[发明专利]基于大数据分析的APT监测防御方法

权利要求书

1.一种基于大数据分析的APT监测防御方法，其特征在于，包括如下步骤：

S1对收集区域进行网络等级划分：将收集区域划分为基础信息网络和重要信息系统；

S2收集各个收集区域的数据：将收集区域内的收据进行收集包括流量数据及数据库的协议数据；

S3将收集到的信息进行通过特征进行区分；

S4将收集到的信息进行聚类，实现对安全事件的动态感知，发现异常规律，从而产生预警信息；

S5对分析结果进行呈现。

2.根据权利要求1所述的一种基于大数据分析的APT监测防御方法，其特征在于：所述的对收集区域进行网络等级划分具体分为基础信息网络和重要信息系统。

3.根据权利要求2所述的一种基于大数据分析的APT监测防御方法，其特征在于：所述的基础信息网络为个体用户的网络。

4.根据权利要求2所述的一种基于大数据分析的APT监测防御方法，其特征在于：所述的重要信息系统是医疗、银行、电力和物业的集中网络的网管中心。

5.根据权利要求1所述的一种基于大数据分析的APT监测防御方法，其特征在于，所述的收集各个收集区域的数据包括以下具体步骤：

S21将采集器安装于收集区域中；

S22利用主机探针完成收集区域内所有的主机日志；

S23利用网络探针完成本区域内的邮件、社交平台流量数据、数据库操作数据、远程控制数据和网络用户行为数据；

S24利用收集器探测收集区域的设备维护信息,并实现收集区域与前端数据采集平台的通信。

6.根据权利要求1所述的一种基于大数据分析的APT监测防御方法，其特征在于，所述的将收集到的信息进行通过特征进行区分包括：

建立邮件特征库将收集到的邮件信息进行特征提取，尤其对正文中包含链接和带有附件的邮件进行深度分析；

建立社交平台特征库收集到的社交平台信息进行特征提取对站内信息带有链接的内容进行深度分析；

建立行为特征库从受攻击组织机构内部个人上网行为数据分析，识别出可能的鱼叉式钓鱼攻击、伪装攻击；

建立内网数据流特征库并进行数据流白名单建模。

7.根据权利要求1所述的一种基于大数据分析的APT监测防御方法，其特征在于：所述的将收集到的信息进行聚类使属于同一类别的个体之间距离尽可能小，而不同类别上的个体间的距离尽可能大。

8.根据权利要求1所述的一种基于大数据分析的APT监测防御方法，其特征在于：所述的对分析结果进行呈现，为生成各类报表和分析报告。