[发明专利]一种多维度深层次检测APT攻击的方法

说明书

本发明涉及APT攻击检测领域，旨在提供一种多维度深层次检测APT攻击的方法。该种多维度深层次检测APT攻击的方法包括步骤：对常见的网络应用层协议数据包做流量采集、解析还原；对获得的网络应用行为进行分析检测，记录攻击行为并进行告警；进一步优化各攻击点的检测策略和机制；关联生成APT攻击链路。本发明对APT攻击生命周期的各个阶段中可能的攻击点，从多个维度进行深层次的分析检测，并且某一攻击阶段中发现的攻击线索用来进一步作为其他攻击阶段的检测依据，各攻击阶段的检测结论用来进一步关联，形成确定性更高的攻击证据。

技术领域

本发明是关于APT攻击检测领域，特别涉及一种多维度深层次检测APT攻击的方法。

背景技术

APT(Advanced Persistent Threat)攻击是一种针对特定目标，有组织的、精心策划的一系列隐蔽和持续的攻击过程。APT攻击经常使用恶意软件对系统漏洞进行利用，并使用外部C&C服务器对攻击的特定目标进行持续监控和数据窃取，也正因为APT攻击都是基于特定攻击目标，在精心策划后展开的，且可进一步通过远控，结合人工的技能更针对性地执行攻击过程，整个过程长期潜伏难以察觉，所以攻击一旦成功，对攻击目标会造成非常大的威胁。

APT攻击的生命周期一般分为几个攻击阶段：

1)初步入侵：利用邮件进行社工攻击或鱼叉式网络钓鱼、恶意文件投递；在网站中植入恶意文件进行水坑攻击等；

2)建立据点：在被入侵主机上植入远端管理工具(RAT：remote administrationtool)，创建网络后门或隧道以便非法访问；

3)木马回连：RAT回连C&C服务器，更新攻击工具，并可远控被入侵主机；

4)提权：通过漏洞利用或密码破解进行提权，完全控制入侵主机；

5)内部勘测：通过扫描等手段收集网络架构、资产凭证等信息；

6)横向扩散：通过内部勘测获取的密码凭证、或者密码暴力破解或者漏洞利用等手段对其他服务器、工作站进一步实现控制；

7)窃取数据：对窃取到的数据进行非法外送。

APT攻击在确定攻击目标后，会对攻击目标的现有基础设施的薄弱环节、已有的防御措施做大量侦查工作，并精心策划各个攻击步骤，对已有的防御措施会设法绕过，使用0day漏洞来设计恶意文件，在攻击过程中会设法隐藏和潜伏，以达到最终窃取数据的目标。

传统的防护机制和产品，更多的是基于APT攻击生命周期中的几个攻击手段做单点检测，所检测的攻击点和攻击层面均较为单一，且各攻击点的检测策略之间不能互动及自我优化，不利于发现潜伏的APT攻击，无法勾勒出APT攻击链路，也很容易被精心策划的APT攻击所绕过，所以需要对APT攻击生命周期的各个阶段中可能的攻击点，从多个维度进行深层次的分析检测，并且某一攻击阶段中发现的攻击线索可以进一步作为其他攻击阶段的检测依据，各攻击阶段的检测结论还可以进一步关联，形成确定性更高的攻击证据，以更高效地发现APT攻击。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能针对APT攻击生命周期中的各个攻击阶段，从多个维度进行深层次的分析检测的方法。为解决上述技术问题，本发明的解决方案是：

提供一种多维度深层次检测APT攻击的方法，包括如下步骤：

步骤A：流量采集模块对常见的网络应用层协议数据包(HTTP、SMTP、POP3、IMAP、FTP、SMB、DNS等)做流量采集、解析还原；