CN105721416B - 一种apt事件攻击组织同源性分析方法及装置 - Google Patents
一种apt事件攻击组织同源性分析方法及装置 Download PDFInfo
- Publication number
- CN105721416B CN105721416B CN201510783399.XA CN201510783399A CN105721416B CN 105721416 B CN105721416 B CN 105721416B CN 201510783399 A CN201510783399 A CN 201510783399A CN 105721416 B CN105721416 B CN 105721416B
- Authority
- CN
- China
- Prior art keywords
- event
- apt
- sender
- attachment
- obtains
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种apt事件攻击组织同源性分析方法及装置,包括:获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;分析各项元数据并获取相关行为特征信息;将各项行为特征信息与预设条件对比,并基于对比结果设定权值;计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为。本发明所述技术方案能有效识别apt事件,并且能够对apt事件的攻击组织进行分类划分。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种apt事件攻击组织同源性分析方法及装置。
背景技术
APT(Advanced Persistent Threat)--------高级持续性威胁,是利用先进的攻击手法对特定的目标进行长期持续性的网络攻击的攻击形式。
鉴于APT攻击事件的日趋严峻,APT攻击长期有计划有组织性的针对特定对象收集大量关于用户业务流程和目标系统使用情况的精确信息,并且广泛的使用0day漏洞、隐蔽通讯、签名仿冒、社会工程学等攻击手段进行入侵,对信息系统的安全性构成了极大威胁。因此,对于有效发现APT攻击及进一步发现其攻击组织成为为目前网络安全备受关注的焦点。
而在APT攻击中,以邮件为攻击前导的事件所占的比例远远大于其他方式,并且对于一个攻击组织来说,为了成本和利益的平衡,其攻击组织针对不同的特定目标发动攻击可能会延续使用相同或相似的攻击手法、感染方式或者恶意代码等。
发明内容
本发明所述的技术方案通过分析邮件,提取邮件的各项元数据,并分析元数据后获取行为特征信息,将所述行为特征信息与预设条件对比,并基于对比结果设定权值,基于权值和综合判断该事件是否为可疑apt事件,并进一步判断apt事件之间是否为同一攻击组织所为。本发明所述技术方案能够有效检测apt事件,并且对这些apt攻击事件之间进行同源性分析,以便有效识别后续出现的apt事件的攻击组织。
本发明采用如下方法来实现:一种apt事件攻击组织同源性分析方法,包括:
获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
分析各项元数据并获取相关行为特征信息;
将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
进一步地,所述分析各项元数据并获取相关行为特征信息,包括:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
进一步地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
进一步地,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,具体为:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
进一步地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
本发明可以采用如下装置来实现:一种apt事件攻击组织同源性分析装置,包括:
元数据提取模块,用于获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
行为特征信息获取模块,用于分析各项元数据并获取相关行为特征信息;
对比模块,用于将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
apt事件判定模块,用于计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
同源分析模块,用于利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
进一步地,所述行为特征信息获取模块,具体用于:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
进一步地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
进一步地,所述对比模块,具体用于:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
进一步地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
综上,本发明给出一种apt事件攻击组织同源性分析方法及装置,由于邮件通常会成为黑客组织进行apt事件攻击的常用手段,本发明所述技术方案通过获取邮件并提取多项元数据,并分别分析元数据进而获取行为特征信息,将其中至少一项行为特征信息与预设条件对比,对于对比成功的行为特征信息根据经验设定权值,并计算权值和,若所述权值和高于预设阈值,则认为该事件为疑似apt事件。利用聚类算法分析各apt事件,彼此相似度高于预设值的apt事件为同源攻击组织所为。
有益效果为:本发明所述技术方案基于邮件的行为数据进而发现apt事件,并能够有效识别apt事件之间的同源关系,可以有效定位同源攻击组织。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种apt事件攻击组织同源性分析方法实施例流程图;
图2为本发明提供的一种apt事件攻击组织同源性分析装置实施例结构图。
具体实施方式
本发明给出了一种apt事件攻击组织同源性分析方法及装置实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种apt事件攻击组织同源性分析方法实施例,如图1所示,包括:
S101获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
S102分析各项元数据并获取相关行为特征信息;
S103将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
S104计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
S105利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
其中,所述利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为,具体为:将各apt事件的行为特征信息一一对比,利用聚类算法统计最终的相似度,并与预设值进行对比,若高于预设值,则认为对比双方的apt事件为同源攻击组织所为。
优选地,所述分析各项元数据并获取相关行为特征信息,包括:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
其中,所述编码方式包括:base64或者quopri编码等。
优选地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
优选地,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,具体为:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
其中,所述将正文所包含的URL与已知恶意URL对比,具体通过域名或者下载回来的文件判定。
其中,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,还包括:将发件人和收件人与搜索引擎公开的邮件地址比较。
优选地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
本发明还提供了一种apt事件攻击组织同源性分析装置实施例,如图2所示,包括:
元数据提取模块201,用于获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
行为特征信息获取模块202,用于分析各项元数据并获取相关行为特征信息;
对比模块203,用于将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
apt事件判定模块204,用于计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
同源分析模块205,用于利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
优选地,所述行为特征信息获取模块,具体用于:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
优选地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
优选地,所述对比模块,具体用于:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
优选地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
如上所述,上述实施例给出了apt事件攻击组织同源性分析方法及装置,上述实施例所述技术方案利用往来邮件的元数据,进而获取邮件相关的行为特征信息,选取行为特征信息中的一项或者多项与预设条件对比,为满足预设条件的行为特征信息设定权值,并将该邮件相关的权值加和,最终与预设阈值对比,高于预设阈值的事件判定为疑似apt事件,将所有疑似apt事件存入apt事件行为库,利用聚类算法分析所有已发现的apt事件,判定相似度高于预设值的apt事件是由同一个攻击组织所为。
综上,基于apt事件的高级性持续性等特点,目前传统的检测方法无法有效检出apt事件。本发明所述技术方案通过分析邮件的各项行为特征信息,并对满足预设条件的行为特征信息赋予权值,综合判定是否为apt事件,能够有效识别apt事件,并通过分析各apt事件之间的相似性发现同源攻击组织事件。为后续的apt识别和apt攻击组织定位提供了识别基础。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种apt事件攻击组织同源性分析方法,其特征在于,包括:
获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
分析各项元数据并获取相关行为特征信息;
将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
2.如权利要求1所述的方法,其特征在于,所述分析各项元数据并获取相关行为特征信息,包括:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
3.如权利要求2所述的方法,其特征在于,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
4.如权利要求2或3所述的方法,其特征在于,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,具体为:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
5.如权利要求4所述的方法,其特征在于,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
6.一种apt事件攻击组织同源性分析装置,其特征在于,包括:
元数据提取模块,用于获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
行为特征信息获取模块,用于分析各项元数据并获取相关行为特征信息;
对比模块,用于将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
apt事件判定模块,用于计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
同源分析模块,用于利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
7.如权利要求6所述的装置,其特征在于,所述行为特征信息获取模块,具体用于:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
8.如权利要求7所述的装置,其特征在于,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
9.如权利要求7或8所述的装置,其特征在于,所述对比模块,具体用于:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
10.如权利要求9所述的装置,其特征在于,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510783399.XA CN105721416B (zh) | 2015-11-16 | 2015-11-16 | 一种apt事件攻击组织同源性分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510783399.XA CN105721416B (zh) | 2015-11-16 | 2015-11-16 | 一种apt事件攻击组织同源性分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105721416A CN105721416A (zh) | 2016-06-29 |
| CN105721416B true CN105721416B (zh) | 2019-09-13 |
Family
ID=56145043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510783399.XA Active CN105721416B (zh) | 2015-11-16 | 2015-11-16 | 一种apt事件攻击组织同源性分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721416B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375331B (zh) * | 2016-09-23 | 2020-02-14 | 北京网康科技有限公司 | 一种攻击组织的挖掘方法及装置 |
| CN107743087B (zh) * | 2016-10-27 | 2020-05-12 | 腾讯科技(深圳)有限公司 | 一种邮件攻击的检测方法及系统 |
| CN108092948B (zh) * | 2016-11-23 | 2021-04-02 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| CN108632224B (zh) * | 2017-03-23 | 2022-03-15 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| CN107426159A (zh) * | 2017-05-03 | 2017-12-01 | 成都国腾实业集团有限公司 | 基于大数据分析的apt监测防御方法 |
| CN108076040B (zh) * | 2017-10-11 | 2020-07-14 | 北京邮电大学 | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 |
| CN107819698A (zh) * | 2017-11-10 | 2018-03-20 | 北京邮电大学 | 一种基于半监督学习的网络流量分类方法、计算机设备 |
| CN110545250B (zh) * | 2018-05-29 | 2021-12-21 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
| CN108848102B (zh) * | 2018-07-02 | 2021-04-13 | 北京网藤科技有限公司 | 一种apt攻击预警系统及其预警方法 |
| CN109088869B (zh) * | 2018-08-14 | 2021-09-28 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN110149318B (zh) * | 2019-04-26 | 2022-07-05 | 奇安信科技集团股份有限公司 | 邮件元数据的处理方法及装置、存储介质、电子装置 |
| CN110198303A (zh) * | 2019-04-26 | 2019-09-03 | 北京奇安信科技有限公司 | 威胁情报的生成方法及装置、存储介质、电子装置 |
| CN111092902B (zh) * | 2019-12-26 | 2020-12-25 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
| CN111262831A (zh) * | 2020-01-07 | 2020-06-09 | 深信服科技股份有限公司 | 钓鱼邮件检测方法、装置、设备及计算机可读存储介质 |
| CN112202759B (zh) * | 2020-09-28 | 2021-09-07 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
| CN113868656B (zh) * | 2021-09-30 | 2022-05-13 | 中国电子科技集团公司第十五研究所 | 一种基于行为模式的apt事件同源判定方法 |
| CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103384240A (zh) * | 2012-12-21 | 2013-11-06 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
| CN103401863A (zh) * | 2013-07-30 | 2013-11-20 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
| CN103581104A (zh) * | 2012-07-18 | 2014-02-12 | 江苏中科慧创信息安全技术有限公司 | 一种基于行为捕捉的主动诱捕方法 |
| CN103593610A (zh) * | 2013-10-09 | 2014-02-19 | 中国电子科技集团公司第二十八研究所 | 基于计算机免疫的间谍软件自适应诱导与检测方法 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| US8904531B1 (en) * | 2011-06-30 | 2014-12-02 | Emc Corporation | Detecting advanced persistent threats |
| CN104866765A (zh) * | 2015-06-03 | 2015-08-26 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
-
2015
- 2015-11-16 CN CN201510783399.XA patent/CN105721416B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8904531B1 (en) * | 2011-06-30 | 2014-12-02 | Emc Corporation | Detecting advanced persistent threats |
| CN103581104A (zh) * | 2012-07-18 | 2014-02-12 | 江苏中科慧创信息安全技术有限公司 | 一种基于行为捕捉的主动诱捕方法 |
| CN103384240A (zh) * | 2012-12-21 | 2013-11-06 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
| CN103401863A (zh) * | 2013-07-30 | 2013-11-20 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
| CN103593610A (zh) * | 2013-10-09 | 2014-02-19 | 中国电子科技集团公司第二十八研究所 | 基于计算机免疫的间谍软件自适应诱导与检测方法 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN104866765A (zh) * | 2015-06-03 | 2015-08-26 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105721416A (zh) | 2016-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721416B (zh) | 一种apt事件攻击组织同源性分析方法及装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN107592312B (zh) | 一种基于网络流量的恶意软件检测方法 | |
| KR101666177B1 (ko) | 악성 도메인 클러스터 탐지 장치 및 방법 | |
| Bryan et al. | Unsupervised retrieval of attack profiles in collaborative recommender systems | |
| CN100504903C (zh) | 一种恶意代码自动识别方法 | |
| CN107172022B (zh) | 基于入侵途径的apt威胁检测方法和系统 | |
| CN108183888B (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| ZA201805018B (en) | Reactive and pre-emptive security system for the protection of computer networks & systems | |
| Zhou et al. | DGA-Based Botnet Detection Using DNS Traffic. | |
| Ranganayakulu et al. | Detecting malicious urls in e-mail–an implementation | |
| KR101070184B1 (ko) | 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법 | |
| US20150113651A1 (en) | Spammer group extraction apparatus and method | |
| Sheen et al. | Ransomware detection by mining API call usage | |
| CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
| CN110134876B (zh) | 一种基于群智传感器的网络空间群体性事件感知与检测方法 | |
| Zilberman et al. | Analyzing group communication for preventing data leakage via email | |
| KR101535529B1 (ko) | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 | |
| Calais et al. | A campaign-based characterization of spamming strategies | |
| CN108347370A (zh) | 一种针对性攻击邮件的检测方法及系统 | |
| CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
| Su et al. | Suspicious URL filtering based on logistic regression with multi-view analysis | |
| Concone et al. | Assisted labeling for spam account detection on twitter | |
| Khade et al. | Detection of phishing websites using data mining techniques | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 506 room 162, Hongqi Avenue, Nangang District, Harbin Development Zone, Heilongjiang, 150090 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |