CN108833437A - 一种基于流量指纹和通信特征匹配的apt检测方法 - Google Patents
一种基于流量指纹和通信特征匹配的apt检测方法 Download PDFInfo
- Publication number
- CN108833437A CN108833437A CN201810720855.XA CN201810720855A CN108833437A CN 108833437 A CN108833437 A CN 108833437A CN 201810720855 A CN201810720855 A CN 201810720855A CN 108833437 A CN108833437 A CN 108833437A
- Authority
- CN
- China
- Prior art keywords
- flow
- communication feature
- apt
- feature
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于流量指纹和通信特征匹配的APT检测方法,先获取并对网络流的流量指纹进行保存形成网络流量指纹库;之后构建通信特征库;对抓取到的流量包根据TCP/IP协议进行逐层解析;再进行流量异常检测,根据计算得到的流量指纹特征信息熵与指纹基线比较,同时用流量包的通信特征与通信特征库进行匹配;再将异常流量通信特征与APT通信特征库中的特征进行比较。本发明主要利用流量分析的手法,快速分析网络流量,获取网络流量指纹及通信特征,通过通信特征匹配结果及流量指纹特征基线变化结果判断网络流量是否存在异常,提高异常流量的发现速度,并将异常流量的通信特征与APT通信特征库进行匹配,判断是否为APT攻击,大大提高APT攻击的检测精度。
Description
技术领域
本发明创造属于APT攻击检测技术领域,尤其是涉及一种基于流量指纹和通信特征匹配的APT检测方法。
背景技术
通过流量分析网络现在已经比较成熟,成为检测网络的主流手段。通过抓取网络流量,然后进行分析,能过对网络的多种状态进行识别,我们日常工作生活中,网络流量大部分时间为正常状态,只有很小的概率会发生异常,所以利用绝大多数正常情况与发生异常时的差异,能够及时检测到网络中异常的发生。全球有多个安全防护公司针对APT攻击进行了长时间的分析与研究,并且对于APT的特征给出了检测报告,报告中说明,一个APT攻击事件,通常会包含六个主要流程,持续比较长的时间,在前期资料收集和后期侵入、获取资料阶段会利用多种攻击手段,因为这些攻击手段中通常是用软件自动生成的病毒来实施,这就造成了在攻击过程存在多种匹配的攻击特征,这种攻击特征很难被提前检测到。而与此相反,恶意软件与 C&C 服务器通信的模式往往是一致的,检测通信特征为APT攻击检测打开了新的出口,能够利用流量指纹和通信特征来检测APT攻击。
发明内容
本发明创造要解决的问题是旨在克服上述现有技术中存在的缺陷,提出一种基于流量指纹和通信特征匹配的APT检测方法。
为解决上述技术问题,本发明创造的技术方案是这样实现的:
一种基于流量指纹和通信特征匹配的APT检测方法,包括如下步骤:
利用sniff采集流量数据,然后利用pyshark进行网络包解析,获取流量包中的源和目的IP地址、源和目的端口、协议类型、流量包大小,对包括上面元数据的流量指纹进行保存形成网络流量指纹库;
选取互联网中知名网站和在日常生活中会经常使用到的网站的URL和HOST构建通信特征库;
通信特征的获取,对抓取到的流量包根据TCP/IP协议进行逐层解析;
流量异常检测,根据计算得到的网络指纹特征信息熵与之前保持的基线进行比较:
通信特征比对结果判断是否为异常流量,利用提取到的通信的URL和HOST与通信特征库进行比对;此步骤对应的硬件系统定义为异常检测模块;
APT攻击检测,将流量通信特征与APT通信特征库中的特征进行比较。
进一步,步骤中,通过使用公开数据集KDD99训练网络流量分类模型,使用训练得到的分类模型,筛选出网络中的正常流量用于构建网络流量指纹基线,并且在运行过程中将检测到的正常流量的指纹特征添加到网络流量指纹库中,以适应网络用户访问习惯的变化;解析接收到的网络流量数据,以此来形成流量指纹并且提取通信特征。
进一步,步骤中,通信特征的获取过程包括:对抓取到的流量包根据TCP/IP协议进行逐层解析;根据TCP/IP协议构造的分层的流量包,通过反向解析的方式,从网络链路层->网络层->运输层->应用层将原始报文进行逐步解析,从而通过HTTP协议获得报头中的URL和HOST值;系统运行时,接收来自异常检测模块反馈的通信特征,更新到网络流量通信特征库中,以适应网络用户访问习惯的变化。
进一步,步骤中,信息熵的理论公式为:,其中Pi为网络流量指纹特征中某一值在本地网络流量指纹库中出现的概率,N为该特征所有的出现种类;Pi =ai/S, ai 该值出现的次数,S为该属性所有值的次数之和。
进一步,进行熵值比较时,先将提取到的网络流量指纹特征代入到网络流量指纹库中,计算出实时的熵值,再比较熵值的变化。
进一步,步骤中,APT通信特征库构建过程主要包括使用各大安全防护公司APT攻击研究报告中对于APT通信特征的表述,人为的提取出主流APT攻击的通信协议中通信特征,存入APT通信特征库中,作为初始状态,并且在运行过程中将检测到的具体的APT攻击流量的通信特征添加到APT通信特征库中。
本发明创造具有的优点和积极效果是:
本发明主要利用流量分析的手法,快速分析网络流量,获取网络流量指纹及通信特征,通过通信特征匹配结果及流量指纹特征基线变化结果判断网络流量是否存在异常,提高异常流量的发现速度,并将异常流量的通讯特征与APT攻击特征库进行匹配,判断是否为APT攻击,大大提高APT攻击的检测精度。
附图说明
图1是基于本发明所进行APT检测的流程示意图;
图2是网络流量指纹及通信特征库构建流程示意图;
图3是APT攻击通信特征库构建流程示意图。
具体实施方式
需要说明的是,在不相冲突的情况下,本发明创造中的实施例及实施例中的特征可以相互组合。
下面对本发明创造的具体实施例做详细说明。
一种基于流量指纹和通信特征匹配的APT检测方法,包括如下步骤:
利用sniff采集流量数据,然后利用pyshark进行网络包解析,获取流量包中的源和目的IP地址、源和目的端口、协议类型、流量包大小,对包括上面元数据的流量指纹进行保存形成网络流量指纹库;此步骤对应的硬件系统定义为流量特征提取模块;
选取互联网中知名网站和在日常生活中经常能使用的网站的URL和HOST构建通信特征库;此步骤中对应的硬件系统定义为通信特征库构建模块;
通信特征的获取,对抓取到的流量包根据TCP/IP协议进行逐层解析;
流量异常检测,根据计算得到的网络指纹特征信息熵与之前保持的基线进行比较:
通信特征比对结果判断是否为异常流量,利用提取到的通信的URL和HOST与通信特征库进行比对;
APT攻击检测,将异常流量通信特征与APT通信特征库中的特征进行比较。此步骤对应的硬件系统定义为APT攻击检测模块;
步骤中,通过使用公开数据集KDD99训练网络流量分类模型,使用训练得到的分类模型,筛选出网络中的正常流量用于构建网络流量指纹基线,并且在运行过程中将检测到的正常流量的指纹特征添加到网络流量指纹库中,以适应网络用户访问习惯的变化;解析接收到的网络流量数据,以此来形成流量指纹并且提取通信特征。
需要指出的是,为了保证流量采集的实时性以及完整性,本方案使用sniff实现网络流量的采集,并将网络流量数据转发给流量特征提取模块,并保存到本地。
由于每个用户在一天的时间内的不同时间段内有不同的使用网络习惯,定义不同的检测时间段:从晚间11点到次日上班8点和中午12点到下午2点,由于休息会使流量整体偏小;从8点到中午12点工作时间和下午2点到6点的工作时间内,由于工作需要可能会产生比较多的流量数据;下午6点到晚上11点,由于晚间娱乐活动,也可能产生多的流量数据。
提供分时间段的检测,能够提高针对不同时间段的精准度。流量指纹的形成:利用能够标识网络流量包的源和目的IP和端口,流量包的大小,流量包的协议类型,并且将此6个元素按时间段标准分割。
提取的通信特征包括:网络流量包中的URL和对应的HOST。通信特征保存到通信特征库中用于流量异常检测。本发明技术方案中,通过使用公开数据集KDD99训练网络流量分类模型,使用训练得到的分类模型,筛选出网络中的正常流量用于构建网络流量指纹基线,并且在运行过程中将检测到的正常流量的指纹特征添加到网络流量指纹库中,以适应网络用户访问习惯的变化。通信特征库使用互联网中知名网站及高频访问网站,作为初始状态,并且在运行过程中将检测到的正常流量的通信特征添加到通信特征库中,以适应网络用户访问习惯的变化。
步骤中,通信特征的获取过程包括:对抓取到的流量包根据TCP/IP协议进行逐层解析;根据TCP/IP协议构造的分层的流量包,通过反向解析的方式,从网络链路层->网络层->运输层->应用层将原始报文进行逐步解析,从而通过HTTP协议获得报头中的URL和HOST值;系统运行时,接收来自异常检测模块反馈的通信特征,更新到网络流量通信特征库中,以适应网络用户访问习惯的变化。
步骤中,信息熵的理论公式为:,其中Pi为网络流量指纹特征中某一值在本地网络流量指纹库中出现的概率,N为该特征所有的出现种类;Pi =ai/S, ai 该值出现的次数,S为该属性所有值的次数之和。将提取到的网络流量指纹特征代入到网络流量指纹库中,计算出实时的熵值,之后比较熵值的变化。将提取到的通信特征与通信特征库进行比对。根据计算得到的网络指纹特征基线的变化以及通信特征比对结果判断是否为异常流量。
步骤中,APT通信特征库构建流程包括使用各大安全防护公司APT攻击研究报告中对于APT通信特征的表述,人为的提取出主流APT攻击的通信协议中通信特征,存入APT通信特征库中,作为初始状态,并且在运行过程中将检测到的具体的APT攻击流量的通信特征添加到APT通信特征库中。管理员也不断将研究报告中更新的APT攻击特征加入到APT攻击通信特征中,以适应APT攻击的变化。APT攻击检测模块将流量检测模块中的异常流量的通信特征与APT通信特征库进行比对,判断是否为APT攻击。将检测到的APT攻击报告给系统管理员,同时将特征反馈到APT通信特征库构建模块。
本APT检测方案主要分为两个阶段:
第一阶段通过流量指纹特征基线的异常和流量包中的通信特征与正常通信特征的不匹配,能够在大的流量中快速识别分离出异常的流量包,将此类异常包用于第二阶段的进一步精准匹配;第二阶段,利用对安全公司对APT攻击研究给出的报告解读得到的APT通信特征库对于第一阶段获得的异常包进行更进一步的匹配,来准确识别分离出APT攻击。
本发明所提供的技术方案主要可归纳为:
1)网络流量采集
对流量进行实时完整的采集;
2)网络流量指纹及通信特征提取
对能够标识流量包并进行正常与否判断的指纹特征进行提取分段,同时提取通信特征信息;
3)网络流量指纹及通信特征库构建
利用来存储采集并解析出的指纹特征和通信特征;
4)流量异常检测
用流量指纹特征基线和通信特征匹配进行第一阶段的异常检测;
5)APT通信特征库构建
通过阅读和提取安全防护公司APT攻击报告提取APT通信特征来构建APT通信特征库;
6)APT攻击检测
利用5中APT通信特征库,对第一阶段识别的异常流量包进行第二阶段的精准识别。
本发明所进行APT检测的流程为:
1、如图1所示,首先利用sniff采集流量数据,然后利用pyshark进行网络包解析:利用decode_packet()中packet.protocol获得流量包的protocol;利用packet.length获取网络包的字节数;利用get_ip_src()获取source;利用get_ip_dst()获取destination,同样利用其中的不同方法获得指纹信息利用获取的对应不同时间维度的网络包的6种指纹信息代入到对应时段的流量指纹特征库中用信息熵计算实时的网络指纹特征基线。
2、通信特征的获取,对抓取到的流量包根据TCP/IP协议进行逐层解析。根据TCP/IP协议构造的分层的流量包,通过反向解析的方式,从网络链路层->网络层->运输层->应用层将原始报文进行逐步解析,从而通过HTTP协议获得报头中的URL和HOST值。
3、流量异常检测,根据计算得到的网络指纹特征信息熵与之前保持的基线进行比较。正常情况下,网络流量指纹特征比较分散,流量的网络特征基线比较平稳,当前时间段的信息熵维持稳定,基线不会出现幅度大的变化;但是有异常的时候,网络流量指纹会比较集中,从而造成熵值变小,基线出现明显的降幅,据此判断为异常网络包。
4、通信特征比对结果判断是否为异常流量,利用提取到的通信的URL和HOST与通信特征库进行比对,若比对失败,则认定为发现异常网络包,将网络包的通信特征传递到下一阶段进行APT攻击检测
5、APT攻击检测,将流量通信特征与APT通信特征库中的特征进行比较,当通讯特征符合特征库中的正则表达式,或者直接存在于特征库中,则判定为APT攻击。
6、当发现APT攻击,则反馈攻击报告并进行预警。将检测到的具体的APT通信的特征更新到APT攻击特征库中,以此增强检测的准确性。
网络流量指纹及通信特征库构建流程为:
1)如图2所述,使用KDD99 数据集训练分类检测模型,用于实现初始的异常流量检测。
2)将获取到的网络流量输入异常流量检测模型中,筛选出正常流量。提取正常流量的指纹特征构建初始网络流量指纹特征库。
3)选取互联网中知名网站和在日常生活中会经常使用到的网站,例如新浪,优酷等网站,或者针对摄影师等专业人员的图虫、poco等具有针对性的网站的URL及HOST构建作为通信特征库。
4)系统运行时,接收来自异常检测模块反馈的正常流量指纹特征和通信特征,分别更新到网络流量指纹特征库和通信特征库中,以适应网络用户访问习惯的变化,在不断的使用过程中逐步提高对于特定用户特定时期的检测准度。
APT攻击通信特征库构建流程为:
1)从安全公司(例如http://www.secureworks.com、http://www.symantec.com等安全公司)APT攻击报告中提取主流的APT攻击特征,包括具体的URL和HOST或者APT攻击能够匹配URL和HOST规律,例如Winnti的cc.nexoncorp.us、kr.zzsoft.info、as.cjinternet.us、或者是类似Taidoor网络流量中GET /wwsyr.php.id=01576619113845C1EE HTTP/1.1的请求的格式
/ {5 characters}. Php.id = {6 random numbers}{ 12 characters}
2)构建APT通信特征库,利用1中通过人工提取安全公司报告中的当前主流APT攻击的URL和HOST特征,建立APT通信特征库,特征库中包含具体的URL和HOST或者APT对应的URL和HOST正则匹配规则。
3)系统运行时,将检测到根据APT特征库中的正则匹配规则识别的具体的URL和HOST加入到APT通信特征库中,管理员也不断将研究报告中更新的APT攻击特征加入到APT攻击通信特征中,以适应APT攻击的变化。
恶意软件与 C&C 服务器通信的模式往往是一致的,检测通信特征为APT攻击检测打开了新的出口,能够利用流量指纹和通信特征来检测APT攻击。本发明就是利用流量分析的手法,快速分析网络流量,获取网络流量指纹及通信特征,通过通信特征匹配结果及流量指纹特征基线变化结果判断网络流量是否存在异常,提高异常流量的发现速度,并将异常流量的通讯特征与APT攻击特征库进行匹配,判断是否为APT攻击,大大提高APT攻击的检测精度。
对于本领域技术人员而言,显然本发明创造不限于上述示范性实施例的细节,而且在不背离本发明创造的精神或基本特征的情况下,能够以其他的具体形式实现本发明创造。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明创造的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明创造内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (6)
1.一种基于流量指纹和通信特征匹配的APT检测方法,其特征在于,包括如下步骤:
利用sniff采集流量数据,然后利用pyshark进行网络包解析,获取流量包中的源和目的IP地址、源和目的端口、协议类型、流量包大小,对包括上面元数据的流量指纹进行保存形成网络流量指纹库;
选取互联网中知名网站和在日常生活中会经常使用到的网站的URL和HOST构建通信特征库;
通信特征的获取,对抓取到的流量包根据TCP/IP协议进行逐层解析;
流量异常检测,根据计算得到的网络指纹特征信息熵与之前保持的基线进行比较:
通信特征比对结果判断是否为异常流量,利用提取到的通信的URL和HOST与通信特征库进行比对;
APT攻击检测,将异常流量通信特征与APT通信特征库中的特征进行比较。
2.根据权利要求1所述的一种基于流量指纹和通信特征匹配的APT检测方法,其特征在于:步骤中,通过使用公开数据集KDD99训练网络流量分类模型,使用训练得到的分类模型,筛选出网络中的正常流量用于构建网络流量指纹基线,并且在运行过程中将检测到的正常流量的指纹特征添加到网络流量指纹库中,以适应网络用户访问习惯的变化;解析接收到的网络流量数据,以此来形成流量指纹并且提取通信特征。
3.根据权利要求1所述的一种基于流量指纹和通信特征匹配的APT检测方法,其特征在于:步骤中,通信特征的获取过程包括:对抓取到的流量包根据TCP/IP协议进行逐层解析;根据TCP/IP协议构造的分层的流量包,通过反向解析的方式,从网络链路层->网络层->运输层->应用层将原始报文进行逐步解析,从而通过HTTP协议获得报头中的URL和HOST值;系统运行时,接收来自异常检测模块反馈的通信特征,更新到网络流量通信特征库中,以适应网络用户访问习惯的变化。
4.根据权利要求1所述的一种基于流量指纹和通信特征匹配的APT检测方法,其特征在于:步骤中,信息熵的理论公式为:,其中Pi为网络流量指纹特征中某一值在本地网络流量指纹库中出现的概率,N为该特征所有的出现种类;Pi =ai/S,ai 该值出现的次数,S为该属性所有值的次数之和。
5.根据权利要求1或4所述的一种基于流量指纹和通信特征匹配的APT检测方法,其特征在于:进行熵值比较时,先将提取到的网络流量指纹特征代入到网络流量指纹库中,计算出实时的熵值,再比较熵值的变化。
6.根据权利要求1所述的一种基于流量指纹和通信特征匹配的APT检测方法,其特征在于:步骤中,APT通信特征库构建过程包括使用各大安全防护公司APT攻击研究报告中对于APT通信特征的表述,人为的提取出主流APT攻击的通信协议中通信特征,存入APT通信特征库中,作为初始状态,并且在运行过程中将检测到的具体的APT攻击流量的通信特征添加到APT通信特征库中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810720855.XA CN108833437A (zh) | 2018-07-05 | 2018-07-05 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810720855.XA CN108833437A (zh) | 2018-07-05 | 2018-07-05 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108833437A true CN108833437A (zh) | 2018-11-16 |
Family
ID=64134380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810720855.XA Pending CN108833437A (zh) | 2018-07-05 | 2018-07-05 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108833437A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110868393A (zh) * | 2019-09-24 | 2020-03-06 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
CN112019574A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
CN112073362A (zh) * | 2020-06-19 | 2020-12-11 | 北京邮电大学 | 一种基于流量特征的apt组织流量识别方法 |
CN112134875A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及系统 |
CN112261645A (zh) * | 2020-10-16 | 2021-01-22 | 北京锐驰信安技术有限公司 | 一种基于分组分域的移动应用指纹自动化提取方法及系统 |
CN112468520A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
CN113452656A (zh) * | 2020-03-26 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法和装置 |
CN113612779A (zh) * | 2021-08-05 | 2021-11-05 | 杭州中尔网络科技有限公司 | 一种基于流量信息的高级可持续攻击行为检测方法 |
CN114826711A (zh) * | 2022-04-15 | 2022-07-29 | 中国南方电网有限责任公司 | 一种电力监控系统主机安全监控方法 |
CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
CN115023926A (zh) * | 2020-04-15 | 2022-09-06 | 深圳市欢太科技有限公司 | 流量检测方法、装置、服务器以及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
US20170099306A1 (en) * | 2015-10-02 | 2017-04-06 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
-
2018
- 2018-07-05 CN CN201810720855.XA patent/CN108833437A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170099306A1 (en) * | 2015-10-02 | 2017-04-06 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
Non-Patent Citations (1)
Title |
---|
戴震等: "基于通信特征的APT攻击检测方法", 《计算机工程与应用》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110868393A (zh) * | 2019-09-24 | 2020-03-06 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
CN113452656A (zh) * | 2020-03-26 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法和装置 |
CN113452656B (zh) * | 2020-03-26 | 2022-10-11 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法、装置、电子设备和计算机可读介质 |
CN115023926A (zh) * | 2020-04-15 | 2022-09-06 | 深圳市欢太科技有限公司 | 流量检测方法、装置、服务器以及存储介质 |
CN112073362A (zh) * | 2020-06-19 | 2020-12-11 | 北京邮电大学 | 一种基于流量特征的apt组织流量识别方法 |
CN112134875A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及系统 |
CN112134875B (zh) * | 2020-09-18 | 2022-04-05 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及系统 |
CN112261645A (zh) * | 2020-10-16 | 2021-01-22 | 北京锐驰信安技术有限公司 | 一种基于分组分域的移动应用指纹自动化提取方法及系统 |
CN112019574A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
WO2022083353A1 (zh) * | 2020-10-22 | 2022-04-28 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
CN112468520A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
CN112468520B (zh) * | 2021-01-28 | 2021-04-20 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
CN113612779A (zh) * | 2021-08-05 | 2021-11-05 | 杭州中尔网络科技有限公司 | 一种基于流量信息的高级可持续攻击行为检测方法 |
CN114826711A (zh) * | 2022-04-15 | 2022-07-29 | 中国南方电网有限责任公司 | 一种电力监控系统主机安全监控方法 |
CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108833437A (zh) | 一种基于流量指纹和通信特征匹配的apt检测方法 | |
CN107483455B (zh) | 一种基于流的网络节点异常检测方法和系统 | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
US9210181B1 (en) | Detection of anomaly in network flow data | |
CN107517216B (zh) | 一种网络安全事件关联方法 | |
WO2022040698A1 (en) | Malicious traffic detection with anomaly detection modeling | |
CN111431939B (zh) | 基于cti的sdn恶意流量防御方法 | |
US20130298254A1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
CN114666162B (zh) | 一种流量检测方法、装置、设备及存储介质 | |
CN110177123B (zh) | 基于dns映射关联图的僵尸网络检测方法 | |
CN112003869B (zh) | 一种基于流量的漏洞识别方法 | |
US11888874B2 (en) | Label guided unsupervised learning based network-level application signature generation | |
CN110113350A (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
Fallahi et al. | Automated flow-based rule generation for network intrusion detection systems | |
CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
Archanaa et al. | A comparative performance analysis on network traffic classification using supervised learning algorithms | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN108199878B (zh) | 高性能ip网络中个人标识信息识别系统及方法 | |
CN109120733B (zh) | 一种利用dns进行通信的检测方法 | |
US20200021647A1 (en) | Method of P2P Botnet Detection Based on Netflow Sessions | |
TWI777766B (zh) | 偵測惡意網域查詢行為的系統及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181116 |