CN103905418A - 一种多维度检测防御apt的系统及方法 - Google Patents
一种多维度检测防御apt的系统及方法 Download PDFInfo
- Publication number
- CN103905418A CN103905418A CN201310559032.0A CN201310559032A CN103905418A CN 103905418 A CN103905418 A CN 103905418A CN 201310559032 A CN201310559032 A CN 201310559032A CN 103905418 A CN103905418 A CN 103905418A
- Authority
- CN
- China
- Prior art keywords
- dimension
- rule
- detection
- module
- default
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Alarm Systems (AREA)
- Geophysics And Detection Of Objects (AREA)
Abstract
本发明提供了一种多维度检测防御APT的系统及方法,所述系统包括:至少两个检测模块,和维度扩展模块;检测模块分别部署于各维度中,用于检测当前维度中的待检测对象,记录待检测对象的行为及检测结果,根据预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;维度扩展模块获取各检测模块发送来的维度检测扩展信息,根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中。本发明还提供了对应的检测防御方法,通过本发明的系统及方法,能够使防御检测系统能够实现自更新以获得其他维度的检测能力。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种多维度检测防御APT的系统及方法。
背景技术
APT攻击是一类高等级网络攻击,具体的说,是非授权的个人、团体对受害目标长期采用多种攻击方法和先进攻击手段进行的持续性攻击行为,APT攻击的常见目的是破坏受害目标的系统,偷窃受害目标的信息,经典的APT事件包括震网(Stuxnet),Duqu,Flame等。
根据典型APT事件进行分析,往往攻击者具备丰富的经济、技术、情报等资源,能够有效的突破安全系统的防御,经过对近期典型事件的分析,一个APT事件从开始攻击,进入受害者系统,到被受害者发现的跨度往往从数月到数年不等,且一些典型APT事件在攻击者披露后,受害者也未能进行发现。
之所以出现这个情况,和传统的安全防御技术的防御原理和技术手段有关,如传统云安全技术通过在公共网络大量采集客户信息送到云端通过统计技术和人工发现异常,而APT事件往往是小范围事件,具备高定向性,导致很难采集,即使采集也往往淹没在海量的事件中无法具备统计意义;高性能网络安全设备由于性能要求,往往采用低精度高实时性的检测技术,导致难以对APT事件进行细粒度高精度的检测,终端安全软件由于其商业上的易获得性,使得攻击者可以先研究规避技术后再攻击,即确认攻击代码可以绕过安全软件后再发起攻击。以上种种使得现有的安全防御系统在APT事件中大量的失效。
而传统安全防御系统多基于单个孤立时间点或时间段的实时检测和防御,或基于单维度的检测,如传统网络安全设备仅对网络数据流进行检测,对伪装在正常数据的加密攻击代码则基本无检测能力。
因此有必要克服涉及APT高级安全威胁防御和检测的传统安全系统的上述缺点。
发明内容
本发明提供了一种多维度检测防御APT的系统及方法,解决了传统安全防御系统只能在单独时间点或时间段对单一维度进行检测,无法进行全面检测的问题,使防御检测系统能够实现自更新以获得其他维度的检测能力。
一种多维度检测防御APT的系统,包括:至少两个检测模块,和维度扩展模块;
所述检测模块分别部署于各维度中,根据所处维度检测点环境,预设检测规则,用于检测当前维度中的待检测对象,记录待检测对象的行为及检测结果,根据预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;获取维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中;
所述的筛选规则,可根据维度扩展模块中维度关联规则所需要或可以利用的信息预先设定,在当前检测模块检测产生的信息及待检测对象本身的信息等中选取;
维度扩展模块,用于获取各检测模块发送来的维度检测扩展信息,根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中;
维度关联规则是将维度扩展模块所获得的信息与其他维度检测所需的信息类型进行映射匹配等,进一步得到其他维度可用的信息。
所述维度由至少两个不同检测点环境组成,每个检测点环境为一个维度。例如部署于网关节点的检测点环境、部署于PC上的检测点环境、部署于移动终端的检测点环境等。
所述的系统中,如果所述检测模块的预设检测规则中不存在待检测对象的检测规则,则记录所述待检测对象的信息,并发送到维度扩展模块;
维度扩展模块根据待检测对象的信息,将所述待检测对象发送到相应维度的检测模块中。
所述的系统中,在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中后,对当前检测模块中的所有待检测对象进行二次检测。
所述的系统中,包括:至少两个防御模块,所述防御模块分别部署于各维度中,用于根据所处维度对应检测模块的检测结果及预设防御规则,对待检测对象拦截、阻断或告警,并根据预设筛选规则,筛选出维度防御扩展信息,并发送到维度扩展模块中;获取维度扩展模块发送的防御规则,并补充到预设防御规则中;
所述维度扩展模块根据维度关联规则,对收到的维度防御扩展信息进行投影关联,产生其他维度可用的防御规则,并发送到对应维度的防御模块中。
所述的系统中,包括:至少两个处置模块,所述处置模块分别部署于各维度中,用于根据所处维度对应检测模块的检测结果及预设处置规则,对待检测对象进行处置,并将维度处置扩展信息发送到维度扩展模块中;获取维度扩展模块发送的处置规则,并补充到预设处置规则中;
所述维度扩展模块根据维度关联规则,对收到的维度处置扩展信息进行投影关联,产生其他维度可用的处置规则,并发送到对应维度的处置模块中。
所述的系统中,所述维度关联规则将维度检测扩展信息,和/或维度防御扩展信息,和/或维度处置扩展信息与各维度检测点环境所需要的信息关联,并根据统计数据或数学模型预设到维度扩展模块中。
一种多维度检测防御APT的方法,适用于上述系统,包括:
检测模块根据预设检测规则,检测当前维度中的待检测对象;
记录待检测对象的行为及检测结果;
根据预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;
获取检测模块发送来的维度检测扩展信息;
根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中;
所述检测模块还获取维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中;
所述维度由至少两个不同检测点环境组成,每个检测点环境为一个维度。
所述的方法,其特征在于,如果所述预设检测规则中不存在待检测对象的检测规则,则记录所述待检测对象的信息,并发送到维度扩展模块;
维度扩展模块根据待检测对象的信息,将所述待检测对象发送到相应维度的检测模块中。
所述的方法中,在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中后,对当前检测模块中的所有待检测对象进行二次检测。
所述的方法中,还包括:防御模块根据检测结果及预设防御规则,对待检测对象拦截、阻断或告警,并根据预设筛选规则,筛选出维度防御扩展信息,并发送到维度扩展模块中;及获取维度扩展模块发送的防御规则,并补充到预设防御规则中;
所述维度扩展模块根据维度关联规则,对收到的维度防御扩展信息进行投影关联,产生其他维度可用的防御规则,并发送到对应维度的防御模块中。
所述的方法中,包括:处置模块根据检测结果及预设处置规则,对待检测对象进行处置,并将维度处置扩展信息发送到维度扩展模块中;及获取维度扩展模块发送的处置规则,并补充到预设处置规则中;
所述维度扩展模块根据维度关联规则,对收到的维度处置扩展信息进行投影关联,产生其他维度可用的处置规则,并发送到对应维度的处置模块中。
所述的方法中,所述维度关联规则将维度检测扩展信息,和/或维度防御扩展信息,和/或维度处置扩展信息与各维度检测点环境所需要的信息关联,并根据统计数据或数学模型预设到维度扩展模块中。
本发明的系统及方法,能够通过至少两个检测模块及维度扩展模块,对待检测对象进行检测,当一个检测模块检测完成后,将筛选出可扩展的信息交给维度扩展模块,维度扩展模块将收到的信息及待检测对象,通过维度关联规则,将上述信息映射扩展到其他检测模块,生成其可用的信息。本发明还可以增加防御模块及处置模块,并且也能够与维度扩展模块进行关联扩展。通过本发明的系统及方法,实现了在一个维度上的检测结果可以转化成其他维度上可使用的规则,实现了自学习自更新的能力。因此本发明也不依赖于通过安全厂商提供的检测规则,才能够获得新的检测能力。即本发明系统检测能力不依赖外部对检测规则进行更新,就能够获得其他维度的检测能力,从而实现对APT和高级安全威胁的防御检测。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种多维度检测防御APT的系统结构示意图;
图2为本发明系统实施例一结构示意图;
图3为本发明系统实施例二结构示意图;
图4为本发明系统实施例三结构示意图;
图5为本发明一种多维度检测防御APT的方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种多维度检测防御APT的系统及方法,解决了传统安全防御系统只能在单独时间点或时间段对单一维度进行检测,无法进行全面检测的问题,是防御检测系统能够实现自更新以获得其他维度的检测能力。
一种多维度检测防御APT的系统,如图1所示,包括:至少两个检测模块101,和维度扩展模块102;
所述检测模块101分别部署于各维度中,根据所处维度检测点环境,预设检测规则,用于检测当前维度中的待检测对象,记录待检测对象的行为及检测结果,根据预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;获取维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中;
所述的筛选规则,可根据维度扩展模块中维度关联规则所需要或可以利用的信息预先设定,在当前检测模块检测产生的信息及待检测对象本身的信息等中选取;
维度扩展模块102,用于获取各检测模块发送来的维度检测扩展信息,根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中;
维度关联规则是将维度扩展模块所获得的信息与其他维度检测所需的信息类型进行映射匹配等,进一步得到其他维度可用的信息。
所述维度由至少两个不同检测点环境组成,每个检测点环境为一个维度。例如部署于网关节点的检测点环境、部署于PC上的检测点环境、部署于移动终端的检测点环境等。
所述的系统中,如果所述检测模块的预设检测规则中不存在待检测对象的检测规则,则记录所述待检测对象的信息,并发送到维度扩展模块;
维度扩展模块根据待检测对象的信息,将所述待检测对象发送到相应维度的检测模块中。
所述的系统中,在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中后,对当前检测模块中的所有待检测对象进行二次检测。
所述的系统中,还包括:至少两个防御模块103,所述防御模块分别部署于各维度中,用于根据所处维度对应检测模块的检测结果及预设防御规则,对待检测对象拦截、阻断或告警,并根据预设筛选规则,筛选出维度防御扩展信息,并发送到维度扩展模块中;获取维度扩展模块发送的防御规则,并补充到预设防御规则中;
所述维度扩展模块根据维度关联规则,对收到的维度防御扩展信息进行投影关联,产生其他维度可用的防御规则,并发送到对应维度的防御模块中。
所述的系统中,包括:至少两个处置模块104,所述处置模块分别部署于各维度中,用于根据所处维度对应检测模块的检测结果及预设处置规则,对待检测对象进行处置,并将维度处置扩展信息发送到维度扩展模块中;获取维度扩展模块发送的处置规则,并补充到预设处置规则中;
所述维度扩展模块根据维度关联规则,对收到的维度处置扩展信息进行投影关联,产生其他维度可用的处置规则,并发送到对应维度的处置模块中。
所述的系统中,所述维度关联规则将维度检测扩展信息,和/或维度防御扩展信息,和/或维度处置扩展信息与各维度检测点环境所需要的信息关联,并根据统计数据或数学模型预设到维度扩展模块中。
为使更本领域技术人员更清楚了解本发明内容,给出一个具体实施例,如图2所示:
本实施例中仅包含两个检测模块,即检测模块A201,及检测模块B202,以及维度扩展模块203;其中检测模块A部署于维度A环境中,检测模块B部署于维度B环境中。
检测模块A根据预设的检测规则A检测待检测对象,产生检测结果A;
对检测结果A及待检测对象进行记录,并根据筛选规则将维度扩展模块可用信息(即维度检测扩展信息),筛选出并发送到维度扩展模块;
维度扩展模块根据维度关联规则,从维度检测扩展信息中关联映射出检测模块B可用的检测规则,并将检测规则发送到检测模块B;
检测模块B接收检测规则,并补充到自身的预设检测规则中;
检测模块B利用补充后的预设检测规则,再次检测当前维度B中的待检测对象。
同时在检测模块B检测完成后,仍然可以进行筛选,并通过维度扩展模块将检测规则扩展给检测模块A。
本发明系统中的检测模块及维度扩展模块,可以通过不断的检测,扩展,达到随时对各维度检测模块的扩展。
以下提供一种在实际应用中的实施例,如图3所示,包括网络维度的UTM检测模块301、终端维度的PC检测模块302及维度扩展模块303。
文件A通过网络下载至PC检测模块所在PC机,UTM检测模块中不存在对文件A的检测规则,因此仅对文件A事件进行记录,并将文件A出现在网络维度的信息提供给维度扩展模块;
PC检测模块中具有对完整文件较强的检测能力,检测到文件A为某APT组成部分;
PC检测模块经筛选将文件A、检测结果及文件A来源网址提交给维度扩展模块进行维度扩展;
维度扩展模块根据维度关联规则,对文件A进行模拟执行,将新发现的网址、文件A来源网址、文件散列值等,作为网络维度UTM检测规则推送给UTM检测模块;
UTM检测模块收到新增检测规则后,对检测历史进行复查,从而发现文件A为某APT组成部分,在后续检测过程中提示用户。
本发明的另一实施例如图4所示,包括PC检测模块401、移动终端检测模块402及维度扩展模块403。
PC检测模块以MD5为检测规则,对exe文件进行检测,并记录文件释放的文件MD5,如果释放的文件为APK文件,则将该APK文件的信息提供给维度扩展模块;
维度扩展模块将APK文件提供给移动终端检测模块;
移动终端检测模块对APK文件进行检测,如果APK文件为恶意文件,则将该APK文件的MD5值提供给维度扩展模块;
维度扩展模块根据维度关联规则,将MD5值关联并推送到PC检测模块;
PC检测模块补充预设检测规则,进而对该APK文件具有检测能力。
本发明还提供一种多维度检测防御APT的方法,如图5所示,适用于上述系统中,包括:
S501:检测模块根据预设检测规则,检测当前维度中的待检测对象;
S502:记录待检测对象的行为及检测结果;
S503:预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;
S504:获取检测模块发送来的维度检测扩展信息;
S505:根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中;
所述检测模块还获取维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中;
所述维度由至少两个不同检测点环境组成,每个检测点环境为一个维度。
所述的方法,其特征在于,如果所述预设检测规则中不存在待检测对象的检测规则,则记录所述待检测对象的信息,并发送到维度扩展模块;
维度扩展模块根据待检测对象的信息,将所述待检测对象发送到相应维度的检测模块中。
所述的方法中,在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中后,对当前检测模块中的所有待检测对象进行二次检测。
所述的方法中,还包括:防御模块根据检测结果及预设防御规则,对待检测对象拦截、阻断或告警,并根据预设筛选规则,筛选出维度防御扩展信息,并发送到维度扩展模块中;及获取维度扩展模块发送的防御规则,并补充到预设防御规则中;
所述维度扩展模块根据维度关联规则,对收到的维度防御扩展信息进行投影关联,产生其他维度可用的防御规则,并发送到对应维度的防御模块中。
所述的方法中,包括:处置模块根据检测结果及预设处置规则,对待检测对象进行处置,并将维度处置扩展信息发送到维度扩展模块中;及获取维度扩展模块发送的处置规则,并补充到预设处置规则中;
所述维度扩展模块根据维度关联规则,对收到的维度处置扩展信息进行投影关联,产生其他维度可用的处置规则,并发送到对应维度的处置模块中。
所述的方法中,所述维度关联规则将维度检测扩展信息,和/或维度防御扩展信息,和/或维度处置扩展信息与各维度检测点环境所需要的信息关联,并根据统计数据或数学模型预设到维度扩展模块中。
本发明的系统及方法,能够通过至少两个检测模块及维度扩展模块,对待检测对象进行检测,当一个检测模块检测完成后,将筛选出可扩展的信息交给维度扩展模块,维度扩展模块将收到的信息及待检测对象,通过维度关联规则,将上述信息映射扩展到其他检测模块,生成其可用的信息。本发明还可以增加防御模块及处置模块,并且也能够与维度扩展模块进行关联扩展。通过本发明的系统及方法,实现了在一个维度上的检测结果可以转化成其他维度上可使用的规则,实现了自学习自更新的能力。因此本发明也不依赖于通过安全厂商提供的检测规则,才能够获得新的检测能力。即本发明系统检测能力不依赖外部对检测规则进行更新,就能够获得其他维度的检测能力,从而实现对APT和高级安全威胁的防御检测。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种检测防御APT和高级安全威胁的系统,其特征在于,包括:至少两个检测模块,和维度扩展模块;
所述检测模块分别部署于各维度中,根据所处维度检测点环境,预设检测规则,用于检测当前维度中的待检测对象,记录待检测对象的行为及检测结果,根据预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;获取维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中;
维度扩展模块,用于获取各检测模块发送来的维度检测扩展信息,根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中;
所述维度由至少两个不同检测点环境组成,每个检测点环境为一个维度。
2.如权利要求1所述的系统,其特征在于,如果所述检测模块的预设检测规则中不存在待检测对象的检测规则,则记录所述待检测对象的信息,并发送到维度扩展模块;
维度扩展模块根据待检测对象的信息,将所述待检测对象发送到相应维度的检测模块中。
3.如权利要求1所述的系统,其特征在于,在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中后,对当前检测模块中的所有待检测对象进行二次检测。
4.如权利要求1所述的系统,其特征在于,包括:至少两个防御模块,所述防御模块分别部署于各维度中,用于根据所处维度对应检测模块的检测结果及预设防御规则,对待检测对象拦截、阻断或告警,并根据预设筛选规则,筛选出维度防御扩展信息,并发送到维度扩展模块中;获取维度扩展模块发送的防御规则,并补充到预设防御规则中;
所述维度扩展模块根据维度关联规则,对收到的维度防御扩展信息进行投影关联,产生其他维度可用的防御规则,并发送到对应维度的防御模块中。
5.如权利要求1所述的系统,其特征在于,包括:至少两个处置模块,所述处置模块分别部署于各维度中,用于根据所处维度对应检测模块的检测结果及预设处置规则,对待检测对象进行处置,并将维度处置扩展信息发送到维度扩展模块中;获取维度扩展模块发送的处置规则,并补充到预设处置规则中;
所述维度扩展模块根据维度关联规则,对收到的维度处置扩展信息进行投影关联,产生其他维度可用的处置规则,并发送到对应维度的处置模块中。
6.如权利要求1至5所述的系统,其特征在于,所述维度关联规则将维度检测扩展信息,和/或维度防御扩展信息,和/或维度处置扩展信息与各维度检测点环境所需要的信息关联,并根据统计数据或数学模型预设到维度扩展模块中。
7.一种检测防御APT和高级安全威胁的方法,适用于权利要求1所述系统,其特征在于,包括:
检测模块根据预设检测规则,检测当前维度中的待检测对象;
记录待检测对象的行为及检测结果;
根据预设筛选规则,筛选出维度检测扩展信息,并发送到维度扩展模块中;
获取检测模块发送来的维度检测扩展信息;
根据预设维度关联规则对所述维度检测扩展信息进行投影关联,产生其他维度可用的检测规则及筛选规则,并发送到对应维度的检测模块中;
所述检测模块还获取维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中;
所述维度由至少两个不同检测点环境组成,每个检测点环境为一个维度。
8.如权利要求7所述的方法,其特征在于,如果所述预设检测规则中不存在待检测对象的检测规则,则记录所述待检测对象的信息,并发送到维度扩展模块;
维度扩展模块根据待检测对象的信息,将所述待检测对象发送到相应维度的检测模块中。
9.如权利要求7所述的方法,其特征在于,在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则,补充到预设检测规则和预设筛选规则中后,对当前检测模块中的所有待检测对象进行二次检测。
10.如权利要求7所述的方法,其特征在于,还包括包括:防御模块根据检测结果及预设防御规则,对待检测对象拦截、阻断或告警,并根据预设筛选规则,筛选出维度防御扩展信息,并发送到维度扩展模块中;及获取维度扩展模块发送的防御规则,并补充到预设防御规则中;
所述维度扩展模块根据维度关联规则,对收到的维度防御扩展信息进行投影关联,产生其他维度可用的防御规则,并发送到对应维度的防御模块中。
11.如权利要求7所述的方法,其特征在于,包括:处置模块根据检测结果及预设处置规则,对待检测对象进行处置,并将维度处置扩展信息发送到维度扩展模块中;及获取维度扩展模块发送的处置规则,并补充到预设处置规则中;
所述维度扩展模块根据维度关联规则,对收到的维度处置扩展信息进行投影关联,产生其他维度可用的处置规则,并发送到对应维度的处置模块中。
12.如权利要求7至11所述的方法,其特征在于,所述维度关联规则将维度检测扩展信息,和/或维度防御扩展信息,和/或维度处置扩展信息与各维度检测点环境所需要的信息关联,并根据统计数据或数学模型预设到维度扩展模块中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310559032.0A CN103905418B (zh) | 2013-11-12 | 2013-11-12 | 一种多维度检测防御apt的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310559032.0A CN103905418B (zh) | 2013-11-12 | 2013-11-12 | 一种多维度检测防御apt的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905418A true CN103905418A (zh) | 2014-07-02 |
| CN103905418B CN103905418B (zh) | 2017-02-15 |
Family
ID=50996572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310559032.0A Active CN103905418B (zh) | 2013-11-12 | 2013-11-12 | 一种多维度检测防御apt的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905418B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| CN105430001A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | Apt攻击的检测方法、终端设备、服务器及系统 |
| CN106341426A (zh) * | 2016-11-11 | 2017-01-18 | 中国南方电网有限责任公司 | 一种防御apt攻击的方法及安全控制器 |
| CN106612287A (zh) * | 2017-01-10 | 2017-05-03 | 厦门大学 | 一种云存储系统的持续性攻击的检测方法 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN108337217A (zh) * | 2017-03-31 | 2018-07-27 | 北京安天网络安全技术有限公司 | 基于六维空间流量分析模型的木马回联检测系统及方法 |
| CN108337216A (zh) * | 2017-03-31 | 2018-07-27 | 北京安天网络安全技术有限公司 | 一种六维空间流量安全分析模型生成方法及系统 |
| CN110891048A (zh) * | 2015-12-24 | 2020-03-17 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN113315784A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种安全事件的处理方法、装置、设备和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
| CN101471933A (zh) * | 2007-12-28 | 2009-07-01 | 英业达股份有限公司 | 通过网络链路数据动态更新入侵检测规则的方法 |
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| US20130276122A1 (en) * | 2012-04-11 | 2013-10-17 | James L. Sowder | System and method for providing storage device-based advanced persistent threat (apt) protection |
-
2013
- 2013-11-12 CN CN201310559032.0A patent/CN103905418B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
| CN101471933A (zh) * | 2007-12-28 | 2009-07-01 | 英业达股份有限公司 | 通过网络链路数据动态更新入侵检测规则的方法 |
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| US20130276122A1 (en) * | 2012-04-11 | 2013-10-17 | James L. Sowder | System and method for providing storage device-based advanced persistent threat (apt) protection |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| CN105119783B (zh) * | 2015-09-30 | 2020-01-31 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| CN105430001A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | Apt攻击的检测方法、终端设备、服务器及系统 |
| CN110891048A (zh) * | 2015-12-24 | 2020-03-17 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| US11431676B2 (en) | 2015-12-24 | 2022-08-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
| CN110891048B (zh) * | 2015-12-24 | 2021-09-03 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN106341426A (zh) * | 2016-11-11 | 2017-01-18 | 中国南方电网有限责任公司 | 一种防御apt攻击的方法及安全控制器 |
| CN106612287A (zh) * | 2017-01-10 | 2017-05-03 | 厦门大学 | 一种云存储系统的持续性攻击的检测方法 |
| CN106612287B (zh) * | 2017-01-10 | 2019-05-07 | 厦门大学 | 一种云存储系统的持续性攻击的检测方法 |
| CN108337217B (zh) * | 2017-03-31 | 2020-04-24 | 北京安天网络安全技术有限公司 | 基于六维空间流量分析模型的木马回联检测系统及方法 |
| CN108337216B (zh) * | 2017-03-31 | 2020-02-07 | 北京安天网络安全技术有限公司 | 一种六维空间流量安全分析模型生成方法及系统 |
| CN108337216A (zh) * | 2017-03-31 | 2018-07-27 | 北京安天网络安全技术有限公司 | 一种六维空间流量安全分析模型生成方法及系统 |
| CN108337217A (zh) * | 2017-03-31 | 2018-07-27 | 北京安天网络安全技术有限公司 | 基于六维空间流量分析模型的木马回联检测系统及方法 |
| CN107370755B (zh) * | 2017-08-23 | 2020-03-03 | 杭州安恒信息技术股份有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN113315784A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种安全事件的处理方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905418B (zh) | 2017-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103905418A (zh) | 一种多维度检测防御apt的系统及方法 | |
| Narayanan et al. | Early detection of cybersecurity threats using collaborative cognition | |
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| Nguyen | Navigating jus ad bellum in the age of cyber warfare | |
| US9083741B2 (en) | Network defense system and framework for detecting and geolocating botnet cyber attacks | |
| US9215208B2 (en) | Network attack offensive appliance | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| EP3646218A1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US9081957B2 (en) | Dynamic operational watermarking for software and hardware assurance | |
| US11343263B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| US20230418938A1 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN103986706A (zh) | 一种应对apt攻击的安全架构设计方法 | |
| Uddin et al. | Intrusion detection system to detect DDoS attack in gnutella hybrid P2P network | |
| Buchyk et al. | Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox | |
| Shalaginov et al. | Malware beaconing detection by mining large-scale dns logs for targeted attack identification | |
| Narayanan et al. | Cognitive techniques for early detection of cybersecurity events | |
| Whitham | Automating the generation of fake documents to detect network intruders | |
| IL258345B2 (en) | A rapid framework for ensuring cyber protection, inspired by biological systems | |
| CN114095186A (zh) | 威胁情报应急响应方法及装置 | |
| KR102179439B1 (ko) | 정상/위협 트래픽 재활용을 위한 메타 정보 플랫폼 장치 및 방법 | |
| Afenu et al. | Industrial Control Systems Security Validation Based on MITRE Adversarial Tactics, Techniques, and Common Knowledge Framework | |
| US20190109865A1 (en) | Pre-Crime Method and System for Predictable Defense Against Hacker Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Patentee after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Patentee before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: APT multi-dimensional detection and defense system and method Effective date of registration: 20181119 Granted publication date: 20170215 Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990001084 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20200508 Granted publication date: 20170215 Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd. Registration number: 2018990001084 |