APT攻击处理方法、系统、电子设备及可读存储介质与流程

本技术涉及轨道交通网络安全领域，特别涉及一种apt攻击处理方法、系统、电子设备及可读存储介质。

背景技术：

1、近年来，随着apt(advanced persistent threat，高级持续性威胁)攻击的不断出现，网络安全面临严峻挑战。与传统网络攻击相比，apt攻击利用多种技术手段，有组织、有计划地对特定目标长期开展渗透攻击，具有目的性强、形式复杂、隐蔽性高且长期持续的特点。目前主流的apt攻击处理方案主要是以行为异常特征的边界防御为切入点，在沙箱中载入未知的程序，模仿程序行为，检测其合法有效性，或者针对异常流量、异常行为等进行检测，达到防御多层次威胁的目的，但是单独采用上述某一防御解决方案，能够一定程度发挥作用，延缓apt攻击，但无法有效的应对具有持续长时间攻击特点的apt攻击。

2、因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

技术实现思路

1、本技术的目的是提供一种apt攻击处理方法、系统、电子设备及可读存储介质，采用复合链路检测模式，对apt攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的apt攻击。

2、为解决上述技术问题，本技术提供了一种apt攻击处理方法，包括：

3、获取轨道交通车辆的网络中的多个维度的威胁信息；

4、当所述威胁信息满足apt攻击对应的预设条件，基于所述威胁信息还原apt攻击场景；

5、根据所述apt攻击场景确定apt攻击链路；

6、基于所述apt攻击链路确定攻击对象，对所述攻击对象进行反制处理与靶向防护处理。

7、可选的，所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

8、获取轨道交通车辆中的网络对应的流量信息和/或日志信息；

9、当所述流量信息满足第一apt告警条件和/或所述日志信息满足第二apt告警条件，获取轨道交通车辆的网络中的多个维度的威胁信息。

10、可选的，基于所述威胁信息还原apt攻击场景的过程包括：

11、获取网络告警日志，从各所述网络告警日志中提取因果关系；所述威胁信息为所述网络告警日志中的告警信息；

12、基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链；

13、从各所述异常告警链中确定构成apt攻击场景的目标告警链；

14、基于所述目标告警链得到apt攻击场景。

15、可选的，基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链的过程包括：

16、利用超告警方法，基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链。

17、可选的，从各所述异常告警链中确定构成apt攻击场景的目标告警链的过程包括：

18、提取各所述异常告警链中的关键威胁主题的语义描述；

19、基于所述关键威胁主题的语义描述确定所述异常告警链与apt攻击的关联关系；

20、利用所述关联关系确定构成apt攻击场景的目标告警链。

21、可选的，所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

22、获取情报检测系统和/或入侵检测系统和/或行为检测系统和/或动态检测系统和/或病毒检测系统和/或基因检测系统和/或沙箱检测系统输出的网络告警日志，以获取轨道交通车辆的网络中的多个维度的威胁信息。

23、可选的，基于所述apt攻击链路确定攻击对象的过程包括：

24、根据所述apt攻击链路溯源出攻击信息；所述攻击信息包括源ip和域名；

25、基于所述攻击信息得到攻击对象。

26、可选的，对所述攻击对象进行反制处理的过程包括：

27、对所述攻击对象进行漏洞扫描，获取漏洞信息；

28、基于所述漏洞信息对所述攻击对象进行反制处理。

29、可选的，基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

30、基于所述漏洞信息获取所述攻击对象的最高控制权限，以对所述攻击对象进行反制处理。

31、可选的，所述漏洞信息包括攻击对象的操作工具的漏洞信息；

32、基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

33、基于所述操作工具的漏洞信息对所述攻击对象进行反制处理。

34、可选的，基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

35、构造伪数据库服务端，以使所述攻击对象使用客户端工具连接所述伪数据库服务端；

36、利用所述客户端工具的漏洞信息获取所述攻击对象的标识信息，以便基于所述标识信息对所述攻击对象进行反制处理。

37、可选的，根据所述apt攻击链路溯源出攻击信息的过程包括：

38、根据所述apt攻击链路对攻击组织、攻击者以及攻击手段进行溯源，得到攻击信息。

39、可选的，根据所述apt攻击链路溯源出攻击信息之前，所述apt攻击处理方法还包括：

40、确定各个所述攻击组织的特征维度；

41、基于所述特征维度确定各个所述攻击组织之间的相似度。

42、可选的，基于所述特征维度确定各个所述攻击组织之间的相似度的过程包括：

43、确定各个所述攻击组织在相同特征维度的维度相似度；

44、对维度相似度进行加权得到各个所述攻击组织之间的相似度。

45、可选的，对所述攻击对象进行靶向防护处理的过程包括：

46、构建防护体系框架；

47、通过所述防护体系框架，基于攻击特征信息进行靶向防护。

48、可选的，所述靶向防护包括阻断基于所述攻击信息得到的攻击路径和/或链接杀毒软件进行杀毒操作和/或记录攻击痕迹信息。

49、为解决上述技术问题，本技术还提供了一种apt攻击处理系统，包括：

50、获取模块，用于获取轨道交通车辆的网络中的多个维度的威胁信息；

51、检测模块，用于当所述威胁信息满足apt攻击对应的预设条件，基于所述威胁信息还原apt攻击场景；

52、溯源模块，用于根据所述apt攻击场景确定apt攻击链路，基于所述apt攻击链路确定攻击对象；

53、反制与防护模块，用于对所述攻击对象进行反制处理与靶向防护处理。

54、为解决上述技术问题，本技术还提供了一种电子设备，包括：

55、存储器，用于存储计算机程序；

56、处理器，用于执行所述计算机程序时实现如上文任意一项所述的apt攻击处理的步骤。

57、为解决上述技术问题，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上文任意一项所述的apt攻击处理的步骤。

58、本技术提供了一种apt攻击处理方法，获取轨道交通车辆的网络中的多个维度的威胁信息，然后基于威胁信息进行apt攻击场景的匹配，得到当前的apt攻击链路，基于apt攻击链路确定攻击对象，以便对apt攻击对象进行反制处理，采用复合链路检测模式，对apt攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的apt攻击。本技术还提供了一种apt攻击处理系统、电子设备及计算机可读存储介质，具有和上述apt攻击处理方法相同的有益效果。