[发明专利]一种基于数据溯源图的APT攻击链还原系统

说明书

本发明公开了一种基于数据溯源图的APT攻击链还原系统，涉及计算机网络安全领域，包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块；数据溯源图记录模块监控目标主机内的系统活动，并以数据溯源图格式进行记录；输入模块获取数据溯源图格式或系统日志格式的输入数据；数据溯源图压缩模块对数据溯源图进行压缩；感染点定位模块标定攻击事件在数据溯源图中的位置；攻击链映射模块通过映射规则将数据溯源图中的节点和边映射到APT攻击链的各个阶段，构造出完整的APT攻击链。本发明能够使分析人员对攻击过程有清晰的认识，并通过基于公开威胁情报的感染点定位和数据溯源图压缩来提高系统效率、降低存储开销。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于数据溯源图的APT攻击链还原系统。

背景技术

随着互联网的不断发展，APT对于企业和国家的威胁已经成为信息安全防护中越来越突出的问题。人们在生活的方方面面都不可避免地需要接触互联网，如果对APT攻击方法没有清晰的了解，缺乏有效的防御手段，那么不仅会造成巨额的经济损失，甚至会泄露国家的安全机密，对社会稳定产生巨大威胁。

APT，全称为高级持续性威胁(Advanced Persistent Threat)，是近年来出现的一种新型的网络攻击形式。美国国家标准与技术研究所(NIST)给出了一种APT的官方定义，其中提到了APT的4大要素，即：(1)攻击者掌握高级的专业知识并且拥有丰富的资源；(2)APT的攻击目标通常是破坏目标组织的关键设施，窃取机密情报或是干扰任务的正常执行；(3)APT使用丰富的攻击手段，通过渗透目标组织的基础设施以建立并扩展立足点，从而达成攻击目的；(4)APT攻击过程往往持续时间很长，并且会使用隐蔽手段来对抗安全防御措施。

APT攻击链是用来表述APT攻击场景的一种标准模型。Milagerdi等人的工作中给出了一种APT攻击链的具体描述，将APT攻击分为七个阶段，即：

(1)初始侦察：指利用各种攻击手段(如漏洞扫描，社会工程学)搜寻目标系统的脆弱点，并针对性地开展攻击活动；利用目标系统的脆弱点潜伏进入目标系统内部，如利用Web服务漏洞上传恶意代码。

(2)建立立足点：利用木马等手段建立控制服务器与目标系统某一终端的连接。

(3)权限提升：通过执行恶意代码等方式，获得系统的超级用户权限。

(4)内部侦察：获得终端控制权后，通过端口扫描等手段在目标系统内网搜索高价值目标。

(5)横向移动：从立足点出发，在内网主机之间移动，目的是渗透进入高价值目标所在的设施。

(6)完成任务：获取高价值目标，回传给攻击者(例如通过木马CC服务器)，或是运行恶意软件，破坏基础设备。

(7)清除痕迹：通过删除系统日志等方法清理攻击痕迹，留下后门。

目前针对APT攻击，现有方法多停留在APT检测层面，并不能提供完整的攻击传递过程，即攻击链。而对于APT这样复杂、持续的攻击，提供APT攻击链显得尤为重要，这使得分析人员能够对APT攻击的全貌有清晰的认识，而少数能够提供攻击链的方法也存在普适性不高的缺陷。

本发明采用的数据溯源图是一种反应系统内实体之间交互关系的图结构。数据溯源图中的节点代表实体对象，可以是进程、文件、socket等等；而边则代表两个实体之间的一次交互以及交互的具体类型(例如写入、创建子进程)。在本发明的APT攻击链还原算法中，数据溯源图被定义为一个DAG(有向无环图)，这是因为将数据溯源图处理成无环图更有利后续分析以及设计溯源图压缩算法。

因此，本领域的技术人员致力于开发一种基于数据溯源图的APT攻击链还原系统，以数据溯源图或系统日志作为输入，以还原的APT攻击链作为输出，能够为安全分析人员提供清晰的攻击传递过程，同时使用了公开威胁情报，提高了系统普适性。

发明内容