CN103354548A - 高持续性威胁攻击的检测方法、设备及系统 - Google Patents
高持续性威胁攻击的检测方法、设备及系统 Download PDFInfo
- Publication number
- CN103354548A CN103354548A CN2013102687339A CN201310268733A CN103354548A CN 103354548 A CN103354548 A CN 103354548A CN 2013102687339 A CN2013102687339 A CN 2013102687339A CN 201310268733 A CN201310268733 A CN 201310268733A CN 103354548 A CN103354548 A CN 103354548A
- Authority
- CN
- China
- Prior art keywords
- suspicious
- suspicious event
- record
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种高持续性威胁攻击的检测方法、设备及系统,属于信息安全技术领域。方法包括:分别接收用户终端、邮件终端和网络终端发送的第一可疑事件记录、第二可疑事件记录和第三可疑事件记录;确定三个可疑事件记录中是否有相同IP的可疑事件;如果有,判断该可疑事件在三个可疑事件记录中对应的时间关系;根据时间关系确定,该可疑事件是否为APT攻击。本发明通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种高持续性威胁攻击的检测方法、设备及系统。
背景技术
信息技术的飞速发展,除了带来了诸如云计算、物联网,3G、移动互联等各种产品创新与变革,也同时带来了针对信息安全的攻击方式的创新与变革。而在各种针对信息安全的攻击方式中,APT(Advanced Persistent Threat,高持续性威胁)攻击以其极强的隐蔽能力和针对性很难被现有安全防御体系发现,同时以其长时间重复攻击操作为其受害者的噩梦。因此,如何进行APT攻击检测,快速发现APT攻击行为,减少APT攻击造成的危害,成为加强现有安全防御体系防御效果的关键。
现有安全防御体系需要占用大量的终端资源才能检测出APT攻击行为,对于现有的终端很难在满足自身需求、保证自身运行效率的情况下再提供大量的终端资源供现有安全防御体系检测APT攻击行为,因此现有安全防御体系在APT攻击行为发生,并且产生影响后才能检测出APT攻击行为。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
现有安全防御体系在APT攻击发生之前还未有没有APT检测方法能及时发现APT攻击,从而造成严重的安全信息泄露。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种高持续性威胁攻击的检测方法、设备及系统。所述技术方案如下:
第一方面,提供了一种高持续性威胁攻击的检测方法,所述方法包括:
接收用户终端发送的第一可疑事件记录,其中,所述第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;
接收邮件终端发送的第二可疑事件记录,其中,所述第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
接收网络终端发送的第三可疑事件记录,其中,所述第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
确定所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中是否存在相同IP的可疑事件;
如果存在相同IP的可疑事件,判断所述相同IP的可疑事件在所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;
如果满足T2<T1<T3,则确定所述相同IP的可疑事件为高持续性威胁APT攻击。
结合第一方面,在第一方面的第一种可能的实现方式中,所述确定所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中是否存在相同IP的可疑事件,包括:
确定所述第一可疑事件记录与所述第二可疑事件记录中是否有第一相同可疑事件,所述第一相同可疑事件为IP1与IP2相同的可疑事件;
如果有第一相同可疑事件,则确定所述第一相同可疑事件中是否有第二相同可疑事件,所述第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件;
如果有第二相同可疑事件,则在第三可疑事件记录中确定是否有第三相同可疑事件,所述第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件;
如果有第三相同可疑事件,则确定所述第三相同可疑事件中是否有第四相同可疑事件,所述第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件;
如果有第四相同可疑事件,则确定所述第四相同可疑事件为相同IP的可疑事件。
第二方面,提供了一种高持续性威胁攻击的检测设备,所述设备包括:
第一接收模块,用于接收用户终端发送的第一可疑事件记录,其中,所述第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;
第二接收模块,用于接收邮件终端发送的第二可疑事件记录,其中,所述第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
第三接收模块,用于接收网络终端发送的第三可疑事件记录,其中,所述第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
第一确定模块,用于确定所述第一接收模块接收到的所述第一可疑事件记录、所述第二接收模块接收到的所述第二可疑事件记录及所述第三接收模块接收到的所述第三可疑事件记录中是否存在相同IP的可疑事件;
判断模块,用于当所述第一确定模块确定存在相同IP的可疑事件时,判断所述相同IP的可疑事件在所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;
第二确定模块,用于当所述判断模块判断满足T2<T1<T3时,确定所述相同IP的可疑事件为高持续性威胁APT攻击。
结合第二方面,在第二方面的第一种可能的实现方式中,所述第一确定模块,包括:
第一确定单元,用于确定所述第一可疑事件记录与所述第二可疑事件记录中是否有第一相同可疑事件,所述第一相同可疑事件为IP1与IP2相同的可疑事件;
第二确定单元,用于当所述第一确定单元确定有第一相同可疑事件时,确定所述第一相同可疑事件中是否有第二相同可疑事件,所述第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件;
第三确定单元,用于当所述第二确定单元确定有第二相同可疑事件时,在第三可疑事件记录中确定是否有第三相同可疑事件,所述第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件;
第四确定单元,用于当所述第三确定单元确定有第三相同可疑事件时,确定所述第三相同可疑事件中是否有第四相同可疑事件,所述第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件;
第五确定单元,用于当所述第四确定单元确定有第四相同可疑事件时,确定所述第四相同可疑事件为相同IP的可疑事件。
第三方面,提供了一种高持续性威胁攻击的检测方法,所述方法包括:
用户终端检测到可疑邮件后在第一可疑事件记录中记录所述可疑邮件的接收时间T1,发送所述可疑邮件的网际协议IP1和所述可疑邮件中的链接统一资源定位器URL1;
发送所述第一可疑事件记录到云终端,使所述云终端根据接收到的所述第一可疑事件记录检测高持续性威胁APT攻击。
第四方面,提供了一种高持续性威胁攻击的检测设备,所述设备包括:
记录模块,用于检测到可疑邮件后在第一可疑事件记录中记录所述可疑邮件的接收时间T1,发送所述可疑邮件的网际协议IP1和所述可疑邮件中的链接统一资源定位器URL1;
发送模块,用于发送所述记录模块记录的所述第一可疑事件记录到云终端,使所述云终端根据接收到的所述第一可疑事件记录检测高持续性威胁APT攻击。
第五方面,提供了一种高持续性威胁攻击的检测方法,所述方法包括:
邮件终端检测到可疑邮件后在第二可疑事件记录中记录所述可疑邮件的接收时间T2,发送所述可疑邮件的网际协议IP2和所述可疑邮件中的链接统一资源定位器URL2;
发送所述第二可疑事件记录到云终端,使所述云终端根据接收到的所述第二可疑事件记录检测高持续性威胁APT攻击。
第六方面,提供了一种高持续性威胁攻击的检测设备,所述设备包括:
记录模块,用于检测到可疑邮件后在第二可疑事件记录中记录所述可疑邮件的接收时间T2,发送所述可疑邮件的网际协议IP2和所述可疑邮件中的链接统一资源定位器URL2;
发送模块,用于发送所述记录模块记录的所述第二可疑事件记录到云终端,使所述云终端根据接收到的所述第二可疑事件记录检测高持续性威胁APT攻击。
第七方面,提供了一种高持续性威胁攻击的检测方法,所述方法包括:
网络终端检测到可疑记录后在第三可疑事件记录中记录所述可疑行为的产生时间T3,产生所述可疑行为的网际协议IP3和所述可疑行为中的访问链接统一资源定位器URL3;
发送所述第三可疑事件记录到云终端,使所述云终端根据接收到的所述第三可疑事件记录检测高持续性威胁APT攻击。
第八方面,提供了一种高持续性威胁攻击的检测设备,所述设备包括:
记录模块,用于检测到可疑记录后在第三可疑事件记录中记录所述可疑行为的产生时间T3,产生所述可疑行为的网际协议IP3和所述可疑行为中的访问链接统一资源定位器URL3;
发送模块,用于发送所述记录模块记录的所述第三可疑事件记录到云终端,使所述云终端根据接收到的所述第三可疑事件记录检测高持续性威胁APT攻击。
第九方面,提供了一种高持续性威胁攻击的检测系统,所述系统包括:云终端、用户终端、邮件终端、网络终端;
其中,所述云终端如上述第一种高持续性威胁攻击的检测设备;所述用户终端如上述第二种高持续性威胁攻击的检测设备;所述邮件终端如上述第三种高持续性威胁攻击的检测设备;所述网络终端如上述第四种高持续性威胁攻击的检测设备。
本发明实施例提供的技术方案带来的有益效果是:
通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例一提供的第一种高持续性威胁攻击的检测方法流程图;
图2是本发明实施例一提供的第二种高持续性威胁攻击的检测方法流程图;
图3是本发明实施例一提供的第三种高持续性威胁攻击的检测方法流程图;
图4是本发明实施例一提供的第四种高持续性威胁攻击的检测方法流程图;
图5是本发明实施例二提供的一种高持续性威胁攻击的检测方法流程图;
图6是本发明实施例三提供的一种高持续性威胁攻击的检测设备的结构示意图;
图7是本发明实施例三提供的一种第一确定模块的结构示意图;
图8是本发明实施例四提供的一种高持续性威胁攻击的检测设备的结构示意图;
图9是本发明实施例五提供的一种高持续性威胁攻击的检测设备的结构示意图;
图10是本发明实施例六提供的一种高持续性威胁攻击的检测设备的结构示意图;
图11是本发明实施例七提供的一种高持续性威胁攻击的检测系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本实施例提供了一种高持续性威胁攻击的检测方法,参见图1,本实施例提供的方法包括:
101:接收用户终端发送的第一可疑事件记录,其中,第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的IP1(Internet Protocol,网际协议)和可疑邮件中的链接URL1(Uniform Resource Locator,统一资源定位器);
102:接收邮件终端发送的第二可疑事件记录,其中,第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
103:接收网络终端发送的第三可疑事件记录,其中,第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
104:确定第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中是否存在相同IP的可疑事件,如果存在相同IP的可疑事件,则执行步骤105,如果不存在相同IP的可疑事件,则结束流程;
105:判断相同IP的可疑事件在第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中对应的时间关系是否满足T2<T1<T3,如果满足T2<T1<T3,则执行步骤106,如果不满足T2<T1<T3,则结束流程;
106:确定相同IP的可疑事件为高持续性威胁APT攻击。
本实施例还提供了第二种高持续性威胁攻击的检测方法,参见图2,本实施例提供的方法流程具体如下:
201:用户终端检测到可疑邮件后在第一可疑事件记录中记录可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;
202:发送第一可疑事件记录到云终端,使云终端根据接收到的第一可疑事件记录检测高持续性威胁APT攻击。
本实施例还提供了第三种高持续性威胁攻击的检测方法,参见图3,本实施例提供的方法流程具体如下:
301:邮件终端检测到可疑邮件后在第二可疑事件记录中记录可疑邮件的接收时间T2,发送可疑邮件的网际协议IP2和可疑邮件中的链接统一资源定位器URL2;
302:发送第二可疑事件记录到云终端,使云终端根据接收到的第二可疑事件记录检测高持续性威胁APT攻击。
本实施例还提供了第四种高持续性威胁攻击的检测方法,参见图4,本实施例提供的方法流程具体如下:
401:网络终端检测到可疑记录后在第三可疑事件记录中记录可疑行为的产生时间T3,产生可疑行为的网际协议IP3和可疑行为中的访问链接统一资源定位器URL3;
402:发送第三可疑事件记录到云终端,使云终端根据接收到的第三可疑事件记录检测高持续性威胁APT攻击。
本发明实施例提供的方法,通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例二
本发明实施例提供了一种高持续性威胁攻击的检测方法,结合上述实施例一的内容。参见图5,本实施例提供的方法流程包括:
501:云终端接收用户终端发送的第一可疑事件记录,其中,第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的IP1和可疑邮件中的链接URL1;
针对该步骤,本实施例不对云终端接收用户终端发送的第一可疑事件记录的具体接收方式进行限定。包括但不限于如果用户终端通过发送携带第一可疑事件记录的消息信令的方式发送第一可疑事件记录,则接收用户终端发送的消息信令,并解析该消息信令获得第一可疑事件记录。
具体的,云终端接收到用户终端发送的第一可疑事件记录如表1所示:
表1
| 序号 | T1 | IP1 | URL1 |
| 11 | 1:00 | 192.168.1.5 | http://www.a.b |
| 12 | 3:00 | 192.168.2.5 | http://www.c.d |
| 13 | 5:00 | 192.168.3.5 | http://www.e.f |
| 14 | 7:00 | 192.168.4.5 | http://www.g.h |
| 15 | 9:00 | 192.168.5.5 | http://www.i.j |
| 16 | 11:00 | 192.168.6.5 | http://www.k.l |
除此之外,T1、IP1和URL1还可以为其它内容,本实施例不对T1、IP1和URL1的具体内容进行限定。
需要说明的是,不论在执行本实施例提供的方法之前、执行本实施例提供的方法过程中或者执行本实施例提供的方法之后,用户终端会一直对接收到的邮件是否为可疑邮件进行检测,当发现可疑邮件后,会在第一可疑事件记录中记录发现的可疑邮件。在执行步骤501之前,用户终端会将第一可疑事件记录发送给云终端,使云终端根据接收到的第一可疑事件记录检测APT(AdvancedPersistent Threat,高持续性威胁)攻击。
本实施例不对用户终端对接收到的所有邮件是否为可疑邮件进行检测的具体检测方法进行限定,例如,用户终端通过专用杀毒软件检测接收到的邮件是否为可疑邮件。
本实施例也不对用户终端对可疑邮件的具体定义进行限定,包括但不限于包含恶意文件的邮件。
本实施例也不对用户终端发现可疑邮件后,在第一可疑事件记录中记录发现的可疑邮件的具体记录内容进行限定,包括但不限于用户终端检测到可疑邮件后在第一可疑事件记录中记录可疑邮件的接收时间T1,发送可疑邮件的IP1和可疑邮件中的链接URL1。
本实施例也不对用户终端将第一可疑事件记录发送给云终端的具体时间进行限定,包括但不限于设置发送时间周期,周期性发送第一可疑事件记录;或者在执行本实施例提供的方法时,云终端向用户终端发送获取第一可疑事件记录的消息,用户终端接收到该消息向云终端发送第一可疑事件记录。
本实施例同样不对用户终端向云终端发送第一可疑事件记录的具体发送方式进行限定。例如,用户终端通过发送携带第一可疑事件记录的消息信令的方式发送第一可疑事件记录。
502:云终端接收邮件终端发送的第二可疑事件记录,其中,第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
针对该步骤,本实施例不对云终端接收邮件终端发送的第二可疑事件记录的具体接收方式进行限定。包括但不限于如果邮件终端通过发送携带第二可疑事件记录的消息信令的方式发送第二可疑事件记录,则接收邮件终端发送的消息信令,并解析该消息信令获得第二可疑事件记录。
具体的,云终端接收到邮件终端发送的第二可疑事件记录如表2所示:
表2
| 序号 | T2 | IP2 | URL2 |
| 21 | 0:00 | 192.168.1.5 | http://www.a.b |
| 22 | 3:00 | 192.168.2.5 | http://www.c.d |
| 23 | 5:00 | 192.168.3.5 | http://www.e.f |
| 24 | 7:00 | 192.168.4.5 | http://www.g.h |
| 25 | 9:00 | 192.168.5.5 | http://www.g.j |
| 26 | 11:00 | 192.168.7.5 | http://www.k.l |
除此之外,T2、IP2和URL2还可以为其它内容,本实施例不对T2、IP2和URL2的具体内容进行限定。
需要说明的是,不论在执行本实施例提供的方法之前、执行本实施例提供的方法过程中或者执行本实施例提供的方法之后,邮件终端会一直对接收到的邮件是否为可疑邮件进行检测,当发现可疑邮件后,会在第二可疑事件记录中记录发现的可疑邮件。在执行步骤502之前,邮件终端会将第二可疑事件记录发送给云终端,使云终端根据接收到的第二可疑事件记录检测APT攻击。
本实施例不对邮件终端对接收到的所有邮件是否为可疑邮件进行检测的具体检测方法进行限定,例如,邮件终端通过专用杀毒软件检测接收到的邮件是否为可疑邮件。
本实施例也不对邮件终端对可疑邮件的具体定义进行限定,包括但不限于包含恶意文件的邮件。
本实施例也不对邮件终端发现可疑邮件后,在第二可疑事件记录中记录发现的可疑邮件的具体记录内容进行限定,包括但不限于邮件终端检测到可疑邮件后在第二可疑事件记录中记录可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2。
本实施例也不对邮件终端将第二可疑事件记录发送给云终端的具体时间进行限定,包括但不限于设置发送时间周期,周期性发送第二可疑事件记录;或者在执行本实施例提供的方法时,云终端向邮件终端发送获取第二可疑事件记录的消息,邮件终端接收到该消息向云终端发送第二可疑事件记录。
本实施例同样不对邮件终端向云终端发送第二可疑事件记录的具体发送方式进行限定。例如,邮件终端通过发送携带第二可疑事件记录的消息信令的方式发送第二可疑事件记录。
503:云终端接收网络终端发送的第三可疑事件记录,其中,第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
针对该步骤,本实施例不对云终端接收网络终端发送的第三可疑事件记录的具体接收方式进行限定。包括但不限于如果网络终端通过发送携带第三可疑事件记录的消息信令的方式发送第三可疑事件记录,则接收网络终端发送的消息信令,并解析该消息信令获得第三可疑事件记录。
具体的,云终端接收到邮件终端发送的第二可疑事件记录如表3所示:
表3
| 序号 | T3 | IP3 | URL3 |
| 31 | 1:10 | 192.168.1.5 | http://www.a.b |
| 32 | 2:00 | 192.168.2.5 | http://www.c.d |
| 33 | 5:00 | 192.168.3.5 | http://www.c.f |
| 34 | 7:00 | 192.168.8.5 | http://www.g.h |
| 35 | 11:00 | 192.168.7.5 | http://www.k.l |
除此之外,T3、IP3和URL3还可以为其它内容,本实施例不对T3、IP3和URL3的具体内容进行限定。
需要说明的是,不论在执行本实施例提供的方法之前、执行本实施例提供的方法过程中或者执行本实施例提供的方法之后,网络终端会一直对网络行为是否为可疑行为进行检测,例如检测网络流量是否可疑。当发现可疑行为时,会在第三可疑事件记录中记录发现的可疑行为。在执行步骤503之前,网络终端会将第三可疑事件记录发送给云终端,使云终端根据接收到的第三可疑事件记录检测APT攻击。
本实施例不对网络终端对对网络行为是否为可疑行为进行检测的具体检测方法进行限定,例如,网络终端通过专用检测软件检测网络行为是否可疑。
本实施例也不对网络终端对可疑行为的具体定义进行限定,包括但不限于网络流量短时间内快速增长。
本实施例也不对网络终端检测到可疑行为后,在第三可疑事件记录中记录发现的可疑行为的具体记录内容进行限定,包括但不限于网络终端检测到可疑记录后在第三可疑事件记录中记录可疑记录的产生时间T3,产生可疑记录的IP3和可疑记录中的访问链接URL3。
本实施例也不对网络终端将第三可疑事件记录发送给云终端的具体时间进行限定,包括但不限于设置发送时间周期,周期性发送第三可疑事件记录;或者在执行本实施例提供的方法时,云终端向网络终端发送获取第三可疑事件记录的消息,网络终端接收到该消息向云终端发送第三可疑事件记录。
本实施例同样不对网络终端向云终端发送第三可疑事件记录的具体发送方式进行限定。例如,网络终端通过发送携带第三可疑事件记录的消息信令的方式发送第三可疑事件记录。
504:云终端确定第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中是否存在相同IP的可疑事件,如果存在相同IP的可疑事件,则执行步骤505,如果不存在相同IP的可疑事件,则结束流程;
针对该步骤,本实施例不对云终端确定第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中是否存在相同IP的可疑事件的具体确定方法进行限定,包括但不限于通过如下步骤进行确定。
第一步:确定第一可疑事件记录与第二可疑事件记录中是否有第一相同可疑事件,如果有第一相同可疑事件,则执行第二步,如果没有第一相同可疑事件,则流程结束;
对于第一步,第一相同可疑事件为IP1与IP2相同的可疑事件。
具体的,如果云终端接收到的第一可疑事件记录如表1所示,第二可疑事件记录如表2所示,则确定第一可疑事件记录与第二可疑事件记录中有第一相同可疑事件,且第一相同可疑事件为:第一可疑事件记录中的11和第二可疑事件记录中的21、第一可疑事件记录中的12和第二可疑事件记录中的22、第一可疑事件记录中的13和第二可疑事件记录中的23、第一可疑事件记录中的14和第二可疑事件记录中的24、第一可疑事件记录中的15和第二可疑事件记录中的25。
第二步:确定第一相同可疑事件中是否有第二相同可疑事件,如果有第二相同可疑事件,则执行第三步,如果没有第二相同可疑事件,则流程结束;
对于第二步,第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件。
具体的,以第一步中例子为例,确定第一相同可疑事件中有第二相同可疑事件,且第二相同可疑事件为:第一可疑事件记录中的11和第二可疑事件记录中的21、第一可疑事件记录中的12和第二可疑事件记录中的22、第一可疑事件记录中的13和第二可疑事件记录中的23、第一可疑事件记录中的14和第二可疑事件记录中的24。
第三步:在第三可疑事件记录中确定是否有第三相同可疑事件,如果有第三相同可疑事件,则执行第四步,如果没有第三相同可疑事件,则流程结束;
对于第三步,第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件。
具体的,以第二步中例子为例,如果云终端接收到的第三可疑事件记录如表1所示,则在第三可疑事件记录中确定有第三相同可疑事件,且第三相同可疑事件为:第一可疑事件记录中的11、第二可疑事件记录中的21和第三可疑事件记录中的31;第一可疑事件记录中的12、第二可疑事件记录中的22和第三可疑事件记录中的32;第一可疑事件记录中的13、第二可疑事件记录中的23和第三可疑事件记录中的33。
第四步:确定第三相同可疑事件中是否有第四相同可疑事件,如果有第四相同可疑事件,则执行第五步,如果没有第四相同可疑事件,则流程结束;
对于第四步,第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件。
具体的,以第三步中例子为例,第三相同可疑事件中有第四相同可疑事件,且第四相同可疑事件为:第一可疑事件记录中的11、第二可疑事件记录中的21和第三可疑事件记录中的31;第一可疑事件记录中的12、第二可疑事件记录中的22和第三可疑事件记录中的32。
第五步:确定第四相同可疑事件为相同IP的可疑事件。
具体的,以第四步中例子为例,确定第一可疑事件记录中的11、第二可疑事件记录中的21和第三可疑事件记录中的31;第一可疑事件记录中的12、第二可疑事件记录中的22和第三可疑事件记录中的32为相同IP的可疑事件。
505:云终端判断相同IP的可疑事件在第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中对应的时间关系是否满足T2<T1<T3,如果满足T2<T1<T3,则执行步骤506,如果不满足T2<T1<T3,则结束流程;
具体的,以步骤504中第五步的例子为例,第一可疑事件记录中的11在第一可疑事件记录中对应的时间T1为1:00,第二可疑事件记录中的21在第二可疑事件记录中对应的时间T2为0:00,第三可疑事件记录中的31在第三可疑事件记录中对应的时间T3为1:10,第一可疑事件记录中的11、第二可疑事件记录中的21和第三可疑事件记录中的31在第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中对应的时间关系满足T2<T1<T3。第一可疑事件记录中的12在第一可疑事件记录中对应的时间T1为3:00,第二可疑事件记录中的22在第二可疑事件记录中对应的时间T2为3:00,第三可疑事件记录中的32在第三可疑事件记录中对应的时间T3为2:00,第一可疑事件记录中的12、第二可疑事件记录中的22和第三可疑事件记录中的32在第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中对应的时间关系不满足T2<T1<T3。
506:云终端确定相同IP的可疑事件为APT攻击。
针对该步骤,由于一个APT攻击首先通过邮件终端,到达用户终端,并在用户对该APT攻击进行操作后影响网络终端行为,因此,APT攻击在邮件终端被检测出的时间T2、在用户终端被检测出的时间T1以及在网络中的被检测出的时间T3具有明显的时间先后顺序,即T2<T1<T3,因此根据相同IP的可疑事件是否满足T2<T1<T3即可确定该相同IP的可疑事件是否为APT攻击。
具体的,以步骤505中的例子为例,确定第一可疑事件记录中的11、第二可疑事件记录中的21和第三可疑事件记录中的31为APT攻击。
本实施例提供的方法,通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例三
本发明实施例提供了一种高持续性威胁攻击的检测设备,参见图6,该设备包括:
第一接收模块601,用于接收用户终端发送的第一可疑事件记录,其中,第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的IP1和可疑邮件中的链接URL1;
第二接收模块602,用于接收邮件终端发送的第二可疑事件记录,其中,第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
第三接收模块603,用于接收网络终端发送的第三可疑事件记录,其中,第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
第一确定模块604,用于确定第一接收模块601接收到的第一可疑事件记录、第二接收模块602接收到的第二可疑事件记录及第三接收模块603接收到的第三可疑事件记录中是否存在相同IP的可疑事件;
判断模块605,用于当第一确定模块604确定存在相同IP的可疑事件时,判断相同IP的可疑事件在第一可疑事件记录、第二可疑事件记录及第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;
第二确定模块606,用于当判断模块605判断满足T2<T1<T3时,确定相同IP的可疑事件为APT攻击。
参见图7,第一确定模块604,包括:
第一确定单元6041,用于确定第一可疑事件记录与第二可疑事件记录中是否有第一相同可疑事件,第一相同可疑事件为IP1与IP2相同的可疑事件;
第二确定单元6042,用于当第一确定单元6041确定有第一相同可疑事件时,确定第一相同可疑事件中是否有第二相同可疑事件,第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件;
第三确定单元6043,用于当第二确定单元6042确定有第二相同可疑事件时,在第三可疑事件记录中确定是否有第三相同可疑事件,第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件;
第四确定单元6044,用于当第三确定单元6043确定有第三相同可疑事件时,确定第三相同可疑事件中是否有第四相同可疑事件,第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件;
第五确定单元6045,用于当第四确定单元6044确定有第四相同可疑事件时,确定第四相同可疑事件为相同IP的可疑事件。
综上所述,本发明实施例所述设备,通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例四
本发明实施例提供了一种高持续性威胁攻击的检测设备,参见图8,该设备包括:
记录模块801,用于检测到可疑邮件后在第一可疑事件记录中记录可疑邮件的接收时间T1,发送可疑邮件的IP1和可疑邮件中的链接URL1;
发送模块802,用于发送记录模块801记录的第一可疑事件记录到云终端,使云终端根据接收到的第一可疑事件记录检测APT攻击。
综上所述,本发明实施例所述设备,通过检测到可疑邮件后在第一可疑事件记录中记录可疑邮件,并将第一可疑事件记录发送到云终端,使云终端根据接收到的第一可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例五
本发明实施例提供了一种高持续性威胁攻击的检测设备,参见图9,该设备包括:
记录模块901,用于检测到可疑邮件后在第二可疑事件记录中记录可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
发送模块902,用于发送记录模块901记录的第二可疑事件记录到云终端,使云终端根据接收到的第二可疑事件记录检测APT攻击。
综上所述,本发明实施例所述设备,通过检测到可疑邮件后在第二可疑事件记录中记录可疑邮件,并将第二可疑事件记录发送到云终端,使云终端根据接收到的第二可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例六
本发明实施例提供了一种高持续性威胁攻击的检测设备,参见图10,该设备包括:
记录模块1001,用于检测到可疑记录后在第三可疑事件记录中记录可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
发送模块1002,用于发送记录模块1001记录的第三可疑事件记录到云终端,使云终端根据接收到的第三可疑事件记录检测APT攻击。
综上所述,本发明实施例所述设备,通过检测到可疑行为后在第三可疑事件记录中记录可疑行为,并将第三可疑事件记录发送到云终端,使云终端根据接收到的第三可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例七
本实施例提供了一种高持续性威胁攻击的检测系统,参见图11,该系统包括:云终端111、用户终端112、邮件终端113、网络终端114;
其中,云终端111如上述实施例三提供的高持续性威胁攻击的检测设备,具体详见上述实施例三的内容;用户终端112如上述实施例四提供的高持续性威胁攻击的检测设备,详见上述实施例四的内容;邮件终端113如上述实施例五提供的高持续性威胁攻击的检测设备,详见上述实施例五的内容;网络终端114如上述实施例六提供的高持续性威胁攻击的检测设备,详见上述实施例六的内容。
综上所述,本发明实施例所述系统,通过检测到可疑行为后在第三可疑事件记录中记录可疑行为,并将第三可疑事件记录发送到云终端,使云终端根据接收到的第三可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例八
本实施例提供了一种高持续性威胁攻击的检测设备,该设备包括:
接收器,用于接收用户终端发送的第一可疑事件记录,其中,所述第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;接收邮件终端发送的第二可疑事件记录,其中,所述第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;接收网络终端发送的第三可疑事件记录,其中,所述第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
处理器,用于确定所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中是否存在相同IP的可疑事件;如果存在相同IP的可疑事件,判断所述相同IP的可疑事件在所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;如果满足T2<T1<T3,则确定所述相同IP的可疑事件为高持续性威胁APT攻击。
其中,该处理器,还用于确定所述第一可疑事件记录与所述第二可疑事件记录中是否有第一相同可疑事件,所述第一相同可疑事件为IP1与IP2相同的可疑事件;如果有第一相同可疑事件,则确定所述第一相同可疑事件中是否有第二相同可疑事件,所述第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件;如果有第二相同可疑事件,则在第三可疑事件记录中确定是否有第三相同可疑事件,所述第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件;如果有第三相同可疑事件,则确定所述第三相同可疑事件中是否有第四相同可疑事件,所述第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件;如果有第四相同可疑事件,则确定所述第四相同可疑事件为相同IP的可疑事件。
综上所述,本实施例提供的设备,通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例九
本实施例提供了一种高持续性威胁攻击的检测设备,该设备包括:
处理器,用于检测到可疑邮件后在第一可疑事件记录中记录所述可疑邮件的接收时间T1,发送所述可疑邮件的网际协议IP1和所述可疑邮件中的链接统一资源定位器URL1;
发射器,用于发送所述第一可疑事件记录到云终端,使所述云终端根据接收到的所述第一可疑事件记录检测高持续性威胁APT攻击。
综上所述,本实施例提供的设备,通过检测到可疑邮件后在第一可疑事件记录中记录可疑邮件,并将第一可疑事件记录发送到云终端,使云终端根据接收到的第一可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例十
本实施例提供了一种高持续性威胁攻击的检测设备,该设备包括:
处理器,用于检测到可疑邮件后在第二可疑事件记录中记录所述可疑邮件的接收时间T2,发送所述可疑邮件的网际协议IP2和所述可疑邮件中的链接统一资源定位器URL2;
发射器,用于发送所述第二可疑事件记录到云终端,使所述云终端根据接收到的所述第二可疑事件记录检测高持续性威胁APT攻击。
综上所述,本实施例提供的设备,通过检测到可疑邮件后在第二可疑事件记录中记录可疑邮件,并将第二可疑事件记录发送到云终端,使云终端根据接收到的第二可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
实施例十一
本实施例提供了一种高持续性威胁攻击的检测设备,该设备包括:
处理器,用于检测到可疑记录后在第三可疑事件记录中记录所述可疑行为的产生时间T3,产生所述可疑行为的网际协议IP3和所述可疑行为中的访问链接统一资源定位器URL3;
发射器,用于发送所述第三可疑事件记录到云终端,使所述云终端根据接收到的所述第三可疑事件记录检测高持续性威胁APT攻击。
综上所述,本实施例提供的设备,通过检测到可疑行为后在第三可疑事件记录中记录可疑行为,并将第三可疑事件记录发送到云终端,使云终端根据接收到的第三可疑事件记录即时发现高持续性威胁攻击,加强安全防御体系的防御效果。
需要说明的是:上述实施例提供的高持续性威胁攻击的检测设备在实现高持续性威胁攻击的检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的高持续性威胁攻击的检测设备与高持续性威胁攻击的检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种高持续性威胁攻击的检测方法,其特征在于,所述方法包括:
接收用户终端发送的第一可疑事件记录,其中,所述第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;
接收邮件终端发送的第二可疑事件记录,其中,所述第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
接收网络终端发送的第三可疑事件记录,其中,所述第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
确定所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中是否存在相同IP的可疑事件;
如果存在相同IP的可疑事件,判断所述相同IP的可疑事件在所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;
如果满足T2<T1<T3,则确定所述相同IP的可疑事件为高持续性威胁APT攻击。
2.根据权利要求1所述的方法,其特征在于,所述确定所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中是否存在相同IP的可疑事件,包括:
确定所述第一可疑事件记录与所述第二可疑事件记录中是否有第一相同可疑事件,所述第一相同可疑事件为IP1与IP2相同的可疑事件;
如果有第一相同可疑事件,则确定所述第一相同可疑事件中是否有第二相同可疑事件,所述第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件;
如果有第二相同可疑事件,则在第三可疑事件记录中确定是否有第三相同可疑事件,所述第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件;
如果有第三相同可疑事件,则确定所述第三相同可疑事件中是否有第四相同可疑事件,所述第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件;
如果有第四相同可疑事件,则确定所述第四相同可疑事件为相同IP的可疑事件。
3.一种高持续性威胁攻击的检测设备,其特征在于,所述设备包括:
第一接收模块,用于接收用户终端发送的第一可疑事件记录,其中,所述第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;
第二接收模块,用于接收邮件终端发送的第二可疑事件记录,其中,所述第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;
第三接收模块,用于接收网络终端发送的第三可疑事件记录,其中,所述第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;
第一确定模块,用于确定所述第一接收模块接收到的所述第一可疑事件记录、所述第二接收模块接收到的所述第二可疑事件记录及所述第三接收模块接收到的所述第三可疑事件记录中是否存在相同IP的可疑事件;
判断模块,用于当所述第一确定模块确定存在相同IP的可疑事件时,判断所述相同IP的可疑事件在所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;
第二确定模块,用于当所述判断模块判断满足T2<T1<T3时,确定所述相同IP的可疑事件为高持续性威胁APT攻击。
4.根据权利要求3所述的设备,其特征在于,所述第一确定模块,包括:
第一确定单元,用于确定所述第一可疑事件记录与所述第二可疑事件记录中是否有第一相同可疑事件,所述第一相同可疑事件为IP1与IP2相同的可疑事件;
第二确定单元,用于当所述第一确定单元确定有第一相同可疑事件时,确定所述第一相同可疑事件中是否有第二相同可疑事件,所述第二相同可疑事件为IP1与IP2相同且URL1与URL2相同的可疑事件;
第三确定单元,用于当所述第二确定单元确定有第二相同可疑事件时,在第三可疑事件记录中确定是否有第三相同可疑事件,所述第三相同可疑事件为IP1、IP2与IP3相同且URL1与URL2相同的可疑事件;
第四确定单元,用于当所述第三确定单元确定有第三相同可疑事件时,确定所述第三相同可疑事件中是否有第四相同可疑事件,所述第四相同可疑事件为IP1、IP2与IP3相同且URL1、URL2与URL3相同的可疑事件;
第五确定单元,用于当所述第四确定单元确定有第四相同可疑事件时,确定所述第四相同可疑事件为相同IP的可疑事件。
5.一种高持续性威胁攻击的检测方法,其特征在于,所述方法包括:
用户终端检测到可疑邮件后在第一可疑事件记录中记录所述可疑邮件的接收时间T1,发送所述可疑邮件的网际协议IP1和所述可疑邮件中的链接统一资源定位器URL1;
发送所述第一可疑事件记录到云终端,使所述云终端根据接收到的所述第一可疑事件记录检测高持续性威胁APT攻击。
6.一种高持续性威胁攻击的检测设备,其特征在于,所述设备包括:
记录模块,用于检测到可疑邮件后在第一可疑事件记录中记录所述可疑邮件的接收时间T1,发送所述可疑邮件的网际协议IP1和所述可疑邮件中的链接统一资源定位器URL1;
发送模块,用于发送所述记录模块记录的所述第一可疑事件记录到云终端,使所述云终端根据接收到的所述第一可疑事件记录检测高持续性威胁APT攻击。
7.一种高持续性威胁攻击的检测方法,其特征在于,所述方法包括:
邮件终端检测到可疑邮件后在第二可疑事件记录中记录所述可疑邮件的接收时间T2,发送所述可疑邮件的网际协议IP2和所述可疑邮件中的链接统一资源定位器URL2;
发送所述第二可疑事件记录到云终端,使所述云终端根据接收到的所述第二可疑事件记录检测高持续性威胁APT攻击。
8.一种高持续性威胁攻击的检测设备,其特征在于,所述设备包括:
记录模块,用于检测到可疑邮件后在第二可疑事件记录中记录所述可疑邮件的接收时间T2,发送所述可疑邮件的网际协议IP2和所述可疑邮件中的链接统一资源定位器URL2;
发送模块,用于发送所述记录模块记录的所述第二可疑事件记录到云终端,使所述云终端根据接收到的所述第二可疑事件记录检测高持续性威胁APT攻击。
9.一种高持续性威胁攻击的检测方法,其特征在于,所述方法包括:
网络终端检测到可疑记录后在第三可疑事件记录中记录所述可疑行为的产生时间T3,产生所述可疑行为的网际协议IP3和所述可疑行为中的访问链接统一资源定位器URL3;
发送所述第三可疑事件记录到云终端,使所述云终端根据接收到的所述第三可疑事件记录检测高持续性威胁APT攻击。
10.一种高持续性威胁攻击的检测设备,其特征在于,所述设备包括:
记录模块,用于检测到可疑记录后在第三可疑事件记录中记录所述可疑行为的产生时间T3,产生所述可疑行为的网际协议IP3和所述可疑行为中的访问链接统一资源定位器URL3;
发送模块,用于发送所述记录模块记录的所述第三可疑事件记录到云终端,使所述云终端根据接收到的所述第三可疑事件记录检测高持续性威胁APT攻击。
11.一种高持续性威胁攻击的检测系统,其特征在于,所述系统包括:云终端、用户终端、邮件终端、网络终端;
其中,所述云终端如所述权利要求3或4任一权利要求所述的高持续性威胁攻击的检测设备;所述用户终端如所述权利要求6所述的高持续性威胁攻击的检测设备;所述邮件终端如所述权利要求8所述的高持续性威胁攻击的检测设备;所述网络终端如所述权利要求10所述的高持续性威胁攻击的检测设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310268733.9A CN103354548B (zh) | 2013-06-28 | 2013-06-28 | 高持续性威胁攻击的检测方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310268733.9A CN103354548B (zh) | 2013-06-28 | 2013-06-28 | 高持续性威胁攻击的检测方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103354548A true CN103354548A (zh) | 2013-10-16 |
| CN103354548B CN103354548B (zh) | 2016-05-25 |
Family
ID=49310855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310268733.9A Expired - Fee Related CN103354548B (zh) | 2013-06-28 | 2013-06-28 | 高持续性威胁攻击的检测方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103354548B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN106612287A (zh) * | 2017-01-10 | 2017-05-03 | 厦门大学 | 一种云存储系统的持续性攻击的检测方法 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN108353088A (zh) * | 2015-11-23 | 2018-07-31 | 阿尔卡特朗讯公司 | 高级持续性威胁检测 |
| CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| CN110891048A (zh) * | 2015-12-24 | 2020-03-17 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916947A (zh) * | 2012-10-08 | 2013-02-06 | 江苏乐买到网络科技有限公司 | 一种基于云计算的反垃圾邮件系统 |
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
-
2013
- 2013-06-28 CN CN201310268733.9A patent/CN103354548B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN102916947A (zh) * | 2012-10-08 | 2013-02-06 | 江苏乐买到网络科技有限公司 | 一种基于云计算的反垃圾邮件系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105024976B (zh) * | 2014-04-24 | 2018-06-26 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN108353088B (zh) * | 2015-11-23 | 2021-02-12 | 阿尔卡特朗讯公司 | 高级持续性威胁检测 |
| CN108353088A (zh) * | 2015-11-23 | 2018-07-31 | 阿尔卡特朗讯公司 | 高级持续性威胁检测 |
| CN110891048A (zh) * | 2015-12-24 | 2020-03-17 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN110891048B (zh) * | 2015-12-24 | 2021-09-03 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| US11431676B2 (en) | 2015-12-24 | 2022-08-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
| CN106612287B (zh) * | 2017-01-10 | 2019-05-07 | 厦门大学 | 一种云存储系统的持续性攻击的检测方法 |
| CN106612287A (zh) * | 2017-01-10 | 2017-05-03 | 厦门大学 | 一种云存储系统的持续性攻击的检测方法 |
| CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| CN108632224B (zh) * | 2017-03-23 | 2022-03-15 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN107370755B (zh) * | 2017-08-23 | 2020-03-03 | 杭州安恒信息技术股份有限公司 | 一种多维度深层次检测apt攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103354548B (zh) | 2016-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103354548A (zh) | 高持续性威胁攻击的检测方法、设备及系统 | |
| Xie et al. | Monitoring the application-layer DDoS attacks for popular websites | |
| Lalande et al. | Hiding privacy leaks in android applications using low-attention raising covert channels | |
| Kamboj et al. | Detection techniques of DDoS attacks: A survey | |
| Ellens et al. | Flow-based detection of DNS tunnels | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| Xiao et al. | An efficient DDoS detection with bloom filter in SDN | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| Chen et al. | Detecting botnet by anomalous traffic | |
| Zhao et al. | A classification detection algorithm based on joint entropy vector against application-layer DDoS attack | |
| Jing et al. | A reversible sketch-based method for detecting and mitigating amplification attacks | |
| Xin et al. | Detection of collusive interest flooding attacks in named data networking using wavelet analysis | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| Xing et al. | Research on the defense against ARP spoofing attacks based on Winpcap | |
| Liu et al. | Real-time diagnosis of network anomaly based on statistical traffic analysis | |
| Li et al. | A lightweight DDoS flooding attack detection algorithm based on synchronous long flows | |
| Mendes et al. | Analysis of iot botnet architectures and recent defense proposals | |
| Yin et al. | Honeypot and scan detection in intrusion detection system | |
| Han et al. | Garlic: A distributed botnets suppression system | |
| Cusack et al. | Detecting slow ddos attacks on mobile devices | |
| Sqalli et al. | An entropy and volume-based approach for identifying malicious activities in honeynet traffic | |
| Paul et al. | Fast-flux botnet detection from network traffic | |
| Shokri et al. | DDPM: dynamic deterministic packet marking for IP traceback | |
| Mudgal et al. | Spark-Based Network Security Honeypot System: Detailed Performance Analysis | |
| Ragupathy et al. | Detecting Denial of Service Attacks by Analysing Network Traffic in Wireless Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160525 Termination date: 20190628 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |