[发明专利]一种APT攻击预警系统及其预警方法有效
| 申请号: | 201810704938.X | 申请日: | 2018-07-02 |
| 公开(公告)号: | CN108848102B | 公开(公告)日: | 2021-04-13 |
| 发明(设计)人: | 赵西玉;李佐民;赵越峰 | 申请(专利权)人: | 北京网藤科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100071 北京市丰台区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 apt 攻击 预警系统 及其 预警 方法 | ||
1.一种APT攻击预警系统的预警方法,所述APT攻击预警系统包括,
采集模块(1),用于采集网络通讯数据;
数据存储模块(2),用于对采集的网络通讯数据进行暂存;
模拟运行模块(3),对采集的网络通讯数据进行模拟运行;
风险分析模块(4),用于对各类风险行为进行分析;
风险预警模块(5),用于对分析出的风险行为进行预警;
风险关联模块(6),用于对不同的风险行为进行关联分析,对预警结果进行修正;
其特征在于包括以下步骤:
A、采集模块(1)对网络通讯数据进行采集,并发送至数据存储模块(2);对网络通讯数据的采集采用周期性采集方式,采集周期分为固定周期与非固定周期两部分,非固定周期与实时预警数量成正比;数据存储模块(2)对采集到的数据进行封装,封装过程中将数据缓存信息作为包头封装入数据结构体中;
B、模拟运行模块(3)从数据存储模块(2)调取数据进行模拟运行;数据存储模块(2)根据数据结构体的数据缓存信息分配数据运行空间,对于具有同类型数据缓存信息的数据结构体分配于同一数据运行空间进行分时复用模拟运行,对于不同数据运行空间内运行的目的地址相同的数据结构体进行同步并行运行;
C、风险分析模块(4)对运行过程进行实时监控,并对风险行为进行分析;
D、风险预警模块(5)对分析出的风险行为进行预警;
E、风险关联模块(6)将分析出的风险行为进行关联分析,对预警结果进行修正。
2.根据权利要求1所述的APT攻击预警系统的预警方法,其特征在于:步骤C中,风险分析模块(4)提取模拟运行过程中的行为特征,并与风险数据库中预存的风险行为特征进行比对,将含有比对相似度高于阈值的行为认定为风险行为。
3.根据权利要求2所述的APT攻击预警系统的预警方法,其特征在于:步骤C中,行为特征包括链路行为特征、目标行为特征、协议行为特征和访问行为特征。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京网藤科技有限公司,未经北京网藤科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810704938.X/1.html,转载请声明来源钻瓜专利网。
