技術領域

本發明涉及網絡安全監測領域，尤其是基于大數據分析的APT監測防御方法。

背景技術

在全球網絡信息化程度高速發展的大背景下， 具備隱蔽性、滲透性和針對性的高級持續性威脅（APT, advanced persistent threat）對各類高等級信息安全系統造成的威脅日益嚴重，針對特定目標的 有組織的 APT 攻擊日益增多國家、企業的網絡信息系統和數據安全面臨嚴峻挑戰。例如，2008年中國長城網遭遇到美國國防部網絡黑客的攻擊滲透，被植入后門并竊取情報；2010年的“震網”。

經過多年的準備和潛伏，成功攻擊了位于物理隔離 內網中的工業控制系統，遲滯了伊朗的核計劃； 2011 年的“夜龍行動”竊取了多個跨國能源巨頭公司的高度敏感內部文件；2012 年的超級病毒“火焰”成功獲取了中東各國大量的機密信息。可以看出，APT攻擊已經對各類關鍵信息基礎設施安全造成巨大威脅，開展 APT 攻擊防御工作刻不容緩。APT攻擊防御工作中，攻擊檢測是安全防護和加固的前提和依據，也是 APT 攻擊防御中最困難的部分，因此檢測技術已成為當前 APT 攻擊防御領域的研究熱點。然而，從典型案例來看，APT 攻 擊具有極強的隱蔽能力和針對性，傳統的檢測設備面對APT攻擊大多束手無策。

發明內容

本發明的目的在于克服現有技術的不足，提供基于大數據分析的APT監測防御方法，實現對監測區域中APT攻擊的防御，有效預防了APT的攻擊。

本發明的目的是通過以下技術方案來實現的：一種基于大數據分析的APT監測防御方法，包括如下步驟：

S1對收集區域進行網絡等級劃分：將收集區域劃分為基礎信息網絡和重要信息系統；

S2收集各個收集區域的數據：將收集區域內的收據進行收集包括流量數據及數據庫的協議數據；

S3將收集到的信息進行通過特征進行區分；

S4將收集到的信息進行聚類，實現對安全事件的動態感知，發現異常規律，從而產生預警信息；

S5對分析結果進行呈現。

進一步限定，所述的對收集區域進行網絡等級劃分具體分為基礎信息網絡和重要信息系統。

進一步限定，所述的基礎信息網絡為個體用戶的網絡。

進一步限定，所述的重要信息系統是醫療、銀行、電力和物業的集中網絡的網管中心。

進一步限定，所述的收集各個收集區域的數據包括以下具體步驟：

S21將采集器安裝于收集區域中；

S22利用主機探針完成收集區域內所有的主機日志；

S23利用網絡探針完成本區域內的郵件、社交平臺流量數據、數據庫操作數據、遠程控制數據和網絡用戶行為數據；

S24利用收集器探測收集區域的設備維護信息,并實現收集區域與前端數據采集平臺的通信。

進一步限定，所述的將收集到的信息進行通過特征進行區分包括：

建立郵件特征庫將收集到的郵件信息進行特征提取，尤其對正文中包含鏈接和帶有附件的郵件進行深度分析；

建立社交平臺特征庫收集到的社交平臺信息進行特征提取對站內信息帶有鏈接的內容進行深度分析；

建立行為特征庫從受攻擊組織機構內部個人上網行為數據分析，識別出可能的魚叉式釣魚攻擊、偽裝攻擊。

建立內網數據流特征庫并進行數據流白名單建模。

進一步限定，所述的將收集到的信息進行聚類使屬于同一類別的個體之間距離盡可能小，而不同類別上的個體間的距離盡可能大。

進一步限定，所述的對分析結果進行呈現，為生成各類報表和分析報告 。

本發明的有益效果是：本發明采用了面向會話的數據包拼接、應用程序網絡通信會話合法性檢測、對網絡通信過程進行過濾阻斷具有信息流檢測與報警、操作過程監察與審計、數據還原與恢復支持等多項功能。對提高國內取證產品技術的整體提升，有著明顯的推動作用。

附圖說明

圖1為本發明方法流程圖。

具體實施方式

下面結合附圖進一步詳細描述本發明的技術方案，但本發明的保護范圍不局限于以下所述。

如圖1所示，基于大數據分析的APT監測防御方法，包括如下步驟：

S1對收集區域進行網絡等級劃分：將收集區域劃分為基礎信息網絡和重要信息系統；

所述的對收集區域進行網絡等級劃分具體分為基礎信息網絡和重要信息系統。

所述的基礎信息網絡為個體用戶的網絡。

所述的重要信息系統是醫療、銀行、電力和物業的集中網絡的網管中心。