[发明专利]一种APT攻击检测方法和装置

权利要求书

1.一种高级持续性威胁APT攻击检测方法，其特征在于，包括：

获取待检测数据报文；

按设定的分类标准，对所述待检测数据报文进行分类；

对每类数据报文，进行特征项可疑性分析；所述特征项可疑性分析包括如下项目中的一个或多个：周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析；

根据各类数据报文的特征项可疑性分析结果，确定APT攻击检测结果；

其中，在所述待检测数据报文的分类结果中包括传输控制协议TCP数据报文的情况下；

对所述传输控制协议TCP数据报文进行所述周期性分析，包括：

对TCP SYN报文或对TCP PSH及ACK报文进行特征提取；其中，提取的特征包括：时间戳、IP地址信息、端口号信息和报文的负载净荷大小；

将提取的时间戳按照IP地址信息、端口号信息以及负载净荷大小为聚类条目进行保存；

在设定的时间窗口之内，检测是否相同聚类条目的连续N个TCP SYN报文或者TCP PSH及ACK报文满足其任两个连续报文时间间隔差均大于设定的时间间隔差阈值，以及这些连续的时间间隔差的差值在设定的差值阈值之内，若是，则判定为具有周期性，否则，不具有周期性。

2.如权利要求1所述的方法，其特征在于，所述按设定的分类标准，对所述待检测数据报文进行分类，包括：

按照数据报文的传输层协议以及使用的端口号，将所述待检测数据报文分为传输控制协议TCP数据报文和域名系统DNS数据报文。

3.如权利要求2所述的方法，其特征在于，

对所述TCP数据报文，进行特征项可疑性分析，包括如下分析中的一个或多个：对TCPSYN报文进行周期性分析、对TCP PSH及ACK报文进行周期性分析、以及对TCP PSH及ACK报文进行数据统计异常分析；

对所述DNS数据报文，进行特征项可疑性分析，包括如下分析中的一个或多个：对DNS数据报文进行协议解析异常分析、周期性分析、以及平均负载大小异常分析。

4.如权利要求3所述的方法，其特征在于，所述对TCP PSH ACK报文进行数据统计异常分析，包括：

计算设定的Tpa时间内TCP PSH及ACK报文计数是否大于设定阈值Npa，若大于，则判定为数据统计异常，否则，判定为数据统计未有异常。

5.如权利要求3所述的方法，其特征在于，所述对DNS数据报文进行周期性分析，包括：

检测DNS数据报文是否为DNS查询报文且查询数为1，并在是的情况下，对DNS查询报文的时间戳按照原IP地址和域名对进行聚类保存，并每过设定的t时间记录每个聚类条目的DNS查询报文数量；

在每个t时间内记录同一聚类条目的查询次数，则在T时间内得到n个数据记录，形成每个聚类条目的DNS查询报文序列；其中，T＝n*t；

基于所述DNS查询报文序列，利用设定的周期算法，得到各聚类条目下的DNS查询报文序列的周期性强弱指数，判断各所述周期性强弱指数是否大于设定阈值，若是，则判定具有周期性，否则，判定为不具有周期性。

6.如权利要求3所述的方法，其特征在于，所述对DNS数据报文进行平均负载大小异常分析，包括：

将所述DNS数据报文的应用层协议负载大小按照原宿IP地址对进行聚类保存；

计算设定的时间窗口Tdns内同一聚类条目的双向DNS数据报文的平均负载字节数；

判断平均负载字节数是否超过设定的Ndns字节，若是，则判定为平均负载大小异常；否则，判定为平均负载大小未有异常。

7.如权利要求1至6任意一项所述的方法，其特征在于，所述对每类数据报文，进行特征项可疑性分析后，还包括：当分析的特征项可疑时，产生告警并输出告警信息。