本發明公開了一種高級持續威脅攻擊識別方法，所述APT攻擊包括第一階段、第二階段和第三階段；高級持續威脅攻擊識別方法包括：檢測攻擊事件，記錄檢測到的攻擊事件，根據所述攻擊事件的特征進行APT攻擊階段分類記錄，所述記錄中包括第三階段的攻擊事件時，將所述第三階段的攻擊事件與其被攻擊對象所遭受的第一階段和第二階段的攻擊事件進行關聯，在所關聯到的攻擊事件具有外部來源時，確定為APT攻擊事件。本發明還公開了一種高級持續威脅攻擊識別裝置。

技術領域

本發明涉及網絡安全防御技術，尤其涉及一種高級持續威脅攻擊識別的方法及裝置。

背景技術

面對日益嚴峻的網絡安全形勢，如何持續提升對網絡攻擊的防御能力，以及能夠及時發現并迅速有效處理網絡攻擊，是各組織、企業IT部門關注的核心問題。隨著虛擬化和云計算技術的發展，大型數據中心虛擬化程度越來越高，網絡邊界變得日益模糊。與此同時，高級持續威脅(Advanced Persistent Threat，APT)攻擊成為大眾關注的焦點，APT攻擊還被稱作“針對特定目標”的攻擊，是一種有組織、有特定目標、持續時間極長的新型攻擊；APT攻擊利用各種先進的攻擊手段和社會工程學方法，為被攻擊對象編寫特定的攻擊程序；此外，APT攻擊具有持續性，APT攻擊者不斷嘗試各種攻擊手段，并在滲透到網絡內部后長期蟄伏，不斷收集各種信息，直到收集到重要情報加密后通過隱蔽通道進行持續性外發，因此，APT攻擊周期可長達數年；更加危險的是，這些新型的攻擊和威脅主要針對國家重要的基礎設施和單位進行。

目前，廣泛使用的安全防護手段是按照最為常用的防護、檢測、響應、恢復模型(Protection，Detection，Reaction，Recovery，PDRR)，通過在網絡邊界對特定網段及服務建立攻擊監控體系，實時檢測出大部分攻擊，并采取相應的防護手段，如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等；現有技術中，主流的網絡安全防護檢測體系為入侵防護系統(Intrusion Prevention System，IPS)。

IPS深入網絡數據內部，查找IPS熟悉的攻擊代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載、分析；IPS能夠主動防御已知攻擊，實時阻斷 各種黑客攻擊，如緩沖區溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問、蠕蟲病毒、木馬后門、間諜軟件等。

但是，現有網絡安全防護檢測體系對攻擊行為的發現和判斷基于已知的安全漏洞和缺陷、已知的木馬行為和特征，對于采用未知或變形的安全漏洞和缺陷、位置或變形的木馬行為和特征、未知的攻擊行為、未知的加密內容的APT攻擊卻難以實現安全防護檢測。

發明內容

為解決現有存在的技術問題，本發明實施例主要提供一種高級持續威脅攻擊識別方法及裝置，能夠實現對APT攻擊的安全防護檢測。

本發明實施例的技術方案是這樣實現的：

一種高級持續威脅攻擊識別方法，所述高級持續威脅APT攻擊包括第一階段、第二階段和第三階段，所述方法包括：檢測攻擊事件；記錄檢測到的攻擊事件，根據所述攻擊事件的特征進行APT攻擊階段分類記錄；所述記錄中包括第三階段的攻擊事件時，將所述第三階段的攻擊事件與其被攻擊對象所遭受的第一階段和第二階段的攻擊事件進行關聯，在所關聯到的攻擊事件具有外部來源時，確定為APT攻擊事件。

優選地，該方法還包括：將所述第三階段的攻擊事件與其被攻擊對象所遭受的第一階段和第二階段的攻擊事件進行關聯，在所關聯到的攻擊事件具有內部來源時，將所關聯到的攻擊事件與其第一攻擊者所遭受的第一階段、第二階段和第三階段的攻擊事件進行關聯，在所關聯到的第一攻擊者所遭受的攻擊事件具有外部來源時，確定為APT攻擊事件。