CN107659543B - 面向云平台apt攻击的防护方法 - Google Patents

面向云平台apt攻击的防护方法 Download PDF

Info

Publication number
CN107659543B
CN107659543B CN201610597807.7A CN201610597807A CN107659543B CN 107659543 B CN107659543 B CN 107659543B CN 201610597807 A CN201610597807 A CN 201610597807A CN 107659543 B CN107659543 B CN 107659543B
Authority
CN
China
Prior art keywords
attack
apt attack
apt
behavior
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610597807.7A
Other languages
English (en)
Other versions
CN107659543A (zh
Inventor
谢梅
姚金利
曾颖明
海然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN201610597807.7A priority Critical patent/CN107659543B/zh
Publication of CN107659543A publication Critical patent/CN107659543A/zh
Application granted granted Critical
Publication of CN107659543B publication Critical patent/CN107659543B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种面向云平台APT攻击的防护方法,其中,包括:依据APT攻击流程时序性,获取不同的阶段特征行为事件;依据该特征行为事件构建全网APT攻击行为模型;依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略。本发明面向云平台APT攻击的防护方法,能够实现全网网络安全策略的统一定义与管控。

Description

面向云平台APT攻击的防护方法
技术领域
本发明涉及面向云平台的信息系统技术领域,针对APT攻击的面向云平台APT攻击的防护方法。
背景技术
随着云计算、大数据和虚拟化等新技术在大型信息系统的逐步应用。基于经济效益,社会作用和环境保护等多方面的考虑,工业界和学术界一直致力于打造一个更高效,更环保的云平台。SDN架构中集中的控制层机制为各安全机制的自动化、联动、特别是跨厂商设备的联动,提供了新的机遇。虽然目前SDN还存在许多技术问题没有解决,但已有大量云计算中心、运营商及相关厂家已进行SDN的相关实践。因此,基于SDN的灵活的网络模式必然有着新的安全应用需求。
发明内容
本发明的目的在于提供一种面向云平台APT攻击的防护方法,用于解决上述现有技术的问题。
本发明的一种面向云平台APT攻击的防护方法,其中,包括:依据APT攻击流程时序性,获取不同的阶段特征行为事件;依据该特征行为事件构建全网APT攻击行为模型;依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,依据APT攻击流程时序性,获取不同的阶段特征行为事件包括:边界防护设备数量、目标网络防护设备的数量、目标网络设备、目标网络存储设备数量以及目标网络应用系统数量;获取边界安全防护设备检测的报警数据;获取目标网络安全防护设备检测的报警数据;获取应用程序检测数据;获取网络流量监测数据;以及获取应用系统日志文件。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,依据APT攻击流程时序性,获取不同的阶段特征行为事件,包括:设边界防护设备数量p、目标网络防护设备的数量q、目标网络设备数量n、目标网络存储设备数量m、目标网络应用系统数量w;该边界安全防护设备检测的报警数据记为(v1,ti,dx),表示网络探测类异常事件v1在ti时刻发生在边界防护设备dx上,x取1至P之间的整数;该目标网络安全防护设备检测的报警数据记为(v2,ti,dy),表示网络探测类异常事件v2在ti时刻发生在目标网络安全防护设备dy上,y取1至q之间的整数;该应用程序检测数据:记为(v3,ti,dz),表示特权提取类异常事件v3在ti时刻发生在目标网络设备dz上,z取1至n之间的整数;该网络流量监测数据记为(v4,ti,dj),表示数据窃取类异常事件v4在ti时刻发生目标数据存储设备dj上,j取1至m之间的整数;该应用系统日志文件构建出傀儡用户a的异常应用行为序列
Figure BDA0001060157030000021
i取1至w之间的整数;关注外网渗透事件v1建立p个数据采集点,关注目标网络探测事件v2建立q个数据采集点,关注用户提权事件v3建立n个数据采集点,关注数据回传事件v4建立m个数据采集点;将第i步攻击的每一个数据采集点与第i+1步攻击的每一个节点相连接,综合应用系统的异常行为序列,得到攻击路径图;得到的事件序列为:
Figure BDA0001060157030000031
,其中
Figure BDA0001060157030000033
表示目标网络中涉及傀儡用户a的应用攻击序列,按时间顺序排列的第i个事件。建立攻击序列库Va={Va(1),Va(2),...Va(s)}存储,作为该网络APT攻击行为模型,其中,s代表基于用户a的攻击总数。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,依据所有网络APT攻击行为模型建立防御策略库包括:依据已建立的网络APT攻击行为模型,通建立全局安全状态表,该全局安全状态表内存储有全局范围内的应用信息、用户信息、安全状态信息;通过GSC安全控制器定义、下发和维护更新该防御策略;针对特定APT攻击模型,形成一系列的最小化安全原子服务集,该最小化安全原子为一APT攻击模型的一种防御方法。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,该对APT攻击进行检测包括:建立序列库来描述当前行为,其序列库Va′={Va′(1),Va′(2),...,Va′(s)};将序列库Va和Va′转化成攻击行为模板矩阵和检测对象矩阵;采用矩阵相似度来衡量模板矩阵与检测对象矩阵之间的匹配程度;当模板矩阵与检测对象矩阵之间的匹配度大于预先设定的判决阈值时,就将矩阵标记为异常,并发出警报。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,还包括,首先将报警事件进行初步分析,进行流量清洗,同时,进行APT攻击检测,从而判定云平台系统是否遭受APT攻击。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,依据该特征行为事件构建所有网络APT攻击行为模型包括:在目标网络进行APT攻击的不同阶段生成的不同攻击事件,分析普通用户成为傀儡用户后,使用不同服务的行为,从而构建所有潜在攻击模式。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,还包括:确定APT的攻击流程。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,还包括:进行APT攻击特点分析。
根据本发明的面向云平台APT攻击的防护方法的一实施例,其中,还包括:以矩阵相似度方法分析网络APT攻击行为模型与当前实际行为模型之间的相似性,对被测对象行为进行判断。
本发明面向云平台APT攻击的防护方法,能够实现全网网络安全策略的统一定义与管控,依据APT攻击检测结果,对应用环境的安全进行感知,明确防护等级,并基于全局安全环境视图实现全网安全资源面向特定APT攻击的动态重组。实现安全策略自动化生成、解析和执行等,完成安全资源自适应调度和响应,既达到安全防护的需求,又减少因实施安全机制对网络性能和业务系统运行效率的影响。
附图说明
图1所示为面向云平台的APT攻击防御系统结构图;
图2所示为本发明面向云平台APT攻击的防护方法流程图;
图3所示为APT攻击流程图;
图4所示为APT完整攻击时序图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为面向云平台的APT攻击防御系统结构图,如图1所示,防护系统由执行层、控制层和管理层三个关联层组成,三层协同工作,提供自适应的、集中管理的高效安全性。
如图1所示,执行层主要由关键检测点和关键防护点构成,检测点主要包括用户行为日志资源、全网应用系统组成的应用资源以及安全网关及安全软件等安全资源组成。在关键防护点,依据安全域划分的原则,在确保业务能够正常开展的前提下,执行“最小权限”的安全原则,定义网络“最小单元”。每一个最小单元共享相同策略。在每个单元的边界引入执行点,进行相应的防护逻辑,实现模块化防护。
如图1所示,控制层主要协调网络和安全基础架构,为整个架构带来最高程度的自适应性,通过分析、整理、关联检测点收集的威胁信息源,通过综合评估用户潜在的APT攻击模式,与攻击模式库进行比对,从而识别攻击源以及随后被控制的主机和损失的数据。进而采用SDN静态策略和动态安全策略两个层次的防护机制,确保恶意用户被及时检测、隔离,保证数据中心的核心数据库等关键资源的保密性,保证核心工控设备关键设施的可用性,以保护整个网络。
如图1所示,管理层实现全网用户安全属性、网络资源安全属性以及全网环境安全的实时展示。管理层从控制层收集、整理和关联事件,通过事件溯源可生成与每次攻击关联的恶意软件、威胁行为等威胁指标,实现攻击场景的实时展示。形成全网安全态势的可视化视图。
图2所示为本发明面向云平台APT攻击的防护方法流程图,如图2所示,本发明面向云平台APT攻击的防护方法主要包括六个步骤包括APT攻击特点分析、APT攻击行为建模、特征数据采集、动态策略库定制、APT攻击检测以及联合防御。
1. APT攻击特点分析包括:
APT攻击最终想要进攻的目标通常是某国家的国防、金融、能源及电力等重要部门,目的是获取国家核心利益所在的网络的关键数据或破坏基础设施。为实现这一目标,攻击者通常需要利用目标内部对象作为攻击跳板。攻击者成功攻入目标网络后,将普通用户变为受控的傀儡机,从而进一步实施攻击。APT攻击手段虽然复杂多样,但其攻击流程却很清晰。
图3所示为APT攻击流程图,如图3所示,APT攻击的流程一般如下:
攻击者首先对相关网络进行侦察,采用类似“钓鱼”的社会工程途径进行渗透,获得网络访问权限;
一旦成功,攻击者通过植入木马等手段,收集合法用户的身份凭证(特别是管理员身份凭证);
潜伏,长期进行隐蔽的目标网络探测行动;
必要时会通过特定应用程序漏洞提升傀儡用户的权限;
利用伪装的合法身份及权限进行攻击,实现窃取关键数据或破坏关键基础设施等目的;
最后行动撤销或潜伏等待。
2.特征数据收集包括:
本发明依据APT攻击流程时序性,获取不同的阶段特征行为事件构成事件序列V{v1,v2,v3,v4},特征事件采集主要包括以下几类(设边界防护设备数量为p,目标网络防护设备的数量为q,目标网络设备为n,目标网络存储设备数量为m,目标网络应用系统数量为w):
边界安全防护设备检测的报警数据:依据APT攻击渗透目标网络的需求,通过网络边界安全检测工具获取攻击者恶意探测等关键数据,为APT攻击检测模块提供决策支撑依据,记为(v1,ti,dx),表示网络探测类异常事件v1在ti时刻发生在边界防护设备dx上(x取1至P之间的整数);
目标网络安全防护设备检测的报警数据:依据APT攻击探测目标网络的需求,通过目标网络安全检测工具获取目标网络用户的身份鉴别失败次数、越权访问次数等关键数据,为APT攻击检测模块提供决策支撑依据,记为(v2,ti,dy),表示网络探测类异常事件v2在ti时刻发生在目标网络安全防护设备dy上(y取1至q之间的整数);
应用程序检测数据:依据APT攻击篡改特定应用程序以提升权限的需求,应用程序检测工具度量应用程序在被用户调用前后的差异化度量数据,以及用户访问前后的权限变化特征数据,为APT攻击检测模块提供决策支撑依据,记为(v3,ti,dz),表示特权提取类异常事件v3在ti时刻发生在目标网络设备dz上(z取1至n之间的整数);
网络流量监测数据:依据APT攻击进行数据回传的需求,通过获取基于HTTP,TCP,UDP,ICMP,VPN和P2P协议的敏感数据流,构建流量分析模式,为APT攻击检测模块提供决策支撑依据,记为(v4,ti,dj),表示数据窃取类异常事件v4在ti时刻发生目标数据存储设备dj上(j取1至m之间的整数);
应用系统日志文件:依据APT攻击流程的时序性,从应用层协议分析,用户的行为过程是通过一系列请求/响应构成的,相应请求(SQL/HTTP)到达服务器后,其属性(源地址、请求时间、请求对象等)会被记录在服务器的日志文件中。通过综合各应用系统的入侵日志构建出傀儡用户a登陆失败等异常应用行为时序图
Figure BDA0001060157030000071
(i取1至w之间的整数);
3.图4所示为APT完整攻击时序图,如图4所示,攻击行为建模包括:
本模型通过细粒度地分析基于云平台的大型信息系统,遭受APT攻击,在目标网络进行APT攻击的不同阶段生成的不同攻击事件,其中包括分析普通用户成为“傀儡”用户后,使用不同服务的行为,从而构建所有潜在攻击模式。
通过攻击行为建模平台,采集关键检测点数据,提取特征子串,确保事件序列基于全局时序关系的建模,模拟所有潜在攻击模式。从而建立全局APT攻击模板库,表示APT攻击行为模式。具体检测模式构建如下:
将云平台中根据APT的固定攻击步骤,确定四类检测事件v1、v2、v3、v4,分别建立p、q、n、m个数据采集点,在每个数据采集点收集特征行为信息,且每个数据采集点所收集的行为数据类型是不同的,v1关注外网渗透,v2关注目标网络探测,v3关注用户提权,v4关注数据回传,为判定APT攻击提供依据。
将第i步攻击的每一个数据采集点与第i+1步攻击的每一个节点相连接,得到整个云平台系统完整的攻击路径图。通过这种方法构建的时序图中,每一条完整的路径都代表一种潜在的APT完整攻击行为。即由开始节点到结束节点的任意一条路径,表示攻击者借助某“傀儡”用户进行一次APT攻击的过程。
按照APT攻击的行为序列模式建立方法,通过攻击行为建模平台获取用于建模的攻击数据。将建模时间内,攻击行为建模平台采集特征数据作为建模数据。设预处理后得到的事件序列为
Figure BDA0001060157030000081
,其中
Figure BDA0001060157030000083
表示目标网络中涉及傀儡用户a的应用攻击序列,按时间顺序排列的第i个事件。
建立攻击序列库Va={Va(1),Va(2),...Va(s)}存储起来,描述当前潜在攻击行为,用于下一步APT攻击检测(s代表基于用户a的攻击总数)。
4.防御策略库定制
依据已建立的网络APT攻击行为模型,通过复用的安全设备架构定义抽象交互接口,将网络安全设备与其接入模式、部署方式、实现功能进行解耦,底层抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行化、自动化的业务编排和管理,以实现安全功能的动态重组。通过安全服务重组,定制针对每个特定APT攻击所需的安全服务模板,在安全控制器下控制下提供在基于全局安全状态表GSR的网络防御功能。从而实现一种灵活的安全防护。
主要包括以下步骤:
建立全局安全状态表GSR(Global Security Registry),表内存储有全局范围内的应用信息、用户信息、安全状态信息等。
建立基于SDN控制器的全局安全控制器GSC(Global Security Controller),用以定义、下发和维护更新安全策略。
针对特定APT攻击模型,对传统安全设备的功能进行合理化重整,形成一系列的最小化安全原子服务集,该最小化安全原子为一APT攻击模型的一种防御方法,作为一安全策略。
5. APT攻击检测包括:
用户使用云服务的路径相对于APT攻击模板的吻合度将是确定用户行为是否为APT攻击的重要依据。攻击检测阶段的工作是根据建立的攻击模板,运用APT攻击检测模型来检测当前系统中用户潜在APT攻击行为。针对APT攻击行为复杂多变的特点,从矩阵相似度角度分析潜在攻击行为模型与当前实际行为模型之间的相似性,对被测对象行为进行判决。攻击检测阶段的主要工作包括如下几部分。
将实际云平台系统中检测点的采集数据作为建模数据,从收集的数据E′中建立序列库来描述当前行为,其序列库Va′={Va′(1),Va′(2),...,Va′(s)}。(s代表基于用户a的攻击总数)。
将序列库Va和Va′转化成攻击行为模板矩阵和检测对象矩阵。
矩阵相似性度量。采用矩阵相似度来衡量模板矩阵与检测对象矩阵之间的匹配程度,即吻合度。
当模板矩阵与检测对象矩阵之间的匹配度大于预先设定的判决阈值时,就将矩阵标记为异常,并发出警报,然后将报警事件交与人工进行验证,从而判定云平台系统是否遭受APT攻击。
6.联合防御包括:
本方案基于SDN安全服务技术,进一步实现了APT攻击检测与防护技术,使云平台下关键资源得到合理有效的保护。
当安全检测设备发出报警信息时,防御系统对目标主机的所有流量进行入侵检测和威胁分析。
安全控制器GSC将目标主机的流量复制到SDN威胁分析模块,依据分析结果,下发静态SDN安全策略到执行层中相应的关键防护点,对被入侵的系统进行流量清洗,结果将更新至GSR;
安全控制器GSC通过执行层的数据采集点,获得全面的特征行为数据,经过APT攻击检测模块构建用户行为序列模式,将行为序列向量转化为矩阵,与APT攻击中模板库进行匹配,判定是否属于APT攻击。根据检测结果,若是APT攻击,则下发相应的动态防护策略到执行层中相应的防护域,进行防护,并将结果将更新至GSR。
管理层依据GSR,可视化全网安全状态,即用户安全属性、环境安全属性和资源安全属性。
本发明面向云平台APT攻击的防护方法,能够实现全网网络安全策略的统一定义与管控,依据APT攻击检测结果,对应用环境的安全进行感知,明确防护等级,并基于全局安全环境视图实现全网安全资源面向特定APT攻击的动态重组。实现安全策略自动化生成、解析和执行等,完成安全资源自适应调度和响应,既达到安全防护的需求,又减少因实施安全机制对网络性能和业务系统运行效率的影响。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (8)

1.一种面向云平台APT攻击的防护方法,其特征在于,包括:
依据APT攻击流程时序性,获取不同的阶段特征行为事件;
依据该特征行为事件构建全网APT攻击行为模型;
依据全网APT攻击行为模型建立防御策略库,该防御策略库中,保存所有网络APT攻击行为模型对应的防御策略;
对APT攻击进行检测,与该网络APT攻击行为模型进行匹配,判定是否属于APT攻击,如判断为APT攻击则调用该防御策略库的防御策略;
依据APT攻击流程时序性,获取不同的阶段特征行为事件包括:边界防护设备数量、目标网络防护设备的数量、目标网络设备、目标网络存储设备数量以及目标网络应用系统数量;获取边界防护设备检测的报警数据;获取目标网络防护设备检测的报警数据;获取应用程序检测数据;获取网络流量监测数据;以及获取应用系统日志文件;
依据APT攻击流程时序性,获取不同的阶段特征行为事件,包括:设边界防护设备数量p、目标网络防护设备的数量q、目标网络设备数量n、目标网络存储设备数量m、目标网络应用系统数量w;该边界防护设备检测的报警数据记为(v1,ti,dx),表示外网渗透事件v1在ti时刻发生在边界防护设备dx上,x取1至p 之间的整数;该目标网络防护设备检测的报警数据记为(v2,ti,dy),表示目标网络探测事件v2在ti时刻发生在目标网络防护设备dy上,y取1至q之间的整数;应用程序检测数据:记为(v3,ti,dz),表示用户提权事件v3在ti 时刻发生在目标网络设备dz上,z取1至n之间的整数;该网络流量监测数据记为(v4,ti,dj),表示数据回传事件v4在ti时刻发生目标数据存储设备dj上,j取1至m之间的整数;该应用系统日志文件构建出傀儡用户a的异常应用行为序列;
关注外网渗透事件v1建立p个数据采集点,关注目标网络探测事件v2建立q个数据采集点,关注用户提权事件v3建立n个数据采集点,关注数据回传事件v4建立m个数据采集点;
将第i步攻击的每一个数据采集点与第i+1步攻击的每一个节点相连接,综合应用系统的异常行为序列,得到攻击路径图;得到事件序列;建立攻击序列库,作为该网络APT攻击行为模型。
2.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,依据所有网络APT攻击行为模型建立防御策略库包括:
依据已建立的网络APT攻击行为模型,通建立全局安全状态表,该全局安全状态表内存储有全局范围内的应用信息、用户信息、安全状态信息;
通过GSC安全控制器定义、下发和维护更新该防御策略;
针对特定APT攻击行为模型,形成一系列的最小化安全原子服务集,该最小化安全原子为一APT攻击行为模型的一种防御方法。
3.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,该对APT攻击进行检测包括:
建立序列库来描述当前行为,其序列库
Va′={Va′(1),Va′(2),...Va′(s)};
将序列库Va和Va′转化成攻击行为模板矩阵和检测对象矩阵;s代表基于用户a的攻击总数,序列库Va′等式右侧为序列库多个行为元素,Va为攻击序列库;
采用矩阵相似度来衡量模板矩阵与检测对象矩阵之间的匹配程度;
当模板矩阵与检测对象矩阵之间的匹配度大于预先设定的判决阈值时,就将矩阵标记为异常,并发出警报。
4.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,还包括,首先将报警事件进行初步分析,进行流量清洗,同时,进行APT攻击检测,从而判定云平台系统是否遭受APT攻击。
5.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,依据该特征行为事件构建所有网络APT攻击行为模型包括:在目标网络进行APT攻击的不同阶段生成的不同攻击事件,分析普通用户成为傀儡用户后,使用不同服务的行为,从而构建所有潜在攻击模式。
6.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,还包括:确定APT的攻击流程。
7.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,还包括:进行APT攻击特点分析。
8.如权利要求1所述的面向云平台APT攻击的防护方法,其特征在于,还包括:以矩阵相似度方法分析网络APT攻击行为模型与当前实际行为模型之间的相似性,对被测对象行为进行判断。
CN201610597807.7A 2016-07-26 2016-07-26 面向云平台apt攻击的防护方法 Active CN107659543B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610597807.7A CN107659543B (zh) 2016-07-26 2016-07-26 面向云平台apt攻击的防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610597807.7A CN107659543B (zh) 2016-07-26 2016-07-26 面向云平台apt攻击的防护方法

Publications (2)

Publication Number Publication Date
CN107659543A CN107659543A (zh) 2018-02-02
CN107659543B true CN107659543B (zh) 2020-12-01

Family

ID=61127217

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610597807.7A Active CN107659543B (zh) 2016-07-26 2016-07-26 面向云平台apt攻击的防护方法

Country Status (1)

Country Link
CN (1) CN107659543B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108446559B (zh) * 2018-02-13 2022-03-29 北京兰云科技有限公司 一种apt组织的识别方法及装置
CN108875367B (zh) * 2018-06-13 2020-06-16 曙光星云信息技术(北京)有限公司 一种基于时序的云计算智能安全系统
CN109246100A (zh) * 2018-09-07 2019-01-18 刘洋 一种软件定义网络安全的实施方法
CN109660515B (zh) * 2018-11-15 2020-05-12 中国科学院信息工程研究所 攻击链检测方法及装置
CN109309687A (zh) * 2018-11-27 2019-02-05 杭州迪普科技股份有限公司 网络安全防御方法、装置及网络设备
CN109617882A (zh) * 2018-12-20 2019-04-12 国家计算机网络与信息安全管理中心 一种基于攻击树的最小防护措施集生成方法
CN111030974A (zh) * 2019-03-29 2020-04-17 北京安天网络安全技术有限公司 一种apt攻击事件检测方法、装置及存储介质
CN111901286B (zh) * 2019-05-06 2023-11-07 北京明信安软件有限公司 一种基于流量日志的apt攻击检测方法
CN110868393A (zh) * 2019-09-24 2020-03-06 国网河北省电力有限公司信息通信分公司 一种基于电网信息系统异常流量的防护方法
CN111212035A (zh) * 2019-12-19 2020-05-29 杭州安恒信息技术股份有限公司 一种主机失陷确认及自动修复方法及基于此的系统
CN111209570B (zh) * 2019-12-31 2022-10-21 杭州安恒信息技术股份有限公司 基于mitre att&ck创建安全闭环过程的方法
CN111865959B (zh) * 2020-07-14 2021-04-27 南京聚铭网络科技有限公司 基于多源安全检测框架的检测方法及装置
CN111953684A (zh) * 2020-08-12 2020-11-17 珠海市鸿瑞信息技术股份有限公司 一种电力网络中apt攻击分析系统
CN112003854B (zh) * 2020-08-20 2023-03-24 中国人民解放军战略支援部队信息工程大学 基于时空博弈的网络安全动态防御决策方法
CN112685734B (zh) * 2020-12-25 2024-07-02 深圳供电局有限公司 安全防护方法、装置、计算机设备和存储介质
CN112765603B (zh) * 2021-01-28 2022-04-05 电子科技大学 一种结合系统日志与起源图的异常溯源方法
CN112953918A (zh) * 2021-01-29 2021-06-11 李阳 结合大数据服务器的网络攻击防护方法及大数据防护设备
CN112995175B (zh) * 2021-02-24 2022-12-02 西安热工研究院有限公司 一种基于水轮发电机组发电状态进行网络安全防护的方法
CN113596037B (zh) * 2021-07-31 2023-04-14 广州广电研究院有限公司 一种基于网络全流量中事件关系有向图的apt攻击检测方法
CN114172701B (zh) * 2021-11-25 2024-02-02 北京天融信网络安全技术有限公司 基于知识图谱的apt攻击检测方法及装置
CN115208658B (zh) * 2022-07-12 2024-02-27 北京网藤科技有限公司 一种工业网络攻击检测系统及其检测方法
CN116743502B (zh) * 2023-08-11 2023-11-14 四川新立高科科技有限公司 电力系统网络攻击检测方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312679A (zh) * 2012-03-15 2013-09-18 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
CN103607388A (zh) * 2013-11-18 2014-02-26 浪潮(北京)电子信息产业有限公司 一种apt威胁预测方法及系统
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN103986706A (zh) * 2014-05-14 2014-08-13 浪潮电子信息产业股份有限公司 一种应对apt攻击的安全架构设计方法
CN104753946A (zh) * 2015-04-01 2015-07-01 浪潮电子信息产业股份有限公司 一种基于网络流量元数据的安全分析框架

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312679A (zh) * 2012-03-15 2013-09-18 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
CN103607388A (zh) * 2013-11-18 2014-02-26 浪潮(北京)电子信息产业有限公司 一种apt威胁预测方法及系统
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN103986706A (zh) * 2014-05-14 2014-08-13 浪潮电子信息产业股份有限公司 一种应对apt攻击的安全架构设计方法
CN104753946A (zh) * 2015-04-01 2015-07-01 浪潮电子信息产业股份有限公司 一种基于网络流量元数据的安全分析框架

Also Published As

Publication number Publication date
CN107659543A (zh) 2018-02-02

Similar Documents

Publication Publication Date Title
CN107659543B (zh) 面向云平台apt攻击的防护方法
Moustafa et al. Data analytics-enabled intrusion detection: Evaluations of ToN_IoT linux datasets
CN103890771B (zh) 用户定义的对抗措施
CN103370715B (zh) 用于保护虚拟计算环境的系统和方法
CN109922075A (zh) 网络安全知识图谱构建方法和装置、计算机设备
CN107070929A (zh) 一种工控网络蜜罐系统
US20140157415A1 (en) Information security analysis using game theory and simulation
CN110493238A (zh) 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器
CN109271780A (zh) 机器学习恶意软件检测模型的方法、系统和计算机可读介质
CN107667505A (zh) 用于监控和管理数据中心的系统
Sha et al. IIoT-SIDefender: Detecting and defense against the sensitive information leakage in industry IoT
CN104796416A (zh) 一种僵尸网络的模拟方法及系统
Xiao et al. VulHunter: A Discovery for unknown Bugs based on Analysis for known patches in Industry Internet of Things
CN117879970B (zh) 一种网络安全防护方法及系统
CN107294953A (zh) 攻击操作检测方法及装置
JP2022512195A (ja) 挙動による脅威検出のためのシステムおよび方法
CN116996286A (zh) 一种基于大数据分析的网络攻击和安全漏洞治理框架平台
CN114584359B (zh) 安全诱捕方法、装置和计算机设备
CN105978904A (zh) 一种入侵检测方法及电子设备
Zamiri-Gourabi et al. Gas what? i can see your gaspots. studying the fingerprintability of ics honeypots in the wild
CN110099041A (zh) 一种物联网防护方法及设备、系统
Nintsiou et al. Threat intelligence using Digital Twin honeypots in Cybersecurity
Zammit A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data
CN116846610A (zh) 网络安全威胁检测方法、装置、设备和介质
Tommasini et al. Characterizing building automation system attacks and attackers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant