[发明专利]一种APT检测系统及装置有效
| 申请号: | 201611091570.1 | 申请日: | 2016-12-01 |
| 公开(公告)号: | CN108134761B | 公开(公告)日: | 2021-05-04 |
| 发明(设计)人: | 吴建华;王继刚;成黎 | 申请(专利权)人: | 中兴通讯股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 广州嘉权专利商标事务所有限公司 44205 | 代理人: | 黄广龙 |
| 地址: | 518057 广东省深圳市南山*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 apt 检测 系统 装置 | ||
1.一种高级持续性威胁APT检测系统,其特征在于,包括:异常流量分析单元、终端防御单元、动态分析单元,其中,
终端防御单元,用于将可疑的文件样本输出给动态分析单元;根据来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理;
动态分析单元,用于对接收到的文件样本进行沙箱检测分析,将分析得到的恶意网络信息输出给异常流量分析单元;
异常流量分析单元,用于根据接收到的恶意网络信息优化自身的策略配置;检测到来自终端的异常流量后向所述终端防御单元发送通知消息。
2.根据权利要求1所述的APT检测系统,其特征在于,
所述动态分析单元还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行沙箱检测分析,并将沙箱检测分析结果输出给所述终端防御单元,将分析得到的恶意网络信息输出给所述异常流量分析单元。
3.根据权利要求1所述的APT检测系统,其特征在于,所述动态分析单元还用于:将所述沙箱检测分析结果输出给终端防御单元;
所述终端防御单元还用于:根据来自动态分析单元的沙箱检测分析结果获取恶意网络信息并输出给异常流量分析单元。
4.根据权利要求1~3任一项所述的APT检测系统,其特征在于,所述通知消息中携带有恶意网络信息。
6.根据权利要求1~3任一项所述的APT检测系统,其特征在于,
所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间通过管理中心查询交互对端的地址以发起信息交互;
或者,所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间经由管理中心向对端转发交互的信息。
7.一种APT检测装置,其特征在于,包括第一交互模块,第一处理模块,第二处理模块,第二交互模块;其中,
第一交互模块,用于将可疑的文件样本输出给服务器端的动态分析模块;
第一处理模块,用于根据来自所述服务器端的异常流量分析单元的通知消息对相关的恶意网络行为进行处理;
第二处理模块,用于对接收到的来自终端的文件样本进行沙箱检测分析;
第二交互模块,用于将分析得到的恶意网络信息输出给异常流量分析单元。
8.根据权利要求7所述的APT检测装置,其特征在于,所述第一处理模块还用于:根据来自动态分析单元的沙箱检测分析结果获取恶意网络信息并输出给异常流量分析单元。
9.根据权利要求8所述的APT检测装置,其特征在于,所述第二处理模块还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行沙箱检测分析;
所述第二交互模块还用于:将沙箱检测分析结果输出给终端防御单元,将分析得到的恶意网络信息输出给异常流量分析单元。
10.根据权利要求8所述的APT检测装置,其特征在于,所述第二交互模块还用于:将所述沙箱检测分析结果输出给终端防御单元。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中兴通讯股份有限公司,未经中兴通讯股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611091570.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:网站监测数据获取方法及装置
- 下一篇:投放资源预定方法及装置
