一种基于攻击技术识别的APT攻击路径推理方法

本发明属于网络安全，具体涉及一种基于攻击技术识别的apt攻击路径推理方法。

背景技术：

1、高级持久性威胁（apt，advanced persistent threat）是一种复杂的网络攻击策略，与传统攻击不同，apt是由攻击者使用广泛的攻击技术和工具发起的一类复杂攻击。apt攻击者首先破坏目标环境中的主机或服务器，然后通过横向移动扩大攻击范围，进行内部侦察和数据泄露。其针对特定的目标进行长期、持续性的渗透和攻击，构成了严重威胁。apt攻击之所以危险，不仅因为它们的技术复杂性和隐蔽性，还在于它们能够持续数月乃至数年而不被察觉，这导致传统的网络安全检测方法难以取得良好的抵御效果。

2、因此apt攻击路径推理这一前沿的安全分析技术被提出，apt攻击路径推理是在全过程追溯和理解apt攻击的方法，即从最初的侦察阶段到最终的数据外泄，以及后续的清理痕迹过程。通过分析网络日志、端点活动、流量模式和系统行为，来识别和连接攻击者在被攻击的目标网络中留下的线索，形成一条条逻辑连贯的攻击路径。通过识别apt攻击的早期迹象，如异常的网络访问模式或未授权的系统活动，apt攻击路径推理有助于组织提前预警，采取及时的防御措施，阻止攻击者进一步渗透网络；apt攻击路径推理能够帮助安全团队重构完整的攻击链，理解攻击者是如何逐步获得对网络的控制，以及哪些环节被利用。这对于修补安全漏洞、加固防御体系至关重要；apt攻击路径推理的结果可以转化为威胁情报与其他组织共享，共同提升整个社区的安全防护水平。

3、现有的apt攻击路径推理技术包括基于规则的推理，从已知的apt攻击案例、威胁情报中提取规则，根据模式匹配符合的数据进行推理，最后根据评估结果调整规则，增加新规则或删除无效规则，以提高系统的准确性和效率；基于深度学习和神经网络的方法，从网络流量日志以及系统日志中收集数据，进行数据的预处理以及特征工程，将数据划分为训练集、验证集以及测试集，通过构建模型学习poi（point of interest，兴趣点）事件的特征并训练，得到预测与分类，最后使用动态路径分析进行路径的推理；基于图论和网络分析的方法，通过将网络中的实体定义为图中的节点，以及实体间的交互定义为图中的边，并为每个节点和边添加属性，通过对图的分析以及异常检测对攻击路径进行分析和推理。

4、然而现有的apt攻击路径推理技术仍存在一定局限性，现有技术往往基于预定义的启发式规则进行路径推理，这些规则通常是根据已知的攻击模式和行为进行制定的，静态规则无法及时覆盖新型的攻击模式，如果需要动态更新并优化规则，则需要增加大量的人力成本；并且现有技术缺乏对总体战术链的考虑，基于启发式的apt攻击路径推理通常关注于特定的攻击阶段或行为，缺乏对整个apt战术链的全局考虑；此外采集的现实网络日志以及系统日志数据往往不够完整，存在数据缺失或错误的情况下，基于规则的apt攻击路径推理很大可能产生误判和漏判，并且合法用户的正常行为和攻击者的恶意行为界限有时是模糊不清的，在apt攻击者模仿正常活动的情况下，基于规则的方法难以区分模棱两可的行为。

技术实现思路

1、本发明的目的在于提供一种基于攻击技术识别的apt攻击路径推理方法，推理准确性高，所得到的apt攻击路径更加完整。

2、为实现上述目的，本发明所采取的技术方案为：

3、一种基于攻击技术识别的apt攻击路径推理方法，所述基于攻击技术识别的apt攻击路径推理方法，包括：

4、基于att&ck知识库构建攻击技术知识库，所述攻击技术知识库中包含若干个攻击技术；

5、获取apt攻击威胁情报文档集，匹配攻击技术知识库和每一篇apt攻击威胁情报文档，挖掘出对应的攻击技术序列模式，得到攻击技术序列模式集；

6、采集系统内核事件数据，从系统内核事件数据中提取报警事件列表，根据报警事件列表构建溯源图，基于报警事件列表中的每个报警事件从溯源图中提取溯源子图，所述报警事件列表即为待确定apt攻击路径的系统内核事件数据；

7、基于溯源子图中每个节点的属性在攻击技术知识库中进行技术匹配，并根据技术匹配结果设置每个报警事件对应的攻击技术；

8、基于攻击技术序列模式集构建攻击技术序列模式匹配树；

9、将设置攻击技术后的报警事件与所述攻击技术序列模式匹配树进行模式匹配，并在模式匹配后输出apt攻击路径。

10、以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

11、作为优选，所述攻击技术知识库中的攻击技术为，其中为第个攻击技术，为第个攻击技术的编号，为第个攻击技术的名称，为第个攻击技术对应的ioc列表。

12、作为优选，所述获取apt攻击威胁情报文档集，匹配攻击技术知识库和每一篇apt攻击威胁情报文档，挖掘出对应的攻击技术序列模式，得到攻击技术序列模式集，包括：

13、识别一篇apt攻击威胁情报文档中的攻击技术，提取所识别出的并且同时存在于攻击技术知识库中的攻击技术；

14、将所提取的攻击技术按照在apt攻击威胁情报文档中出现的先后顺序进行排序，得到攻击技术列表；

15、基于apt攻击威胁情报文档集中的所有apt攻击威胁情报文档得到攻击技术列表集；

16、采用序列模式挖掘算法从攻击技术列表集中挖掘出攻击技术序列模式，组合所有攻击技术序列模式得到攻击技术序列模式集。

17、作为优选，所述序列模式挖掘算法的条件设置如下：

18、攻击技术序列模式在原攻击技术列表中是连续无间隔的；

19、攻击技术序列模式在攻击技术列表集中的出现次数不能少于阈值；

20、过滤具有包含关系的两个攻击技术序列模式中较短的攻击技术序列模式。

21、作为优选，所述基于报警事件列表中的每个报警事件从溯源图中提取溯源子图，包括：

22、对于一个报警事件，首先根据报警事件中源节点的进程名和进程编号，在报警事件列表中确定源节点所指向的目标节点；然后在溯源图中检索目标节点对应的所有源节点；最后采集每个源节点的3跳内的所有邻居节点，基于所有源节点的采集结构构成一个溯源子图。

23、作为优选，所述基于溯源子图中每个节点的属性在攻击技术知识库中进行技术匹配，并根据技术匹配结果设置每个报警事件对应的攻击技术，包括：

24、将溯源子图中包含的所有节点的属性分别与攻击技术知识库中的ioc进行一一匹配，将匹配成功的ioc的个数记为；

25、如果，则将溯源子图对应的报警事件从报警事件列表中移除；如果，则将匹配成功的ioc对应的攻击技术设置为报警事件的攻击技术；如果，则将匹配成功的ioc对应的攻击技术的众数设置为报警事件的攻击技术。

26、作为优选，所述基于攻击技术序列模式集构建攻击技术序列模式匹配树，包括：

27、创建一个根节点初始化攻击技术序列模式匹配树；

28、对攻击技术序列模式集中的每个攻击技术序列模式，在当前的攻击技术序列模式匹配树中进行搜索，如果攻击技术序列模式的任何前缀都无法匹配攻击技术序列模式匹配树中除根节点外的任何分枝，则将攻击技术序列模式作为新的分枝插入到根节点下；如果攻击技术序列模式存在前缀能够匹配攻击技术序列模式匹配树中的分枝，则将攻击技术序列模式除掉该前缀的部分插入到该条分枝的末尾。

29、作为优选，所述将设置攻击技术后的报警事件与所述攻击技术序列模式匹配树进行模式匹配，并根据模式匹配结果确定攻击路径，包括：

30、取报警事件列表中的第一个报警事件作为当前报警事件，初始化搜索节点为攻击技术序列模式匹配树中的根节点；

31、在搜索节点的所有子节点中搜索当前报警事件对应的攻击技术；如果搜索不到，则删除报警事件列表中的当前报警事件，并按序取下一个报警事件作为当前报警事件重新开始搜索；反之，标记当前搜索成功的攻击技术，并更新搜索节点为当前搜索成功的攻击技术在攻击技术序列模式匹配树中搜索到的节点；

32、按序取报警事件列表中的下一个报警事件作为当前报警事件，并重新开始搜索，直至报警事件列表中的所有报警事件都完成搜索，输出标记的攻击技术序列作为模式匹配结果，并取报警事件列表中剩余的报警事件按照时间顺序形成apt攻击路径。

33、本发明提供的一种基于攻击技术识别的apt攻击路径推理方法，与现有技术相比，具有以下有益效果：

34、（1）通过分析大量的apt攻击威胁情报而建立一个可定期自动更新的攻击技术序列模式集，便于应对不断更新的apt攻击策略，通过挖掘攻击技术序列模式对报警事件进行关联分析，可过滤掉大量的误报事件，为apt攻击路径推理工作减少了负担，有效降低推理耗时。（2）基于攻击技术识别推理攻击路径，将分散的报警事件串联为一条路径，作为一个完整的攻击链可帮助安全管理人员快速还原攻击场景，提高apt攻击抵御工作的效率，并且提高了基于规则的推理的准确性以及apt攻击路径的还原度。