[发明专利]一种多维度深层次检测APT攻击的方法

权利要求书

1.一种多维度深层次检测APT攻击的方法，其特征在于，包括如下步骤：

步骤A：流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原；

所述流量采集模块能对旁路镜像流量中的网络应用层协议数据包进行捕获，并通过IP碎片重组、TCP重装、网络应用层协议解析，按常见的网络应用层协议的应用规范对网络应用层协议数据包进行解析还原，最终获取网络应用层协议数据包中包含的具体网络应用行为；

步骤B：针对APT攻击生命周期的各个攻击阶段中可能的攻击点，分别对步骤A获得的网络应用行为进行分析检测，记录攻击行为并进行告警；

步骤C：使用单个攻击点检测产生的攻击行为告警信息，进一步优化各攻击点的检测策略和机制；具体包括下述子步骤：

步骤C1：通过对所有攻击行为告警信息进行汇总分析，检测出在不同APT攻击阶段、不同的攻击目标IP、使用不同的协议和攻击方式，持续性地尝试攻击的攻击源IP，以此来生成IP信誉度信息；

步骤C2：通过对所有攻击行为告警信息进行汇总分析，检测出在相邻APT攻击阶段、既作为攻击发起方又作为攻击承受者的IP，以此来生成IP威胁程度信息；

步骤C3：把生成的IP信誉度信息和IP威胁程度信息，同步到步骤B中对APT攻击生命周期各个攻击阶段的攻击点的检测策略中；

步骤D：使用单个攻击点检测产生的攻击行为告警信息，通过攻击源IP、被攻击IP、各攻击点在APT攻击生命周期中的阶段位置，以及各告警信息的时间信息，关联生成APT攻击链路。

2.根据权利要求1所述的一种多维度深层次检测APT攻击的方法，其特征在于，所述的步骤B中针对APT攻击生命周期的各个攻击阶段中可能的攻击点的分析和检测分别进行分析检测，都能通过源IP、目的IP地址的可信度系数和受感染系数来调节检测阀值，实现不同的检测力度；

所述IP地址的可信度系数，由0至100范围内的数值来表示，能从IP信誉度信息中获取；所述IP信誉度信息是基于IP地址和该IP可信度系数为数值的二维信息库；

所述IP地址的受感染系数，由0至100范围内的数值来表示，能从IP威胁程度信息中获取；所述IP威胁程度信息，是基于IP地址和该IP受感染系数为数值的二维信息库；

步骤B具体包括下述子步骤：

步骤B1：把APT攻击生命周期划分为初步入侵、建立据点、木马回连、提权、内部勘测、横向扩散、窃取数据共7个攻击阶段；

步骤B2：对初步入侵攻击阶段，进行邮件社工攻击检测、恶意文件投递的检测；

步骤B3：对建立据点攻击阶段，进行恶意文件接收、Webshell植入的检测；

步骤B4：对木马回连攻击阶段，进行C&C IP/URL、DGA域名请求、利用Webshell的检测；

步骤B5：对提权攻击阶段，进行漏洞利用和密码破解的检测；

步骤B6：对内部勘测攻击阶段，进行内网端口扫描、内网通过SMB远程溢出攻击的检测；

步骤B7：对横向扩散攻击阶段，进行内网密码暴力破解、恶意文件投递的检测；

步骤B8：对窃取数据攻击阶段，进行隐蔽信道传输、隐写文件传输、利用80端口传输非法数据的检测。

3.根据权利要求1所述的一种多维度深层次检测APT攻击的方法，其特征在于，所述步骤C中，所述IP信誉度信息是基于IP地址和该IP可信度系数为数值的二维信息库；所述IP可信度系数，由0至100范围内的数值来表示，数值越大，说明该IP发起的访问可信度越高，即相对存在攻击行为的可能性越小；

所述IP威胁程度信息是基于IP地址和该IP受感染系数为数值的二维信息库；所述IP受感染系数，由0至100范围内的数值来表示，数值越大，说明该IP受感染的可能性越大，进一步的，访问该IP的来源IP为攻击者IP的可能性也相应较大，由该IP发起的对其他IP的访问，其他IP遭受横向扩散攻击的可能性也相应较大。

4.根据权利要求1所述的一种多维度深层次检测APT攻击的方法，其特征在于，所述步骤D中，APT攻击链路以IP为节点，IP间以确认成功的APT攻击生命周期的攻击点名称相连，IP节点间的连线上能汇总展现攻击方式、攻击次数、攻击起止时间、威胁程度并且能够点击钻取详细信息；

APT攻击链路能按照APT攻击生命周期的几个攻击阶段，自动勾勒出从初步入侵攻击阶段到窃取数据攻击阶段的IP节点路径图；如果没有找到上述涵盖APT攻击全生命周期的IP节点路径图，则能勾勒出最长路径的IP节点路径图，以便快速定位最迫切需要整治的节点设备。