[发明专利]APT攻击的测试行为识别方法、设备、存储介质及装置

说明书

本发明公开了一种APT攻击的测试行为识别方法、设备、存储介质及装置，相较于现有的根据已有特征数据识别测试行为的方式，本发明中，通过获取待检测IP地址的当前输出日志以及基础属性信息，根据所述当前输出日志以及所述基础属性信息对所述待检测IP地址进行筛选，获得目标IP地址，查找与所述目标IP地址关联的目标虚拟机用户，并获取所述目标虚拟机用户的虚拟机用户特征信息，根据所述虚拟机用户特征信息生成测试行为识别结果，克服了现有技术中对于未知APT攻击的测试行为无法快速识别的缺陷，从而能够优化APT攻击的测试行为识别过程，实现未知APT攻击的测试行为快速识别。

技术领域

本发明涉及互联网技术领域，尤其涉及一种APT攻击的测试行为识别方法、设备、存储介质及装置。

背景技术

目前，在高级可持续威胁攻击(Advanced Persistent Threat，APT)与安全终端产品测试对抗的过程中，APT攻击绝大多数情况下会在一个虚拟环境下安装该终端产品，并测试其恶意工具对抗安全终端产品能力，从而评估下一步攻击投放的可行性。

现有APT攻击的APT攻击的测试行为识别方式可以根据已有特征数据识别已知APT攻击的测试行为。但是，对于未知APT攻击的测试行为，无法实现快速识别。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种APT攻击的测试行为识别方法、设备、存储介质及装置，旨在解决如何优化APT攻击的测试行为识别过程的技术问题。

为实现上述目的，本发明提供一种APT攻击的测试行为识别方法，所述APT攻击的测试行为识别方法包括以下步骤：

获取待检测IP地址的当前输出日志以及基础属性信息；

根据所述当前输出日志以及所述基础属性信息对所述待检测IP地址进行筛选，获得目标IP地址；

查找与所述目标IP地址关联的目标虚拟机用户，并获取所述目标虚拟机用户的虚拟机用户特征信息；

根据所述虚拟机用户特征信息生成测试行为识别结果。

可选地，所述根据所述当前输出日志以及所述基础属性信息对所述待检测IP地址进行筛选，获得目标IP地址的步骤，具体包括：

根据所述当前输出日志判断所述待检测IP地址是否关联虚拟机用户；

在所述待检测IP地址关联虚拟机用户时，将所述待检测IP地址作为待筛选IP地址；

根据所述基础属性信息对所述待筛选IP地址进行筛选，获得目标IP地址。

可选地，所述根据所述基础属性信息对所述待筛选IP地址进行筛选，获得目标IP地址的步骤，具体包括：

对所述基础属性信息进行信息提取，获得归属地信息、服务提供商信息以及IP标签信息；

根据所述归属地信息、所述服务提供商信息以及所述IP标签信息确定所述待筛选IP地址的总分值；

根据所述总分值对所述待筛选IP地址进行筛选，获得目标IP地址。

可选地，所述根据所述归属地信息、所述服务提供商信息以及所述IP标签信息确定所述待筛选IP地址的总分值的步骤，具体包括：

根据所述归属地信息以及服务提供商信息生成所述待筛选IP地址的基础分值；

根据所述IP标签信息生成所述待筛选IP地址的修正分值；

根据所述基础分值以及所述修正分值确定所述待筛选IP地址的总分值。