一种基于威胁情报和流量特征的APT攻击检测方法技术

本发明专利技术公开了一种基于威胁情报和流量特征的APT攻击检测方法，包括以下步骤：A：获取原始攻击序列集合并进行标记；B：获取数据清洗后的攻击序列集合及对应的网络流量特征集合；C：利构造本地威胁情报库并获取每个原始流量的威胁情报特征；D：构建样本报文特征库并获取序列集合的报文特征；E：利用得到的网络流量特征集合、威胁情报特征和报文特征，对基于LSTM循环神经网络的多融合检测模型进行训练并得到训练后的多融合检测模型；F：利用训练后的多融合检测模型对未知流量序列进行APT攻击检测，确定是否存在APT攻击。本发明专利技术能够准确有效地对网络流量中可能存在的APT攻击行为进行检测，从而实现信息系统及网络的安全稳定。从而实现信息系统及网络的安全稳定。从而实现信息系统及网络的安全稳定。

【技术实现步骤摘要】
一种基于威胁情报和流量特征的APT攻击检测方法


[0001]本专利技术涉及互联网数据安全领域，尤其涉及一种基于威胁情报和流量特征的APT攻击检测方法。

技术介绍

[0002]APT攻击是一种复杂的高级持续威胁攻击，主要指针对重要企业、政府、科研院所等高价值目标的特定信息系统或网络执行的网络攻击。相比一般的网络攻击，APT攻击往往会造成非常严重的损害，包括重要信息窃取和关键基础设施被破坏等。
[0003]APT攻击多是利用先进的复合式攻击手段，经过策划对特定的目标进行长期持续性的网络攻击。APT攻击途径跟其他攻击方式相比更具有隐蔽性，具有检测难、持续时间长和攻击目标明确等特征。因此传统基于攻击特征的入侵检测和防御方法在检测和防御APT方面效果很不理想。随着深度学习技术的不断发展，目前越来越多的科研人员使用深度学习技术进行APT攻击的威胁检测与攻击重构。但由于APT攻击的复杂性、隐蔽性、针对性，攻击者往往采取各种行为规避系统的检测，因此传统的深度学习技术并没有达到很好的预期效果。
[0004]申请号为202210948265.9，申请日为2022年8月8日的中国专利技术专利《一种APT攻击识别方法、装置、电子设备及介质》，公开了一种APT攻击识别方法，包括：获取针对待检测对象的网络攻击相关信息；从网络攻击相关信息中提取APT攻击特征；根据APT攻击特征，通过特征检测、行为检测和机器学习分别进行多维度的威胁点检测，得到待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果；根据第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果，确定待检测对象的目标APT攻击识别结果。该申请能够将特征检测、行为检测、机器学习根据各个检测点的特点应用不同的检测方法，能够有效的提升检测效率，降低误报。但由于其在进行多维度的威胁点检测时，所提取的威胁特征维度较为有限，从而导致威胁特征识别效果不佳，影响到整体APT攻击识别效果。

技术实现思路

[0005]本专利技术的目的是提供一种基于威胁情报和流量特征的APT攻击检测方法，能够准确有效地对网络流量中可能存在的APT攻击行为进行检测，从而保障信息系统及网络的安全稳定。
[0006]本专利技术采用下述技术方案：
[0007]一种基于威胁情报和流量特征的APT攻击检测方法，依次包括以下步骤：
[0008]A：获取APT攻击的原始流量序列作为原始攻击序列集合D1，并根据网络请求的属性对原始攻击序列集合D1中每个原始流量分别进行标签设定，标记为攻击请求或正常请求；
[0009]B：提取原始攻击序列集合D1中原始流量的网络流量特征，并对原始流量数据进行
数据清洗，得到数据清洗后的攻击序列集合D2及对应的网络流量特征集合F；
[0010]C：利用现有APT攻击威胁情报库构造本地威胁情报库，并通过本地威胁情报库中威胁情报的IP地址、域名、情报源权威度、发布时间和更新时间，与攻击序列集合D2中的每个原始流量进行比较计算，获取每个原始流量的威胁情报特征T，威胁情报特征T包括情报源权威度特征T
confidence
、时间有效性特征T
time
、IP匹配特征T
IP
和域名匹配特征T
Domain
；
[0011]D：构建样本报文特征库，并通过样本报文特征库中APT攻击样本的请求域名值、请求IP地址、请求URL值和请求参数，与攻击序列集合D2中的每个原始流量进行比较计算，获取序列集合D2的报文特征P，报文特征P包括域名特征P
Domain
、IP特征P
IP
、URL特征P
URL
和请求参数特征P
Parameter
；
[0012]E：利用步骤B中得到的网络流量特征集合F、步骤C中得到的威胁情报特征T和步骤D中得到的报文特征P，使用基于LSTM循环神经网络的多融合检测模型进行训练，最终得到训练后的多融合检测模型；
[0013]F：利用训练后的多融合检测模型对未知流量序列进行APT攻击检测，确定是否存在APT攻击。
[0014]所述的步骤C包括以下具体步骤：
[0015]C1：收集整理威胁情报，构造本地威胁情报库；
[0016]C2：分别对攻击序列集合D2中的每个原始流量进行解包，获取原始流量d
i
中所有请求对应的域名和IP地址；
[0017]C3：对攻击序列集合D2中的每个原始流量，分别提取对应的威胁情报特征T；威胁情报特征T包括情报源权威度特征T
confidence
、时间有效性特征T
time
、IP匹配特征T
IP
和域名匹配特征T
Domain
。
[0018]所述的步骤C3中：对于情报源权威度T
confidence
，根据不同APT威胁情报的来源设置不同的情报源权威度T
confidence
；
[0019]对于时间有效性特征T
time
，设当前时间为t
now
，威胁情报最后更新时间为t
update
，则威胁情报数据的时间有效性特征其中，V为时间差阈值。
[0020]所述的步骤C3中，IP匹配特征T
IP
的提取过程如下：
[0021]c31
‑
1：根据威胁情报库，计算可能被攻击者作为控制端的IP地址段I；
[0022]设威胁情报库中第j条情报R
j
中的请求IP地址所对应的整数型为r
IP
，则可能被攻击者控制的IP地址段I＝{r
IP
+l
m
}，其中，l
m
为{
‑
m,
…
,m}的整数序列，m为预设值；
[0023]c31
‑
2：计算IP匹配特征T
IP
；
[0024]若原始流量d
i
的请求IP地址整数型q
IP
在威胁情报R
j
的控制端IP地址段I内，则原始流量d
i
的请求IP地址对应的IP匹配特征原始流量d
i
的IP匹配特征其中，j为威胁情报库中的情报数量。
[0025]所述的步骤C3中，域名匹配特征T
Domain
的提取过程如下：
[0026]c32
‑
1：分别提取每个原始流量d
i
中的域名有效字符串E，以及威胁情报库中每条APT威胁情报的域名有效字符串序列G
j
；
[0027]c32
‑
2：将域名有效字符串E，与威胁情报库中域名有效字符串序列G
j
中的字符串进行逐个比较，计算得到域名匹配特征T
D本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于威胁情报和流量特征的APT攻击检测方法，其特征在于，依次包括以下步骤：A：获取APT攻击的原始流量序列作为原始攻击序列集合D1，并根据网络请求的属性对原始攻击序列集合D1中每个原始流量分别进行标签设定，标记为攻击请求或正常请求；B：提取原始攻击序列集合D1中原始流量的网络流量特征，并对原始流量数据进行数据清洗，得到数据清洗后的攻击序列集合D2及对应的网络流量特征集合F；C：利用现有APT攻击威胁情报库构造本地威胁情报库，并通过本地威胁情报库中威胁情报的IP地址、域名、情报源权威度、发布时间和更新时间，与攻击序列集合D2中的每个原始流量进行比较计算，获取每个原始流量的威胁情报特征T，威胁情报特征T包括情报源权威度特征T
confidence
、时间有效性特征T
time
、IP匹配特征T
IP
和域名匹配特征T
Domain
；D：构建样本报文特征库，并通过样本报文特征库中APT攻击样本的请求域名值、请求IP地址、请求URL值和请求参数，与攻击序列集合D2中的每个原始流量进行比较计算，获取序列集合D2的报文特征P，报文特征P包括域名特征P
Domain
、IP特征P
IP
、URL特征P
URL
和请求参数特征P
Parameter
；E：利用步骤B中得到的网络流量特征集合F、步骤C中得到的威胁情报特征T和步骤D中得到的报文特征P，使用基于LSTM循环神经网络的多融合检测模型进行训练，最终得到训练后的多融合检测模型；F：利用训练后的多融合检测模型对未知流量序列进行APT攻击检测，确定是否存在APT攻击。2.根据权利要求1所述的基于威胁情报和流量特征的APT攻击检测方法，其特征在于，所述的步骤C包括以下具体步骤：C1：收集整理威胁情报，构造本地威胁情报库；C2：分别对攻击序列集合D2中的每个原始流量进行解包，获取原始流量d
i
中所有请求对应的域名和IP地址；C3：对攻击序列集合D2中的每个原始流量，分别提取对应的威胁情报特征T；威胁情报特征T包括情报源权威度特征T
confidence
、时间有效性特征T
time
、IP匹配特征T
IP
和域名匹配特征T
Domain
。3.根据权利要求2所述的基于威胁情报和流量特征的APT攻击检测方法，其特征在于，所述的步骤C3中：对于情报源权威度T
confidence
，根据不同APT威胁情报的来源设置不同的情报源权威度T
confidence
；对于时间有效性特征T
time
，设当前时间为t
now
，威胁情报最后更新时间为t
update
，则威胁情报数据的时间有效性特征其中，V为时间差阈值。4.根据权利要求2所述的基于威胁情报和流量特征的APT攻击检测方法，其特征在于，所述的步骤C3中，IP匹配特征T
IP
的提取过程如下：c31
‑
1：根据威胁情报库，计算可能被攻击者作为控制端的IP地址段I；设威胁情报库中第j条情报R
j
中的请求IP地址所对应的整数型为r
IP
，则可能被攻击者控制的IP地址段I＝{r
IP
+l
m
}，其中，l
m
为{
‑
m,
…
,m}的整数序列，m为预设值；
c31
‑
2：计算IP匹配特征T
IP
；若原始流量d
i
的请求IP地址整数型q
IP
在威胁情报R
j
的控制端IP地址段I内，则原始流量d
i
的请求IP地址对应的IP匹配特征原始流量d
i
的IP匹配特征其中，j为威胁情报库中的情报数量。5.根据权利要求2所述的基于威胁情报和流量特征的APT攻击检测方法，其特征在于，所述的步骤C3中，域名匹配特征T
Domain
的提取过程如下：c32
‑
1：分别提取每个原始流量d
i
中的域名有效字符串E，以及威胁情报库中每条APT威胁情报的域名有效字符串序列G
j
；c32
‑
2：将域名有效字符串E，与威胁情报库中域名有效字符串序列G
j
中的字符串进行逐个比较，计算得到域名匹配特征T
Domain
；具体方法如下：对于域名有效字符串E，以及威胁情报库中域名有效字符串序列G
j
中的某个字符串G，设g
len
为字符串G的长度，e
len
为域名有效字符串E的长度；Ar
g
是长度为g
len
的全0数组，用于记录字符串G的匹配记录；Ar
e
是长度为e
len
的全0数组，用于记录字符串E的匹配记录；min
len
代表匹配允许的最小长度，如果匹配长度小于min
len
则跳过；max
len
表示匹配过程中，从r开始的子串E
r
与比较字符串从s开始的子串G
s
的最长可能匹配，子串E
r
为有效字符串E的子串，子串G
s
为字符串G的子串；逐个遍历子串E
r
和G
s
的字符，获得当前定位情况下连续相似字符串的最大长度k
len
；按上述方法遍历所有子串，得到所有的连续相似最大长度集合K
len
，则两个字符串的相似度为：流量序列的域名匹配特征6.根据权利要求1所述的基于威胁情报和流量特征的APT攻击检测方法，其特征在于，所述的步骤D包括以下具体步骤：D1：收集APT攻击样本构建样本报文特征库，通过静态和/或动态分析提取样本报文特征库中每个APT攻击样本的网络请求特征，网络请求特征包括请求域名值、请求IP地址、请求URL值和请求参数；D2：分别对攻击序列集合D2中的每个原始流量进行解包，获取原始流量d
i
对应的请求报文，从请求报文中拆分出请求域名值d
Domain
、URL请求值d
URL
、请求IP值d
IP
、请求参数值d
Parameter
；D3：提取域名特征P
Domain
；对于原始流量d
i
的请求域名有效字符串U，报文特征库中域名有效字符串序列H
...

【专利技术属性】
技术研发人员：张良，杨秉杰，薛钰，赵巍，白文娟，刘岳，方坤，周锦，时辰，
申请(专利权)人：郑州信大先进技术研究院，
类型：发明
国别省市：