本公開涉及APT攻擊告警方法和APT攻擊告警裝置。APT攻擊告警方法包括：獲取多個業(yè)務(wù)行為的數(shù)據(jù)，其中數(shù)據(jù)包括各業(yè)務(wù)行為的屬性信息；將多個業(yè)務(wù)行為中各業(yè)務(wù)行為的屬性信息與預定正常業(yè)務(wù)行為屬性信息進行對比，以確定各業(yè)務(wù)行為是正常業(yè)務(wù)行為或者異常業(yè)務(wù)行為；在多個業(yè)務(wù)行為中有至少一個異常業(yè)務(wù)行為的情況中，為各個異常業(yè)務(wù)行為建立異常業(yè)務(wù)行為數(shù)據(jù)鏈，異常業(yè)務(wù)行為數(shù)據(jù)鏈包括與該異常業(yè)務(wù)行為相關(guān)聯(lián)的業(yè)務(wù)行為序列；將每個異常業(yè)務(wù)行為數(shù)據(jù)鏈分別與預定APT攻擊判斷規(guī)則進行匹配，針對匹配度高于閾值的異常業(yè)務(wù)行為數(shù)據(jù)鏈發(fā)出APT攻擊告警。

技術(shù)領(lǐng)域

本公開涉及信息安全業(yè)務(wù)技術(shù)領(lǐng)域，尤其涉及一種APT攻擊告警方法和APT攻擊告警裝置。

背景技術(shù)

高級持續(xù)性威脅(APT)攻擊是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為。這種攻擊行為往往經(jīng)過精心經(jīng)策劃，針對特定對象、長期地、有計劃性、有組織性地竊取數(shù)據(jù)，并且具備高度的隱蔽性，傳統(tǒng)安全防御體系難以有效偵測。

傳統(tǒng)地，針對APT攻擊進行告警的方法主要有兩種，一種是基于特征庫的檢測方法，另一種是基于動態(tài)分析模型的方法。前一種方法依賴于樣本和特征庫，雖然檢測的準確率高，但面日益更新的攻擊技術(shù)，對多樣的攻擊方式和變種，其檢測的范圍受到明顯的限制，大量的APT攻擊都無法通過這種方法檢測出，僅能檢測已知的APT攻擊，無法對未知的APT攻擊進行檢測。而后一種動態(tài)檢測方法，其過程相對較復雜，動態(tài)分析模型建立的難度較高。雖然可以使APT檢測范圍擴大，但是在海量數(shù)據(jù)里面尋找攻擊行為無疑是大海撈針，因此這種方法檢測的準確性較低。

發(fā)明內(nèi)容

根據(jù)本公開實施例的第一方面，提供一種APT攻擊告警方法，該方法包括：獲取多個業(yè)務(wù)行為的數(shù)據(jù)，其中數(shù)據(jù)包括各業(yè)務(wù)行為的屬性信息；將多個業(yè)務(wù)行為中各業(yè)務(wù)行為的屬性信息與預定正常業(yè)務(wù)行為屬性信息進行對比，以確定各業(yè)務(wù)行為是正常業(yè)務(wù)行為或者異常業(yè)務(wù)行為；在多個業(yè)務(wù)行為中有至少一個異常業(yè)務(wù)行為的情況中，為各個異常業(yè)務(wù)行為建立異常業(yè)務(wù)行為數(shù)據(jù)鏈，異常業(yè)務(wù)行為數(shù)據(jù)鏈包括與該異常業(yè)務(wù)行為相關(guān)聯(lián)的業(yè)務(wù)行為序列；將每個異常業(yè)務(wù)行為數(shù)據(jù)鏈分別與預定APT攻擊判斷規(guī)則進行匹配，針對匹配度高于閾值的異常業(yè)務(wù)行為數(shù)據(jù)鏈發(fā)出APT攻擊告警。

根據(jù)本公開實施例的第二方面，提供一種APT攻擊告警裝置，該裝置包括：獲取單元，用于獲取多個業(yè)務(wù)行為的數(shù)據(jù)，其中數(shù)據(jù)包括各業(yè)務(wù)行為的屬性信息；確定單元，用于將多個業(yè)務(wù)行為中各業(yè)務(wù)行為的屬性信息與預定正常業(yè)務(wù)行為屬性信息進行對比，以確定各業(yè)務(wù)行為是正常業(yè)務(wù)行為或者異常業(yè)務(wù)行為；建立單元，用于在多個業(yè)務(wù)行為中有至少一個異常業(yè)務(wù)行為的情況中為各個異常業(yè)務(wù)行為建立異常業(yè)務(wù)行為數(shù)據(jù)鏈，異常業(yè)務(wù)行為數(shù)據(jù)鏈包括與該異常業(yè)務(wù)行為相關(guān)聯(lián)的業(yè)務(wù)行為序列；以及判斷單元，將每個異常業(yè)務(wù)行為數(shù)據(jù)鏈分別與預定APT攻擊判斷規(guī)則進行匹配，針對匹配度高于閾值的異常業(yè)務(wù)行為數(shù)據(jù)鏈發(fā)出APT攻擊告警。

根據(jù)本公開實施例的第三方面，提供一種APT攻擊告警裝置，該裝置包括：處理器；用于存儲處理器可執(zhí)行指令的存儲器；其中，處理器被配置為獲取多個業(yè)務(wù)行為的數(shù)據(jù)，其中數(shù)據(jù)包括各業(yè)務(wù)行為的屬性信息；將多個業(yè)務(wù)行為中各業(yè)務(wù)行為的屬性信息與預定正常業(yè)務(wù)行為屬性信息進行對比，以確定各業(yè)務(wù)行為是正常業(yè)務(wù)行為或者異常業(yè)務(wù)行為；在多個業(yè)務(wù)行為中有至少一個異常業(yè)務(wù)行為的情況中，為各個異常業(yè)務(wù)行為建立異常業(yè)務(wù)行為數(shù)據(jù)鏈，異常業(yè)務(wù)行為數(shù)據(jù)鏈包括與該異常業(yè)務(wù)行為相關(guān)聯(lián)的業(yè)務(wù)行為序列；將每個異常業(yè)務(wù)行為數(shù)據(jù)鏈分別與預定APT攻擊判斷規(guī)則進行匹配，針對匹配度高于閾值的異常業(yè)務(wù)行為數(shù)據(jù)鏈發(fā)出APT攻擊告警。

根據(jù)本公開的APT攻擊告警方法和裝置，在對APT攻擊進行告警的過程中，可以覆蓋所有基于業(yè)務(wù)的行為，有較廣的檢測范圍。此外，對APT攻擊的判斷是針對異常業(yè)務(wù)行為數(shù)據(jù)鏈而非單個異常業(yè)務(wù)行為，可以保證較高的準確率。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本公開的實施例，并與說明書一起用于解釋本公開的原理。在附圖中：