[發(fā)明專利]一種APT攻擊檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202010119584.X | 申請日: | 2020-02-26 |
| 公開(公告)號: | CN113315737A | 公開(公告)日: | 2021-08-27 |
| 發(fā)明(設(shè)計(jì))人: | 田永曉;閆凡 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 深圳市深佳知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285 | 代理人: | 夏歡 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 apt 攻擊 檢測 方法 裝置 電子設(shè)備 可讀 存儲 介質(zhì) | ||
1.一種APT攻擊檢測方法,其特征在于,包括:
獲取DNS請求數(shù)據(jù),并從所述DNS請求數(shù)據(jù)中提取得到實(shí)際文法特征;
判斷所述實(shí)際文法特征與惡意文法特征是否一致;其中,所述惡意文法特征為從包含有APT攻擊的DNS請求中提取得到的文法特征;
若一致,則確定所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器;
判斷所述DNS服務(wù)器是否可信;
若不一致或可信,則判定所述DNS請求數(shù)據(jù)中不包含APT攻擊;
若不可信,則判定所述DNS請求數(shù)據(jù)中包含APT攻擊。
2.根據(jù)權(quán)利要求1所述的APT攻擊檢測方法,其特征在于,從所述DNS請求數(shù)據(jù)中提取得到實(shí)際文法特征,包括:
從所述DNS請求數(shù)據(jù)中提取得到包括中英文特征、域名長度特征、域名級數(shù)特征、域名編碼率特征、訪問時(shí)間分布特征在內(nèi)的至少一項(xiàng)實(shí)際文法特征。
3.根據(jù)權(quán)利要求2所述的APT攻擊檢測方法,其特征在于,當(dāng)所述實(shí)際文法特征和所述惡意文法特征均僅基于域名編碼率特征構(gòu)建時(shí),判斷所述實(shí)際文法特征與惡意文法特征是否一致,包括:
判斷所述實(shí)際文法特征的編碼量和信息熵是否分別處于所述惡意文法特征的編碼量范圍和信息熵范圍;
若所述實(shí)際文法特征的編碼量和信息熵均處于所述惡意文法特征對應(yīng)的編碼量范圍和信息熵范圍,判定所述實(shí)際文法特征與所述惡意文法特征一致;
若所述實(shí)際文法特征的編碼量和編碼量未均處于所述惡意文法特征對應(yīng)的編碼量范圍和信息熵范圍,判定所述實(shí)際文法特征與所述惡意文法特征不一致。
4.根據(jù)權(quán)利要求2所述的APT攻擊檢測方法,其特征在于,還包括:
利用機(jī)器學(xué)習(xí)算法,將從包含有APT攻擊的DNS請求數(shù)據(jù)中提取得到的各項(xiàng)惡意文法特征進(jìn)行建模,得到分類器;
對應(yīng)的,判斷所述實(shí)際文法特征與惡意文法特征是否一致,包括:
利用所述分類器判斷所述實(shí)際文法特征與所述惡意文法特征是否一致。
5.根據(jù)權(quán)利要求1所述的APT攻擊檢測方法,其特征在于,確定所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器,包括:
通過發(fā)送類型為NS的新DNS請求來確定所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器;
和/或,
通過查詢預(yù)先記錄的Whois信息來確定所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器;
和/或,
通過從根服務(wù)器按遞歸查詢方式查詢NS記錄來確定所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器。
6.根據(jù)權(quán)利要求5所述的APT攻擊檢測方法,其特征在于,確定所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器,包括:
判斷已存儲Whois信息中是否記錄有所述DNS請求數(shù)據(jù)對應(yīng)的DNS服務(wù)器;
若未記錄,則判斷能否通過發(fā)送類型為NS的新DNS請求來確定所述DNS服務(wù)器;
若無法通過發(fā)送所述新DNS請求來確定所述DNS服務(wù)器,則通過從所述根服務(wù)器按遞歸查詢方式查詢NS記錄來確定所述DNS服務(wù)器。
7.根據(jù)權(quán)利要求1至6任一項(xiàng)所述的APT攻擊檢測方法,其特征在于,還包括:
將對應(yīng)可信的DNS服務(wù)器的DNS請求數(shù)據(jù)標(biāo)記為目標(biāo)數(shù)據(jù);
利用從所述目標(biāo)數(shù)據(jù)中提取得到的文法特征調(diào)整所述惡意文法特征。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010119584.X/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種基于FPGA的網(wǎng)絡(luò)行為攻擊方法與裝置
- 一種網(wǎng)絡(luò)攻擊防御方法與裝置
- 一種防火墻攻擊防御方法
- 一種網(wǎng)絡(luò)行為攻擊裝置
- 一種網(wǎng)絡(luò)行為攻擊方法
- 一種網(wǎng)絡(luò)攻擊路線還原方法及系統(tǒng)
- 滲透攻擊評價(jià)方法和裝置、以及電子設(shè)備和可讀存儲介質(zhì)
- 一種攻擊檢測方法、裝置、電子設(shè)備及存儲介質(zhì)
- 一種基于攻擊者特性指標(biāo)的網(wǎng)絡(luò)攻擊路徑預(yù)測方法
- APT攻擊事件溯源分析方法、裝置和計(jì)算機(jī)可讀介質(zhì)
