[发明专利]基于大数据分析的APT监测防御方法

说明书

技术领域

本发明涉及网络安全监测领域，尤其是基于大数据分析的APT监测防御方法。

背景技术

在全球网络信息化程度高速发展的大背景下， 具备隐蔽性、渗透性和针对性的高级持续性威胁（APT, advanced persistent threat）对各类高等级信息安全系统造成的威胁日益严重，针对特定目标的 有组织的 APT 攻击日益增多国家、企业的网络信息系统和数据安全面临严峻挑战。例如，2008年中国长城网遭遇到美国国防部网络黑客的攻击渗透，被植入后门并窃取情报；2010年的“震网”。

经过多年的准备和潜伏，成功攻击了位于物理隔离 内网中的工业控制系统，迟滞了伊朗的核计划； 2011 年的“夜龙行动”窃取了多个跨国能源巨头公司的高度敏感内部文件；2012 年的超级病毒“火焰”成功获取了中东各国大量的机密信息。可以看出，APT攻击已经对各类关键信息基础设施安全造成巨大威胁，开展 APT 攻击防御工作刻不容缓。APT攻击防御工作中，攻击检测是安全防护和加固的前提和依据，也是 APT 攻击防御中最困难的部分，因此检测技术已成为当前 APT 攻击防御领域的研究热点。然而，从典型案例来看，APT 攻 击具有极强的隐蔽能力和针对性，传统的检测设备面对APT攻击大多束手无策。

发明内容

本发明的目的在于克服现有技术的不足，提供基于大数据分析的APT监测防御方法，实现对监测区域中APT攻击的防御，有效预防了APT的攻击。

本发明的目的是通过以下技术方案来实现的：一种基于大数据分析的APT监测防御方法，包括如下步骤：

S1对收集区域进行网络等级划分：将收集区域划分为基础信息网络和重要信息系统；

S2收集各个收集区域的数据：将收集区域内的收据进行收集包括流量数据及数据库的协议数据；

S3将收集到的信息进行通过特征进行区分；

S4将收集到的信息进行聚类，实现对安全事件的动态感知，发现异常规律，从而产生预警信息；

S5对分析结果进行呈现。

进一步限定，所述的对收集区域进行网络等级划分具体分为基础信息网络和重要信息系统。

进一步限定，所述的基础信息网络为个体用户的网络。

进一步限定，所述的重要信息系统是医疗、银行、电力和物业的集中网络的网管中心。

进一步限定，所述的收集各个收集区域的数据包括以下具体步骤：

S21将采集器安装于收集区域中；

S22利用主机探针完成收集区域内所有的主机日志；

S23利用网络探针完成本区域内的邮件、社交平台流量数据、数据库操作数据、远程控制数据和网络用户行为数据；

S24利用收集器探测收集区域的设备维护信息,并实现收集区域与前端数据采集平台的通信。

进一步限定，所述的将收集到的信息进行通过特征进行区分包括：

建立邮件特征库将收集到的邮件信息进行特征提取，尤其对正文中包含链接和带有附件的邮件进行深度分析；

建立社交平台特征库收集到的社交平台信息进行特征提取对站内信息带有链接的内容进行深度分析；

建立行为特征库从受攻击组织机构内部个人上网行为数据分析，识别出可能的鱼叉式钓鱼攻击、伪装攻击。

建立内网数据流特征库并进行数据流白名单建模。

进一步限定，所述的将收集到的信息进行聚类使属于同一类别的个体之间距离尽可能小，而不同类别上的个体间的距离尽可能大。

进一步限定，所述的对分析结果进行呈现，为生成各类报表和分析报告 。

本发明的有益效果是：本发明采用了面向会话的数据包拼接、应用程序网络通信会话合法性检测、对网络通信过程进行过滤阻断具有信息流检测与报警、操作过程监察与审计、数据还原与恢复支持等多项功能。对提高国内取证产品技术的整体提升，有着明显的推动作用。

附图说明

图1为本发明方法流程图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1所示，基于大数据分析的APT监测防御方法，包括如下步骤：

S1对收集区域进行网络等级划分：将收集区域划分为基础信息网络和重要信息系统；

所述的对收集区域进行网络等级划分具体分为基础信息网络和重要信息系统。

所述的基础信息网络为个体用户的网络。

所述的重要信息系统是医疗、银行、电力和物业的集中网络的网管中心。