[發明專利]一種高級持續威脅攻擊識別方法及裝置有效
| 申請號: | 201410167744.2 | 申請日: | 2014-04-24 |
| 公開(公告)號: | CN105024976B | 公開(公告)日: | 2018-06-26 |
| 發明(設計)人: | 盧山;李斌 | 申請(專利權)人: | 中國移動通信集團山西有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京派特恩知識產權代理有限公司 11270 | 代理人: | 張穎玲;張振偉 |
| 地址: | 030032 山西*** | 國省代碼: | 山西;14 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 攻擊事件 攻擊識別 威脅 攻擊 攻擊識別裝置 關聯 記錄檢測 階段分類 外部來源 記錄 檢測 | ||
1.一種高級持續威脅攻擊識別方法,所述高級持續威脅APT攻擊包括第一階段、第二階段和第三階段,其特征在于,所述方法包括:
檢測攻擊事件;
記錄檢測到的攻擊事件,根據所述攻擊事件的特征進行APT攻擊階段分類記錄;
所述記錄中包括第三階段的攻擊事件時,將所述第三階段的攻擊事件與其被攻擊對象所遭受的第一階段和第二階段的攻擊事件進行關聯,在所關聯到的攻擊事件具有外部來源時,確定為APT攻擊事件;
其中,所述第一階段為利用漏洞實施入侵;所述第二階段為釋放木馬內部滲透;所述第三階段為控制破壞信息竊取;
將所述第三階段的攻擊事件與其被攻擊對象所遭受的第一階段和第二階段的攻擊事件進行關聯,在所關聯到的攻擊事件具有內部來源時,將所關聯到的攻擊事件與其第一攻擊者所遭受的第一階段、第二階段和第三階段的攻擊事件進行關聯,在所關聯到的第一攻擊者所遭受的攻擊事件具有外部來源時,確定為APT攻擊事件。
2.根據權利要求1所述高級持續威脅攻擊識別方法,其特征在于,該方法還包括:
將所關聯到的攻擊事件與其第一攻擊者所遭受的第一階段、第二階段和第三階段的攻擊事件進行關聯,在所關聯到的第一攻擊者所遭受的攻擊事件具有內部來源時,將所關聯到的攻擊事件與其第二攻擊者所遭受的第一階段、第二階段和第三階段的攻擊事件進行關聯,在所關聯到的第二攻擊者所遭受的攻擊事件具有外部來源時,確定為APT攻擊事件。
3.根據權利要求1所述高級持續威脅攻擊識別方法,其特征在于,所述檢測攻擊事件包括:
通過基于簽名的檢測、基于深度內容的檢測、基于模擬行為的檢測、以及對抗處理檢測分析網絡流量,進行攻擊事件識別。
4.根據權利要求1所述高級持續威脅攻擊識別方法,其特征在于,所述將所述第三階段的攻擊事件與其被攻擊對象所遭受的第一階段和第二階段的攻擊事件進行關聯,為:
查找所述第三階段的攻擊事件的被攻擊對象所遭受的第二階段的攻擊事件,在查找到所述第二階段的攻擊事件時,判斷查找到的第二階段的攻擊事件是否具有外部來源,在具有外部來源或沒有查找到所述第二階段的攻擊事件時,查找所述第三階段的攻擊事件的被攻擊對象所遭受的第一階段的攻擊事件,在查找到所述第一階段的攻擊事件時,判斷查找到的第一階段的攻擊事件是否具有外部來源。
5.根據權利要求1所述高級持續威脅攻擊識別方法,其特征在于,所述將所述關聯到的攻擊事件與其第一攻擊者所遭受的第一階段、第二階段和第三階段的攻擊事件進行關聯,為:
查找所述關聯到的攻擊事件的第一攻擊者所遭受的第三階段的攻擊事件,在查找到所述第三階段的攻擊事件時,判斷查找到的第三階段的攻擊事件是否具有外部來源,在具有外部來源或沒有查找到所述第三階段的攻擊事件時,查找所述第一攻擊者所遭受的第二階段的攻擊事件,在查找到所述第二階段的攻擊事件時,判斷查找到的第二階段的攻擊事件是否具有外部來源,在具有外部來源或沒有查找到所述第二階段的攻擊事件時,查找所述第一攻擊者所遭受的第一階段的攻擊事件,在查找到所述第一階段的攻擊事件時,判斷查找到的第一階段的攻擊事件是否具有外部來源。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國移動通信集團山西有限公司,未經中國移動通信集團山西有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410167744.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:權限設置方法、裝置及系統
- 下一篇:一種基于云計算的口令管理方法及系統
