高级可持续威胁溯源方法、系统、计算机设备及存储介质转让专利
申请号 : CN202010627015.6
文献号 : CN111800412B
文献日 : 2023-02-21
发明人 : 王悦 , 李伟 , 鲁银冰 , 蒋熠 , 智绪龙 , 刘乐 , 田毅 , 赵雪昆 , 谢锋林 , 胡声秋
申请人 : 中国移动通信集团有限公司 , 中移(杭州)信息技术有限公司 , 中国移动通信集团浙江有限公司 , 上海欣诺通信技术股份有限公司
摘要 :
本发明公开了一种高级可持续威胁溯源方法、装置、计算机设备以及存储介质,上述方法包括:接收核心网的信令流量;从信令流量中解析出用户信息,用户信息包括地址信息和注册信息;基于用户信息生成用户信息表;接收核心网的用户面流量;对用户面流量进行威胁检测,判断用户面流量中是否存在高级可持续威胁;当判断存在高级可持续威胁时,从用户面流量中获取威胁用户地址,并在用户信息表中查询与威胁用户地址对应的威胁用户注册信息。上述方法,通过对信令流量进行解析得到用户信息表,在对用户面流量进行检测时,可以根据监测到威胁的地址信息,在用户信息表中查询到对应的用户注册信息,从而实现快速准确地完成对高级可持续威胁攻击的溯源。
权利要求 :
1.一种高级可持续威胁溯源方法,其特征在于,包括:
接收5G核心网的信令流量,所述信令流量至少包括用户设备与接入移动管理功能AMF之间的接口流量、所述接入移动管理功能AMF与接入网AN之间的接口流量、所述接入移动管理功能AMF与会话管理功能SMF之间的接口流量;
从所述信令流量中解析出用户信息,所述用户信息包括地址信息和注册信息;
基于所述用户信息生成用户信息表;
接收所述5G核心网的用户面流量,所述用户面流量至少包括所述接入网AN与用户平面功能UPF之间的接口流量;
对所述用户面流量进行威胁检测,判断所述用户面流量中是否存在高级可持续威胁;
当判断存在高级可持续威胁时,从所述用户面流量中获取威胁用户地址,并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息;
其中,所述对所述用户面流量进行威胁检测的步骤包括:
对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征;和/或对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为;
所述判断所述用户面流量中是否存在高级可持续威胁,包括:
当所述用户面流量中存在威胁特征和/或威胁行为时,根据所述威胁特征和/或威胁行为生成威胁指数;
判断所述威胁指数是否超过预设的威胁阈值参数;
当所述威胁指数超过所述威胁阈值参数时,判断所述用户面流量中存在高级可持续威胁。
2.根据权利要求1所述的方法,其特征在于,所述对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征的步骤包括:根据协议配置从所述用户面流量中还原出源文件;
加载威胁特征库,基于所述威胁特征库对所述源文件进行特征检测,以判断所述源文件中是否存在威胁特征。
3.根据权利要求1所述的方法,其特征在于,所述对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为的步骤包括:基于历史异常访问数据进行机器学习,建立威胁行为识别模型;
对所述用户面流量进行流量分析,对分析得到的可疑流量进行标记;
通过所述威胁行为识别模型对标记的可疑流量进行行为检测,判断是否存在威胁行为。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述地址信息包括用户IP和/或隧道标识;所述注册信息包括IMSI、MSISDN、TAC以及APN中的至少一种。
5.一种高级可持续威胁检测系统,其特征在于,包括信令解析平台和威胁预警平台:其中,所述信令解析平台包括第一流量接收模块,用于接收5G核心网的信令流量,所述信令流量至少包括用户设备与接入移动管理功能AMF之间的接口流量、所述接入移动管理功能AMF与接入网AN之间的接口流量、所述接入移动管理功能AMF与会话管理功能SMF之间的接口流量;流量解析模块,用于从所述信令流量中解析出用户信息,所述用户信息包括地址信息和注册信息;信息分发模块,用于将所述用户信息发送至威胁预警平台;
所述威胁预警平台包括信息存储模块,用于接收所述用户信息,并根据所述用户信息生成用户信息表;第二流量接收模块,用于接收5G核心网的用户面流量,所述用户面流量至少包括所述接入网AN与用户平面功能UPF之间的接口流量;威胁检测模块,用于对所述用户面流量进行威胁检测,判断所述用户面流量中是否存在高级可持续威胁;信息查询模块,用于当判断存在高级可持续威胁时,从所述用户面流量中获取威胁用户地址,并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息;
其中,所述威胁检测模块包括:
静态检测单元,用于对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征;和/或动态检测单元,用于对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为。
6.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4中任意一项所述的高级可持续威胁检测方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任意一项所述的高级可持续威胁检测方法。
说明书 :
高级可持续威胁溯源方法、系统、计算机设备及存储介质
技术领域
[0001] 本发明实施例涉及计算机网络安全技术,尤其涉及一种高级可持续威胁溯源方法、系统、计算机设备以及计算机设备及存储介质。
背景技术
[0002] 第五代移动通信系统(5G)作为新一代信息通信技术演进升级的重要方向,全球范围内已展开5G网络的大量部署,SA架构的5G网络为未来必然趋势,5G组网以更快的速度、更大的容量、更低的成本为用户提供更丰富的业务和更好的用户体验,但也存在更多的安全挑战,面临的安全威胁更加广泛而复杂,云计算、人工智能、大数据、物联网到区块链等新兴技术的不断发展,打破了以往安全的边界,各种恶意攻击和网络安全威胁非常普遍。
[0003] 高级持续性威胁(Advanced Persistent Threat,简称APT)攻击通常是渗透到网络内部后长期蛰伏,利用组织内部人员作为攻击跳板,不断尝试各种攻击手段,不断收集各种信息,直到收集到重要情报。随着5G网络各种设备的接入,移动网下的APT攻击也会呈现爆发式增长,但传统的APT攻击检测一般针对固定网络,不能精确定位威胁源头,且对于SA架构的5G网络而言,其时效性和准确性均不能得到有效保证。
发明内容
[0004] 基于此,针对上述技术问题,本发明提供一种高级可持续威胁溯源方法、装置、计算机设备以及存储介质,可以快速准确地对APT攻击进行溯源。
[0005] 第一方面,本发明实施例提供了一种高级可持续威胁溯源方法,包括:
[0006] 接收核心网的信令流量;
[0007] 从所述信令流量中解析出用户信息,所述用户信息包括地址信息和注册信息;
[0008] 基于所述用户信息生成用户信息表;
[0009] 接收所述核心网的用户面流量;
[0010] 对所述用户面流量进行威胁检测,判断所述用户面流量中是否存在高级可持续威胁;
[0011] 当判断存在高级可持续威胁时,从所述用户面流量中获取威胁用户地址,并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。
[0012] 上述高级可持续威胁溯源方法,通过对信令流量进行解析得到用户信息表,在对用户面流量进行检测时,可以根据监测到威胁的地址信息,在用户信息表中查询到对应的用户注册信息,从而实现快速准确地完成对高级可持续威胁攻击的溯源。
[0013] 在其中一个实施例中,所述对所述用户面流量进行威胁检测的步骤包括:
[0014] 对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征;和/或
[0015] 对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为。
[0016] 在其中一个实施例中,所述判断所述用户面流量中是否存在高级可持续威胁,包括:
[0017] 当所述用户面流量中存在威胁特征和/或威胁行为时,根据所述威胁特征和/或威胁行为生成威胁指数;
[0018] 判断所述威胁指数是否超过预设的威胁阈值参数;
[0019] 当所述威胁指数超过所述威胁阈值参数时,判断所述用户面流量中存在高级可持续威胁。
[0020] 在其中一个实施例中,所述对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征的步骤包括:
[0021] 根据协议配置从所述用户面流量中还原出源文件;
[0022] 加载威胁特征库,基于所述威胁特征库对所述源文件进行特征检测,以判断所述源文件中是否存在威胁特征。
[0023] 在其中一个实施例中,所述对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为的步骤包括:
[0024] 基于历史异常访问数据进行机器学习,建立威胁行为识别模型;
[0025] 对所述用户面流量进行流量分析,对分析得到的可疑流量进行标记;
[0026] 通过所述威胁行为识别模型对标记的可疑流量进行行为检测,判断是否存在威胁行为。
[0027] 在其中一个实施例中,所述地址信息包括用户IP和/或隧道标识;所述注册信息包括IMSI、MSISDN、TAC以及APN中的至少一种。
[0028] 第二方面,本发明实施例还提供了一种高级可持续威胁溯源系统,包括信令解析平台和威胁预警平台:
[0029] 其中,所述信令解析平台包括第一流量接收模块,用于接收核心网的信令流量;流量解析模块,用于从所述信令流量中解析出用户信息,所述用户信息包括地址信息和注册信息;信息分发模块,用于将所述用户信息发送至威胁预警平台;
[0030] 所述威胁预警平台包括信息存储模块,用于接收所述用户信息,并根据所述用户信息生成用户信息表;第二流量接收模块,用于接收核心网的用户面流量;威胁检测模块,用于对所述用户面流量进行威胁检测,判断所述用户面流量中是否存在高级可持续威胁;信息查询模块,用于当判断存在高级可持续威胁时,从所述用户面流量中获取威胁用户地址,并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。
[0031] 上述高级可持续威胁溯源系统,通过对信令流量进行解析得到用户信息表,在对用户面流量进行检测时,可以根据监测到威胁的地址信息,在用户信息表中查询到对应的用户注册信息,从而实现快速准确地完成对高级可持续威胁攻击的溯源。
[0032] 在其中一个实施例中,所述威胁检测模块包括:
[0033] 静态检测单元,用于对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征;和/或
[0034] 动态检测单元,用于对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为。
[0035] 第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述的高级可持续威胁溯源方法。
[0036] 第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述的高级可持续威胁溯源方法。
附图说明
[0037] 图1为一个实施例中高级可持续威胁溯源方法的流程示意图;
[0038] 图2为一个实施例中步骤对用户面流量进行威胁检测的流程示意图;
[0039] 图3为一个实施例中步骤判断用户面流量中是否存在高级可持续威胁的流程示意图;
[0040] 图4为一个实施例中步骤对用户面流量进行静态检测,以判断用户面流量中是否存在威胁特征的流程示意图;
[0041] 图5为一个实施例中步骤对用户面流量进行动态检测,以判断用户面流量中是否存在威胁行为的流程示意图;
[0042] 图6为一个实施例中高级可持续威胁溯源系统的模块示意图;
[0043] 图7为一个实施例中高级可持续威胁溯源系统的结构示意图。
具体实施方式
[0044] 下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
[0045] 图1为一个实施例中高级可持续威胁溯源方法的流程示意图,如图1所示,在一个实施例中,一种高级可持续威胁溯源方法,包括:
[0046] 步骤S110:接收核心网的信令流量。
[0047] 步骤S120:从信令流量中解析出用户信息,用户信息包括地址信息和注册信息。
[0048] 具体地,首先可以采集5G核心网的信令面流量数据,根据SA架构的5G网络组成,信令流量具体可以包括用户设备(User Equipment,简称UE)与接入移动管理功能(Access and Mobility Management Function,简称AMF)之间的N1接口流量、AMF与(无线)接入网((Radio)Access Network,简称(R)AN)之间的N2接口流量,以及AMF与会话管理功能(Session Management Function,简称SMF)之间的N11接口流量。由于终端设备入网时需要有注册请求(Registration Request)、服务请求(Service Request)等信令消息,且该信令消息中一般包括用户在运营商网点登记的网点注册信息以及相应的基站位置信息等数据,因此在获取核心网的信令流量后,可以主要解析信令流量中用户的注册请求、服务请求、注销请求、信令切换、PDU会话资源修改等数据,解码提取所需要的用户信息。在发生APT攻击时,由于攻击终端已经接入网络,因此后续可以通过其信令信息中解析出来的用户信息对其进行追溯。
[0049] 进一步地,上述用户信息的种类和数量可以根据实际检测需求确定,一般可以包括用户的地址信息以及注册信息。例如在一个具体的实施例中,地址信息包括用户IP和/或隧道标识(Tunnel Endpoint Identifier,简称TEID);注册信息具体可以包括国际移动用户识别码(International Mobile Subscriber Identity,简称IMSI)、用户手机号码(MSISDN)、,型号核准号码(Type Approval Code,简称TAC)以及接入点名称(Access Point Name,简称APN)中的至少一种。
[0050] 步骤S130:基于用户信息生成用户信息表。
[0051] 具体地,在根据信令数据解析出用户信息后,可以根据用户信息中的地址信息和注册信息建立用户信息表。具体可以通过以用户IP和TEID为KEY,建立用户信息查询表,每个用户的IP和TEID都有其对应的用户注册信息,从而可以供后续溯源使用。
[0052] 步骤S140:接收核心网的用户面流量。
[0053] 步骤S150:对用户面流量进行威胁检测,判断用户面流量中是否存在高级可持续威胁。
[0054] 具体地,在对APT攻击进行检测时,需要采集5G网络中的用户面流量数据并进行检测,用户面流量具体可以包括(R)AN和用户平面功能(User plane Function,简称UPF)之间的N3接口流量。在获取用户面流量后,可以对其进行文件还原,实现网络流量中通过HTTP/FTP/IMAP/POP/SMTP等协议传输的各类文件的还原提取,文件种类具体包括Office文件、压缩包、PE文件、脚本文件、图片文件等,还原后可以对其进行流量分析,从而对用户面流量中异常协议、异常流量、动态域名以及隐蔽信道等可疑流量进行标记及统计。后续再结合静态检测和动态监测,最终判断用户面流量中是否存在APT攻击。
[0055] 步骤S160:当判断存在高级可持续威胁时,从用户面流量中获取威胁用户地址,并在用户信息表中查询与威胁用户地址对应的威胁用户注册信息。
[0056] 具体的,当判断用户面流量中存在APT攻击后,从该威胁来源的用户面流量中提取用户地址信息,即用户IP和TEID,再根据步骤S130中建立的用户信息表,查询该用户IP和TEID所对应的注册信息,从而获取发起APT攻击的IMSI、MSISDN、TAC以及APN等信息,将攻击源和具体用户关联起来,同时能够定位攻击发起人的位置信息,快速准确地实现了APT攻击的溯源。
[0057] 上述高级可持续威胁溯源方法,通过对信令流量进行解析得到用户信息表,在对用户面流量进行检测时,可以根据监测到威胁的地址信息,在用户信息表中查询到对应的用户注册信息,从而实现快速准确地完成对高级可持续威胁攻击的溯源。
[0058] 图2为一个实施例中上述步骤对用户面流量进行威胁检测的流程示意图,如图2所示,在上述技术方案的基础上,步骤S120具体可以包括:
[0059] 步骤S121:对用户面流量进行静态检测,以判断用户面流量中是否存在威胁特征。
[0060] 和/或
[0061] 步骤S123:对用户面流量进行动态检测,以判断用户面流量中是否存在威胁行为。
[0062] 具体地,对于用户面流量中APT攻击的检测,具体可以通过静态检测和动态监测两种方式。其中,静态检测主要针对用户面流量中的符合威胁特征的数据,具体可以通过预先建立的威胁特征库对用户面流量中的数据进行筛选,从而确定符合威胁特征的数据。而动态检测主要针对用户面流量中的威胁行为,具体可以机器学习等方式建立威胁行为模型,从而对用户面流量中的威胁行为数据进行识别。综合静态检测和动态监测的检测结果,即对用户面流量中的APT攻击进行检测判断。
[0063] 图3为一个实施例中上述步骤判断用户面流量中是否存在高级可持续威胁的流程示意图,如图3所示,在上述技术方案的基础上,步骤S120还可以包括:
[0064] 步骤S125:当用户面流量中存在威胁特征和/或威胁行为时,根据威胁特征和/或威胁行为生成威胁指数。
[0065] 步骤S126:判断威胁指数是否超过预设的威胁阈值参数。
[0066] 步骤S127:当威胁指数超过威胁阈值参数时,判断用户面流量中存在高级可持续威胁。
[0067] 具体地,当通过静态检测和动态监测的方式监测到用户免流量中的威胁特征数据或威胁行为数据后,需要对其是否为APT攻击进行判定。具体可以预先设定威胁指数系统和威胁指数阈值,对检测到的威胁特征或威胁行为进行评估,生成威胁特征或威胁行为所对应的威胁指数,若该威胁指数未超过预设的威胁阈值参数,说明该威胁特征或威胁行为并不构成APT攻击,若该威胁指数超过预设的威胁阈值参数,则说明该威胁特征或威胁行为是APT攻击,需要对其进行溯源,从而为APT攻击事件提供快速响应和安全保障。
[0068] 图4为一个实施例中上述步骤对用户面流量进行静态检测,以判断用户面流量中是否存在威胁特征的流程示意图,如图4所示,在上述技术方案的基础上,步骤S121具体可以包括:
[0069] 步骤S1212:根据协议配置从用户面流量中还原出源文件。
[0070] 步骤S1214:加载威胁特征库,基于威胁特征库对源文件进行特征检测,以判断源文件中是否存在威胁特征。
[0071] 具体地,在对用户面流量进行静态检测时,首先需要对流量数据中通过HTTP/FTP/IMAP/POP/SMTP等协议传输的各类文件进行还原提取,还原出源文件后,通过威胁特征库检测源文件中是否有符合威胁特征的数据。威胁特征库可以为预先建立的,也可以为导入的第三方数据库,威胁特征库的种类和容量可以根据具体检测需求确定,例如在一个优选的实施例中,威胁特征库具体可以包括病毒特征库、黑白文件HASH库、入侵特征库、攻击特征库、恶意IP/URL/域名库等,从而可以有效地对已知的木马、病毒、漏洞、恶意代码等符合威胁特征的流量数据做进行精准检测,以判断用户面流量中是否存在APT攻击。
[0072] 图5为一个实施例中上述步骤对用户面流量进行动态检测,以判断用户面流量中是否存在威胁行为的流程示意图,如图5所示,在上述技术方案的基础上,步骤S123具体可以包括:
[0073] 步骤S1232:基于历史异常访问数据进行机器学习,建立威胁行为识别模型。
[0074] 步骤S1234:对用户面流量进行流量分析,对分析得到的可疑流量进行标记。
[0075] 步骤S1236:通过威胁行为识别模型对标记的可疑流量进行行为检测,判断是否存在威胁行为。
[0076] 具体地,在对用户面流量进行动态检测时,需要建立威胁行为识别模型,可以获取以往的异常协议、异常流量、动态域名、隐蔽信道等异常访问数据,根据这些历史异常数据,通过采用时间序列分析法、KillChain分析法、实体‑关系分析法等机器学习方法建立威胁行为识别模型,从而为动态检测提供检测依据。在对用户面流量进行还原分析后,可以通过威胁行为识别模型对筛选标记出来的可以流量进行检测,从而在可疑流量中检测出木马通信行为、隐蔽隧道行为、DGA域名行为、WEBSHELL控制行为、敏感信息泄露以及窃取行为等威胁行为,从而判断用户面流量中是否存在APT攻击。
[0077] 图6为一个实施例中高级可持续威胁溯源系统的模块示意图,如图6所示,在一个实施例中,一种高级可持续威胁溯源系统20,包括信令解析平台500和威胁预警平台600:其中,信令解析平台500包括第一流量接收模块520,用于接收核心网的信令流量;流量解析模块540,用于从信令流量中解析出用户信息,用户信息包括地址信息和注册信息;信息分发模块560,用于将用户信息发送至威胁预警平台。威胁预警平台600包括信息存储模块620,用于接收用户信息,并根据用户信息生成用户信息表;第二流量接收模块640,用于接收核心网的用户面流量;威胁检测模块660,用于对用户面流量进行威胁检测,判断用户面流量中是否存在高级可持续威胁;信息查询模块680,用于当判断存在高级可持续威胁时,从用户面流量中获取威胁用户地址,并在用户信息表中查询与威胁用户地址对应的威胁用户注册信息。
[0078] 具体地,高级可持续威胁溯源系统20可以部署在核心网侧,高级可持续威胁溯源系统20中包括信令解析平台500以及威胁预警平台600。信令解析平台500中的信息分发模块560与威胁预警平台600中的信息存储模块620通信连接。在进行APT检测时,信令解析平台500的第一流量接收模块520从5G核心网中采集信令流量,具体可以从UE和AMF之间采集N1接口流量,从(R)AN和AMF之间采集N2接口流量,以及从AMF和SMF之间采集N11口流量。第一流量接收模块520将采集到的信令流量发送给流量解析模块540。流量解析模块540对接收到的信令流量数据进行解析,提取其中所需要的用户信息,用户信息具体可以包括用户IP和TEID等地址信息,以及IMSI、MSISDN、TAC以及APN等用户注册信息。信息分发模块560将流量解析模块540提取的这些信息发送给威胁预警平台600。
[0079] 威胁预警平台600的信息存储模块620接收到这些用户信息后,以用户IP和TEID为KEY,建立用户信息查询表并进行存储,以供后续溯源使用。威胁预警平台600的第二流量接收模块640从5G核心网中采集用户面流量,具体可以从(R)AN和UPF之间采集N3接口流量,第二流量接收模块640将获取的用户免流量发送给威胁检测模块660。威胁检测模块660可以接收到的用户面流量进行静态检测和动态监测等操作,以判断用户面流量中是否存在APT攻击。如果判断用户面流量中存在APT攻击,信息查询模块680提取该APT攻击的用户IP和TEID,并据此在信息存储模块620建立的用户信息表中进行查询,获取发起APT攻击的IMSI、MSISDN、TAC以及APN等用户注册信息,从而将攻击源和具体用户关联起来,并定位攻击发起人的位置信息,快速准确地实现了APT攻击的溯源。
[0080] 上述高级可持续威胁溯源系统20,通过对信令流量进行解析得到用户信息表,在对用户面流量进行检测时,可以根据监测到威胁的地址信息,在用户信息表中查询到对应的用户注册信息,从而实现快速准确地完成对高级可持续威胁攻击的溯源。
[0081] 图7为一个实施例中高级可持续威胁溯源系统的结构示意图,如图7所示,在一个具体的实施例中,在上述技术方案的基础上,在高级可持续威胁溯源系统20中,信令解析平台500还包括信息封装模块550,用于将流量解析模块540解析的数据封装成UDP格式数据包,以便于信息分发模块560将封装好的UDP用户信息数据包以DPDK方式或SOCKET方式发送给威胁预警平台600。
[0082] 威胁预警平台600还包括还原分析模块650,还原分析模块650具体可以包括还原单元652以及分析单元654。其中,还原单元652用于根据协议配置从用户面流量中还原出源文件,将用户面流量中通过HTTP/FTP/IMAP/POP/SMTP等协议传输的各类文件进行还原提取。分析单元654用于对户面流量进行流量分析,实现对异常协议,异常流量,动态域名,隐蔽信道等可疑流量数据的标记及统计。
[0083] 进一步地,威胁检测模块660具体可以包括静态检测单元662和/或动态监测单元664。其中,静态检测单元662用于对用户面流量进行静态检测,以判断用户面流量中是否存在威胁特征,静态检测单元662可以加载威胁特征库对用户面流量进行特征检测,威胁特征库可以为预先建立的,也可以为导入的第三方数据库,威胁特征库的种类和容量可以根据具体检测需求确定,例如在一个优选的实施例中,威胁特征库具体可以包括病毒特征库、黑白文件HASH库、入侵特征库、攻击特征库、恶意IP/URL/域名库等,从而使静态检测单元662可以有效地对已知的木马、病毒、漏洞、恶意代码等符合威胁特征的流量数据做进行精准检测。
[0084] 动态检测单元664用于对用户面流量进行动态检测,以判断用户面流量中是否存在威胁行为,动态检测单元664通过建立威胁行为识别模型对用户面流量进行威胁行为检测。动态检测单元664可以获取以往的异常协议、异常流量、动态域名、隐蔽信道等异常访问数据,根据这些历史异常数据,通过采用时间序列分析法、KillChain分析法、实体‑关系分析法等机器学习方法建立威胁行为识别模型,从而使动态检测单元664可以在可疑流量中检测出木马通信行为、隐蔽隧道行为、DGA域名行为、WEBSHELL控制行为、敏感信息泄露以及窃取行为等威胁行为。
[0085] 威胁预警平台600还包括威胁判定单元670以及攻击溯源模块690,威胁判定单元670用于根据静态检测单元662以及动态检测单元664对于用户面流量中威胁特征和威胁行为的检测结果生成威胁指数,并判断威胁指数是否超过预设的威胁阈值参数,从而确定用户面流量中是否存在高级可持续威胁。若威胁判定单元670判断用户面流量中存在APT攻击,则攻击溯源模块690根据信息查询模块680确定的用户注册信息对其进行溯源,从而为APT攻击事件提供快速响应和安全保障。
[0086] 可以理解的是,本发明实施例所提供的高级可持续威胁溯源系统可执行本发明任意实施例所提供的高级可持续威胁溯源方法,具备执行方法相应的功能模块和有益效果。上述实施例中高级可持续威胁溯源系统所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
[0087] 在一个实施例中,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可以在处理器上运行的计算机程序。处理器在运行该程序时可以执行如下步骤:接收核心网的信令流量;从信令流量中解析出用户信息,用户信息包括地址信息和注册信息;基于用户信息生成用户信息表;接收核心网的用户面流量;对用户面流量进行威胁检测,判断用户面流量中是否存在高级可持续威胁;当判断存在高级可持续威胁时,从用户面流量中获取威胁用户地址,并在用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。
[0088] 可以理解的是,本发明实施例所提供的一种计算机设备,其处理器执行存储在存储器上的程序不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的高级可持续威胁溯源方法中的相关操作。
[0089] 进一步地,上述计算机中处理器的数量可以是一个或多个,处理器与存储器可以通过总线或其他方式连接。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至设备/终端/服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0090] 在一个实施例中,本发明还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时可以使得处理器执行如下步骤:接收核心网的信令流量;从信令流量中解析出用户信息,用户信息包括地址信息和注册信息;基于用户信息生成用户信息表;接收核心网的用户面流量;对用户面流量进行威胁检测,判断用户面流量中是否存在高级可持续威胁;当判断存在高级可持续威胁时,从用户面流量中获取威胁用户地址,并在用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。
[0091] 可以理解的是,本发明实施例所提供的一种包含计算机程序的计算机可读存储介质,其计算机可执行的程序不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的高级可持续威胁溯源方法中的相关操作。
[0092] 通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read‑Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例中所述的方法。
[0093] 以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0094] 以上所述实施例仅表达了本发明的较佳实施例及所运用技术原理,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明专利的保护范围由所附的权利要求范围决定。