本發明公開了一種基于APT攻擊意圖的操作權限控制方法，包括步驟：一、獲取網絡及系統日志，識別APT攻擊行為；二、針對APT攻擊行為進行攻擊檢查，獲取APT攻擊內容并發出報警信息；三、根據獲取到的APT攻擊內容，對其攻擊的目標文件、目標操作和目標操作權限，建立攻擊意圖邏輯關系，并根據攻擊意圖邏輯關系和報警信息預測下一步的攻擊意圖；四、基于知識圖譜技術生成針對攻擊意圖的操作指導知識圖譜，顯示在操作界面上，管理員根據操作指導知識圖譜進行操作，避開APT攻擊威脅。本發明具有更高的可控性，對攻擊意圖的識別更精準，不會導致人工工作量過高,降低了工作的難度，實現了操作的安全性和便利性。

技術領域

本發明屬于計算機領域中的網絡安全技術領域，具體涉及一種基于APT攻擊意圖的操作權限控制方法。

背景技術

APT(Advanced Persistent Threat，高級持續性威脅)通常是由專業的黑客組織發動有針對性的攻擊，APT攻擊往往具有一個完整的、精心策劃的攻擊過程。

APT攻擊的特點是：攻擊目的越來越明確，攻擊范圍越來越專注，攻擊領域廣，攻擊行為難以偵測，具有極強隱蔽性且長期持續，嚴重地威脅著國家安全和公民權益。

APT攻擊的最大原因在于，具有系統權限的矛盾性，當程序具有較高的操作權限時，容易進行攻擊行為，而當程序權限少時，用戶操作會變得困難，需要大量的進行認證。因此，如果能夠識別攻擊意圖，針對性的在攻擊概率小的操作上，進行權限的放開控制，在攻擊概率大的操作進行嚴格操作，就能夠更好的控制攻擊行為，這個不斷變化權限的操作很多時候是很復雜的，需要針對性的獲得具體的攻擊方向，以及給出權限控制的修改意見。

鑒于APT攻擊的特殊性，傳統的網絡安全防御機制難以在和APT的對抗中起到作用，因此，挖掘出攻擊行為，進一步識別出攻擊意圖，預測關聯到下一步可能會攻擊的目標，要針對性的加強防護。

發明內容

本發明所要解決的技術問題在于針對上述現有技術中的不足，提供一種基于APT攻擊意圖的操作權限控制方法，本發明具有更高的可控性，對攻擊意圖的識別更精準，不會導致人工工作量過高,降低了工作的難度，實現了操作的安全性和便利性。

為解決上述技術問題，本發明采用的技術方案是：一種基于APT攻擊意圖的操作權限控制方法，該方法包括以下步驟：

步驟一、獲取網絡及系統日志，識別APT攻擊行為；

步驟二、針對APT攻擊行為，包括攻擊的目標文件、目標操作和目標操作權限，進行攻擊檢查，獲取APT攻擊內容并發出報警信息；

步驟三、根據獲取到的APT攻擊內容，對其攻擊的目標文件、目標操作和目標操作權限，建立攻擊意圖邏輯關系，并根據攻擊意圖邏輯關系和報警信息預測下一步的攻擊意圖；

步驟四、根據預測出來的下一步的攻擊意圖，生成攻擊意圖描述，基于知識圖譜技術生成針對攻擊意圖的操作指導知識圖譜，顯示在操作界面上，管理員根據操作指導知識圖譜進行操作，避開APT攻擊威脅。

上述的一種基于APT攻擊意圖的操作權限控制方法，步驟一中所述獲取網絡及系統日志，識別APT攻擊行為的具體過程為：

步驟1A1、收集網絡及系統日志，通過網絡日志獲取網絡鏈接日志記錄，通過dns日志從網絡及系統日志中獲得相關信息數據的域名進而查詢其源IP地址，針對具體某一IP地址的訪問，dns日志解析其源IP地址，包括訪問參數、訪問內容和dns服務器的返回數據；

步驟1A2、基于DBSCAN聚類分析的日志挖掘，找出異常操作的日志，識別為APT攻擊行為。

上述的一種基于APT攻擊意圖的操作權限控制方法，步驟1A2中所述基于DBSCAN聚類分析的日志挖掘，找出異常操作的日志的具體過程為：