[发明专利]一种多维度深层次检测APT攻击的方法有效
| 申请号: | 201710731477.0 | 申请日: | 2017-08-23 |
| 公开(公告)号: | CN107370755B | 公开(公告)日: | 2020-03-03 |
| 发明(设计)人: | 李凯;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及APT攻击检测领域,旨在提供一种多维度深层次检测APT攻击的方法。该种多维度深层次检测APT攻击的方法包括步骤:对常见的网络应用层协议数据包做流量采集、解析还原;对获得的网络应用行为进行分析检测,记录攻击行为并进行告警;进一步优化各攻击点的检测策略和机制;关联生成APT攻击链路。本发明对APT攻击生命周期的各个阶段中可能的攻击点,从多个维度进行深层次的分析检测,并且某一攻击阶段中发现的攻击线索用来进一步作为其他攻击阶段的检测依据,各攻击阶段的检测结论用来进一步关联,形成确定性更高的攻击证据。 | ||
| 搜索关键词: | 一种 多维 深层次 检测 apt 攻击 方法 | ||
【主权项】:
一种多维度深层次检测APT攻击的方法,其特征在于,包括如下步骤:步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;所述流量采集模块能对旁路镜像流量中的网络应用层协议数据包进行捕获,并通过IP碎片重组、TCP重装、网络应用层协议解析,按常见的网络应用层协议的应用规范对网络应用层协议数据包进行解析还原,最终获取网络应用层协议数据包中包含的具体网络应用行为;步骤B:针对APT攻击生命周期的各个攻击阶段中可能的攻击点,分别对步骤A获得的网络应用行为进行分析检测,记录攻击行为并进行告警;步骤C:使用单个攻击点检测产生的攻击行为告警信息,进一步优化各攻击点的检测策略和机制;步骤D:使用单个攻击点检测产生的攻击行为告警信息,通过攻击源IP、被攻击IP、各攻击点在APT攻击生命周期中的阶段位置,以及各告警信息的时间信息,关联生成APT攻击链路。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710731477.0/,转载请声明来源钻瓜专利网。
- 上一篇:一种幻影投影装置
- 下一篇:一种日夜全彩监控的摄像头
