(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111362550.4 (22)申请日 2021.11.16 (71)申请人 南京南瑞信息通信科技有限公司 地址 210003 江苏省南京市 鼓楼区南瑞路8 号 (72)发明人 贾雪　姜训　张付存　王晔　郭靓　 余军　徐胜国　俞皓　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 代理人 俞翠华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 针对APT攻击的安全编排与自动化响应方 法、 装置及系统 (57)摘要 本发明公开了一种针对APT攻击的安全编排 与自动化响应方法、 装置及系统， 所述方法包括 获取日志数据； 获取本地威胁情报库， 所述本地 威胁情报库中包括威胁主体信息、 访问方式信 息， 攻击目标信息和攻击指标信息， 用于进行威 胁的判断和分析； 基于人工智 能方法， 对所述日 志数据进行规则匹配， 生成安全威胁事件告警； 利用所述本地威胁情报库对所述安全威胁事件 告警进行分析， 识别出告警数据； 对识别出的告 警数据进行告警严重程度划分， 根据预设的告警 严重程度与响应剧本的关联关系， 对攻击源进行 响应操作， 并通报预警。 本发明能够实现安全响 应的速度和效率高， 平均故障响应时间短， 大幅 提升了安全运营的效能和成熟度。 权利要求书2页 说明书6页 附图1页 CN 114070629 A 2022.02.18 CN 114070629 A 1.一种针对APT攻击的安全编排与自动化响应方法， 其特 征在于， 包括： 获取日志数据； 获取本地威胁情报库， 所述本地威胁情报库中包括威胁主体信 息、 访问方式信 息， 攻击 目标信息和攻击指标信息， 用于进行威胁的判断和分析； 基于大数据、 人工智能分析技术， 对所述日志数据进行预处理及监测分析， 生成安全威 胁事件告警； 利用所述本地 威胁情报库对所述 安全威胁事 件告警进行分析， 识别出告警数据； 对识别出的告警数据根据预设剧本， 进行攻击源的威胁情报分析及针对影响资产的漏 洞的研判取证； 对告警根据预设剧本进行响应操作， 并通报预警。 2.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述日志数据的获取 方法包括： 利用蜜罐获取攻击模式趋势数据； 利用流量威胁探针识别攻击者试图利用的漏洞， 分析出攻击者使用的攻击所需的基本 信息。 3.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述本地 威胁情报库的获取 方法包括： 通过爬虫脚本或第三方接口从外部开源威胁情报库中收集告警信息， 并进行告警分 析； 基于告警分析结果， 提取出威胁主体信息、 访问方式信息、 攻击目标信息、 攻击指标信 息， 并范式化STIX 标准化格式， 形成本地 威胁情报库。 4.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述安全威胁事 件告警的生成方法包括： 对所述日志数据进行 数据聚合和分解， 得到范式化日志数据； 将所述范式化日志数据， 通过人工智能方法和规则匹配方法进行学习， 找到最精确的 规则模型， 进 而得到安全威胁事 件告警。 5.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述告警数据的识别方法包括： 基于安全威胁事件告警中告警事件的攻击源IP， 利用所述本地威胁情报库进行分析， 对于误报告警数据， 标记误报， 并将误报告警数据反馈 至所述本地 威胁情报库； 对于非误报告警数据， 则基于所述本地威胁情报库， 利用研判取证和漏洞分析对非误 报告警数据进行攻击取证， 并向安全专 家展示。 6.根据权利要求5所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述研判取证包括： 情 报取证和网络取证； 所述情报取证具体为： 通过收集威胁情报追踪攻击者IP、 域名， 发现攻击者留下的痕 迹， 分析出攻击者的TTPs战略战术及过程； 通过特征分析， 流量载荷研判， 发现网络失陷主 机， 自动化识别目的性黑客的攻击意图； 整理上述收集到的威胁情报信息， 反馈至本地情报 库， 实现对攻击者的溯源， 为 安全运维人员决策响应做 支撑； 所述网络取证具体为： 包括查找C2服务器、 Whois、 DNS解析记录， 记录 网络连接信息； 分 析采样样本， 通过关联分析， 获取攻击过程中的证据信息 。权　利　要　求　书 1/2 页 2 CN 114070629 A 27.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述漏洞分析 具体为： 针对本次攻击利用的漏洞， 采用PoC技术对告警影响的主机资产进行漏洞 验证， 并对存 在漏洞资产进行主机加固， 同时对本区域所有资产与改漏洞进行特征匹配， 预警可能被该 类攻击利用的漏洞资产， 并下发漏洞预警单。 8.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法， 其特征在 于， 所述对攻击源进行响应操作， 包括： 全局封堵验证、 主机隔离、 主机清理和主机加固； 所 述全局封堵验证包括： 联动防火墙设备， 通过调用第三方接口， 实现黑名单IP地址网络层自 动阻断， 及域名封堵， 从网络层面进行访问控制， 然后通过自动化测试工作进行验证； 所述主机隔离包括： 通过调用系统主机防火墙， 单独对主机进行策略配置， 进行访问控 制； 通过EDR服 务端， 对EDRa gent端发起对IP的访问请求， 确认主机隔离； 所述主机清理包括： 通过EDR服务端， 对agent端下发命令， 实现对异常进程、 病毒文件、 异常服务清理， 并查询确认； 所述主机加固包括： 通过SOAR平台下发响应策略， 补丁分发、 服务加固、 个人防火墙加 固。 9.一种针对APT攻击的安全编排与自动化响应装置， 其特 征在于， 包括： 第一获取模块， 用于获取日志数据； 第二获取模块， 获取本地威胁情报库， 所述本地威胁情报库中包括威胁主体信 息、 访问 方式信息， 攻击目标信息和攻击指标信息， 用于进行威胁的判断和分析； 安全威胁事件告警生成模块， 用于基于大数据、 人工智能分析技术， 对所述日志数据进 行预处理及监测分析， 生成安全威胁事 件告警； 告警数据识别模块， 用于利用所述本地威胁情报库对所述安全威胁事件告警进行分 析， 识别出告警数据； 响应剧本模块， 用于对识别出的告警数据根据预设剧本， 进行攻击源的威胁情报分析 及针对影响资产的漏洞的研判取证； 对告警根据预设剧本进行响应操作， 并通报预警。 10.一种针对APT攻击的安全编排与自动化响应装置， 其特 征在于， 包括： 检测设备， 用于获取日志数据； 大数据智能分析模块， 与所述检测设备相连， 基于基于大数据、 人工智能分析技术， 对 所述日志数据进行 预处理及监测分析， 生成安全威胁事 件告警； 本地威胁情报库， 研判取证模块和漏洞分析模块， 二者均与所述本地威胁情报库相连， 利用所述本地威 胁情报库对所述 安全威胁事 件告警进行分析， 识别出告警数据； 响应剧本模块， 分别与所述研判取证模块和漏洞分析模块相连， 对识别出的告警数据 根据预设剧本， 进行攻击源的威胁情报分析及针对影响资产的漏洞的研判 取证； 对告警根 据预设剧本进行响应操作， 并通报预警。 11.一种针对APT攻击的安全编排与自动化响应系统， 其特征在于： 包括存储介质和 处 理器； 所述存储介质用于存 储指令； 所述处理器用于根据所述指令进行操作以执行根据权利要求1 ‑8中任一项所述的 方法。权　利　要　求　书 2/2 页 3 CN 114070629 A 3