[发明专利]一种基于用户行为分析的高级持续性威胁分析方法在审
| 申请号: | 201811289377.8 | 申请日: | 2018-10-31 |
| 公开(公告)号: | CN109474586A | 公开(公告)日: | 2019-03-15 |
| 发明(设计)人: | 施勇;傅烨文;刘宁;何翔 | 申请(专利权)人: | 施勇;傅烨文;刘宁;何翔 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 广州越华专利代理事务所(普通合伙) 44523 | 代理人: | 陈岑 |
| 地址: | 200000 *** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种基于用户行为分析的高级持续性威胁分析方法,基于用户行为分析的高级持续性威胁检测方法,使其能够在符合检测要求的前提下,尽可能地获取详细的用户行为,分析用户终端的进程、命令行参数、指令、使用的互联网服务、文件操作、数据访问等,分析得到用户行为异常,分析可疑、恶意行为,用户终端层面捕获内核及内核信息,通过分析用户行为的可疑度并匹配攻击特征库进行决策,动态分析系统用户行为,确定是否存在恶意的攻击行为,从而达到检测高级持续性威胁,检测效率高,能够较全面地分析攻击在系统层面的行为情况。 | ||
| 搜索关键词: | 用户行为 持续性 用户行为分析 分析 用户终端 检测 威胁 动态分析系统 攻击特征库 互联网服务 命令行参数 恶意行为 攻击行为 内核信息 数据访问 威胁检测 文件操作 系统层面 可疑度 内核 捕获 匹配 指令 攻击 决策 进程 | ||
【主权项】:
1.一种基于用户行为分析的高级持续性威胁分析方法,其特征在于包括如下步骤:步骤1:接管系统内核所有程序执行管道;步骤2:监控系统终端,若发现进程、文件等异常则系统告警;步骤3:监控账户系统,如果在用户的登录行为中发现异常行为特征则向系统发出警告;步骤4:监控系统数据访问,若发现异常行为如异常数据库操作则系统告警;步骤5:监控网络层数据,如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警;步骤6:从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎,判断是否为恶意行为,若是则发出告警,若否,则返回步骤2继续执行。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于施勇;傅烨文;刘宁;何翔,未经施勇;傅烨文;刘宁;何翔许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811289377.8/,转载请声明来源钻瓜专利网。
