一种APT攻击溯源方法、系统、设备及可读存储介质

技术领域

本申请涉及计算机技术领域，特别涉及一种APT攻击溯源方法、系统、设备及计算机可读存储介质。

背景技术

APT(Advanced Persistent Threat，Advanced Persistent Threat)攻击技术手段是各国情报组织、网络战部队发展的重要能力，也是当前攻击组织获利的重要工具。随着未来各国斗争的日益加剧和我国互联网经济的繁荣，我国各类信息系统将成为APT攻击的重要目标。

已知的APT攻击分析与溯源方法，通常只是人工经验进行分析。然而，人工经验分析会有失误，并且需要花费较长时间去寻找对应线索，错过减缓和反制攻击组织的最佳时机。因此，本申请提供了一种APT攻击溯源方法，用来解决现有技术中APT攻击溯源效率低和准确率低的问题。

发明内容

本申请的目的是提供一种APT攻击溯源方法、系统、设备及计算机可读存储介质，从而快速、准确地追踪威胁的源头，进而结合过往案例，获取对应的防御措施。

为实现上述目的，本申请提供了一种APT攻击溯源方法，包括：

获取被APT攻击的数据；

从被所述APT攻击的数据中提取所述APT攻击的特征信息；

当检测到所述特征信息与目标画像数据库中的目标组织信息相对应时，确定与所述APT攻击对应的目标组织信息，所述目标画像数据库为预先建立的包括多个目标组织信息的数据库。

可选的，当检测到所述特征信息与目标画像数据库中的目标组织信息不对应时，包括：

当检测到所述特征信息与目标画像数据库中的目标组织信息不对应时，获取初步溯源信息，所述初步溯源信息为与所述APT攻击对应的目标组织信息；

将所述初步溯源信息保存到所述目标画像数据库中。

可选的，所述当检测到所述特征信息与目标画像数据库中的目标组织信息相对应时，确定与所述APT攻击对应的目标组织信息，包括：

将所述特征信息与目标画像数据库中的目标组织信息中的二进制代码、代码涉及关键词和攻击行为特征进行对比；

当检测到所述特征信息与所述二进制代码、所述代码涉及关键词和所述攻击行为特征均对应时，确定与所述APT攻击对应的目标组织信息。

可选的，所述获取APT攻击的数据后，还包括：

从所述APT攻击的数据中提取漏洞规则数据；

根据所述漏洞规则数据，生成初步漏洞防御建议。

可选的，所述从所述APT攻击的数据中提取特征信息，包括：

对所述APT攻击数据进行逆向分析与解密，提取特征信息。

可选的，所述获取APT攻击的数据后，还包括：

从所述APT攻击的数据中提取异常回连地址；

当提取到所述异常回连地址时，发送阻断请求，对所述APT攻击进行阻断。

10、一种计算机可读存储介质，其特征在于：所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的APT攻击溯源方法的步骤。

为实现上述目的，本申请还提供了一种APT攻击溯源系统，包括：

APT攻击采集模块，用于获取被APT攻击的数据；

APT攻击分析模块，用于从被所述APT攻击的数据中提取所述APT攻击的特征信息；

APT攻击溯源模块，用于当检测到所述特征信息与目标画像数据库中的目标组织信息相对应时，确定与所述APT攻击对应的目标组织信息，所述目标画像数据库为预先建立的包括多个目标组织信息的数据库。

可选的，所述APT攻击溯源模块，具体用于当检测到所述特征信息与目标画像数据库中的目标组织信息不对应时，获取初步溯源信息，所述初步溯源信息为与所述APT攻击对应的目标组织信息；

将所述初步溯源信息保存到所述目标组织画像数据库中。

为实现上述目的，本申请还提供了一种APT攻击溯源设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述所述的APT攻击溯源方法的步骤。

为实现上述目的，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的APT攻击溯源方法的步骤。

本申请提供的一种APT攻击溯源方法，包括：获取被APT攻击的数据；从被所述APT攻击的数据中提取所述APT攻击的特征信息；当检测到所述特征信息与目标画像数据库中的目标组织信息相对应时，确定与所述APT攻击对应的目标组织信息，所述目标画像数据库为预先建立的包括多个目标组织信息的数据库。

显然，本申请结合采集到的APT数据，获取APT攻击的特征信息，通过比对特征信息的相似度，与目标组织画像数据进行同源分析，相比通过人工经验进行分析，能够快速、准确地追踪威胁的源头，进而结合过往案例，获取对应的防御措施。本申请还提供一种APT攻击溯源系统、设备及计算机可读存储介质，具有上述有益效果。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种APT攻击溯源方法的流程图；

图2为本申请实施例提供的一种APT攻击溯源系统的结构框图；

图3为本申请实施例提供的一种APT攻击溯源系统的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

高级可持续性攻击，又称APT攻击，通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马)，实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动，具有强烈的政治、经济目的。随着未来各国斗争的日益加剧和我国互联网经济的繁荣，我国各类信息系统将成为APT攻击的重要目标。对于一个服务器来说，良好的日常运行情况是十分重要的。越来越多的机构开始关注服务器的日常运行情况。然而，由于目前各服务器遭受APT攻击后，不知道攻击的相关信息，无法针对攻击及时作出防御措施。这会导致正常的服务器运行受到影响，甚至用户的信息遭到窃取。因此，本申请了提供一种APT攻击溯源方法，通过合采集到的APT数据，获取APT攻击的特征信息，通过比对特征信息的相似度，与目标组织画像数据进行同源分析，从而快速、准确地追踪威胁的源头，进而结合过往案例，获取对应的防御措施。

请参考图1，图1为本申请实施例提供的一种APT攻击溯源方法的流程图，该方法可以包括：

S101：获取被APT攻击的数据。

本实施例并不限定获取被APT攻击的数据的具体方式，例如可以是通过APT攻击采集装置获取被APT攻击的数据。本实施例并不限定APT攻击采集装置的具体种类，只要能够采集被APT攻击的数据即可。本实施例并不限定获取被APT攻击的数据的具体过程，例如可以是对APT攻击进行识别；将识别为APT攻击的数据信息存储至存储介质中。

本实施例并不限定获取被APT攻击的数据的后续操作，例如可以是为了获取漏洞防御建议，从APT攻击的数据中提取漏洞规则数据；根据漏洞规则数据，生成初步漏洞防御建议；还可以是为了实现各种APT控制行为的阻断防护，从APT攻击的数据中提取异常回连地址；当提取到异常回连地址时，发送阻断请求，对APT攻击进行阻断。本实施例并不限定异常回连地址的具体内容，例如可以是敏感来源IP(Internet Protocol Address，互联网协议地址)或URL(Uniform Resource Locator，统一资源定位符)。本实施例并不限定对APT攻击进行阻断的具体方式，例如可以是通过阻断产品对APT攻击进行阻断。实施例并不限定阻断产品的具体种类，例如可以是EDR(Endpoint Detection and Response，终端检测与响应系统)、WAF(Web Application Firewall，网站应用级入侵防御系统)或防火墙。需要说明的是，已知的APT攻击分析与溯源方法，通常只是人工经验进行分析。对于APT攻击的检测具有较长时间的滞后性，很难实现实时的阻断，导致正常的服务器运行受到影响，甚至用户的信息遭到窃取。本实施例通过深度分析网络异常行为，学习网络中存在的非法回连与控制行为，并通过与EDR、WAF、防火墙等产品进行联动，可以在回连环节进行阻断，实现各种APT控制行为的阻断防护，及时进行阻断防护从而减少损失。

S102：从被所述APT攻击的数据中提取所述APT攻击的特征信息。

本实施例并不限定特征信息的具体内容，因为要和目标画像数据库中的目标组织信息进行对比，所以可以根据目标画像数据库中的目标组织信息的具体内容确定要提取的特征信息的具体内容，例如可以是二进制代码、代码涉及关键词和攻击行为特征中的至少一个。为了更准确地追踪威胁的源头，本实施了中特征信息可以是二进制代码、代码涉及关键词和攻击行为特征。本实施例并不限定提前特征信息的具体方式，例如可以是对所述APT攻击数据进行逆向分析与解密，提取特征信息。

S103：当检测到所述特征信息与目标画像数据库中的目标组织信息相对应时，确定与所述APT攻击对应的目标组织信息，所述目标画像数据库为预先建立的包括多个目标组织信息的数据库。

需要说明的是，本实施例通过比较APT攻击的特征信息与目标画像数据库中的目标组织信息，判断是否存在与APT攻击的特征信息相对应的目标画像数据库中的目标组织信息。本实施例并不限定目标画像数据库中的目标组织信息的具体内容，例如可以包括目标组织名称、目标组织简介、组织来源、攻击地域、攻击目标、攻击时间、常用二进制代码片段、代码涉及关键词、以往APT攻击事件、以往APT攻击事件数据、以往APT攻击事件的防御措施和威胁程度，其中攻击地域、攻击目标和攻击时间属于攻击行为特征。需要说明的是，本实施例通过分析APT攻击追踪到威胁的源头，确定与APT攻击对应的目标组织信息，从而结合与APT攻击对应的目标组织信息中的过往案例，获取对应的防御措施。

本实施例并不限定比较APT攻击的特征信息与目标画像数据库中的目标组织信息的具体方式，根据提取到的特征信息确定进行比较的具体方式，例如当特征信息包括二进制代码、代码涉及关键词和攻击行为特征时，可以是将特征信息与目标画像数据库中的目标组织信息中的二进制代码、代码涉及关键词和攻击行为特征进行对比；当检测到特征信息与二进制代码、代码涉及关键词和攻击行为特征均对应时，确定与APT攻击对应的目标组织信息。

需要说明的是，当检测到特征信息与目标画像数据库中的目标组织信息不对应时表示当前目标画像数据库中不存在与特征信息相对应的目标画像数据库中的目标组织信息。本实施例并不限定当检测到特征信息与目标画像数据库中的目标组织信息不对应时的具体操作，例如可以是当检测到特征信息与目标画像数据库中的目标组织信息不对应时，获取初步溯源信息，初步溯源信息为与APT攻击对应的目标组织信息；将初步溯源信息保存到目标画像数据库中。本实施例并不限定获取初步溯源信息的具体方式，例如可以是结合互联网搜索结果，挖掘更多攻击的防御措施以及攻击组织相关个人信息。需要说明的是，已知的APT攻击分析与溯源方法，通常只是人工经验进行分析，经验无法进行标准化的保存，相关经验不能提供检索与关联，不利于APT攻击防御的积累。本实施例通过生成攻击组织画像数据，记录每次攻击的二进制代码、攻击行为数据、攻击的方式、影响范围、时间、来源、攻击组织与组织身份、过往案例供下次遭受APT攻击时进行同源分析，形成攻击的初步溯源信息，再通过人工进行进一步挖掘与验证，并及时提供相应的防御措施，针对每次APT攻击，完善攻击组织画像数据，进行标准化的保存，为下次APT数据分析提供数据支撑，方便进行攻击的检索和关联。

基于上述实施例，本申请结合采集到的APT数据，获取APT攻击的特征信息，通过比对特征信息的相似度，与目标组织画像数据进行同源分析，相比通过人工经验进行分析，能够快速、准确地追踪威胁的源头，进而结合过往案例，获取对应的防御措施。

下面结合具体的实例说明上述APT攻击溯源过程，该过程具体如下：

1、APT攻击采集：

步骤一：针对APT攻击进行识别。

步骤二：将识别为APT攻击的数据信息存储至存储介质中。

2、APT攻击分析：

步骤一：对APT攻击数据进行逆向分析与解密，获取二进制代码片段，代码涉及关键词、APT攻击行为数据、漏洞规则数据和恶意回连地址。

步骤二：提取二进制代码片段，并将代码进行单词统计。

步骤三：提取代码涉及关键词。

步骤四：提取APT攻击行为特征，例如攻击的地理位置，攻击的时间，攻击涉及的网站。

步骤五：提取攻击中的恶意回连地址，例如敏感来源IP和URL。

3、APT攻击溯源：

步骤一：通过与目标画像数据库进行代码片段比较，判断是否存在类似代码

步骤二：通过与目标画像数据库中的关键词进行比较，判断是否存在对应的关键词。

步骤三：通过与目标画像数据库的各目标组织信息，结合本次攻击的地理位置，攻击的时间(判断时区)，攻击目标，推测可能是哪些目标组织进行的攻击。

步骤四：通过目标组织信息以及各组织常用的攻击方式，再结合本次APT攻击的漏洞规则数据，形成初步漏洞防御建议。

4、溯源结果验证及数据库更新：

步骤一：验证APT溯源结果与对应的原因是否正确，剔除无关信息。用于消除对APT攻击的错误识别。

步骤二：结合互联网搜索结果，挖掘更多攻击的防御措施以及目标相关个人信息。

步骤三：归档本次APT攻击到目标画像数据库。

5、联动阻断防护：

步骤一：配置阻断类产品(EDR、WAF、防火墙)的请求地址。

步骤二：识别到APT攻击。

步骤三：向阻断类产品发起对应请求，增加阻断类产品的防护策略。

下面对本申请实施例提供的一种APT攻击溯源系统、设备及计算机可读存储介质进行介绍，下文描述的APT攻击溯源系统、设备及计算机可读存储介质与上文描述的APT攻击溯源方法可相互对应参照。

请参考图2，图2为本申请实施例提供的一种APT攻击溯源系统的结构框图，该系统可以包括：

APT攻击采集模块100，用于获取被APT攻击的数据；

APT攻击分析模块200，用于从被所述APT攻击的数据中提取所述APT攻击的特征信息；

APT攻击溯源模块300，用于当检测到所述特征信息与目标画像数据库中的目标组织信息相对应时，确定与所述APT攻击对应的目标组织信息，所述目标画像数据库为预先建立的包括多个目标组织信息的数据库。

基于上述实施例，本申请结合采集到的APT数据，获取APT攻击的特征信息，通过比对特征信息的相似度，与目标组织画像数据进行同源分析，相比通过人工经验进行分析，能够快速、准确地追踪威胁的源头，进而结合过往案例，获取对应的防御措施。

基于上述实施例，所述APT攻击溯源模块300，具体用于当检测到所述特征信息与目标画像数据库中的目标组织信息不对应时，获取初步溯源信息，所述初步溯源信息为与所述APT攻击对应的目标组织信息；

基于上述各实施例，所述APT攻击溯源模块300具体用于将所述特征信息与目标画像数据库中的目标组织信息中的二进制代码、代码涉及关键词和攻击行为特征进行对比；

当检测到所述特征信息与所述二进制代码、所述代码涉及关键词和所述攻击行为特征均对应时，确定与所述APT攻击对应的目标组织信息。

基于上述各实施例，所述APT攻击溯源系统，还包括：

漏洞防御模块，用于从所述APT攻击的数据中提取漏洞规则数据；

根据所述漏洞规则数据，生成初步漏洞防御建议。

基于上述各实施例，所述APT攻击分析模块200，具体用于对所述APT攻击数据进行逆向分析与解密，提取特征信息。

基于上述各实施例，所述APT攻击溯源系统，还包括：

联动阻断防护模块模块，用于从所述APT攻击的数据中提取异常回连地址；

当提取到所述异常回连地址时，发送阻断请求，对所述APT攻击进行阻断。

下面结合具体的实例说明上述APT攻击溯源系统，请参考图3，图3为图3为本申请实施例提供的一种APT攻击溯源系统的结构示意图，该系统可以包括：

APT攻击采集模块；APT攻击分析模块；APT攻击溯源模块包括溯源单元，溯源结果验证单元和数据库更新单元；联动阻断防护模块。

上述溯源单元，用于执行：

步骤一：通过与目标画像数据库进行代码片段比较，判断是否存在类似代码

步骤二：通过与目标画像数据库中的关键词进行比较，判断是否存在对应的关键词。

步骤三：通过与目标画像数据库的各目标组织信息，结合本次攻击的地理位置，攻击的时间(判断时区)，攻击目标，推测可能是哪些目标组织进行的攻击。

步骤四：通过目标组织信息以及各组织常用的攻击方式，再结合本次APT攻击的漏洞规则数据，形成初步漏洞防御建议。

上述溯源结果验证单元，用于执行：

步骤一：验证APT溯源结果与对应的原因是否正确，剔除无关信息。

上述数据库更新单元，用于执行：

步骤一：结合互联网搜索结果，挖掘更多攻击的防御措施以及目标相关个人信息。

步骤二：归档本次APT攻击到目标画像数据库。

基于上述实施例，本申请还提供了一种APT攻击溯源设备，包括：存储器和处理器，其中，存储器，用于存储计算机程序；处理器，用于执行计算机程序时实现上述各实施例所述的APT攻击溯源方法的步骤。当然，该APT攻击溯源设备还可以包括各种必要的网络接口、电源以及其它零部件等。

本申请还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述各实施例所述的APT攻击溯源方法的步骤。该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，且各个实施例间为递进关系，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，可参见对应的方法部分说明。以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。