WO2018177210A1 - 防御apt攻击 - Google Patents

Abstract

本申请提供防御高级持续性威胁APT攻击的方法和系统，该方法为：获取网络中的通信数据；对通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；将筛选出的每一威胁数据根据击杀链模型分别映射到对应的APT攻击阶段；根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。本申请通过将威胁数据映射到对应的APT攻击阶段，以及针对不同的APT攻击阶段采取相应的防御策略，使得APT攻击处理更有针对性，可以更为有效地检测和防御APT攻击。

Description

防御APT攻击

相关申请的交叉引用

本专利申请要求于2017年3月27日提交的、申请号为201710188038.X、发明名称为“一种防御APT攻击的方法和系统”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)通常是由专业的黑客组织、国家级黑客发动，对政府、能源、金融、企业等发动有针对性的攻击。APT攻击往往具有一个完整的、精心策划的攻击过程。

附图说明

图1是本申请实施例提供的方法流程图；

图2是本申请实施例提供的一种APTDS针对某可疑IP地址的行为轨迹分析示意图；

图3是本申请实施例提供的逻辑框图；

图4是本申请实施例提供的系统的硬件架构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

APT攻击的特点是：1)攻击目的越来越明确，攻击范围越来越专注，攻击领域从单纯的计算机网络扩展到工业控制系统，越来越针对大型企业和国家基础设施、关键设 备。2)攻击行为难以侦测。由于APT攻击普遍采用0day漏洞、新型木马及钓鱼手段等，基于特征的安全检测方法对此十分难以进行有效侦测。如Flame病毒兼具有蠕虫、后门、木马、僵尸网络、社会工程学等特点，其程序的代码量达65万行，是普通间谍软件的100倍。3)具有极强隐蔽性且长期持续。APT攻击在爆发之前能够很好的躲避防御设施的检测，潜伏期越来越长，搜集大量机密信息。基于其的隐蔽性，可能存在大量其他未被发现的威胁，正在严重地威胁着国家安全和公民权益。

基于APT攻击的特点，本申请实施例中提及了击杀链(Kill Chain)这个概念，击杀链可包括“发现-定位-跟踪-瞄准-攻击-评估”这一完整流程。从击杀链的角度可以将一次APT攻击过程划分为7个阶段：

阶段1：侦查目标(Reconnaissance)，利用社会工程学选定并了解目标网络，并使用扫描技术对目的地的脆弱性进行感知。

阶段2：制作工具(Weaponization)，主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。

阶段3：传送工具(Delivery)，输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站(例如，木马)、U盘等。

阶段4：触发工具(Exploitation)，利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。

阶段5：安装工具(Installation)，远程控制程序(木马、恶意插件等)的安装。

阶段6：建立连接(Command and Control)，与互联网控制服务器，例如控制木马的服务器，建立通信信道。

阶段7：执行攻击(Actions on Objectives)，执行所需要的攻击行为，例如偷取信息、篡改信息或者进行其它破坏活动。

但上述7个阶段并非每个阶段都能被探测到，比如制作工具阶段，网络上可能没有任何痕迹，所以无从发现。因此，本申请基于上述击杀链模型，将APT攻击过程重新划分为多个可被探测的APT攻击阶段，并将网络中出现的威胁归类到对应的可探测的ATP攻击阶段，针对归类到各个APT攻击阶段的威胁采取针对性的防御策略。

下面通过图1对本申请提供的方法进行描述。

参见图1，为本申请提供的方法流程图，该方法可应用于本申请示例提供的APT攻 击防御系统(APT Defense System，下文简称APTDS)。如图1所示，该方法可包括以下步骤：

步骤101：APTDS获取网络中的通信数据。

在本申请示例中，通信数据可以包括事件、流量、威胁情报和漏洞数据，进一步的，这里的事件可以包括安全事件、操作系统事件、数据库事件、应用事件和认证事件，这里的流量可以包括与APT攻击有关的原始流量以及用于记录网络访问通信行为的流量日志。

下面分别说明上述各类通信数据的采集过程。需要说明的是，可以是APTDS主动去各通信数据源上去获取通信数据，也可以是各通信数据源主动将新的通信数据发送给APTDS，本申请并不具体限定。

1)事件采集

事件可来自于具有安全检查功能的实体，比如FW(Firewall，防火墙)、IPS(Intrusion Prevention System，入侵防御系统)、操作系统(如Windows)、数据库、AAA(Authentication,Authorization and Accounting，认证、授权和计费)服务器、应用等，当上述实体观察到异常情况或者发现需要关注的事件时，便进行相应的记录。

比如，当FW或IPS判断某个源IP(Internet Protocol，网际协议)地址发动DDOS(Distributed Denial of Service，分布式拒绝服务)攻击时，则会将发起DDOS攻击的源IP地址、被攻击对象的IP地址等信息记录为一次安全事件。当AAA服务器检测到某个IP地址正在进行认证时则会将认证情况(如通过与否、是否有猜测密码的行为)记录在本地服务器中作为一次认证事件。当应用检测到威胁应用的行为时，如某个IP地址窃取、修改或删除了该应用的配置数据，则会记录一次应用事件。当数据库检测到威胁数据库的行为时，如权限提升、SQL(Structured Query Language，结构化查询语言)注入，则会记录一次数据库事件。

事件产生之后，上述具有安全检查功能的实体可以通过标准Syslog(一种功能为记录至系统记录的函数)将事件发送至APTDS；或者，上述具有安全检查功能的实体可以将事件记录在本地文件中，并由APTDS通过HTTP(HyperText Transfer Protocol，超文本传输协议)、FTP(File Transfer Protocol，文件传输协议)等协议获取；或者，也可以实现APTDS代理并将其安装在上述具有安全检查功能的实体中来获取事件，并使用APTDS代理和APTDS之间的私有协议(如基于UDP(User Datagram Protocol，用 户数据报协议)的私有协议)将该事件传送给APTDS。一种APTDS采集到的事件类型及相应的采集点和采集技术如表1所示：

表1

APTDS在获取到事件之后，对事件进行格式标准化处理，即将每条原始事件整理成APTDS内部的标准格式事件，然后写入本地数据库。

2)流量采集

流量采集一方面可包括采集与攻击有关的原始流量，作为攻击证据留存和备查；另一方面可包括采集用于记录用户网络访问通信行为的流量日志，以用于判断网络中是否存在异常，以及后续的数据分析。

其中，与攻击有关的原始流量的采集，可由发出安全事件的实体网络设备，将与某一条攻击有关的事件所对应的原始流量写入到文件中，然后将文件通过FTP上传给APTDS，APTDS接收到文件后保存到本地数据库，以备后用。

流量日志的采集，一般是由FW、IPS或交换机、路由器等网络设备，通过硬件插卡或者设备软件将处理过的流量记录在流量日志中，然后将流量日志发送给APTDS，流量日志常用的格式有NetFlow格式、NetStream格式等。APTDS接收到流量日志，对流量日志进行解析和格式标准化处理后写入本地数据库。

3)威胁情报采集

威胁情报中主要记录了具有威胁性的IP地址、域名、URL(Uniform Resource Locator，统一资源定位符)，以及事件证据、威胁处置建议等信息。APTDS可以通过STIX (Structured Threat Information eXpression，结构化威胁信息表达式)或TAXII(Trusted Automated eXchangeof Indicator Information)协议与威胁情报源交互，获得威胁情报数据并写入本地数据库。例如，威胁情报源可有微步在线、360安全云等。

APTDS利用威胁情报记录的IP地址、域名和URL，与网络内的事件进行关联，可以更为快速而精准的探知网络内是否存在威胁。

4)漏洞数据采集

在本申请示例中，考虑到APT攻击可是利用主机、Web、数据库的漏洞来攻陷目标网络，因此APTDS可以提前进行漏洞扫描来确定网络是否存在容易被APT攻击所利用的弱点，漏洞扫描内容包括主机、Web、数据库、网络设备上的漏洞以及主机中的非法程序，容易被APT攻击所利用的弱点可包括系统配置不完善、系统补丁更新不及时、存在弱口令、存在不应该安装的软件或者不应该出现的进程等。

APTDS可以作为漏洞扫描服务器实施漏洞扫描操作获取扫描结果，也可以通过漏洞扫描软件提供的对外接口获取漏洞扫描软件的扫描结果。APTDS获得扫描结果后可将其写入本地数据库。

步骤102：APTDS对通信数据进行关联分析，根据关联分析结果筛选出通信数据中的威胁数据。

关联分析可是一种数据融合技术，研究数据之间的相互关系，用于对多源数据进行联合、相关和组合，降低威胁数据的漏报率和误报率。

例如，通过威胁情报中记录的IP地址、域名和URL，可以从通信数据中筛选出涉及相同IP地址、相同域名或相同URL的事件和流量日志记录，标记为威胁数据。

又例如，通过关键词检索可以从流量日志中筛选出涉及敏感词汇的日志记录，再通过日志记录中记载的源IP地址、源端口等信息可以从通信数据中筛选出与之关联的事件，标记为威胁数据。

步骤103：APTDS将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，其中，APT攻击阶段可根据击杀链模型进行定义。

如前文所述，本申请示例中基于该击杀链模型，预先将APT攻击过程划分为多个可被探测的APT攻击阶段。对于筛选出的每一威胁数据，APTDS根据威胁数据的特征将其纳入对应的APT攻击阶段。

将APT攻击过程为多个APT攻击阶段可有很多种实现方式，这里简单举一种实现方式：

在一个实施例中，将APT攻击过程划分为以下5个阶段：

1)环境感知阶段，为检测网络中存在容易被攻击者利用的漏洞。

由于APT攻击可利用主机、Web、数据库的漏洞来攻陷目标网络，因此APTDS可以提前进行漏洞扫描，根据扫描得到的漏洞数据可确定网络中是否存在容易被攻击者利用的漏洞。如果威胁数据包括漏洞数据，则APTDS可以将威胁数据中的漏洞数据映射到环境感知阶段。

2)勘察及嗅探阶段，为攻击者探测被攻击对象存在漏洞。

由于攻击者可能会使用系统扫描、端口扫描、漏洞扫描、协议扫描等行为，来确认被攻击对象是否存在漏洞、是否有可能被攻击。因此APTDS通过筛选威胁数据包括的事件的事件类型(比如端口扫描、超量ping报文等)，将其中与内网扫描行为相关的事件映射到勘察及嗅探阶段。

3)定向攻击阶段，为攻击者对被攻击对象发动攻击。

攻击者对被攻击对象发动攻击时，可以通过一些手段企图登录到被攻击对象或者对被攻击对象实施DOS攻击等破坏活动，比如，主机爆破、Ping to Dealth、ICMP(Internet Control Message Protocol，Internet控制报文协议)泛洪等。这些攻击可以由FW发现并上报给APTDS，APTDS可以将威胁数据中包括的这些类型的事件映射到定向攻击阶段。

4)工具安装阶段，为攻击者利用被攻击对象的漏洞向被攻击对象植入攻击工具。

攻击者利用被攻击对象的漏洞植入攻击工具的行为，可以由IPS或WAF(Web Appllication Firewall，Web应用防火墙)设备发现并上报给APTDS，APTDS可以将威胁数据中涉及扩展脚本攻击、缓冲区溢出攻击、SQL注入攻击的事件映射到工具安装阶段。

5)可疑活动阶段，为攻击者控制被攻击对象获取网络中的数据或者进行其它破坏活动。

此阶段涉及的攻击可有蠕虫攻击、间谍软件攻击、非法数据传输等。蠕虫攻击、间谍软件攻击等可以由IPS发现并上报给APTDS，另外APTDS通过分析采集到的流量日志可以判断是否有非法数据传输，比如，内部的工资文件不允许传给国外网站，但是 APTDS审计到该工资文件被传输到国外某个IP地址，则APTDS可以认为这是一起非法数据传输事件。APTDS可以将威胁数据中涉及蠕虫攻击、间谍软件攻击、非法数据传输的事件映射到可疑活动阶段。

对威胁数据进行识别和APT攻击阶段映射后，APTDS可以将各APT攻击阶段映射到的威胁数据进行统计和界面呈现。例如，APTDS可以将一天分为设定的多个时间段，界面上的每个特定位置的圆点，表示在对应日期的对应时间段内出现了对应APT攻击阶段的威胁数据；圆点的面积越大，表明统计到的威胁数据的数量越多。

步骤104：针对每一威胁数据，APTDS根据与所述威胁数据映射到的所述APT攻击阶段对应的防御策略，对所述威胁数据有关的网络实体进行防御。

本申请示例中，针对预先划分好的多个APT攻击阶段，还分别定义了对应的防御策略。

例如，针对上述列举的将APT攻击过程划分为环境感知阶段、勘察及嗅探阶段、定向攻击阶段、工具安装阶段、可疑活动阶段等5个阶段的划分方式，可以在APTDS上预先定义如下防御策略：

1)如果有威胁数据映射到环境感知阶段，则APTDS可以根据该威胁数据确定存在漏洞的网络实体，并产生漏洞告警，提示用户对确定出的网络实体执行打补丁、消除不安全配置、杀毒等操作。

2)如果有威胁数据映射到勘察及嗅探阶段，则APTDS可以下发设定的ACL(Access Control List，访问控制列表)或安全策略给FW和IPS，以及将该威胁数据涉及的攻击者的IP地址加入威胁数据涉及的网络节点的黑名单。其中，所述网络节点包括网络中具有控制功能、鉴权功能、转发功能、路由功能、提供服务功能等功能的设备，例如交换机、路由器、数据库服务器、SDN控制器、认证服务器、Web服务器、Windows服务器、Linux服务器等。在一个实施例中，所述网络节点可以为控制节点。例如，当该威胁数据来自于外网，该控制节点可为FW，当该威胁数据来自于内网，该控制节点可为AAA服务器。其中，APTDS和FW、IPS之间的通信协议可以是Telnet、SSH或NetConf(网络配置协议)。APTDS可以通过REST(Representational State Transfer，表述性状态转移)API(Application Programming Interface,应用程序编程接口)配置AAA服务器。

3)如果有威胁数据映射到定向攻击阶段，则APTDS可以下发设定的ACL或安全策略给FW和IPS，以及加固AAA服务器和威胁数据涉及的服务器，以及将该威胁数 据涉及的攻击者的IP地址加入威胁数据涉及的控制节点的黑名单。其中，加固AAA服务器和威胁数据涉及的服务器的操作可以包括为服务器打补丁，端口关闭操作等。

4)如果有威胁数据映射到工具安装阶段，则APTDS可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和威胁数据涉及的服务器，下发WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入威胁数据涉及的控制节点的黑名单。其中，APTDS可以通过REST API配置WAF设备。

5)如果有威胁数据映射到可疑活动阶段，则APTDS可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP地址加入威胁数据涉及的控制节点的黑名单。

至此，完成图1所示的流程。

通过图1所示的流程可以看出，本申请示例收集了事件、流量、威胁情报和漏洞数据等多源数据，在数据采集上更为全面；通过数据联合分析筛选出威胁数据，并将威胁数据映射到对应的APT攻击阶段，以及针对不同的APT攻击阶段采取相应的防御策略，使得APT攻击处理更有针对性，可以更为有效地检测和防御APT攻击。

在本申请示例中，APTDS针对获得的网络中的通信数据，还可以进行以下一种或多种分析，以对APT攻击进行更为全面的刻画和呈现：

1)行为轨迹分析

针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，APTDS可以确定出该威胁数据涉及的可疑IP地址，然后在获取的所有通信数据中查询与该可疑IP地址关联的事件和流量日志，最后将查询到的事件和流量日志按照时间顺序呈现。

如此，可以将与该可疑IP地址相关的所有通信数据都筛选出并串联形成完整的APT攻击时间链。

请参见图2，图2为本例示出的一种APTDS针对某可疑IP地址的行为轨迹分析示意图。从图2可以看到，APTDS的行为轨迹分析可以将多个数据源、多种类型的事件或日志数据进行整合，并从可疑IP地址的视角呈现与其相关的所有事件和日志数据，其中可能包括在筛选威胁数据时未被筛选出的数据(如图2中的08:02:13的AAA认证成功事件和08:02:18的登陆10.153.89.82成功的事件)。

2)多维度分析

APTDS每天收集到的通信数据可能多达数十万条，用户可能没有时间去关注每条通信数据，于是APTDS可以从不同的维度对这些通信数据展开分析，以用于网络风险评估和产生安全告警，从而有利于用户全面感知网内安全情况和APT攻击状况。具体地，可以有以下几种维度：

一、事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件。

一方面，事件关系分析可以用于分析定向爆破、DDOS攻击、可疑提权行为等安全事件与其它类型事件之间的关系。例如，假设防火墙在t ₁时刻上报网络中存在DDOS攻击，APTDS通过正则表达式，在本地数据库中查询在t ₁时刻之后上报的、与该DDOS攻击的攻击目标IP地址相关的事件，如果APTDS查询到一操作系统事件，该操作系统事件用于上报某主机的CPU(Central Processing Unit，中央处理器)利用率过高，且该主机的IP地址与该DDOS攻击的目标攻击IP地址相同，则APTDS可以确认该DDOS攻击已经成功。

另一方面，事件关系分析还可以用于分析威胁情报数据与网内事件之间的关系。例如，只要APTDS发现网内出现与威胁情报源发布的恶意IP地址、恶意域名或恶意URL相关的事件，便立即产生安全告警。

二、APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行分析，例如，趋势分析、饼图分析。

APTDS可以确定待研究的APT攻击阶段，从本地数据库中抽取映射到该APT攻击阶段的历史威胁数据，抽取时可以抽取全部的历史威胁数据，也可以抽取设定时间段内的历史威胁数据。之后，APTDS可以从不同的研究角度对威胁数据进行组织和呈现，该研究角度可以由用户通过APTDS的接口配置。

例如，如果要研究定向攻击在未来某个时间的发生次数，则APTDS可以从本地数据库中抽取连续多天的映射到定向攻击阶段的威胁数据，通过已有的趋势分析手段如趋势线，得到与定向攻击阶段相关的威胁数据的增减变动方向和幅度，进而得到定向攻击在未来可能的发生次数。如果要研究定向攻击的来源，则APTDS可以基于抽取的与定向攻击阶段相关的威胁数据，将相关网段发起定向攻击次数的统计结果以饼图方式呈 现，从而提示用户对发动定向攻击次数较多的网段进行排查。

三、主机维度分析，用于对通信数据中的操作系统事件进行统计分析和趋势分析。

APTDS可以从本地数据库中抽取操作系统事件，并从不同的研究角度对操作系统事件进行组织和呈现。

例如，可以从事件级别(如警告级别、通知级别、错误级别等)的角度，或是从事件类型(如登陆操作系统、注销操作系统、增加账号、修改账号等)的角度，或是从操作系统类型(如Windows系统、Linux系统等)的角度，分别将抽取的通信数据进行归类，并可以基于归类结果绘制饼状图，得到不同角度下各类操作系统事件的百分比。

四、应用维度分析，用于对通信数据中的应用事件进行统计分析和趋势分析。

APTDS可以抽取网络内应用上报的应用事件，并从不同的研究角度对抽取的应用事件进行组织和呈现。

例如，可以抽取事件级别为错误级别或警告级别的应用事件，并从应用类型(如社交应用类、地图导航类、通话通讯类、网购支付类等)的角度，将抽取的应用事件进行归类和统计，得到哪种类型的应用最容易受到攻击，以提示用户加强对该类型应用的保护。

五、数据库维度分析，用于对通信数据中的数据库事件进行统计分析和趋势分析。

APTDS可以抽取网络内数据库上报的数据库事件，并从不同的研究角度对抽取的数据库事件进行组织和呈现。

例如，可以抽取事件级别为错误级别或警告级别的数据库事件，并从威胁类型(如权限滥用、权限提升、SQL注入、身份验证不足、备份数据暴露等)的角度，将抽取的数据库事件进行归类和统计，得到各数据库威胁类型下的数据库事件的发生次数，以提示用户哪种类型的威胁对数据库的影响最大。

以上对本申请提供的方法进行了描述。下面对本申请提供的系统进行描述。

参见图4，图4为本申请一些实施例提供的防御APT攻击的系统的硬件结构图。该防御APT攻击的系统40可包括处理器41以及机器可读存储介质42。其中，处理器41和机器可读存储介质42可经由系统总线43通信。并且，通过读取并执行机器可读存储介质42中存储的防御APT攻击的逻辑30对应的机器可执行指令，处理器41可执行上文所述的防御APT攻击的方法。

本文提到的机器可读存储介质42可以是任何电子、磁性、光学或其他物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，所述机器可读存储介质42可以包括如下至少一个种存储介质：易失存储器、非易失性存储器、其它类型存储介质。例如，可读存储介质可为RAM(Random Access Memory，随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、存储盘(如光盘、DVD等)。

参见图3，图3为本申请提供的一种防御APT攻击的系统的功能模块框图，可以包括以下单元：

数据获取单元301，用于获取网络中的通信数据。

数据关联单元302，用于对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据。

击杀链分析单元303，用于将筛选出的每一威胁数据根据击杀链模型分别映射到对应的APT攻击阶段。

防御部署单元304，用于根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

在一个实施例中，所述APT攻击阶段可以包括：环境感知阶段，为检测到网络中存在被攻击者利用的漏洞；勘察及嗅探阶段，为攻击者探测被攻击对象否存在漏洞；定向攻击阶段，为攻击者对被攻击对象发动攻击；工具安装阶段，为攻击者利用被攻击对象的漏洞向被攻击对象植入攻击工具；可疑活动阶段，为攻击者控制被攻击对象获取网络中的数据或者进行其它破坏活动。

在一个实施例中，所述通信数据可以包括如下至少一项：事件、流量、威胁情报和漏洞数据；所述事件可以包括如下至少一项：安全事件、操作系统事件、数据库事件、应用事件、认证事件；所述流量可以包括如下至少一项：与攻击有关的原始流量、用于记录网络访问通信行为的流量日志。

在一个实施例中，所述防御策略可以为：如果有威胁数据映射到环境感知阶段，则所述防御部署单元304可以根据该威胁数据确定存在漏洞的网络实体，并对确定出的网络实体执行如下至少一项操作：打补丁、消除不安全配置、杀毒的操作；如果有威胁数据映射到勘察及嗅探阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单；如果有威胁数据映射到定向攻击阶段，则所述防御部署单元304可以下 发设定的ACL或安全策略给FW和IPS，加固AAA服务器和所述威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单；如果有威胁数据映射到工具安装阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和所述威胁数据涉及的服务器，下发WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单；如果有威胁数据映射到可疑活动阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器及所述威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单。

在一个实施例中，所述系统还可以包括：

行为轨迹分析单元，用于针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，确定该威胁数据涉及的可疑IP地址；在所述通信数据中查询与该可疑IP地址关联的事件和流量日志；将查询到的事件和流量日志按照时间顺序呈现。

在一个实施例中，所述系统还可以包括：

多维度分析单元，用于执行以下至少一种分析，以用于网络风险评估和产生安全告警；

所述至少一种分析包括：

事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件；

APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行趋势分析和饼图分析；

主机维度分析，用于对所述通信数据中的操作系统事件进行统计分析和趋势分析；

应用维度分析，用于对所述通信数据中的应用事件进行统计分析和趋势分析；

数据库维度分析，用于对所述通信数据中的数据库事件进行统计分析和趋势分析。

至此，完成图3所示系统的描述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明实施例所提供的方法和装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (15)

1. 一种防御高级持续性威胁APT攻击的方法，其特征在于，包括：

   获取网络中的通信数据；

   对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；

   将筛选出的每一威胁数据根据击杀链模型分别映射到对应的APT攻击阶段；

   根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。
2. 如权利要求1所述的方法，其特征在于，所述APT攻击阶段包括：

   环境感知阶段，为检测到网络中存在被攻击者利用的漏洞；

   勘察及嗅探阶段，为所述攻击者探测被攻击对象存在漏洞；

   定向攻击阶段，为所述攻击者对所述被攻击对象发动攻击；

   工具安装阶段，为所述攻击者利用所述被攻击对象的漏洞向所述被攻击对象植入攻击工具；

   可疑活动阶段，为所述攻击者控制所述被攻击对象获取网络中的数据或者进行破坏活动。
3. 如权利要求1所述的方法，其特征在于，所述通信数据包括如下至少一项：事件、流量、威胁情报和漏洞数据；

   所述事件包括如下至少一项：安全事件、操作系统事件、数据库事件、应用事件、认证事件；

   所述流量包括如下至少一项：与攻击有关的原始流量、用于记录网络访问通信行为的流量日志。
4. 如权利要求2所述的方法，其特征在于，所述防御策略包括：

   如果有威胁数据映射到环境感知阶段，则根据该威胁数据确定存在漏洞的网络实体，并对确定出的网络实体执行如下操作中的至少一项：打补丁、消除不安全配置、杀毒的操作；

   如果有威胁数据映射到勘察及嗅探阶段，则下发设定的访问控制列表ACL或安全策略给防火墙FW和入侵防御系统IPS，以及将该威胁数据涉及的攻击者的网际协议IP地址加入所述威胁数据涉及的控制节点的黑名单；

   如果有威胁数据映射到定向攻击阶段，则下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和所述威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP 地址加入所述威胁数据涉及的控制节点的黑名单；

   如果有威胁数据映射到工具安装阶段，则下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和所述威胁数据涉及的服务器，下发网站应用防火墙WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单；

   如果有威胁数据映射到可疑活动阶段，则下发设定的ACL或安全策略给FW和IPS，加固AAA服务器及所述威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和所述威胁数据涉及的控制节点的黑名单。
5. 如权利要求2所述的方法，其特征在于，所述方法还包括：

   针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，

   确定该威胁数据涉及的可疑IP地址；

   在所述通信数据中查询与该可疑IP地址关联的事件和流量日志；

   将查询到的事件和流量日志按照时间顺序呈现。
6. 如权利要求3所述的方法，其特征在于，所述方法还包括：

   执行以下至少一种分析，以用于网络风险评估和产生安全告警：

   事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件；

   APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行分析；

   主机维度分析，用于对所述通信数据中的操作系统事件进行统计分析和趋势分析；

   应用维度分析，用于对所述通信数据中的应用事件进行统计分析和趋势分析；

   数据库维度分析，用于对所述通信数据中的数据库事件进行统计分析和趋势分析。
7. 如权利要求4所述的方法，其中，所述控制节点包括如下中的至少一种：FW、AAA服务器、Windows服务器、Linux服务器。
8. 一种防御高级持续性威胁APT攻击的系统，其特征在于，包括：

   处理器和机器可读存储介质，

   所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理 器被所述机器可执行指令促使：

   获取网络中的通信数据；

   对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；

   将筛选出的每一威胁数据根据击杀链模型分别映射到对应的APT攻击阶段；

   根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。
9. 如权利要求8所述的系统，其特征在于，所述APT攻击阶段包括：

   环境感知阶段，为检测到网络中存在被攻击者利用的漏洞；

   勘察及嗅探阶段，为所述攻击者探测被攻击对象存在漏洞；

   定向攻击阶段，为所述攻击者对所述被攻击对象发动攻击；

   工具安装阶段，为所述攻击者利用所述被攻击对象的漏洞向所述被攻击对象植入攻击工具；

   可疑活动阶段，为所述攻击者控制所述被攻击对象获取网络中的数据或者进行破坏活动。
10. 如权利要求8所述的系统，其特征在于，所述通信数据如下至少一项：包括事件、流量、威胁情报和漏洞数据；

    所述事件包括如下至少一项：安全事件、操作系统事件、数据库事件、应用事件、认证事件；

    所述流量包括如下至少一项：与攻击有关的原始流量、用于记录网络访问通信行为的流量日志。
11. 如权利要求9所述的系统，其特征在于，所述防御策略包括：

    如果有威胁数据映射到环境感知阶段，则所述防御部署单元根据该威胁数据确定存在漏洞的网络实体，并对确定出的网络实体执行如下操作中的至少一项：打补丁、消除不安全配置、杀毒的操作；

    如果有威胁数据映射到勘察及嗅探阶段，则所述防御部署单元下发设定的访问控制列表ACL或安全策略给防火墙FW和入侵防御系统IPS，以及将该威胁数据涉及的攻击者的网际协议IP地址加入所述威胁数据涉及的控制节点的黑名单；

    如果有威胁数据映射到定向攻击阶段，则所述防御部署单元下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和所述威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单；

    如果有威胁数据映射到工具安装阶段，则所述防御部署单元下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和所述威胁数据涉及的服务器，下发网站应用防火墙WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单；

    如果有威胁数据映射到可疑活动阶段，则所述防御部署单元下发设定的ACL或安全策略给FW和IPS，加固AAA服务器及所述威胁数据涉及的服务器，以及将该威胁数据涉及的攻击者的IP地址加入所述威胁数据涉及的控制节点的黑名单。
12. 如权利要求9所述的系统，其特征在于，所述处理器进一步被所述机器可执行指令促使：

    针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，确定该威胁数据涉及的可疑IP地址；在所述通信数据中查询与该可疑IP地址关联的事件和流量日志；将查询到的事件和流量日志按照时间顺序呈现。
13. 如权利要求10所述的系统，其特征在于，所述处理器进一步被所述机器可执行指令促使：

    执行以下至少一种分析，以用于网络风险评估和产生安全告警；

    事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件；

    APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行趋势分析和饼图分析；

    主机维度分析，用于对所述通信数据中的操作系统事件进行统计分析和趋势分析；

    应用维度分析，用于对所述通信数据中的应用事件进行统计分析和趋势分析；

    数据库维度分析，用于对所述通信数据中的数据库事件进行统计分析和趋势分析。
14. 如权利要求11所述的系统，其中，所述控制节点包括如下中的至少一种：FW、AAA服务器、Windows服务器、Linux服务器。
15. 一种机器可读存储介质，存储有机器可执行指令，在被防御高级持续性威胁APT攻击的系统的处理器调用和执行时，所述机器可执行指令促使所述处理器执行：

    获取网络中的通信数据；

    对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数 据；

    将筛选出的每一威胁数据根据击杀链模型分别映射到对应的APT攻击阶段；

    根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

Images