一種apt事件攻擊組織同源性分析方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種apt事件攻擊組織同源性分析方法及裝置��。
【背景技術(shù)】
[0002]APTCAdvanced Persistent Threat)--------高級(jí)持續(xù)性威脅��,是利用先進(jìn)的攻擊手法對(duì)特定的目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊的攻擊形式。
[0003]鑒于APT攻擊事件的日趨嚴(yán)峻��,APT攻擊長(zhǎng)期有計(jì)劃有組織性的針對(duì)特定對(duì)象收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息�,并且廣泛的使用Oday漏洞、隱蔽通訊�、簽名仿冒、社會(huì)工程學(xué)等攻擊手段進(jìn)行入侵���,對(duì)信息系統(tǒng)的安全性構(gòu)成了極大威脅���。因此,對(duì)于有效發(fā)現(xiàn)APT攻擊及進(jìn)一步發(fā)現(xiàn)其攻擊組織成為為目前網(wǎng)絡(luò)安全備受關(guān)注的焦點(diǎn)�����。
[0004]而在APT攻擊中����,以郵件為攻擊前導(dǎo)的事件所占的比例遠(yuǎn)遠(yuǎn)大于其他方式,并且對(duì)于一個(gè)攻擊組織來(lái)說(shuō)���,為了成本和利益的平衡���,其攻擊組織針對(duì)不同的特定目標(biāo)發(fā)動(dòng)攻擊可能會(huì)延續(xù)使用相同或相似的攻擊手法�����、感染方式或者惡意代碼等����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明所述的技術(shù)方案通過(guò)分析郵件��,提取郵件的各項(xiàng)元數(shù)據(jù)�����,并分析元數(shù)據(jù)后獲取行為特征信息�,將所述行為特征信息與預(yù)設(shè)條件對(duì)比,并基于對(duì)比結(jié)果設(shè)定權(quán)值�,基于權(quán)值和綜合判斷該事件是否為可疑apt事件,并進(jìn)一步判斷apt事件之間是否為同一攻擊組織所為���。本發(fā)明所述技術(shù)方案能夠有效檢測(cè)apt事件���,并且對(duì)這些apt攻擊事件之間進(jìn)行同源性分析��,以便有效識(shí)別后續(xù)出現(xiàn)的apt事件的攻擊組織���。
[0006]本發(fā)明采用如下方法來(lái)實(shí)現(xiàn):一種apt事件攻擊組織同源性分析方法���,包括:
獲取待分析郵件并提取元數(shù)據(jù)�����,包括:發(fā)件人信息�����、收件人信息����、主題���、正文或者附件�����; 分析各項(xiàng)元數(shù)據(jù)并獲取相關(guān)行為特征信息���;
將各項(xiàng)行為特征信息與預(yù)設(shè)條件對(duì)比,并基于對(duì)比結(jié)果設(shè)定權(quán)值��;
計(jì)算權(quán)值和,當(dāng)所述權(quán)值和高于預(yù)設(shè)閾值�����,則認(rèn)為該事件為疑似apt事件�,并存入apt事件行為庫(kù);
利用聚類算法分析apt事件行為庫(kù)中的各apt事件��,判定相似度高于預(yù)設(shè)值的apt事件為同源攻擊組織所為���。
[0007]進(jìn)一步地�����,所述分析各項(xiàng)元數(shù)據(jù)并獲取相關(guān)行為特征信息�����,包括:
分析發(fā)件人信息獲得發(fā)件人IP地址和/或發(fā)件人郵箱地址�����;
分析收件人信息中收件人地址域獲得收件人歸屬公司和/或所在國(guó)家����;
分析主題獲取發(fā)件人使用的語(yǔ)種及編碼方式����;
分析正文獲取所包含的URL;或者,
分析附件并基于附件的文件類型獲取時(shí)間戳和/或編輯信息��。
[0008]進(jìn)一步地�,所述分析附件并基于附件的文件類型獲取時(shí)間戳和/或編輯信息,具體為:
分析附件識(shí)別文件類型��,并獲取附件的文件擴(kuò)展名�����;
若所述文件類型為PE文件����,則獲得PE文件的時(shí)間戳;若所述文件類型為文檔文件,則獲取編輯彳g息�����。
[0009]進(jìn)一步地����,所述將各項(xiàng)行為特征信息與預(yù)設(shè)條件對(duì)比���,并基于對(duì)比結(jié)果設(shè)定權(quán)值,具體為:
將所述發(fā)件人IP地址和/或發(fā)件人郵箱地址與已公開(kāi)apt事件的發(fā)件人對(duì)比���;
將所述收件人歸屬公司與主題����、正文和/或附件內(nèi)容對(duì)比�����,判斷是否合理��;
將所述收件人所在國(guó)家與所述發(fā)件人使用的語(yǔ)種���、編碼方式對(duì)比����,判斷是否合理���;
將正文所包含的URL與已知惡意URL對(duì)比���;
將文檔文件與已知溢出型漏洞或者后門(mén)文件對(duì)比�����;或者,
將附件的文件類型與文件擴(kuò)展名對(duì)比��,判斷是否符合��;
分別為以上一項(xiàng)或者多項(xiàng)對(duì)比結(jié)果設(shè)定權(quán)值��。
[00? O]進(jìn)一步地�,還包括:對(duì)附件進(jìn)行動(dòng)態(tài)分析,將C2C的URL與已公開(kāi)apt事件使用過(guò)的URL對(duì)比�����。
[0011]本發(fā)明可以采用如下裝置來(lái)實(shí)現(xiàn):一種apt事件攻擊組織同源性分析裝置���,包括:
元數(shù)據(jù)提取模塊����,用于獲取待分析郵件并提取元數(shù)據(jù)���,包括:發(fā)件人信息��、收件人信息����、
主題、正文或者附件�����;
行為特征信息獲取模塊�,用于分析各項(xiàng)元數(shù)據(jù)并獲取相關(guān)行為特征信息;
對(duì)比模塊�,用于將各項(xiàng)行為特征信息與預(yù)設(shè)條件對(duì)比,并基于對(duì)比結(jié)果設(shè)定權(quán)值�����;apt事件判定模塊���,用于計(jì)算權(quán)值和�,當(dāng)所述權(quán)值和高于預(yù)設(shè)閾值�����,則認(rèn)為該事件為疑似apt事件,并存入apt事件行為庫(kù)�;
同源分析模塊,用于利用聚類算法分析apt事件行為庫(kù)中的各apt事件���,判定相似度高于預(yù)設(shè)值的apt事件為同源攻擊組織所為�。
[0012]進(jìn)一步地����,所述行為特征信息獲取模塊�,具體用于:
分析發(fā)件人信息獲得發(fā)件人IP地址和/或發(fā)件人郵箱地址;
分析收件人信息中收件人地址域獲得收件人歸屬公司和/或所在國(guó)家��;
分析主題獲取發(fā)件人使用的語(yǔ)種及編碼方式��;
分析正文獲取所包含的URL;或者�����,
分析附件并基于附件的文件類型獲取時(shí)間戳和/或編輯信息�。
[0013]進(jìn)一步地,所述分析附件并基于附件的文件類型獲取時(shí)間戳和/或編輯信息����,具體為:
分析附件識(shí)別文件類型���,并獲取附件的文件擴(kuò)展名;
若所述文件類型為PE文件�����,則獲得PE文件的時(shí)間戳;若所述文件類型為文檔文件�,則獲取編輯彳g息。
[0014]進(jìn)一步地�����,所述對(duì)比模塊����,具體用于:
將所述發(fā)件人IP地址和/或發(fā)件人郵箱地址與已公開(kāi)apt事件的發(fā)件人對(duì)比;
將所述收件人歸屬公司與主題��、正文和/或附件內(nèi)容對(duì)比��,判斷是否合理���; 將所述收件人所在國(guó)家與所述發(fā)件人使用的語(yǔ)種��、編碼方式對(duì)比����,判斷是否合理;
將正文所包含的URL與已知惡意URL對(duì)比��;
將文檔文件與已知溢出型漏洞或者后門(mén)文件對(duì)比����;或者,
將附件的文件類型與文件擴(kuò)展名對(duì)比�����,判斷是否符合��;
分別為以上一項(xiàng)或者多項(xiàng)對(duì)比結(jié)果設(shè)定權(quán)值����。
[0015]進(jìn)一步地�����,還包括:對(duì)附件進(jìn)行動(dòng)態(tài)分析�����,將C2C的URL與已公開(kāi)apt事件使用過(guò)的URL對(duì)比。
[0016]綜上�����,本發(fā)明給出一種apt事件攻擊組織同源性分析方法及裝置���,由于郵件通常會(huì)成為黑客組織進(jìn)行apt事件攻擊的常用手段�,本發(fā)明所述技術(shù)方案通過(guò)獲取郵件并提取多項(xiàng)元數(shù)據(jù)����,并分別分析元數(shù)據(jù)進(jìn)而獲取行為特征信息,將其中至少一項(xiàng)行為特征信息與預(yù)設(shè)條件對(duì)比��,對(duì)于對(duì)比成功的行為特征信息根據(jù)經(jīng)驗(yàn)設(shè)定權(quán)值�����,并計(jì)算權(quán)值和�����,若所述權(quán)值和高于預(yù)設(shè)閾值�����,則認(rèn)為該事件為疑似apt事件。利用聚類算法分析各apt事件�����,彼此相似度高于預(yù)設(shè)值的apt事件為同源攻擊組織所為�����。
[0017]有益效果為:本發(fā)明所述技術(shù)方案基于郵件的行為數(shù)據(jù)進(jìn)而發(fā)現(xiàn)apt事件�����,并能夠有效識(shí)別apt事件之間的同源關(guān)系�����,可以有效定位同源攻擊組織���。
【附圖說(shuō)明】
[0018]為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。
[0019]圖1為本發(fā)明提供的一種apt事件攻擊組織同源性分析方法實(shí)施例流程圖����;
圖2為本發(fā)明提供的一種apt事件攻擊組織同源性分析裝置實(shí)施例結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0020]本發(fā)明給出了一種apt事件攻擊組織同源性分析方法及裝置實(shí)施例�,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的���、特征和優(yōu)點(diǎn)能夠更加明顯易懂�,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明:
本發(fā)明首先提供了一種apt事件攻擊組織同源性分析方法實(shí)施例����,如圖1所示,包括: SlOl獲取待分析郵件并提取元數(shù)據(jù)�,包括:發(fā)件人信息、收件人信息、主題��、正文或者附件�����;
S102分析各項(xiàng)元數(shù)據(jù)并獲取相關(guān)行為特征信息�;
S103將各項(xiàng)行為特征信息與預(yù)設(shè)條件對(duì)比,并基于對(duì)比結(jié)果設(shè)定權(quán)值���;
S104計(jì)算權(quán)值和����,當(dāng)所述權(quán)值和高于預(yù)設(shè)閾值����,則認(rèn)為該事件為疑似apt事件,并存入apt事件行為庫(kù)�;
S105利用聚類算法分析apt事件行為庫(kù)中的各apt事件,判定相似度高于預(yù)設(shè)值的apt事件為同源攻擊組織所為��。
[0021]其中�,所述利用聚類算法分析apt事件行為庫(kù)中的各apt事件��,判定相似度高于預(yù)設(shè)值的apt事件為同源攻擊組織所為,具體為:將各apt事件的行為特征信息一一對(duì)比����,利用聚類算法統(tǒng)計(jì)最終的相似度,并與預(yù)設(shè)值進(jìn)行對(duì)比���,若高于預(yù)設(shè)值�,則認(rèn)為對(duì)比雙方的apt事件為同源攻擊組織所為�����。
[0022]優(yōu)選地����,所述分析各項(xiàng)元數(shù)據(jù)并獲取相關(guān)行為特征信息,包括:
分析發(fā)件人信息獲得發(fā)件人IP地址和/或發(fā)件人郵箱地址����;
分析收件人信息中收件人地址域獲得收件人歸屬公司和/或所在國(guó)家;
分析主題獲取發(fā)件人使用的語(yǔ)種及編碼方式�;
分析正文獲取所包含的URL;或者,
分析附件并基于附件的文件類型獲取時(shí)間戳和/或編輯信息����。
[0023]其中�,所述編碼方式包括:base64或者quopri編碼等���。
[0024]優(yōu)選地�,所述分析附件并基于附件的文件類型獲取時(shí)間戳和/或編輯信息��,具體為:
分析附件識(shí)別文件類型�����,并獲取附件的文件擴(kuò)展名���;
若所述文件類型為PE文件���,則獲得PE文件的時(shí)間戳;若所述文件類型為文檔文件,則獲取編輯彳