[发明专利]高级可持续威胁检测方法、系统、计算机以及存储介质

说明书

本发明公开了一种高级可持续威胁检测方法、系统、计算机及存储介质，上述检测方法包括：对运营商的骨干网的流量进行分析并还原骨干网中传输的文件；对骨干网中的流量进行过滤，以将正常流量和文件过滤掉；对过滤后的文件进行检测；对骨干网中的入侵攻击流量进行检测；对检测的结果进行处理，对相应的入侵攻击流量进行拦截封堵；对所检测出来的攻击进行日志记录；对记录的日志进行展示，以供后续高级可持续威胁攻击的取证及溯源。上述方法可以多方位对高级可持续威胁(Advanced Persistent Threat，简称APT)攻击进行检测，为运营商对APT检测提供有力的数据支撑并提供详实的溯源信息、同时可以对网络攻击进行阻断，保障用户的利益。

技术领域

本发明实施例涉及计算机网络安全技术，尤其涉及一种高级可持续威胁检测方法、系统、计算机及存储介质。

背景技术

高级持续性威胁(Advanced Persistent Threat，简称ATP)攻击通常是渗透到网络内部后长期蛰伏，利用组织内部人员作为攻击跳板，不断尝试各种攻击手段，不断收集各种信息，直到收集到重要情报。APT攻击的意图是窃取数据，而不是对网络造成损害。

目前，针对APT的防护一般是在局域网网络出口的网关处对流量、行为或者文件进行检测，一般需要网络防火墙具备此相关的功能。而运营商作为网络的关键节点，对于网络中的APT攻击全然不知，同时，如果网络中发生此类现象，后续运营商对网络中的攻击也无法做到阻断、溯源，也无法找出网络攻击的真凶。

发明内容

基于此，针对上述技术问题，本发明提供一种高级可持续威胁检测方法、系统、计算机及存储介质，可以通过对骨干网的流量监测来溯源网络中的APT攻击，找出网络攻击真凶。

第一方面，本发明实施例提供了一种高级可持续威胁检测方法，包括：

对运营商的骨干网的流量进行分析并还原骨干网中传输的文件；

对骨干网中的流量进行过滤，以将正常流量和文件过滤掉；

对过滤后的文件进行检测；

对骨干网中的入侵攻击流量进行检测；

对检测的结果进行处理，对相应的入侵攻击流量进行拦截封堵；

对所检测出来的攻击进行日志记录；

对记录的日志进行展示，以供后续高级可持续威胁攻击的取证及溯源。

上述高级可持续威胁检测方法，可以多方位对APT攻击进行检测，为运营商对APT检测提供有力的数据支撑并提供详实的溯源信息、同时可以对网络攻击进行阻断，保障用户的利益。

在其中一个实施例中，所述对骨干网中的流量进行过滤，以将正常流量和文件过滤掉的步骤包括：

获取正常流量和文件的识别信息；

根据bloom filter算法生成所述识别信息的映射库；

使用所述映射库与流量进行匹配，将包含正常识别信息的流量过滤掉。

在其中一个实施例中，所述识别信息包括IP信息、URL信息、DNS信息以及MD5信息中的至少一种。

在其中一个实施例中，所述对过滤后的文件进行检测的步骤包括：

初始化扫描引擎库；

创建扫描引擎；

加载病毒库；

编译扫描引擎；

初始化文件监控并监控过滤后的文件路径；

将所述文件路径中新写入的文件加入到监控队列中；