[发明专利]基于攻击行为分析的高级持续性威胁检测方法有效
| 申请号: | 201610307127.7 | 申请日: | 2016-05-10 |
| 公开(公告)号: | CN105871883B | 公开(公告)日: | 2019-10-08 |
| 发明(设计)人: | 施勇;薛质 | 申请(专利权)人: | 上海交通大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 上海汉声知识产权代理有限公司 31236 | 代理人: | 郭国中 |
| 地址: | 200240 *** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种基于攻击行为分析的高级持续性威胁检测方法,包括步骤1:接管系统内核所有程序执行管道;步骤2:将网卡设置为混淆模式,获取网络数据包,结合本地端口分析行为特征,若包含网络攻击行为的恶意操作指令,则系统告警;步骤3:枚举所有网络通道,若包含网络攻击行为的恶意操作指令,则系统告警;步骤4:监控文件操作,对关键信息进行判断,若不符合要求,则系统告警;步骤5:从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎,判断是否为攻击行为,若是则发出告警,若否,则继续返回执行步骤2。本发明能够检测高级持续性威胁,检测效率高,且较全面地分析攻击在系统层面的行为情况。 | ||
| 搜索关键词: | 基于 攻击行为 分析 高级 持续性 威胁 检测 方法 | ||
【主权项】:
1.一种基于攻击行为分析的高级持续性威胁检测方法,其特征在于,包括如下步骤:步骤1:接管系统内核所有程序执行管道;步骤2:将网卡设置为混淆模式,获取网络数据包,在不同的网络层上对数据包进行提取后获得网络包中的应用层数据,结合本地端口分析行为特征,若在行为特征中包含网络攻击行为的恶意操作指令,则系统告警;步骤3:枚举所有网络通道,若在行为特征中包含网络攻击行为的恶意操作指令,则系统告警;步骤4:监控文件操作,对于发生变动的文件,判断文件关键信息,对关键信息进行判断,若不符合系统要求,则系统告警;步骤5:从内核层跨界提交捕获的软件执行应用程序编程接口API信息,到应用层交给行为分析引擎,判断是否为攻击行为,若是则发出告警,若否,则返回步骤2继续执行;所述步骤2包括:步骤2.1:将网卡设置为混淆模式,通过网络层获取各种类型协议数据包,在不同的网络层上对数据包进行提取,获取数据中可疑的特征数据,提取得到可疑的行为特征;具体地,在本地的IP链路层嗅探经过本机的数据包,动态识别传输控制协议TCP、用户数据报协议UDP、域名系统DNS、英特网控制报文协议ICMP数据包类型及数据端口信息,提取应用层数据中可疑的行为特征,即行为特征中包含网络攻击行为的恶意操作指令;步骤2.2:结合本地端口分析,在网络流量中出现的数据端口,若本地API无法获得的应用端口,则认为是潜在的攻击数据端口,系统进行告警;若网络流量中的端口信息与本地获取的端口信息一致,则认为是正常应用端口号,不做处理。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海交通大学,未经上海交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610307127.7/,转载请声明来源钻瓜专利网。
- 上一篇:身份验证的方法、装置及系统
- 下一篇:一种环保治理用除尘推车装置
