[发明专利]一种APT攻击预警系统及其预警方法

说明书

本发明公开了一种APT攻击预警系统，包括采集模块，用于采集网络通讯数据；数据存储模块，用于对采集的网络通讯数据进行暂存；模拟运行模块，对采集的网络通讯数据进行模拟运行；风险分析模块，用于对各类风险行为进行分析；风险预警模块，用于对分析出的风险行为进行预警；风险关联模块，用于对不同的风险行为进行关联分析，对预警结果进行修正。本发明能够改进现有技术的不足，实现对APT攻击的全生命周期的预警。

技术领域

本发明涉及工业控制系统安全防御技术领域，尤其是一种APT攻击预警系统及其预警方法。

背景技术

APT攻击是采用现有检测体系难以检测的技术（0DAY漏洞、NDAY漏洞、已知漏洞变形、特种木马等），组合各种包括社会工程学、钓鱼、供应链植入等在内的多重手段，有针对性地对目标发起攻击，而基于事后签名机制的传统产品如IPS、IDS、杀毒软件、防毒墙、安全网关等，在面对APT攻击时，这种事后签名机制几乎全部失效，特种木马和0day/Nday漏洞正不断对传统安全设备发起挑战。

发明内容

本发明要解决的技术问题是提供一种APT攻击预警系统及其预警方法，能够解决现有技术的不足，实现对APT攻击的全生命周期的预警。

为解决上述技术问题，本发明所采取的技术方案如下。

一种APT攻击预警系统，包括，

采集模块，用于采集网络通讯数据；

数据存储模块，用于对采集的网络通讯数据进行暂存；

模拟运行模块，对采集的网络通讯数据进行模拟运行；

风险分析模块，用于对各类风险行为进行分析；

风险预警模块，用于对分析出的风险行为进行预警；

风险关联模块，用于对不同的风险行为进行关联分析，对预警结果进行修正。

一种上述的APT攻击预警系统的预警方法，包括以下步骤：

A、采集模块对网络通讯数据进行采集，并发送至数据存储模块；

B、模拟运行模块从数据存储模块调取数据进行模拟运行；

C、风险分析模块对运行过程进行实时监控，并对风险行为进行分析；

D、风险预警模块对分析出的风险行为进行预警；

E、风险关联模块将分析出的风险行为进行关联分析，对预警结果进行修正。

作为优选，步骤A中，对网络通讯数据的采集采用周期性采集方式，采集周期分为固定周期与非固定周期两部分，非固定周期与实时预警数量成正比；数据存储模块对采集到的数据进行封装，封装过程中将数据缓存信息作为包头封装入数据结构体中。

作为优选，步骤B中，数据存储模块根据数据结构体的数据缓存信息分配数据运行空间，对于具有同类型数据缓存信息的数据结构体分配于同一数据运行空间进行分时复用模拟运行，对于不同数据运行空间内运行的目的地址相同的数据结构体进行同步并行运行。

作为优选，步骤C中，风险分析模块提取模拟运行过程中的行为特征，并与风险数据库中预存的风险行为特征进行比对，将含有比对相似度高于阈值的行为认定为风险行为。

作为优选，步骤C中，行为特征包括链路行为特征、目标行为特征、协议行为特征和访问行为特征。

采用上述技术方案所带来的有益效果在于：本发明可以对不同类型的APT攻击进行有效的预警，部署方式灵活，适用于各种工业网络环境。本发明采用专门研发的模拟运行的方式，运行速度快，占用资源少，可以对风险行为进行有效的识别。

附图说明