[發(fā)明專利]一種基于網(wǎng)絡報警信息的APT檢測方法在審
| 申請?zhí)枺?/td> | 202010185737.0 | 申請日: | 2020-03-17 |
| 公開(公告)號: | CN111464507A | 公開(公告)日: | 2020-07-28 |
| 發(fā)明(設計)人: | 陳兵;成翔;李晨;謝淀剛;蔣林志;樸明慶 | 申請(專利權(quán))人: | 南京航空航天大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06K9/62 |
| 代理公司: | 南京蘇高專利商標事務所(普通合伙) 32204 | 代理人: | 顏盈靜 |
| 地址: | 210016 江*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 網(wǎng)絡 報警 信息 apt 檢測 方法 | ||
1.一種基于網(wǎng)絡報警的APT檢測方法,其特征在于:包括以下步驟:
步驟1:將網(wǎng)絡報警集群中的APT警報實例按照APT攻擊步驟進行分類得到對應攻擊步驟P的APT警報實例、對應攻擊步驟C的APT警報實例、對應攻擊步驟A的APT警報實例和對應攻擊步驟D的APT警報實例;所述APT攻擊步驟按照時間順序包括P、C、A和D;
步驟2:將每個APT警報實例讀取至相應結(jié)構(gòu)體中構(gòu)成一個攻擊節(jié)點,所述結(jié)構(gòu)體中包含存儲的APT警報實例所對應的攻擊步驟類型;
步驟3:將所有攻擊節(jié)點根據(jù)成鏈規(guī)則進行成鏈操作,得到由一條或多條攻擊鏈構(gòu)成的鏈群A;
步驟4:對鏈群A中符合斷鏈規(guī)則的攻擊鏈進行斷鏈操作,得到鏈群B;
步驟5:依次判斷鏈群B中每個攻擊鏈的節(jié)點個數(shù),基于節(jié)點個數(shù),得到APT攻擊檢測結(jié)果,攻擊節(jié)點個數(shù)越接近4,APT攻擊可能性越高。
2.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡報警的APT檢測方法,其特征在于:所述成鏈規(guī)則包括:
(1)位于同一條攻擊鏈中的攻擊節(jié)點所對應的APT攻擊步驟不同;
(2)位于同一條攻擊鏈中的攻擊節(jié)點的排列需按照其所對應的APT攻擊步驟P-C-A-D的順序;
(3)攻擊節(jié)點的連接只能向后進行連接;
(4)通過判斷待嵌入攻擊節(jié)點與可連接攻擊鏈末一個或兩個攻擊節(jié)點之間的相似度大小,將待嵌入攻擊節(jié)點連接至與其相似度最大的攻擊鏈中。
3.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡報警的APT檢測方法,其特征在于:所述斷鏈規(guī)則包括:引入?yún)?shù)L,判斷位于同一條攻擊鏈中的兩個攻擊節(jié)點被攻擊的主機IP是否相同,若相同,則參數(shù)L置1,否則置0;當參數(shù)L為0時,進行斷鏈操作,當參數(shù)L為1時,保留該攻擊鏈。
4.根據(jù)權(quán)利要求2所述的一種基于網(wǎng)絡報警的APT檢測方法,其特征在于:在所述成鏈規(guī)則中,對應攻擊步驟D的攻擊節(jié)點與對應攻擊步驟P的攻擊節(jié)點之間的時間戳小于完成完整APT攻擊所持續(xù)的時間。
5.根據(jù)權(quán)利要求2所述的一種基于網(wǎng)絡報警的APT檢測方法,其特征在于:采用式(2)至(4),計算得到兩個攻擊節(jié)點之間的相似度:
式中,I(c)m和I(c)n分別表示攻擊節(jié)點,Co(I(c)m)和Co(I(c)n)分別表示與I(c)m和I(c)n相關(guān)聯(lián)的攻擊節(jié)點,A(I(c)m)和A(I(c)n)分別表示I(c)m和I(c)n的屬性,A(I(c)m)∪A(I(c)n)表示I(c)m和I(c)n之間存在不同屬性的個數(shù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于南京航空航天大學,未經(jīng)南京航空航天大學許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010185737.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡和網(wǎng)絡終端
- 網(wǎng)絡DNA
- 網(wǎng)絡地址自適應系統(tǒng)和方法及應用系統(tǒng)和方法
- 網(wǎng)絡系統(tǒng)及網(wǎng)絡至網(wǎng)絡橋接器
- 一種電力線網(wǎng)絡中根節(jié)點網(wǎng)絡協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡裝置、網(wǎng)絡系統(tǒng)、網(wǎng)絡方法以及網(wǎng)絡程序
- 從重復網(wǎng)絡地址自動恢復的方法、網(wǎng)絡設備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡的訓練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡管理方法和裝置
- 信息記錄介質(zhì)、信息記錄方法、信息記錄設備、信息再現(xiàn)方法和信息再現(xiàn)設備
- 信息記錄裝置、信息記錄方法、信息記錄介質(zhì)、信息復制裝置和信息復制方法
- 信息記錄裝置、信息再現(xiàn)裝置、信息記錄方法、信息再現(xiàn)方法、信息記錄程序、信息再現(xiàn)程序、以及信息記錄介質(zhì)
- 信息記錄裝置、信息再現(xiàn)裝置、信息記錄方法、信息再現(xiàn)方法、信息記錄程序、信息再現(xiàn)程序、以及信息記錄介質(zhì)
- 信息記錄設備、信息重放設備、信息記錄方法、信息重放方法、以及信息記錄介質(zhì)
- 信息存儲介質(zhì)、信息記錄方法、信息重放方法、信息記錄設備、以及信息重放設備
- 信息存儲介質(zhì)、信息記錄方法、信息回放方法、信息記錄設備和信息回放設備
- 信息記錄介質(zhì)、信息記錄方法、信息記錄裝置、信息再現(xiàn)方法和信息再現(xiàn)裝置
- 信息終端,信息終端的信息呈現(xiàn)方法和信息呈現(xiàn)程序
- 信息創(chuàng)建、信息發(fā)送方法及信息創(chuàng)建、信息發(fā)送裝置
