[发明专利]一种APT攻击检测方法和装置

说明书

本发明公开了一种APT攻击检测方法和装置，所述方法包括：获取待检测数据报文；按设定的分类标准，对所述待检测数据报文进行分类；对每类数据报文，进行特征项可疑性分析；所述特征项可疑性分析包括如下项目中的一个或多个：周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析；根据各类数据报文的特征项可疑性分析结果，确定APT攻击检测结果。本发明所述APT攻击检测方法和装置，通过采集的数据报文进行多个特征项可疑性分析，并根据可疑性分析结果对APT攻击进行综合判定，实现了通过对数据报文进行集中分析，有效的发现和追踪APT攻击。

技术领域

本发明涉及通信领域，尤其涉及一种APT(Advanced Persistent Threat，高级持续性威胁)攻击检测方法和装置。

背景技术

APT攻击与传统网络攻击在攻击方式和目的上有显著的区别。APT攻击的攻击技术更加复杂、攻击手段更加隐蔽，并且其目的在于窃取目标系统中的机密信息而非破坏目标系统。APT攻击利用目标系统的未知漏洞，定制专门的木马进行远程控制，通过隐蔽通道、加密数据进行通信以避免网络行为被检测，同时攻击持续数月甚至数年时间。

传统的安全防御系统无法通过对数据的集中分析快速定位威胁，实现APT安全事件预警、处置和跟踪。传统的入侵检测系统采用基于单主机、单时间点的检测方式，难以应对APT攻击的持续性、以及其不断渗透的特性，因而无法对APT攻击进行有效的发现和追踪。

发明内容

本发明提供一种APT攻击检测方法和装置，用以解决现有技术中无法对APT攻击进行有效的发现和追踪的问题。

依据本发明的一个方面，提供一种APT攻击检测方法，包括：

获取待检测数据报文；

按设定的分类标准，对所述待检测数据报文进行分类；

对每类数据报文，进行特征项可疑性分析；所述特征项可疑性分析包括如下项目中的一个或多个：周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析；

根据各类数据报文的特征项可疑性分析结果，确定APT攻击检测结果。

依据本发明的另一个方面，提供一种APT攻击检测装置，包括：

报文获取模块，用于获取待检测数据报文；

报文分类模块，用于按设定的分类标准，对所述待检测数据报文进行分类；

特征分析模块，用于对每类数据报文，进行特征项可疑性分析；所述特征项可疑性分析包括如下项目中的一个或多个：周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析；

检测模块，用于根据各类数据报文的特征项可疑性分析结果，确定APT攻击检测结果。

本发明有益效果如下：

本发明所述APT攻击检测方法和装置，通过采集的数据报文进行多个特征项可疑性分析，并根据可疑性分析结果对APT攻击进行综合判定，实现了通过对数据报文进行集中分析，有效的发现和追踪APT攻击。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明第一实施例提供的一种APT攻击检测方法的流程图；