本申请实施例提供一种获取攻击的APT组织的方法以及应用产品,所述方法包括:获取与攻击技术链对应的待匹配TTP序列,其中,所述待匹配TTP序列用于表征待识别攻击在各阶段采用的技术;将所述待匹配TTP序列与TTP序列库中的各TTP序列匹配,得到所述待识别攻击所属的目标ATP组织,其中,所述TTP序列库用于存储与各ATP组织分别对应TTP序列,所述TTP序列用于表征相应ATP组织在各阶段采用的技术。本申请的一些实施例通过对技术链和现有的攻击模式库进行转换得到相应的TTP序列之后再作相似度分析,可以关联到具体的攻击场景,并且根据已经出现过的攻击模式做实时更新,协助安全团队及时采取应对措施。取应对措施。取应对措施。
【技术实现步骤摘要】
一种获取攻击的APT组织的方法及应用产品
[0001]本申请涉及安全领域,具体而言本申请实施例涉及一种获取攻击的APT组织的方法以及应用产品。
技术介绍
[0002]随着计算机网络的不断发展,计算机网络实施犯罪事件也屡见不鲜。APT攻击(Advanced Persistent Threat,高级持续性威胁),是一种高度复杂和组织化的网络攻击方式,攻击者往往在一个很长的时间段内潜伏并反复对目标进行攻击,并通过使用工具和技术,适应目标安全系统的防御措施,尽可能长时间地保持对系统的访问权限,通过保持高水平的交互来获取信息,实现渗透、控制、收集并传输目标数据等攻击目的。
[0003]APT组织是APT攻击的发起者,是一类网络攻击组织,通常会选择特定的目标进行攻击,这些目标通常是政府机构、军事机构、大型企业和关键基础设施,对于企业和国家的威胁已经成为信息安全防护中越来越突出的问题。APT组织通常使用高度个性化的攻击方式、攻击技术和工具,通过收集分析攻击的特征、来源、行为等多个方面,可以确定攻击者的APT组织。
[0004]相关技术方案需要预先获取恶意样本,而一方面,恶意样本文件获取困难,攻击方也会采取措施以防止恶意文件被检测到,比如加密、压缩、分割等技术;另一方面,恶意样本库需要不断更新和维护,因为恶意文件正在不断变化,研究人员需要花费大量的时间和资源来维护恶意样本库,以确保样本库包含最新的样本文件和病毒特征。
技术实现思路
[0005]本申请实施例的目的在于提供一种获取攻击的APT组织的方法以及应用产品,本申请的一些实施例通过对技术链和现有的攻击模式库进行转换得到相应的TTP序列之后再作相似度分析,可以关联到具体的攻击场景,并且根据已经出现过的攻击模式做实时更新,协助安全团队及时采取应对措施。
[0006]第一方面,本申请实施例提供一种获取攻击的APT组织的方法,所述方法包括:获取与攻击技术链对应的待匹配TTP序列,其中,所述待匹配TTP序列用于表征待识别攻击在各阶段采用的技术;将所述待匹配TTP序列与TTP序列库中的各TTP序列匹配,得到所述待识别攻击所属的目标ATP组织,其中,所述TTP序列库用于存储与各ATP组织分别对应TTP序列,所述TTP序列用于表征相应ATP组织在各阶段采用的技术。
[0007]本申请的一些实施例通过将待匹配TTP序列与各ATP组织对应的TTP序列分别匹配得到所述的ATP组织,由于攻击技术链容易获取因此提升技术方案的通用性。
[0008]在一些实施例中,所述攻击技术链的数据来源包括:网络流量数据和/或系统日志。
[0009]本申请的一些实施例通过网络安全设备或者安全监控软件来获取攻击技术链,获取方式简单提升技术方案的通用性。
[0010]在一些实施例中,所述待匹配TTP序列是通过标准TTP序列获取的,所述标准TTP序列包括按照攻击阶段的先后顺序排序的多个阶段以及每个阶段采用的所有技术,所述待匹配TTP序列与所述标准TTP序列包括的各技术的排序相同,所述待匹配TTP序列采用数字表征是否采用所述标准TTP序列中的对应技术。
[0011]本申请的一些实施例通过标准TTP序列得到待匹配的TTP序列,进而可以根据待匹配TTP序列量化被匹配者两者之间的相似性,并最终可以识别出待识别攻击所属的ATP组织。
[0012]在一些实施例中,所述获取与攻击技术链对应的待匹配TTP序列,包括:构建标准TTP序列,其中,所述标准TTP序列是根据攻击阶段的先后顺序将与各阶段分别对应的所有技术进行逐一排序得到的技术列表序列;逐一判定所述技术列表序列中的各技术是否被所述攻击技术链所采用,并按照判定顺序记录判定结果,得到所述待匹配TTP序列。
[0013]本申请的实施例通过将攻击技术链中的各技术与标准TTP序列中的各技术逐一进行匹配,得到待识别攻击采用的技术和未采用的技术的列表,即得到待匹配TTP序列,进而可以量化待匹配TTP序列与TTP序列库中各序列的相似度,并最终识别出待识别攻击所属的ATP组织。
[0014]在一些实施例中,所述按照判定顺序记录判定结果,得到所述待匹配TTP序列,包括:采用一个二进制位的数字记录与各技术对应的判定结果,得到一个二进制序列,其中,所述待匹配TTP序列为所述二进制序列。
[0015]在一些实施例中,在所述将所述待匹配TTP序列与TTP序列库中的各TTP序列匹配,得到所述待识别攻击所属的目标ATP组织之前,所述方法还包括:构建标准TTP序列,其中,所述标准TTP序列是根据攻击阶段的先后顺序将与各阶段分别对应的所有技术进行逐一排序得到的技术列表序列;以任意一个ATP组织在各阶段的所有技术为比较对象,逐一判定所述技术列表序列中的各技术是否被所述任意一个ATP组织采用,并按照判定顺序记录判定结果,得到与所述任意一个ATP组织对应的TTP序列。
[0016]本申请的一些实施例通过对相关技术的攻击模式库(该库中存储了每个ATP组织在各阶段采用的技术)依据标准TTP序列进行处理,得到TTP数据库中的各条TTP序列,可以在识别攻击所属的ATP组织时将各TTP序列与待匹配TTP序列进行相似度计算。
[0017]在一些实施例中,所述按照判定顺序记录判定结果,包括:使用技术标记将攻击中使用的一系列技术填充到与所述技术列表序列对应的空白表格中,得到相应的TTP序列,其中,使用的技术对应的技术标记为“1”,未使用技术对应的技术标记为“0”。
[0018]本申请的一些实施例通过技术标记得到一个二进制序列,进而可以根据该标准格式的二进制序列进行待识别攻击与TTP序列库中各序列的相似性计算。
[0019]在一些实施例中,所述构建标准TTP序列,包括:基于ATT&CK框架构建所述标准TTP序列。
[0020]在一些实施例中,所述将所述待匹配TTP序列与TTP序列库中的各TTP序列匹配,得到所述待识别攻击所属的目标ATP组织,包括:采用欧式距离计算所述待匹配TTP序列与TTP序列库中的各TTP序列的相似度指标计算结果,得到匹配分值;根据所述匹配分值得到所述目标ATP组织。
[0021]本申请的一些实施例通过欧式距离计算待匹配TTP序列与TTP序列库中各TTP序列
的相似性值,提升计算结果的准确性和客观性。
[0022]在一些实施例中,所述根据所述匹配分值得到所述目标ATP组织,包括:将与高于设置阈值的匹配分值对应的ATP组织作为候选ATP组织;从所述候选ATP组织中选择一个作为所述目标ATP组织。
[0023]本申请的一些实施例对于需要快速识别APT组织,则使用绝对分值,将高于设置阈值的ATP组织座位候选ATP组织,提升数据处理的速度。
[0024]在一些实施例中,所述根据所述匹配分值得到所述目标ATP组织,包括:将所有匹配分值从高到低排序,返回与前N名排序对应的APT组织,作为候选ATP组织;从所述候选ATP组织中选择一个作为所述目标ATP组织。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种获取攻击的APT组织的方法,其特征在于,所述方法包括:获取与攻击技术链对应的待匹配TTP序列,其中,所述待匹配TTP序列用于表征待识别攻击在各阶段采用的技术,所述攻击技术链用于列举待识别攻击在各阶段采用的技术;将所述待匹配TTP序列与TTP序列库中的各TTP序列匹配,得到所述待识别攻击所属的目标ATP组织,其中,所述TTP序列库用于存储与各ATP组织分别对应TTP序列,所述TTP序列用于表征相应ATP组织在各阶段采用的技术。2.如权利要求1所述的方法,其特征在于,所述攻击技术链的数据来源包括:网络流量数据和/或系统日志。3.如权利要求1所述的方法,其特征在于,所述待匹配TTP序列是通过标准TTP序列获取的,所述标准TTP序列包括按照攻击阶段的先后顺序排序的多个阶段以及每个阶段采用的所有技术,所述待匹配TTP序列与所述标准TTP序列包括的各技术的排序相同,所述待匹配TTP序列采用数字表征是否采用所述标准TTP序列中的对应技术。4.如权利要求1所述的方法,其特征在于,所述获取与攻击技术链对应的待匹配TTP序列,包括:构建标准TTP序列,其中,所述标准TTP序列是根据攻击阶段的先后顺序将与各阶段分别对应的所有技术进行逐一排序得到的技术列表序列;逐一判定所述技术列表序列中的各技术是否被所述攻击技术链所采用,并按照判定顺序记录判定结果,得到所述待匹配TTP序列。5.如权利要求4所述的方法,其特征在于,所述按照判定顺序记录判定结果,得到所述待匹配TTP序列,包括:采用一个二进制位的数字记录与各技术对应的判定结果,得到一个二进制序列,其中,所述待匹配TTP序列为所述二进制序列。6.如权利要求1所述的方法,其特征在于,在所述将所述待匹配TTP序列与TTP序列库中的各TTP序列匹配,得到所述待识别攻击所属的目标ATP组织之前,所述方法还包括:构建标准TTP序列,其中,所述标准TTP序列是根据攻击阶段的先后顺序将与各阶段分别对应的所有技术进行逐一排序得到的技术列表序列;以任意一个ATP组织在各阶段的所有技术为比较对象,逐一判定所述技术列表序列中的各技术是否被所述任意一个ATP组织采用,并按照判定顺序记录判定结果,得到与所述任意一个ATP组织对应的TTP序列。7.如权利要求4或6所述的方法,其特征在于,所述按照判定顺序记录判定结果,包括:使用技术标记将攻击中使...
【专利技术属性】
技术研发人员:甘欣雨,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。