[发明专利]检测威胁攻击的方法、装置、设备和存储介质

权利要求书

1.一种利用访问关系检测高级持续性威胁攻击的方法，其特征在于，所述方法包括：

获取业务资产，并根据所述业务资产确定业务访问关系的业务访问策略的类型，其中所述业务访问策略的类型包括业务必须访问策略和业务非必须访问策略；

根据所述业务资产对所述业务访问关系进行梳理，生成网络访问控制列表；

若所述业务访问关系中的业务访问策略为所述业务非必访问策略，则将所述业务访问策略定义为拒绝；

检测服务器流量，将所述服务器流量与所述网络访问控制列表进行匹配，将业务访问策略为拒绝的所述服务器流量确定为高级持续性威胁，并进行告警。

2.根据权利要求1所述的利用访问关系检测高级持续性威胁攻击的方法，其特征在于，获取业务资产，并根据所述业务资产确定业务访问关系的业务访问策略的类型，包括：

获取所述业务资产，将所述业务资产分为核心资产信息和非核心资产信息；

根据所述核心资产信息确定所述业务访问关系的所述访问策略的类型。

3.根据权利要求2所述的利用访问关系检测高级持续性威胁攻击的方法，其特征在于，

所述核心资产信息包括核心资产名称、核心资产IP地址、核心资产承载应用；

所述非核心资产信息包括非核心资产名称和非核心资产IP地址。

4.根据权利要求3所述的利用访问关系检测高级持续性威胁攻击的方法，其特征在于，

所述核心资产承载应用包括应用名称、应用使用协议类型、应用端口号。

5.根据权利要求4所述的利用访问关系检测高级持续性威胁攻击的方法，其特征在于，根据所述业务资产对所述业务访问关系进行梳理，生成网络访问控制列表，包括：

通过BP神经网络与D-S证据理论，根据所述业务资产对所述业务访问关系进行梳理，生成基于五元组访问信息的所述网络访问控制列表；

其中，所述五元组访问信息包括源IP、目的IP、目的端口、协议、所述业务访问策略。

6.根据权利要求5所述的利用访问关系检测高级持续性威胁攻击的方法，其特征在于，通过BP神经网络与D-S证据理论，根据所述业务资产对所述业务访问关系进行梳理，生成基于五元组访问信息的所述网络访问控制列表，包括：

通过所述BP神经网络对所述核心资产信息进行调整；

将调整后的所述核心资产信息作为输入，通过所述D-S证据理论的D-S证据组合公式进行相互组合，生成基于五元组访问信息的所述业务访问关系的所述网络访问控制列表；

所述D-S证据组合公式为：

M(φ)＝0,A＝φ，

其中，M(A)为A的基本概率数，∑M(A)＝1,A_i表示所述核心资产信息。

7.根据权利要求5或6所述的利用访问关系检测高级持续性威胁攻击的方法，其特征在于，检测服务器流量，将所述服务器流量与所述网络访问控制列表进行匹配，将业务访问策略为拒绝的服务器流量确定为高级持续性威胁，并进行告警，包括：

检测服务器流量，并分析所述服务器流量的五元组访问信息生成访问记录；

将所述访问记录与所述网络访问控制列表进行匹配，将业务访问策略为拒绝的所述访问记录确定为所述高级持续性威胁，并进行告警。

8.一种利用访问关系检测高级持续性威胁攻击的装置，其特征在于，所述装置包括：

获取单元，用于获取业务资产，并根据所述业务资产确定业务访问关系的业务访问策略的类型，其中所述业务访问策略的类型包括业务必须访问策略和业务非必须访问策略；

生成单元，用于根据所述业务资产对所述业务访问关系进行梳理，生成网络访问控制列表；

定义单元，用于若所述业务访问关系中的业务访问策略为所述业务非必访问策略，则将所述业务访问策略定义为拒绝；

告警单元，用于检测服务器流量，将所述服务器流量与所述网络访问控制列表进行匹配，将业务访问策略为拒绝的所述服务器流量确定为高级持续性威胁，并进行告警。