本发明专利技术公开了一种面向云平台APT攻击的防护方法,其中,包括:依据APT攻击流程时序性,获取不同的阶段特征行为事件;依据该特征行为事件构建全网APT攻击行为模型;依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略。本发明专利技术面向云平台APT攻击的防护方法,能够实现全网网络安全策略的统一定义与管控。
【技术实现步骤摘要】
面向云平台APT攻击的防护方法
本专利技术涉及面向云平台的信息系统
,针对APT攻击的面向云平台APT攻击的防护方法。
技术介绍
随着云计算、大数据和虚拟化等新技术在大型信息系统的逐步应用。基于经济效益,社会作用和环境保护等多方面的考虑,工业界和学术界一直致力于打造一个更高效,更环保的云平台。SDN架构中集中的控制层机制为各安全机制的自动化、联动、特别是跨厂商设备的联动,提供了新的机遇。虽然目前SDN还存在许多技术问题没有解决,但已有大量云计算中心、运营商及相关厂家已进行SDN的相关实践。因此,基于SDN的灵活的网络模式必然有着新的安全应用需求。
技术实现思路
本专利技术的目的在于提供一种面向云平台APT攻击的防护方法,用于解决上述现有技术的问题。本专利技术的一种面向云平台APT攻击的防护方法,其中,包括:依据APT攻击流程时序性,获取不同的阶段特征行为事件;依据该特征行为事件构建全网APT攻击行为模型;依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,依据APT攻击流程时序性,获取不同的阶段特征行为事件包括:边界防护设备数量、目标网络防护设备的数量、目标网络设备、目标网络存储设备数量以及目标网络应用系统数量;获取边界安全防护设备检测的报警数据;获取目标网络安全防护设备检测的报警数据;获取应用程序检测数据;获取网络流量监测数据;以及获取应用系统日志文件。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,依据APT攻击流程时序性,获取不同的阶段特征行为事件,包括:设边界防护设备数量p、目标网络防护设备的数量q、目标网络设备数量n、目标网络存储设备数量m、目标网络应用系统数量w;该边界安全防护设备检测的报警数据记为(v1,ti,dx),表示网络探测类异常事件v1在ti时刻发生在边界防护设备dx上,x取1至P之间的整数;该目标网络安全防护设备检测的报警数据记为(v2,ti,dy),表示网络探测类异常事件v2在ti时刻发生在目标网络安全防护设备dy上,y取1至q之间的整数;该应用程序检测数据:记为(v3,ti,dz),表示特权提取类异常事件v3在ti时刻发生在目标网络设备dz上,z取1至n之间的整数;该网络流量监测数据记为(v4,ti,dj),表示数据窃取类异常事件v4在ti时刻发生目标数据存储设备dj上,j取1至m之间的整数;该应用系统日志文件构建出傀儡用户a的异常应用行为序列i取1至w之间的整数;关注外网渗透事件v1建立p个数据采集点,关注目标网络探测事件v2建立q个数据采集点,关注用户提权事件v3建立n个数据采集点,关注数据回传事件v4建立m个数据采集点;将第i步攻击的每一个数据采集点与第i+1步攻击的每一个节点相连接,综合应用系统的异常行为序列,得到攻击路径图;得到的事件序列为:,其中表示目标网络中涉及傀儡用户a的应用攻击序列,按时间顺序排列的第i个事件。建立攻击序列库Va={Va(1),Va(2),...Va(s)}存储,作为该网络APT攻击行为模型,其中,s代表基于用户a的攻击总数。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,依据所有网络APT攻击行为模型建立防御策略库包括:依据已建立的网络APT攻击行为模型,通建立全局安全状态表,该全局安全状态表内存储有全局范围内的应用信息、用户信息、安全状态信息;通过GSC安全控制器定义、下发和维护更新该防御策略;针对特定APT攻击模型,形成一系列的最小化安全原子服务集,该最小化安全原子为一APT攻击模型的一种防御方法。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,该对APT攻击进行检测包括:建立序列库来描述当前行为,其序列库Va′={Va′(1),Va′(2),...,Va′(s)};将序列库Va和Va′转化成攻击行为模板矩阵和检测对象矩阵;采用矩阵相似度来衡量模板矩阵与检测对象矩阵之间的匹配程度;当模板矩阵与检测对象矩阵之间的匹配度大于预先设定的判决阈值时,就将矩阵标记为异常,并发出警报。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,还包括,首先将报警事件进行初步分析,进行流量清洗,同时,进行APT攻击检测,从而判定云平台系统是否遭受APT攻击。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,依据该特征行为事件构建所有网络APT攻击行为模型包括:在目标网络进行APT攻击的不同阶段生成的不同攻击事件,分析普通用户成为傀儡用户后,使用不同服务的行为,从而构建所有潜在攻击模式。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,还包括:确定APT的攻击流程。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,还包括:进行APT攻击特点分析。根据本专利技术的面向云平台APT攻击的防护方法的一实施例,其中,还包括:以矩阵相似度方法分析网络APT攻击行为模型与当前实际行为模型之间的相似性,对被测对象行为进行判断。本专利技术面向云平台APT攻击的防护方法,能够实现全网网络安全策略的统一定义与管控,依据APT攻击检测结果,对应用环境的安全进行感知,明确防护等级,并基于全局安全环境视图实现全网安全资源面向特定APT攻击的动态重组。实现安全策略自动化生成、解析和执行等,完成安全资源自适应调度和响应,既达到安全防护的需求,又减少因实施安全机制对网络性能和业务系统运行效率的影响。附图说明图1所示为面向云平台的APT攻击防御系统结构图;图2所示为本专利技术面向云平台APT攻击的防护方法流程图;图3所示为APT攻击流程图;图4所示为APT完整攻击时序图。具体实施方式为使本专利技术的目的、内容、和优点更加清楚,下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。图1所示为面向云平台的APT攻击防御系统结构图,如图1所示,防护系统由执行层、控制层和管理层三个关联层组成,三层协同工作,提供自适应的、集中管理的高效安全性。如图1所示,执行层主要由关键检测点和关键防护点构成,检测点主要包括用户行为日志资源、全网应用系统组成的应用资源以及安全网关及安全软件等安全资源组成。在关键防护点,依据安全域划分的原则,在确保业务能够正常开展的前提下,执行“最小权限”的安全原则,定义网络“最小单元”。每一个最小单元共享相同策略。在每个单元的边界引入执行点,进行相应的防护逻辑,实现模块化防护。如图1所示,控制层主要协调网络和安全基础架构,为整个架构带来最高程度的自适应性,通过分析、整理、关联检测点收集的威胁信息源,通过综合评估用户潜在的APT攻击模式,与攻击模式库进行比对,从而识别攻击源以及随后被控制的主机和损失的数据。进而采用SDN静态策略和动态安全策略两个层次的防护机制,确保恶意用户被及时检测、隔离,保证数据中心的核心数据库等关键资源的保密性,保证核心工控设备关键设施的可用性,以保护整个网络。如图1所示,管理层实现全网用户安全属性、网络资源安全属性以及全网环境安全的实时展示。管理层从控制层本文档来自技高网...
【技术保护点】
一种面向云平台APT攻击的防护方法,其特征在于,包括:依据APT攻击流程时序性,获取不同的阶段特征行为事件;依据该特征行为事件构建全网APT攻击行为模型;依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略。
【技术特征摘要】
1.一种面向云平台APT攻击的防护方法,其特征在于,包括:依据APT攻击流程时序性,获取不同的阶段特征行为事件;依据该特征行为事件构建全网APT攻击行为模型;依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略。2.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,依据APT攻击流程时序性,获取不同的阶段特征行为事件包括:边界防护设备数量、目标网络防护设备的数量、目标网络设备、目标网络存储设备数量以及目标网络应用系统数量;获取边界安全防护设备检测的报警数据;获取目标网络安全防护设备检测的报警数据;获取应用程序检测数据;获取网络流量监测数据;以及获取应用系统日志文件。3.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,依据APT攻击流程时序性,获取不同的阶段特征行为事件,包括:设边界防护设备数量p、目标网络防护设备的数量q、目标网络设备数量n、目标网络存储设备数量m、目标网络应用系统数量w;该边界安全防护设备检测的报警数据记为(v1,ti,dx),表示网络探测类异常事件v1在ti时刻发生在边界防护设备dx上,x取1至P之间的整数;该目标网络安全防护设备检测的报警数据记为(v2,ti,dy),表示网络探测类异常事件v2在ti时刻发生在目标网络安全防护设备dy上,y取1至q之间的整数;该应用程序检测数据:记为(v3,ti,dz),表示特权提取类异常事件v3在ti时刻发生在目标网络设备dz上,z取1至n之间的整数;该网络流量监测数据记为(v4,ti,dj),表示数据窃取类异常事件v4在ti时刻发生目标数据存储设备dj上,j取1至m之间的整数;该应用系统日志文件构建出傀儡用户a的异常应用行为序列i取1至w之间的整数;关注外网渗透事件v1建立p个数据采集点,关注目标网络探测事件v2建立q个数据采集点,关注用户提权事件v3建立n个数据采集点,关注数据回传事件v4建立m个数据采集点;将第i步攻击的每一个数据采集点与第i+1步攻击的每一个节点相连接,综合应用系统的异常行为序列,得到攻击路径图;得到的事件序列为:
【专利技术属性】
技术研发人员:谢梅,姚金利,曾颖明,海然,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。