警信息表(數(shù)據(jù)庫表)�����,保存的信息包括IP值�、APT場景規(guī)則ID、告警類型�、當(dāng)前告警ID,進(jìn)入步驟七�����;若屬于當(dāng)前APT攻擊場景規(guī)則的關(guān)聯(lián)告警類型�����,進(jìn)入步驟八�����;
[0021]步驟七:識(shí)別行為:識(shí)別告警之間的攻擊層語義關(guān)系,根據(jù)基準(zhǔn)告警建立完整攻擊場景;
[0022]分析模塊根據(jù)APT攻擊場景規(guī)則�,當(dāng)基準(zhǔn)告警產(chǎn)生時(shí),觸發(fā)場景分析�,追溯歷史數(shù)據(jù),將與基準(zhǔn)告警相關(guān)的各類攻擊告警�����、可疑數(shù)據(jù)(關(guān)聯(lián)告警)進(jìn)行關(guān)聯(lián)�����,若發(fā)現(xiàn)有關(guān)聯(lián)數(shù)據(jù)��,則將關(guān)聯(lián)告警的主要信息保存到關(guān)聯(lián)告警信息表(數(shù)據(jù)庫表)�,保存的主要信息包括關(guān)聯(lián)告警ID�����、告警類型�、基準(zhǔn)告警信息表記錄ID、關(guān)聯(lián)IP值�����,同時(shí)更新基準(zhǔn)告警信息表已經(jīng)分析的最近告警時(shí)間,并且根據(jù)APT攻擊場景規(guī)則判斷��,截至到當(dāng)前的關(guān)聯(lián)結(jié)果是否已經(jīng)構(gòu)成APT攻擊行為�����;若是��,則針對該IP與當(dāng)前規(guī)則的分析已經(jīng)結(jié)束��,更新基準(zhǔn)告警信息表���,設(shè)置狀態(tài)為完成����,表示已經(jīng)構(gòu)成APT攻擊行為��;若不是�����,則判斷是否超過歷史追溯范圍�����,若超過歷史追溯范圍,則設(shè)置狀態(tài)為構(gòu)成APT場景失?����?���;
[0023]步驟八:根據(jù)IP值和告警類型查詢基準(zhǔn)告警信息表,若可以查詢到記錄��,則給關(guān)聯(lián)告警信息表添加一條記錄��,保存的主要信息包括關(guān)聯(lián)告警ID����、告警類型、基準(zhǔn)告警信息表記錄ID���、關(guān)聯(lián)IP值,同時(shí)更新基準(zhǔn)告警信息表已經(jīng)分析的最近告警時(shí)間��,并且根據(jù)規(guī)則判斷��,當(dāng)前的關(guān)聯(lián)結(jié)果是否已經(jīng)構(gòu)成APT攻擊場景;若是����,則針對該IP值與當(dāng)前規(guī)則的分析已經(jīng)結(jié)束,更新基準(zhǔn)告警信息表�����,設(shè)置狀態(tài)為完成����,表示已經(jīng)構(gòu)成APT攻擊行為;若不是�����,則判斷是否超過歷史追溯范圍����,若超過歷史追溯范圍,則設(shè)置狀態(tài)為構(gòu)成APT場景失?。?br>[0024]步驟九:構(gòu)建APT攻擊行為失敗的處理:
[0025]對于因超過追溯時(shí)間范圍沒有構(gòu)成APT攻擊行為的關(guān)聯(lián)告警數(shù)據(jù)��,通過分析人員進(jìn)行定位可疑行為��。
[0026]在本發(fā)明中,所述步驟九中����,需要分析人員對多次構(gòu)建失敗的事件進(jìn)行歸納、總結(jié)��,調(diào)整已有的規(guī)則或者創(chuàng)建新的規(guī)則���,避免因不準(zhǔn)確的APT攻擊場景規(guī)則導(dǎo)致構(gòu)建失?����?;若規(guī)則配置信息有變動(dòng)��,進(jìn)入步驟二��。
[0027]在本發(fā)明中����,所述對已經(jīng)構(gòu)建完成的APT攻擊行為,也需要人工分析的參與�,分析已經(jīng)識(shí)別出來的APT攻擊行為是否準(zhǔn)確��,對于識(shí)別正確的攻擊行為,進(jìn)一步采取干預(yù)措施�,防御、阻斷攻擊行為�����,避免重要信息泄露����,減少受攻擊范圍,對于識(shí)別錯(cuò)誤的攻擊行為�,結(jié)合實(shí)際風(fēng)險(xiǎn)發(fā)生情況,刪除以前的規(guī)則��,重新創(chuàng)建新的規(guī)則����;若規(guī)則配置信息有變動(dòng),進(jìn)入步驟二�。
[0028]提供基于所述檢測方法的APT行為檢測系統(tǒng),包括采集模塊��、檢測模塊��、分析模塊、規(guī)則解析模塊����;
[0029]所述采集模塊用于網(wǎng)絡(luò)流量采集,能直接從網(wǎng)卡上采集數(shù)據(jù)���,也能直接接收其他系統(tǒng)發(fā)送過來的流量數(shù)據(jù)的程序���;
[0030]所述檢測模塊由檢測子模塊組成,檢測子模塊包括惡意代碼檢測子模塊����、Webshell檢測子模塊、發(fā)件人欺騙檢測子模塊�、郵件頭欺騙檢測子模塊、郵件釣魚檢測子模塊����、郵件惡意鏈接檢測子模塊、郵件附件惡意代碼檢測子模塊��、Web特征檢測子模塊��、異常訪問檢測子模塊�����、C&C IP/URL檢測子模塊、惡意木馬回連檢測子模塊��、傳送非法數(shù)據(jù)檢測子模塊�����、Web行為分析子模塊�����;其中�,惡意代碼檢測子模塊包括分別用于病毒檢測����、靜態(tài)檢測和動(dòng)態(tài)檢測的子模塊;
[0031]所述分析模塊用于實(shí)現(xiàn)APT行為檢測功能���,包括從已經(jīng)產(chǎn)生的告警數(shù)據(jù)中識(shí)別基準(zhǔn)告警數(shù)據(jù)�、關(guān)聯(lián)告警數(shù)據(jù)�����,嘗試構(gòu)建APT攻擊場景;
[0032]所述規(guī)則解析模塊用于讀取APT攻擊場景規(guī)則的配置文件�����,并對其中的每一個(gè)規(guī)則進(jìn)行解析(判斷語法配置是否有錯(cuò)誤���,配置項(xiàng)的名稱是否合法��,以及配置項(xiàng)的值是否在取值范圍內(nèi))��,對于解析正確的規(guī)則加載到內(nèi)存里�,供分析模塊使用��,對于解析出現(xiàn)錯(cuò)誤的規(guī)則�����,視為無效規(guī)則�。
[0033]本發(fā)明的工作原理:提煉總結(jié)典型的APT攻擊場景,抽象成對應(yīng)的APT攻擊行為規(guī)貝1J�,在規(guī)則中設(shè)置一些重要的關(guān)鍵性告警作為基準(zhǔn)告警,當(dāng)檢測模塊檢測到風(fēng)險(xiǎn)時(shí)�����,根據(jù)IP與風(fēng)險(xiǎn)類型關(guān)聯(lián)分析歷史