CN109981587A - 一种基于apt攻击的网络安全监控溯源系统 - Google Patents
一种基于apt攻击的网络安全监控溯源系统 Download PDFInfo
- Publication number
- CN109981587A CN109981587A CN201910145170.1A CN201910145170A CN109981587A CN 109981587 A CN109981587 A CN 109981587A CN 201910145170 A CN201910145170 A CN 201910145170A CN 109981587 A CN109981587 A CN 109981587A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- information
- list
- subelement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明公开了一种基于APT攻击的网络安全监控溯源系统,其特征在于:包括以下单元:规则设置单元、消息获取单元、列表生成单元以及攻击路径确定单元;其中:所述消息获取单元包括如下子单元:获取子单元、确定子单元、建立子单元和判断子单元,本发明可以高效而精准的检测出所有基于业务的行为中的APT攻击信息,并且本发明通过溯源网络攻击的攻击路径,可以确定网络攻击的源网络攻击设备,进而可以定位攻击者及其背景信息,最终实现APT攻击的监控和溯源功能。
Description
技术领域
本发明涉及网络信息安全的技术领域,具体是一种基于APT攻击的网络安全监控溯源系统。
背景技术
APT攻击与传统网络攻击在攻击方式和目的上有显著的区别,APT攻击的攻击技术更加复杂、攻击手段更加隐蔽,并且其目的在于窃取目标系统中的机密信息而非破坏目标系统。APT攻击利用目标系统的未知漏洞,定制专门的木马进行远程控制,通过隐蔽通道、加密数据进行通信以避免网络行为被检测,同时攻击持续数月甚至数年时间。因此,传统的如设置防火墙等防护措施无法有效应对APT类型的网络攻击。
发明内容
本发明的目的在于提供一种基于APT攻击的网络安全监控溯源系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于APT攻击的网络安全监控溯源系统,包括以下单元:
规则设置单元:设置预定预定APT攻击判断规则,所述APT攻击判断规则至少包括非
业务时间的业务操作或业务时间的非业务操作、针对特定IP地址的频繁数据通信、数据非正常加密存储和压缩、数据自动外传至不可信目标、非连续时间的数据传输和同一数据文件的多次流转;
消息获取单元:用于获取多个业务行为的数据,通过告警信息与预定APT攻击判断规
则进行匹配,并将匹配后的APT告警信息进行整理;
列表生成单元:根据所述本次告警消息和历史告警消息,生成内部脆弱点列表;
攻击路径确定单元,用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息
和网络流量监控信息,确定网络攻击的攻击路径;其中:所述消息获取单元包括如下子单元:
获取子单元:获取多个业务行为的数据,其中数据多个业务行为的包括各业务行为的属性信息;
确定子单元,将所述多个业务行为中各业务行为的属性信息与预定正常业务行为属性信息进行对比,以确定各业务行为是正常业务行为或者异常业务行为;
建立子单元,在所述多个业务行为中有至少一个异常业务行为的情况中为各个所述异常业务行为建立异常业务行为数据链,所述异常业务行为数据链包括与该异常业务行为相关联的业务行为序列;
判断子单元,将每个所述异常业务行为数据链分别与预定APT攻击判断规则进行匹配,针对匹配度高于阈值的异常业务行为数据链发出APT告警信息。
作为本发明进一步的方案:所述列表生成单元,包括:
第一列表生成子单元,用于根据本次告警设备的日志信息和网络流量监控信息,生成第一内部网络设备列表,所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识;
第二列表生成子单元,用于根据历史告警消息,生成第二内部网络设备列表,所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识;
第三列表生成子单元,用于确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备,得到第三内部网络设备列表,所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备,所述预设网络攻击告警为网络监听告警、系统漏洞攻击告警和木马攻击告警。
作为本发明进一步的方案:所述属性信息包括行为标识、行为主体、行为时间、行为对象、行为操作和行为关联信息。
作为本发明进一步的方案:所述攻击路径确定单元包括以下子单元:
攻击源确定子单元:整理内部脆弱点列表中的网络设备,确定具有外部网络系统的外部网络设备的通信连接的网络设备,并将所述外网设备确定为攻击源;
设备标识获取子单元,用于获取所述外部网络设备的设备标识;
情报信息查找子单元,用于在本地威胁情报库中查找与所述设备标识相对应的情报信息;
攻击源获取子单元,用于根据所述情报信息获取所述外部网络设备中的攻击源;
攻击路径生成子单元,根据所述攻击源、各列表及本次告警设备,生成网络攻击的攻击路径。
作为本发明进一步的方案:还包括更新单元,所述更新单元将确定为是正常业务行为的业务行为的属性信息添加到所述预定正常业务行为属性信息中。
与现有技术相比,本发明的有益效果是:本发明可以高效而精准的检测出所有基于业务的行为中的APT攻击信息,并且本发明通过溯源网络攻击的攻击路径,可以确定网络攻击的源网络攻击设备,进而可以定位攻击者及其背景信息,最终实现APT攻击的监控和溯源功能。
附图说明
图1为一种基于APT攻击的网络安全监控溯源系统的整体结构示意图。
图2为本发明中消息获取单元的整体结构示意图。
图3为本发明中列表生成单元的整体结构示意图。
图4为本发明中攻击路径确定单元的整体结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1~4,本发明实施例中,一种基于APT攻击的网络安全监控溯源系统,包括
以下单元:
规则设置单元:设置预定预定APT攻击判断规则,所述APT攻击判断规则至少包括非
业务时间的业务操作或业务时间的非业务操作、针对特定IP地址的频繁数据通信、数据非正常加密存储和压缩、数据自动外传至不可信目标、非连续时间的数据传输和同一数据文件的多次流转。
消息获取单元:用于获取多个业务行为的数据,通过告警信息与预定APT攻击判断规
则进行匹配,以确定各业务行为是正常业务行为或者异常业务行为,并将匹配后的APT告警信息进行整理,所述消息获取单元包括如下子单元:
获取子单元:获取多个业务行为的数据,其中数据多个业务行为的包括各业务行为的属性信息,减小了运算量并降低复杂度,从而避免了使用大数据采集技术来获取多个业务行为的数据所带来的诸多缺陷。
确定子单元,将所述多个业务行为中各业务行为的属性信息与预定正常业务行为属性
信息进行对比,以确定各业务行为是正常业务行为或者异常业务行为,预定正常业务行为属性信息包括多个已知正常业务行为的属性信息。即技术人员基于经验将一些已知的业务行为定义为正常业务行为,获取这些正常业务行为的数据并提取属性信息,从而形成预定正常业务行为属性信息。在APT攻击告警过程中,可以将确定为是正常业务行为的业务行为的属性信息添加到预定正常业务行为属性信息中。这样,在APT攻击告警过程中可以不断地对预定正常业务行为属性信息进行更新,使其越来越完善,从而使APT攻击告警的能力越来越强,所述属性信息包括行为标识、行为主体、行为时间、行为对象、行为操作和行为关联信息,行为标识的具体内容可以包括行为编号;行为主体的具体内容可以包括主机(例如,IP)、操作人(例如,账号)、系统服务(例如,进程名);行为时间可以包括行为发生的时间点(例如,精确到秒);行为对象的具体内容可以包括目标主机(例如,IP),文件名称(例如,存储路径),数据库表;行为操作的具体内容可以包括增加、复制、查询、修改、删除和传输。
建立子单元,在所述多个业务行为中有至少一个异常业务行为的情况中为各个所述异常业务行为建立异常业务行为数据链,所述异常业务行为数据链包括与该异常业务行为相关联的业务行为序列,此外,建立异常业务行为数据链的方式可以多种多样,其具体表现为:针对每个异常业务行为,根据多个业务行为中各业务行为的属性信息所包括的行为关联信息确定与该异常业务行为相关联的业务行为,并将所确定的业务行为以及该异常业务行为按照行为时间顺序形成该异常业务行为的异常业务行为数据链。业务行为之间有一定的关联关系,例如,具有相同行为主体、行为对象以及行为操作并在相对连续时间内的业务行为,而行为关联信息表示这种关联关系。并且为建立异常业务行为数据链可以包括以异常业务行为为中心,分别向该异常业务行为的前后执行搜索以确定与异常业务行为相关联的业务行为;确定与异常业务行为相关联的业务行为的数目;在所确定的与异常业务行为相关联的业务行为的数目达到预定阈值时,以所确定的业务行为和该异常业务行为形成该异常业务行为的异常业务行为数据链。例如,可以预先设定一个数目(例如,100个),当确定的相关联的业务行为的数目达到该预定数目后,直接根据已确定的行为以及该异常业务行为建立异常行为数据链。
判断子单元,将每个所述异常业务行为数据链分别与预定APT攻击判断规则进行匹配,针对匹配度高于阈值的异常业务行为数据链发出APT告警信息。
列表生成单元:根据所述本次告警消息和历史告警消息,生成内部脆弱点列表,所述
列表生成单元,包括:第一列表生成子单元,用于根据本次告警设备的日志信息和网络流量监控信息,生成第一内部网络设备列表,所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识;第二列表生成子单元,用于根据历史告警消息,生成第二内部网络设备列表,所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识;第三列表生成子单元,用于确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备,得到第三内部网络设备列表,所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备,所述预设网络攻击告警为网络监听告警、系统漏洞攻击告警和木马攻击告警。使得本系统可通过内部脆弱点列表中的日志信息和流量监控信息等,来确定与内部脆弱点有本次网络攻击相关的其它网络设备,并通过设备标识等分析手段,来确定这些设备中的位于外部网络系统中的外部网络设备,并将这些外部网络设备作为本次网络攻击的攻击源;需要说明的,在通过地址解析协议(Address Resolution Protocol,ARP)表、介质访问控制(Media Access Control,MAC)表、路由表和接口信息来确定与网络攻击相关的网络设备。在确定网络攻击的攻击源后,获取该攻击源的IP地址,可以根据攻击源的IP地址在网络安全服务器的本地威胁情报库中查找该攻击源的相关信息,如人员属性和设备背景等信息。并且还可以根据攻击源的IP地址和行为特征来定位攻击者,以查询其背景信息。
攻击路径确定单元:用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息,确定网络攻击的攻击路径,其中,日志信息为网络设备中记录网络设备行为的记录,主要包括网络设备中日志信息的连接日志,即该网络设备与其他网络设备的交互信息,流量监控信息为网络设备之间数据的交互情况。所述攻击路径确定单元包括以下子单元:
攻击源确定子单元:由于APT网络攻击主要是通过外部网络系统攻击内部网络系统中的网络设备,因此,需要根据告警网络设备来通过还原本次网络攻击的攻击路径,最终确定本次网络攻击中位于外部网络系统中的攻击源。其中,可以将内部网络系统之外的系统称为外部网络系统。其具体实施方式为通过获取告警网络设备的日志信息和流量监控信息,接着确定告警网络设备中有与本次网络攻击相关的其它网络设备,进而确定与告警网络设备有直接或间接关系的网络设备,通过判断这些网络设备的设备标识,来确定这些网络设备中位于外部网络系统中的外部网络设备,并将这些位于外部网络系统中的外部网络设备作为本次发起网络攻击源设备标识获取子单元,用于获取所述外部网络设备的设备标识。
情报信息查找子单元,用于在本地威胁情报库中查找与所述设备标识相对应的情报信 息,通过在线获取外部威胁情报库,更新本地威胁情报库,查询列表中的设备是否在威胁情报库中有备案,通过设备IP信息和行为特征定位攻击者,查询其背景信息。威胁情报信息关联得出后,可以得到攻击者的人员属性、社会背景等信息。另外,通过在线获取外部威胁情报库,更新本地威胁情报库,查询列表中的设备是否在威胁情报库中有备案,通过设备IP信息和行为特征定位攻击者,查询其背景信息。
攻击源获取子单元,用于根据所述情报信息获取所述外部网络设备中的攻击源。
攻击路径生成子单元,根据所述攻击源、各列表及本次告警设备,生成网络攻击的攻击路径,需要说明的是,攻击路径溯源的核心在于还原网络连接的每一跳,因此可以根据设备的连接日志与流量监控等数据来源来确定。安全事件告警的最终结果是攻击源到攻击目的的点对点输出,连接日志及流量监控记录的是系统的发生的一些操作、访问行为等以日志的形式进行监控记录下来,示例性的,安全事件告警提示是M攻击N,同时会有事件发生时间,通过安全事件发生时间定位到日志中的详细信息,展示M是通过什么路径攻击到N。因此需要按照连接日志与流量监控系统的日志按照事件发生时间定位到日志位置,从而将点对点的攻击还原为攻击路径。其中,攻击溯源需要采集的内容包括ARP表、MAC表、路由表、接口信息 表等。ARP表、MAC表、路由表和接口信息表各类信息是攻击设备与被攻击设备的信息。
在上述结构的基础上,本系统还包括更新单元,所述更新单元将确定为是正常业务行为的业务行为的属性信息添加到所述预定正常业务行为属性信息中。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (5)
1.一种基于APT攻击的网络安全监控溯源系统,其特征在于:包括以下单元:
规则设置单元:设置预定预定APT攻击判断规则,所述APT攻击判断规则至少包括非
业务时间的业务操作或业务时间的非业务操作、针对特定IP地址的频繁数据通信、数据非正常加密存储和压缩、数据自动外传至不可信目标、非连续时间的数据传输和同一数据文件的多次流转;
消息获取单元:用于获取多个业务行为的数据,通过告警信息与预定APT攻击判断
规则进行匹配,并将匹配后的APT告警信息进行整理;
列表生成单元:用于根据所述本次告警消息和历史告警消息,生成内部脆弱点列表;
攻击路径确定单元:用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息
和网络流量监控信息,确定网络攻击的攻击路径;其中:所述消息获取单元包括如下子单元:
获取子单元:用于获取多个业务行为的数据,其中数据多个业务行为的包括各业务行为的属性信息;
确定子单元:用于将所述多个业务行为中各业务行为的属性信息与预定正常业务行为属性信息进行对比,以确定各业务行为是正常业务行为或者异常业务行为;
建立子单元:用于在所述多个业务行为中有至少一个异常业务行为的情况中为各个所述异常业务行为建立异常业务行为数据链,所述异常业务行为数据链包括与该异常业务行为相关联的业务行为序列;
判断子单元:用于将每个所述异常业务行为数据链分别与预定APT攻击判断规则进行匹配,针对匹配度高于阈值的异常业务行为数据链发出APT告警信息。
2.根据权利要求1所述的一种基于APT攻击的网络安全监控溯源系统,其特征在于:所述列表生成单元,包括:
第一列表生成子单元,用于根据本次告警设备的日志信息和网络流量监控信息,生成第一内部网络设备列表,所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识;
第二列表生成子单元,用于根据历史告警消息,生成第二内部网络设备列表,所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识;
第三列表生成子单元,用于确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备,得到第三内部网络设备列表,所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备,所述预设网络攻击告警为网络监听告警、系统漏洞攻击告警和木马攻击告警。
3.根据权利要求1所述的一种基于APT攻击的网络安全监控溯源系统,其特征在于:所述属性信息包括行为标识、行为主体、行为时间、行为对象、行为操作和行为关联信息。
4.根据权利要求1所述的一种基于APT攻击的网络安全监控溯源系统,其特征在于:所述攻击路径确定单元包括以下子单元:
攻击源确定子单元:整理内部脆弱点列表中的网络设备,确定具有外部网络系统的外部网络设备的通信连接的网络设备,并将所述外网设备确定为攻击源;
设备标识获取子单元,用于获取所述外部网络设备的设备标识;
情报信息查找子单元,用于在本地威胁情报库中查找与所述设备标识相对应的情报信息;
攻击源获取子单元,用于根据所述情报信息获取所述外部网络设备中的攻击源;
攻击路径生成子单元,根据所述攻击源、各列表及本次告警设备,生成网络攻击的攻击路径。
5.根据权利要求1-4任一所述的一种基于APT攻击的网络安全监控溯源系统,其特征在于:还包括更新单元,所述更新单元将确定为是正常业务行为的业务行为的属性信息添加到所述预定正常业务行为属性信息中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910145170.1A CN109981587A (zh) | 2019-02-27 | 2019-02-27 | 一种基于apt攻击的网络安全监控溯源系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910145170.1A CN109981587A (zh) | 2019-02-27 | 2019-02-27 | 一种基于apt攻击的网络安全监控溯源系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109981587A true CN109981587A (zh) | 2019-07-05 |
Family
ID=67077439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910145170.1A Pending CN109981587A (zh) | 2019-02-27 | 2019-02-27 | 一种基于apt攻击的网络安全监控溯源系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109981587A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN111526135A (zh) * | 2020-04-15 | 2020-08-11 | 北京丁牛科技有限公司 | 一种网络活动数据的回溯方法及装置 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN113079125A (zh) * | 2020-01-03 | 2021-07-06 | 国网湖北省电力有限公司 | 针对网络安全的线索分析与查证系统、设备及存储介质 |
CN114666101A (zh) * | 2022-03-01 | 2022-06-24 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统、方法、设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101081433B1 (ko) * | 2010-06-25 | 2011-11-09 | 충남대학교산학협력단 | IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
CN107248976A (zh) * | 2017-05-03 | 2017-10-13 | 成都国腾实业集团有限公司 | 基于大数据分析的apt监测防御平台 |
CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
CN108446559A (zh) * | 2018-02-13 | 2018-08-24 | 北京兰云科技有限公司 | 一种apt组织的识别方法及装置 |
CN108494787A (zh) * | 2018-03-29 | 2018-09-04 | 北京理工大学 | 一种基于资产关联图的网络风险评估方法 |
CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
-
2019
- 2019-02-27 CN CN201910145170.1A patent/CN109981587A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101081433B1 (ko) * | 2010-06-25 | 2011-11-09 | 충남대학교산학협력단 | IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
CN107248976A (zh) * | 2017-05-03 | 2017-10-13 | 成都国腾实业集团有限公司 | 基于大数据分析的apt监测防御平台 |
CN108446559A (zh) * | 2018-02-13 | 2018-08-24 | 北京兰云科技有限公司 | 一种apt组织的识别方法及装置 |
CN108494787A (zh) * | 2018-03-29 | 2018-09-04 | 北京理工大学 | 一种基于资产关联图的网络风险评估方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
CN110933064B (zh) * | 2019-11-26 | 2023-10-03 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN111181918B (zh) * | 2019-11-29 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN113079125A (zh) * | 2020-01-03 | 2021-07-06 | 国网湖北省电力有限公司 | 针对网络安全的线索分析与查证系统、设备及存储介质 |
CN111526135A (zh) * | 2020-04-15 | 2020-08-11 | 北京丁牛科技有限公司 | 一种网络活动数据的回溯方法及装置 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN111669371B (zh) * | 2020-05-18 | 2022-09-30 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN114666101A (zh) * | 2022-03-01 | 2022-06-24 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统、方法、设备及介质 |
CN114666101B (zh) * | 2022-03-01 | 2024-03-22 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981587A (zh) | 一种基于apt攻击的网络安全监控溯源系统 | |
US10491630B2 (en) | System and method for providing data-driven user authentication misuse detection | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
US7644365B2 (en) | Method and system for displaying network security incidents | |
US7823204B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
US20170214708A1 (en) | Detecting security threats by combining deception mechanisms and data science | |
Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
CN106790313A (zh) | 入侵防御方法及装置 | |
CN108616529B (zh) | 一种基于业务流的异常检测方法及系统 | |
JP2007536646A (ja) | ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム | |
CN103959712B (zh) | 大型防火墙集群中的定时管理 | |
CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
CN103888480B (zh) | 基于云监测的网络信息安全性鉴定方法及云端设备 | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN108027808A (zh) | 互联网安全和管理设备 | |
US11128649B1 (en) | Systems and methods for detecting and responding to anomalous messaging and compromised accounts | |
CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
CN107800709A (zh) | 一种生成网络攻击检测策略的方法及装置 | |
JP6267089B2 (ja) | ウイルス検知システム及び方法 | |
Bou-Harb et al. | Big data sanitization and cyber situational awareness: a network telescope perspective | |
CN105245336B (zh) | 一种文档加密管理系统 | |
US20210084061A1 (en) | Bio-inspired agile cyber-security assurance framework | |
Ahmed et al. | NIDS: A network based approach to intrusion detection and prevention | |
CN105939338B (zh) | 入侵报文的防护方法及装置 | |
Cole | Threat hunting: open season on the adversary |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190705 |