[发明专利]一种监测高级持续性网络攻击的方法和系统

权利要求书

1.一种监测高级持续性网络攻击的方法，其特征在于，所述方法包括：

截取并存储指定的网络数据及元数据在数据中心，形成网络数据及元数据库；

将获取的威胁情报进行分析，提取所述威胁情报中的攻击线索；

以所述攻击线索为检索条件，在所述网络数据及元数据库进行检索，提取攻击原始数据；

根据所述攻击原始数据，构建APT攻击的高阶特征；

根据所述高阶特性，监测网络实时数据是否为APT攻击。

2.根据权利要求1所述的方法，其特征在于，所述将获取的威胁情报进行分析，提取所述威胁情报中的攻击线索，包括：

通过机器学习算法对预设类型的网络数据内容进行检测发现攻击线索，并对获取的威胁情报进行分析，以及根据分析的结果调整所述攻击线索。

3.根据权利要求1或2所述的方法，其特征在于，所述攻击线索包括：攻击者使用的邮件标题、附件名称、恶意软件Hash值、DNS、IP、URL和策略文本内容中的一种或多种。

4.根据权利要求1所述的方法，其特征在于，所述高阶特征包括：攻击者是否使用扫描、扫描的端口、是否通过邮件攻击、攻击方式、语言能力、正文的主题和采用流量隐藏方法中的一种或多种。

5.根据权利要求1所述的方法，其特征在于，所述根据所述高阶特性，监测网络实时数据是否为APT攻击之后，所述方法还包括：

当所述网络实时数据为正在实施的APT攻击时，生成威胁情报。

6.一种监测高级持续性网络攻击的系统，其特征在于，所述系统包括：

网络数据及元数据记录模块，用于截取并存储指定的网络数据及元数据；

威胁情报汇集及分析平台，用于将获取的威胁情报进行分析，提取所述威胁情报中的攻击线索；

分析平台，用于以所述攻击线索为检索条件，在所述网络数据及元数据库进行检索，提取攻击原始数据；

所述分析平台，还用于：根据所述攻击原始数据，构建APT攻击的高阶特征；

网络APT检测模块，用于根据所述高阶特性，监测网络实时数据是否为APT攻击。

7.根据权利要求6所述的系统，其特征在于，所述威胁情报汇集及分析平台，包括：

威胁情报导入单元，用于导入并格式化威胁情报；

威胁情报爬虫单元，用于爬取开源威胁情报；

威胁情报分析单元，对开源威胁情报进行关联和可视化分析，得出攻击线索。

8.根据权利要求6所述的系统，其特征在于，所述网络APT检测模块，包括：

平台接口单元，用于获取分析平台下发的APT攻击的高阶特征，并导入高阶特征检测单元；

所述高阶特征检测单元，根据APT攻击的高阶特征，监测网络实时数据是否为APT攻击。