(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210915413.7 (22)申请日 2022.08.01 (65)同一申请的已公布的文献号 申请公布号 CN 115001868 A (43)申请公布日 2022.09.02 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 康吉金　樊兴华　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 钟扬飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/3015(2022.01) H04L 61/4511(2022.01)(56)对比文件 CN 113868656 A,2021.12.31 CN 106657025 A,2017.0 5.10 CN 110198303 A,2019.09.0 3 CN 113965392 A,2022.01.21 CN 105141598 A,2015.12.09 CN 106685803 A,2017.0 5.17 CN 111651591 A,2020.09.1 1 CN 1082594 49 A,2018.07.0 6 CN 108833437 A,2018.1 1.16 CN 112765366 A,2021.0 5.07 CN 105721416 A,2016.0 6.29 CN 113726775 A,2021.1 1.30 US 2022158944 A1,202 2.05.19 CN 110222715 A,2019.09.10 审查员 黎雨婷 (54)发明名称 APT攻击同源分析方法、 装置、 电子设备及存 储介质 (57)摘要 本申请提供一种APT攻击同源分析方法、 装 置、 电子设备及存储介质， 其中， APT攻击同源分 析方法包括： 基于样本域名计算APT组织的注册 习惯倾向度； 基于域名和APT组织的注册习惯倾 向度生成注册习惯同源知识库； 基于样本IP和/ 或域名生成JARM同源指纹库， JARM同源指纹库至 少包括样本IP与APT组织之间的对应关系； 基于 注册习惯同源知识库匹配可疑域名的注册习惯 倾向度， 和基于JARM同源指纹库匹配可疑IP的 JARM； 基于 可疑IP的JARM和可疑域名的注册习惯 倾向度确定可疑域名的同源分析结果。 本申请能 够在不利用域名的Whois信息中的注册邮箱和电 话等与身份强相关的信息的前提下， 对APT攻击 进行同源分析。 此外， 本申请既能够对域名进行 同源分析， 也能够对IP进行同源分析。 权利要求书2页 说明书11页 附图3页 CN 115001868 B 2022.10.11 CN 115001868 B 1.一种APT攻击同源分析 方法， 其特 征在于， 所述方法包括： 获取网络资产情 报， 所述网络资产情 报包括样本域名和样本IP； 基于所述样本域名计算APT组织的注册习惯倾向度， 其中， 所述APT组织的注册习惯倾 向度表征 所述样本域名为所述APT组织注 册的可能性； 基于所述 域名和所述APT组织的注 册习惯倾向度生成注 册习惯同源知识库； 当所述APT组织的注册习惯倾向度无法生成时， 基于所述样本IP和/或所述域名 生成 JARM同源指纹库， 所述JARM同源指纹库至少包括所述样本IP与APT组织之间的对应关系； 基于所述注册习惯同源知识库匹配可疑域名的注册习惯倾向度， 和基于所述JARM同源 指纹库匹配可疑IP的JARM； 基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源 分析结果和所述可疑IP的同源分析 结果； 以及， 所述基于所述样本域名计算APT组织的注 册习惯倾向度， 包括： 获取所述样本域名的Who is信息； 基于所述样本域名的Who is信息提取 特征信息； 基于同一特征信息的域名总数量和所述APT组织的所有域名总数量， 计算得到所述特 征信息的注 册习惯指数； 基于同一特征信息的域名总数量和所有所述APT组织的拥有的同一特征信息总数量， 计算得到所述特 征信息的近似概 率； 将所述特征信息的近似概率与所述特征信息的注册习惯指数相乘， 得到所述APT组织 的注册习惯倾向度； 以及， 所述特 征信息包括 Whois Server信息和Name  Server信息 。 2.如权利 要求1所述的方法， 其特征在于， 在所述基于所述可疑IP的JARM和所述可疑域 名的注册习惯倾向度确定所述可疑域名的同源分析 结果， 所述方法还 包括： 基于预设展示 规则展示所述可疑域名的同源分析 结果。 3.如权利要求1所述的方法， 其特 征在于， 所述获取 所述样本域名的Who is信息， 包括： 获取所述样本域名的初始Who is信息段； 当所述样本域名的初始Whois信息段为多人多次注册所产生时， 基于所述样本域名的 攻击时间从所述样本域名的初始Whois信息段中， 筛选出与所述样本域名的攻击时间相匹 配的注册段， 并得到所述样本域名的Who is信息。 4.如权利 要求3所述的方法， 其特征在于， 在所述获取所述样本域名的Whois信息之前， 所述方法还 包括： 对所述样本域名进行分类， 以将所述样本域名划分为一般域名、 免费域名、 区块链域 名、 动态域名中的一种类型的域名； 当所述样本域名为所述 一般域名时， 执 行所述获取 所述样本域名的Who is信息； 当所述样本域名为所述免费域名、 所述区块链域名、 所述动态域名中一种时， 则确定所 述APT组织的注 册习惯倾向度无法生成， 并执 行基于所述样本IP生成所述JARM同源指纹库。 5.如权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 将所述样本域名所属攻击事件的公开披露时所提及的攻击时间作为所述样本域名的 攻击时间；权　利　要　求　书 1/2 页 2 CN 115001868 B 2当所述样本域名所属攻击事件的公开披露时没有提及攻击时间时， 将所述样本域名所 属攻击事件的首次发现时间或所述样本域名所属攻击事件的样本编译时间， 作为所述样本 域名的攻击时间； 当所述样本域名所属攻击事件的公开披露时没有提及攻击时间， 且所述样本域名所属 攻击事件的首次发现时间或所述样本域名所属攻击事件的样本编译时间无法确定时， 将距 离所述样本域名所属攻击事 件最近的时间段作为所述样本域名的攻击时间。 6.一种APT攻击同源分析装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取网络资产情 报， 所述网络资产情 报包括样本域名和样本IP； 计算模块， 用于基于所述样本域名计算APT组织的注册习 惯倾向度， 其中， 所述APT组织 的注册习惯倾向度表征 所述样本域名为所述APT组织注 册的可能性； 第一生成模块， 用于基于所述域名和所述APT组织的注册习惯倾向度生成注册习惯同 源知识库； 第二生成模块， 用当所述APT组织的注册习惯倾向度无法生成时， 基于所述样本IP和/ 或所述域名生成JARM同源指纹库， 所述JARM同源指纹库至少包括所述样本IP与APT组织之 间的对应关系； 匹配模块， 用于基于所述注册习惯同源知识库匹配可疑域名的注册习惯倾向度， 和基 于所述JARM同源指纹库匹配可疑IP的JARM； 确定模块， 用于基于所述可疑IP的JARM和所述可疑域名的注册习 惯倾向度确定所述可 疑域名的同源分析 结果和所述可疑IP的同源分析 结果； 以及， 所述计算模块执行以及所述基于所述样本域名计算APT组织的注册习惯倾向度 的具体方式为： 获取所述样本域名的Who is信息； 基于所述样本域名的Who is信息提取 特征信息； 基于同一特征信息的域名总数量和所述APT组织的所有域名总数量， 计算得到所述特 征信息的注 册习惯指数； 基于同一特征信息的域名总数量和所有所述APT组织的拥有的同一特征信息总数量， 计算得到所述特 征信息的近似概 率； 将所述特征信息的近似概率与所述特征信息的注册习惯指数相乘， 得到所述APT组织 的注册习惯倾向度; 以及， 所述特 征信息包括 Whois Server信息和Name  Server信息 。 7.一种电子设备， 其特 征在于， 所述电子设备包括： 处理器； 以及 存储器， 配置用于存储机器可读指令， 所述指令在由所述处理器执行时， 执行如权利要 求1‑5任一项所述的APT攻击同源分析 方法。 8.一种存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计算机程序被处 理器执行如权利要求1 ‑5任一项所述的APT攻击同源分析 方法。权　利　要　求　书 2/2 页 3 CN 115001868 B 3