(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221094826 5.9 (22)申请日 2022.08.08 (71)申请人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼103 (72)发明人 蔡晶晶　陈俊　韩顺闯　韩伟召　 (74)专利代理 机构 北京轻创知识产权代理有限 公司 11212 专利代理师 姚晓丽 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种APT攻击识别方法、 装置、 电子设备及介 质 (57)摘要 本发明涉及一种APT攻击识别方法、 装置、 电 子设备及介质， 该方法包括： 获取针对待检测对 象的网络攻击相关信息； 从 网络攻击相关信息中 提取APT攻击特征； 根据APT攻击特征， 通过特征 检测、 行为检测和机器学习分别进行多维度的威 胁点检测， 得到待检测对象的第一APT攻击识别 结果、 第二AP T攻击识别结果和第三APT 攻击识别 结果； 根据第一APT攻击识别结果、 第二APT攻击 识别结果和第三APT攻击识别结果， 确定待检测 对象的目标APT攻击识别结果。 通过本发明的方 法， 将特征检测、 行为检测、 机器学习根据各个检 测点的特点应用不同的检测方法， 能够有效的提 升检测效率， 降低误报。 权利要求书2页 说明书16页 附图3页 CN 115378670 A 2022.11.22 CN 115378670 A 1.一种APT攻击识别方法， 其特 征在于， 包括： 获取针对待检测对象的网络攻击相关信息； 从所述网络攻击相 关信息中提取APT攻击特征， 所述APT攻击特征包括告警信息、 网络 行为信息、 操作系统信息、 账号信息、 网络监测特 征和协议 解析信息； 根据所述APT攻击特征， 通过特征检测、 行为检测和机器学习分别进行多维度的威胁点 检测， 得到所述待检测对象 的第一APT攻击识别结果、 第二APT攻击识别结果和第三APT攻击 识别结果； 根据所述第一APT攻击识别结果、 所述第二APT攻击识别结果和所述第三APT攻击识别 结果， 确定所述待检测对象的目标APT攻击识别结果。 2.根据权利要求1所述的方法， 其特征在于， 所述网络攻击相关信息包括防火墙日志、 IDS日志、 WAF日志、 网络审计日志、 僵木儒日志、 服务器日志、 4A审计日志、 流量日志、 EDR信 息； 所述从所述网络攻击相关信息中提取APT攻击特 征， 包括： 从所述防火墙日志、 ID S日志、 WAF日志和所述僵 木儒日志中提取 所述告警信息； 从所述网络审计日志中提取 所述网络行为信息； 从所述服务器日志中提取 所述操作系统信息； 从所述4A审计日志中提取 所述账号信息； 从所述流量日志中提取 所述网络监测特 征和所述协议 解析信息； 从所述EDR信息中提取所述网站相 关信息， 所述APT攻击特征包括所述告警信息、 网络 行为信息、 协议 解析信息、 第二网络监测特 征、 账号信息和网站相关信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述APT攻击特征， 通过特征检 测、 行为检测和机器学习分别进 行多维度的威胁点检测， 得到所述待检测对象 的第一APT攻 击识别结果、 第二APT攻击识别结果和第三APT攻击识别结果， 包括： 根据所述APT攻击特征进行多维度的威胁点检测， 得到多维度的威胁特征， 所述多维度 的威胁特征包括访问威胁特征、 入侵威胁特征、 通信威胁特征、 横向渗透威胁特征、 数据安 全威胁特 征、 痕迹清理威胁特 征和用户行为 威胁特征； 根据所述多维度的威胁特征， 通过特征检测、 行为检测和机器学习分别确定所述待检 测对象的第一APT攻击识别结果、 第二APT攻击识别结果和第三APT攻击识别结果。 4.根据权利要求3所述的方法， 其特征在于， 所述网络监测特征中包括所述待检测对象 对应的第一域名； 所述通信威胁特征中包括异常域名检测结果， 所述异常域名检测结果是 通过以下 方式确定的： 根据所述第一域名， 通过预先建立的自然语言处理模型， 对所述第一域名进行分词处 理， 得到所述第一域名对应的多个字符， 其中， 所述自然语言处理模 型是基于多层感知机的 算法确定的； 根据各个所述字符和预设的异常域名， 确定所述待检测对应的异常域名检测结果， 所 述异常域名检测结果包括第一 域名为异常域名， 或第一 域名为正常域名。 5.根据权利要求1至4中任一项所述的方法， 其特征在于， 所述目标APT攻击识别结果为 存在APT攻击或不存在APT攻击， 所述方法还 包括： 若所述目标APT攻击识别结果为存在APT攻击， 根据所述目标APT攻击识别结果， 确定所权　利　要　求　书 1/2 页 2 CN 115378670 A 2述待检测对象的告警结果， 所述告警结果包括源IP、 目的IP、 攻击名称， 攻击样 本名称、 告警 时间、 第一 危险级别、 行为 参数、 响应方式和告警类型中的至少一项。 6.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 根据所述源IP或者所述目标IP， 对所述多维度的威胁特 征进行关联分析； 当所述源IP或者所述目标IP命中所述多维度的威胁特征， 输出第二危 险级别， 所述第 二危险级别高于所述第一 危险级别。 7.根据权利要求1至4中任一项所述的方法， 其特征在于， 从所述网络攻击相关信息中 提取APT攻击特 征之前， 所述方法还 包括： 对所述网络攻击相关信息进行预处理， 得到预处理后的网络攻击相关信息， 所述预处 理包括数据清洗、 数据格式统一处 理和数据补齐处 理中的至少一种。 8.一种APT攻击识别装置， 其特 征在于， 包括： 数据获取模块， 用于获取针对待检测对象的网络攻击相关信息； APT攻击特征提取模块， 用于从所述网络攻击相关信息中提取APT攻击特征， 所述APT攻 击特征包括告警信息、 网络行为信息、 操作系统信息、 账号信息、 网络监测特征和协议解析 信息； 识别模块， 用于根据所述APT攻击特征， 通过特征检测、 行为检测和机器学习分别进行 多维度的威胁点检测， 得到所述待检测对象的第一APT攻击识别 结果、 第二APT攻击识别 结 果和第三APT攻击识别结果； 识别结果确定模块， 用于根据所述第一APT攻击识别结果、 所述第二APT攻击识别结果 和所述第三APT攻击识别结果， 确定所述待检测对象的目标APT攻击识别结果。 9.一种电子设备， 其特征在于， 包括存储器、 处理器及存储在存储器上并可在处理器上 运行的计算机程序， 所述处理器执行所述计算机程序时实现权利要求1 ‑7中任一项所述的 方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115378670 A 3