本發明實施例一種利用訪問關系檢測高級持續性威脅攻擊的方法、裝置、計算機設備及可讀存儲介質，其中方法包括：獲取業務資產，并根據業務資產確定業務訪問關系的業務訪問策略的類型，其中業務訪問策略的類型包括業務必須訪問策略和業務非必須訪問策略；根據業務資產對業務訪問關系進行梳理，生成網絡訪問控制列表；若業務訪問關系中的業務訪問策略為業務非必訪問策略，則將業務訪問策略定義為拒絕；檢測服務器流量，將服務器流量與網絡訪問控制列表進行匹配，將業務訪問策略為拒絕的服務器流量確定為高級持續性威脅，并進行告警。從組織自身的業務特性出發，從路徑上遏制高級持續性威脅攻擊。提升安全管理工作的效率以及提升安全運維的效果。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種利用訪問關系檢測高級持續性威脅攻擊的方法、裝置、計算機設備及可讀存儲介質。

背景技術

目前，一個完整的APT(Advanced Persistent Threat，高級持續性威脅)攻擊大致具備以下幾個階段：

情報收集階段：這一階段的目標不僅僅是收集針對預定目標IT環境的戰略信息，還要收集其組織結構的相關信息。收集的信息包羅萬象，從企業使用的業務應用程序和軟件到組織中存在的角色和關系應有盡有。入侵階段：借助情報收集階段獲得的信息，并輔以以往對公司環境攻擊積累的了解，威脅實施者能夠選擇并確定攻擊目標所要利用的漏洞。最終滲入公司網絡，攻破組織外圍防護之后需要確保受攻擊的主機和c&c服務器之間實現連續通信，威脅實施者利用相關技術偷偷保持c&c通信流量。橫向滲透階段：確信存在對受攻擊網絡的持續訪問后，攻擊實施者將在整個公司網絡中橫向移動，伺機尋找存儲敏感信息的重要主機。數據竊取階段：攻擊的最終目標是將目標組織外圍內部的信息傳輸至威脅實施者控制的位置。數據傳輸可以快速完成，也可以逐漸完成，在后面這種方式中，信息將進入暫存狀態，之后準備好實現隱蔽泄露。

APT攻擊作為一個長期的、隱蔽的、持續的攻擊行為，其防護方案也較為復雜，針對不同的階段，目前有不同的針對性防護手段：

階段一：情報收集多采用社會工程學，主要目標是人，可以看做是一般犯罪案件中的踩點。由于目標是人，因此提高組織人員的安全意識即可相應降低該階段的安全風險。

階段二：入侵方式多種多樣，可采用社會工程學或技術性入侵或者兩者結合的方式，比較常見的方式是通過釣魚郵件、即時通訊、社交網絡平臺等，誘使目標單擊鏈接或下載惡意軟件。最終，建立與目標之間的連接。當然，也可以直接利用目標的系統、應用漏洞或者0day來入侵。因此，此階段需要部署相應的技術防護手段進行防護，比如常見的防火墻、入侵防護系統、WEB(World Wide Web，萬維網)防護系統、甚至針對0day漏洞的專用防護設備等。

階段三：此階段需要在組織網絡的各個關鍵區域部署技術防護手段，以防止攻擊者在內網進行嗅探、入侵。常見的防火措施有部署防火墻、入侵防護系統、WEB防護系統、甚至針對0day漏洞的專用防護設備等。

階段四：此階段可考慮在存放重要\敏感文件的服務器上對文檔或磁盤進行加密，并阻止通過網絡進行傳遞，常見措施為部署數據防泄密軟件\硬件設備。

從以上針對APT攻擊的防護方案中可以看出，如果要有效降低APT攻擊的風險，需要在APT攻擊的各個階段投入大量的人力\資金資源。其中，對于階段一，人員安全意識的提高是一個持續的過程，需要大量的信息安全意識培訓，需要長期的、持續大量的人力資源的投入；對于階段二、階段三、階段四，由于需要部署較多的防護設備，此階段需要大量的資金投入；與此同時，合理、有效的利用以上設備需要維護人員具有非常高的技術水平，需要高端人力資源的投入；因此，由上可以看出，現有針對APT攻擊的技術防護方案的缺點在于需要大量的資源投入，尤其是資金方面，根據組織規模的不等可能需要幾十或幾百萬的投入，成本過高。

發明內容