[发明专利]一种高级持续性威胁攻击检测方法及装置在审
| 申请号: | 201710344502.X | 申请日: | 2017-05-16 |
| 公开(公告)号: | CN108881129A | 公开(公告)日: | 2018-11-23 |
| 发明(设计)人: | 王静;戴震;程光;骆文;田甜 | 申请(专利权)人: | 中兴通讯股份有限公司;东南大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 李红爽;龙洪 |
| 地址: | 518057 广东省深圳市南山*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种高级持续性威胁攻击检测方法及装置。该方法包括:获取高级持续性威胁攻击样本中高级持续性威胁病毒与命令与控制服务器建立连接阶段的通信报文,根据所述通信报文中的字段,建立字段的特征库;获取待检测的报文,从所述报文中提取一个或多个字段;将提取的所述字段与其对应的特征库进行匹配,根据匹配结果判断所述报文是否为高级持续性威胁报文。本发明实施例中,通过分析样本建立特征库,将待检测的报文与特征库进行匹配来判断报文是否为高级持续性威胁报文,能有效的检测出报文。另外,匹配的时候采取模糊匹配和精确匹配两次匹配操作,大大提高了检测效率和准确性。 | ||
| 搜索关键词: | 报文 持续性 特征库 字段 匹配 威胁 检测 攻击检测 通信报文 控制服务器 建立连接 模糊匹配 匹配操作 匹配结果 样本建立 样本 病毒 攻击 分析 | ||
【主权项】:
1.一种高级持续性威胁攻击检测方法,其特征在于,包括:获取高级持续性威胁攻击样本中高级持续性威胁病毒与命令与控制服务器建立连接阶段的通信报文,根据所述通信报文中的字段,建立字段的特征库;获取待检测的报文,从所述报文中提取一个或多个字段;将提取的所述字段与其对应的特征库进行匹配,根据匹配结果判断所述报文是否为高级持续性威胁报文。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中兴通讯股份有限公司;东南大学,未经中兴通讯股份有限公司;东南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710344502.X/,转载请声明来源钻瓜专利网。
