CN115065558A - Apt攻击的攻击流程溯源方法及装置 - Google Patents
Apt攻击的攻击流程溯源方法及装置 Download PDFInfo
- Publication number
- CN115065558A CN115065558A CN202210959012.1A CN202210959012A CN115065558A CN 115065558 A CN115065558 A CN 115065558A CN 202210959012 A CN202210959012 A CN 202210959012A CN 115065558 A CN115065558 A CN 115065558A
- Authority
- CN
- China
- Prior art keywords
- identification information
- unique identification
- attack
- parent
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种APT攻击的攻击流程溯源方法及装置,该方法包括:获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程;基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程;根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。本发明实现了准确高效的对APT攻击的攻击流程进行溯源的有益效果。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种APT攻击的攻击流程溯源方法及装置。
背景技术
近年来网络安全事件频发,目前的安全事件归纳起来,均具备如下三方面特点:面向终端、隐蔽性、漏洞利用。在安全事件发生后,为了能够追查攻击行为,重放攻击过程,对攻击事件进行追踪和溯源,需要使用安全取证技术对攻击发生前、发生时和发生后的终端运行状态进行取证,在安全取证过程中难点是要保证取证数据的相关性、真实性和完整性。
APT(Advanced Persistent Threat高级持续性威胁)攻击是一种具有组织性、特定目标以及长时间持续性的网络攻击。APT攻击由于具有时间持续长的特性,由于APT攻击的各攻击步骤时间跨度较大,现有技术即使识别到其中若干个攻击步骤,也难以还原APT攻击的整个攻击流程。
由此可见,如何对APT攻击的攻击流程进行溯源是现有技术急需解决的问题。
发明内容
本发明为了解决上述背景技术中所述的至少一个技术问题,提出了一种APT攻击的攻击流程溯源方法及装置。
为了实现上述目的,根据本发明的一个方面,提供了一种APT攻击的攻击流程溯源方法,该方法包括:
获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程;
基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程;
根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。
可选的,该APT攻击的攻击流程溯源方法,还包括:
查找所述异常进程以及所述查找到的每个进程对应的行为事件;
所述根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图,具体包括:
根据所述异常进程、所述查找到的每个进程以及查找到的每个行为事件,生成APT攻击的攻击流程网络图。
可选的,所述查找所述异常进程以及所述查找到的每个进程对应的行为事件,具体包括:
根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件,其中,行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一标识信息。
可选的,所述属性信息还包括:Session ID、Token、文件名称、文件指纹、命令行、文件路径以及计算机属性数据。
为了实现上述目的,根据本发明的另一方面,提供了一种APT攻击的攻击流程溯源装置,该装置包括:
标识信息获取单元,用于获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程;
进程查找单元,用于基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程;
攻击流程溯源单元,用于根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。
可选的,该APT攻击的攻击流程溯源装置,还包括:
行为事件查找单元,用于查找所述异常进程以及所述查找到的每个进程对应的行为事件;
所述攻击流程溯源单元,具体根据所述异常进程、所述查找到的每个进程以及查找到的每个行为事件,生成APT攻击的攻击流程网络图。
可选的,所述行为事件查找单元,具体用于根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件,其中,行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一标识信息。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述APT攻击的攻击流程溯源方法的步骤。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机可读存储介质,其上存储有计算机程序/指令,该计算机程序/指令被处理器执行时实现上述APT攻击的攻击流程溯源方法的步骤。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现上述APT攻击的攻击流程溯源方法的步骤。
本发明的有益效果为:
本发明根据进程的属性信息进行计算出进程的唯一标识信息,其中,属性信息包括:进程创建时间,本发明的唯一标识信息与现有方案采用的进程ID相比具有唯一性,使本发明基于唯一标识信息对APT攻击的攻击流程进行溯源的方案更加准确。此外,本发明根据进程创建时间计算进程的唯一标识信息,与现有方案相比无需设定时间段,有效的确保进程链条的完整性,有助于捕获长期潜伏的APT攻击,使APT攻击的攻击流程更为完整。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例APT攻击的攻击流程溯源方法的第一流程图;
图2是本发明实施例APT攻击的攻击流程溯源方法的第二流程图;
图3是本发明实施例进程网络图的第一示意图;
图4是本发明实施例进程网络图的第二示意图;
图5是本发明实施例APT攻击的攻击流程溯源装置的第一结构框图;
图6是本发明实施例APT攻击的攻击流程溯源装置的第二结构框图;
图7是本发明实施例计算机设备示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语 “包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
需要说明的是,本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
图1是本发明实施例APT攻击的攻击流程溯源方法的第一流程图,如图1所示,在本发明一个实施例中,本发明的APT攻击的攻击流程溯源方法包括步骤S101至步骤S103。
步骤S101,获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程。
本发明采用一种对进程描述的算法实现,通过对进程的属性信息进行计算生成进程的唯一标识信息,该唯一标识信息对进程从进程创建时间等属性进行全方位描述,确保每个进程每次启动时对其描述在全局绝对唯一。
一个进程的父进程唯一标识信息与该进程的父进程的唯一标识信息相同。具体的,在创建一个新的进程时,根据该新的进程的属性信息计算得到该新的进程的唯一标识信息,同时确定该新的进程的父进程,进而将其父进程的唯一标识信息确定为该新的进程的父进程唯一标识信息。
需要说明的是,在本发明以下实施例中,用PGUID来简称唯一标识信息,用PPGUID来简称父进程唯一标识信息。
图3对各进程的PGUID、PPGUID之间的关系进行了举例说明,图3中各进程的PGUID和PPGUID的关系能够得出如下结论:
PGUID(A)=PPGUID(B)=PPGUID(D)
PGUID(B)=PPUGID(C)
PGUID(D)=PPUGID(E)
PPGUID(C) =PPUGID(E)
以上关系说明进程A是进程B和进程D的父进程,而B进程和D进程是兄弟进程。
而进程C的父进程是进程B,因此C进程是B进程的子进程。同理E进程是D进程的子进程。
而由于进程C和进程E的父进程PPGUID不相同,因此进程C和进程E并非兄弟进程。
在本发明一个实施例中,所述属性信息还包括:Session ID、Token、文件名称、文件指纹、命令行、文件路径以及计算机属性数据。
Session ID :Session ID用来追踪每个用户的会话。使用服务器生成的SessionID进行标识,用来区别用户。
Token:就是服务端生成的一串加密字符串、以作客户端进行请求的一个“令牌”。当用户第一次使用账号密码成功进行登录后,服务器便生成一个Token及Token失效时间并将此返回给客户端,若成功登陆,以后客户端只需在有效时间内带上这个Token前来请求数据即可,无需再次带上用户名和密码。
文件指纹: 即文件校验码,用来校验文件的,例如可以使用的SHA256进行校验。
步骤S102,基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程。
由于一个进程的父进程唯一标识信息与该进程的父进程的唯一标识信息相同,根据这种关系本发明可以根据异常进程的PGUID逐级向下查找子进程,例如图3中的进程A为异常进程,进程B的PPGUID与进程A的PGUID相同,那么进程B为进程A的子进程,在下一级查找时发现,进程C的PPGUID与进程B的PGUID相同,那么进程C为进程B的子进程。
同样根据这种关系本发明可以根据异常进程的PPGUID逐级向上查找父进程,例如图3中的进程E为异常进程,进程D的PGUID与进程E的PPGUID相同,那么进程D为进程E的父进程,在往上一级查找时发现,进程A的PGUID与进程D的PPGUID相同,那么进程A为进程D的父进程。
步骤S103,根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。
在本发明一个实施例中,本发明构建攻击流程网络图,攻击流程网络图为一种网络图谱,本发明将所述异常进程以及查找到的每个进程作为网络图谱中的节点,根据各进程之间的父子关系构建网络图谱中的各节点的边,得到攻击流程网络图,一个实施例可以如图3所示。
由以上实施例可见,本发明根据进程的属性信息进行计算出进程的唯一标识信息,本发明的唯一标识信息与现有方案采用的进程ID相比具有唯一性,使本发明基于唯一标识信息生成的攻击流程网络图更加准确。此外,本发明根据进程创建时间计算进程的唯一标识信息,与现有方案相比无需设定时间段,有效的确保进程链条的完整性,有助于捕获长期潜伏的APT攻击。
在本发明一个实施例中,本发明的异常进程可以由EDR进行识别得出的。具体的,EDR系统基于海量的系统数据根据预设的模型对攻击进行识别,在识别到攻击时,确定攻击相关进程,将攻击相关进程确定为异常进程。然后通过本发明方法基于攻击相关进程生成进程网络图,该生成的进程网络图可以完整的描述攻击的整个过程,有助于对攻击进行分析。此外,本发明EDR系统识别的可能仅为单次网络攻击,通过本发明方法根据单次网络攻击的网络攻击相关进程不断查找关联进程和行为事件,进程链条非常完整和庞大,可能会发现之前并未识别出的长期网络攻击,有助于捕获长期潜伏的APT攻击。
EDR全称为Endpoint Detetion And Response,终端威胁检测与响应。是一种记录和存储端点系统等级行为的解决方案,并且通过多种数据分析技术检测网络攻击行为,提供关联信息,从而阻断网络攻击行为并为受影响系统提供修复建议。
EDR在终端进行静态和动态数据采集,静态数据采集部分包括采集操作系统运行的当前状态,如资产信息、服务、端口、进程、线程、漏洞等。动态信息包括操作系统上发生的各种行为,如账户变更记录、网络访问行为、网络请求行为、文件操作、进程活动等。数据采集是EDR进行威胁预测和安全分析的前提和基础。
基于EDR产品采集的数据进行聚合分析时,需要对还原终端的行为活动,在终端上的行为活动就是进程的行为活动。进程在执行过程中可能创建多个新的进程。创建进程称为父进程,而新的进程称为子进程。每个新进程可以再创建其他进程,从而形成进程网络图。
现有技术方案中,还原(生成)进程网络图过程中需要先选定主机以及时间段,对进程进行筛选。然后针对筛选出的进程,根据进程的进程ID和父进程ID梳理各进程之间的关系,形成进程网络图。进程ID为生成进程时系统自动分配的用于唯一标识此进程的一个整数,一般从0开始,然后顺序分配,直到达到一个最大值(因系统而异),而后又从300开始重新分配,在分配进程ID时,若遇到已分配的ID,则直接跳过,继续递增查找下一个可分配ID。但是当系统重启时,进程ID会重新从0开始分配,这就导致进程ID重复出现的问题。进程ID重复出现导致出现重复的进程,会导致生成的进程网络图不准确。
图2是本发明实施例APT攻击的攻击流程溯源方法的第二流程图,如图2所示,在本发明另一个实施例中,本发明的APT攻击的攻击流程溯源方法包括步骤S201至步骤S204。
步骤S201,获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程。
步骤S202,基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程。
步骤S203,查找所述异常进程以及所述查找到的每个进程对应的行为事件。
在本发明一个实施例中,行为事件具体可以包括:进程行为、模块行为、文件行为、注册表行为、网络行为、管道行为、账号行为、权限行为、服务行为以及计划任务行为。
在本发明中,行为事件由进程发起,在生成一个新的行为事件时,在该行为事件的日志中写入发起该行为事件的进程的PGUID和PPGUID,便于后续进程与行为事件之间关系的查找。
图4描述了进程与行为事件的关系,由图4可以得出以下结论:
PGUID(A)=PPGUID(B)
PGUID(C)=PGUID(Z)
PGUID(B)=PPGUID(C) =PGUID(X)= PGUID(Y)=PPGUID(Z)
PGUID(A)=PPGUID(X)= PPGUID(Y)
以上关系说明A进程为B进程的父进程,而B进程又是C进程父进程。
模块行为X和网络行为Y两个行为事件均为进程B的行为事件。文件行为Z为进程C的行为事件。
不同事件类型的日志中,根据PGUID和PPGUID,无论以进程为起点溯源,亦或者是通过某一行为活动为起点进行威胁溯源,都可以筛选出对应的进程关系网络图。
步骤S204,根据所述异常进程、所述查找到的每个进程以及查找到的每个行为事件,生成APT攻击的攻击流程网络图。
在本发明一个实施例中,本发明构建网络图谱,将所述异常进程、所述查找到的每个进程以及查找到每个行为事件作为网络图谱中的节点,根据各进程之间的父子关系以及行为事件与进程之间的对应关系构建网络图谱中的各节点的边,得到攻击流程网络图,一个实施例可以如图4所示。
在本发明一个实施例中,上述步骤S203的查找所述异常进程以及所述查找到的每个进程对应的行为事件,具体包括:
根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件,其中,行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一标识信息。
在本发明一个实施例中,本发明上述实施例中的异常进程为网络攻击相关进程,所述进程网络图用于描述网络攻击的整个过程。
由以上实施例可见,本发明的APT攻击的攻击流程溯源方法至少实现了以下有益效果:
1、本发明主要针对威胁溯源过程中,单纯依赖进程ID对应的父进程ID来查找父进程来还原进程行为及活动时置信度极低的问题进行有效优化,确保进程网络图关系置信度大幅提升;
2、本发明面向解决捕获长期潜伏的APT威胁的场景,确保进程链条的完整性,为威胁溯源提供准确而有效的分析依据;
3、本方案采用的全局唯一标识PGUID进行查找能够降低搜索关联的数据维度,无需圈定时间范围,亦不会出现多个重复选项而无法判断,可快速而准确找到父进程;
4、由于本发明在计算全局唯一标识PGUID时计算了进程创建时间,因此全局日志关联分析搜索时,不需要限制时间区间,因此可以有效针对长期潜伏的APT攻击进行深度挖掘和攻击回溯。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
基于同一发明构思,本发明实施例还提供了一种APT攻击的攻击流程溯源装置,可以用于实现上述实施例所描述的APT攻击的攻击流程溯源方法,如下面的实施例所述。由于APT攻击的攻击流程溯源装置解决问题的原理与APT攻击的攻击流程溯源方法相似,因此APT攻击的攻击流程溯源装置的实施例可以参见APT攻击的攻击流程溯源方法的实施例,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是本发明实施例APT攻击的攻击流程溯源装置的第一结构框图,如图5所示,在本发明一个实施例中,本发明的APT攻击的攻击流程溯源装置包括:
标识信息获取单元1,用于获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程;
进程查找单元2,用于基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程;
攻击流程溯源单元3,用于根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。
图6是本发明实施例APT攻击的攻击流程溯源装置的第二结构框图,如图6所示,在本发明一个实施例中,本发明的APT攻击的攻击流程溯源装置还包括:
行为事件查找单元4,用于查找所述异常进程以及所述查找到的每个进程对应的行为事件。
本发明一个实施例中,所述攻击流程溯源单元3,具体根据所述异常进程、所述查找到的每个进程以及查找到的每个行为事件,生成APT攻击的攻击流程网络图。
本发明一个实施例中,所述行为事件查找单元4,具体用于根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件,其中,行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一标识信息。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机设备。如图7所示,该计算机设备包括存储器、处理器、通信接口以及通信总线,在存储器上存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例方法中的步骤。
处理器可以为中央处理器(Central Processing Unit,CPU)。处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及单元,如本发明上述方法实施例中对应的程序单元。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及作品数据处理,即实现上述方法实施例中的方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个单元存储在所述存储器中,当被所述处理器执行时,执行上述实施例中的方法。
上述计算机设备具体细节可以对应参阅上述实施例中对应的相关描述和效果进行理解,此处不再赘述。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序在计算机处理器中执行时实现上述APT攻击的攻击流程溯源方法中的步骤。本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard DiskDrive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现上述APT攻击的攻击流程溯源方法的步骤。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种APT攻击的攻击流程溯源方法,其特征在于,包括:
获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程;
基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程;
根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。
2.根据权利要求1所述的APT攻击的攻击流程溯源方法,其特征在于,还包括:
查找所述异常进程以及所述查找到的每个进程对应的行为事件;
所述根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图,具体包括:
根据所述异常进程、所述查找到的每个进程以及查找到的每个行为事件,生成APT攻击的攻击流程网络图。
3.根据权利要求2所述的APT攻击的攻击流程溯源方法,其特征在于,所述查找所述异常进程以及所述查找到的每个进程对应的行为事件,具体包括:
根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件,其中,行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一标识信息。
4.根据权利要求1所述的APT攻击的攻击流程溯源方法,其特征在于,所述属性信息还包括:Session ID、Token、文件名称、文件指纹、命令行、文件路径以及计算机属性数据。
5.一种APT攻击的攻击流程溯源装置,其特征在于,包括:
标识信息获取单元,用于获取异常进程的唯一标识信息及父进程唯一标识信息,其中,进程的唯一标识信息为根据进程的属性信息进行计算得到的,所述属性信息包括:进程创建时间,进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同,所述异常进程包括:APT攻击的攻击进程;
进程查找单元,用于基于所述异常进程的唯一标识信息逐级向下查找子进程,以及基于所述异常进程的父进程唯一标识信息逐级向上查找父进程;
攻击流程溯源单元,用于根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图。
6.根据权利要求5所述的APT攻击的攻击流程溯源装置,其特征在于,还包括:
行为事件查找单元,用于查找所述异常进程以及所述查找到的每个进程对应的行为事件;
所述攻击流程溯源单元,具体根据所述异常进程、所述查找到的每个进程以及查找到的每个行为事件,生成APT攻击的攻击流程网络图。
7.根据权利要求6所述的APT攻击的攻击流程溯源装置,其特征在于,所述行为事件查找单元,具体用于根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件,其中,行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一标识信息。
8.根据权利要求5所述的APT攻击的攻击流程溯源装置,其特征在于,所述属性信息还包括:Session ID、Token、文件名称、文件指纹、命令行、文件路径以及计算机属性数据。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任意一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1至4任意一项所述方法的步骤。
11.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1至4任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210959012.1A CN115065558A (zh) | 2022-08-11 | 2022-08-11 | Apt攻击的攻击流程溯源方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210959012.1A CN115065558A (zh) | 2022-08-11 | 2022-08-11 | Apt攻击的攻击流程溯源方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115065558A true CN115065558A (zh) | 2022-09-16 |
Family
ID=83207339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210959012.1A Pending CN115065558A (zh) | 2022-08-11 | 2022-08-11 | Apt攻击的攻击流程溯源方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115065558A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115811550A (zh) * | 2022-12-19 | 2023-03-17 | 深信服科技股份有限公司 | 攻击信息呈现方法、装置、平台及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| US20180336256A1 (en) * | 2017-05-18 | 2018-11-22 | Nec Laboratories America, Inc. | Template based data reduction for security related information flow data |
| US20190081873A1 (en) * | 2017-09-12 | 2019-03-14 | Sophos Limited | Dashboard for managing enterprise network traffic |
| CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN112084091A (zh) * | 2020-09-09 | 2020-12-15 | 北京升鑫网络科技有限公司 | 一种系统行为审计方法、装置、终端及存储介质 |
-
2022
- 2022-08-11 CN CN202210959012.1A patent/CN115065558A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| US20180336256A1 (en) * | 2017-05-18 | 2018-11-22 | Nec Laboratories America, Inc. | Template based data reduction for security related information flow data |
| US20190081873A1 (en) * | 2017-09-12 | 2019-03-14 | Sophos Limited | Dashboard for managing enterprise network traffic |
| CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN112084091A (zh) * | 2020-09-09 | 2020-12-15 | 北京升鑫网络科技有限公司 | 一种系统行为审计方法、装置、终端及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115811550A (zh) * | 2022-12-19 | 2023-03-17 | 深信服科技股份有限公司 | 攻击信息呈现方法、装置、平台及存储介质 |
| CN115811550B (zh) * | 2022-12-19 | 2024-05-28 | 深信服科技股份有限公司 | 攻击信息呈现方法、装置、平台及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11614990B2 (en) | Automatic correlation of dynamic system events within computing devices | |
| US11710131B2 (en) | Method and apparatus of identifying a transaction risk | |
| CN113676484B (zh) | 一种攻击溯源方法、装置和电子设备 | |
| US11431792B2 (en) | Determining contextual information for alerts | |
| KR101676366B1 (ko) | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| CN112347501A (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
| CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
| CN113572719B (zh) | 一种域名检测方法、装置、设备及可读存储介质 | |
| CN115065558A (zh) | Apt攻击的攻击流程溯源方法及装置 | |
| CN108073703A (zh) | 一种评论信息获取方法、装置、设备及存储介质 | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| US10671725B2 (en) | Malicious process tracking | |
| CN111435327B (zh) | 一种日志记录的处理方法、装置及系统 | |
| CN117376092A (zh) | 故障根因定位方法、装置、设备及存储介质 | |
| CN116340536A (zh) | 运维知识图谱构建方法、装置、设备、介质及程序产品 | |
| CA3129245A1 (en) | System and method for anomalous database access monitoring | |
| CN113360479A (zh) | 数据迁移方法、装置、计算机设备和存储介质 | |
| Kapusta et al. | User session identification using reference length | |
| CN114461659A (zh) | 查杀方法、装置、计算机设备和存储介质 | |
| CN118378263A (zh) | 基于系统日志的安全防护方法、防护装置和安全防护系统 | |
| CN116488899A (zh) | 一种攻击路径定位方法、装置、电子设备及存储介质 | |
| Ohrui et al. | Mining botnet coordinated attacks using apriori-prefixspan hybrid algorithm | |
| CN114173138A (zh) | 一种处理异常视频up主的方法、装置、介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220916 |
|
| RJ01 | Rejection of invention patent application after publication |