CN110868403B - 一种识别高级持续性攻击apt的方法及设备 - Google Patents
一种识别高级持续性攻击apt的方法及设备 Download PDFInfo
- Publication number
- CN110868403B CN110868403B CN201911038594.4A CN201911038594A CN110868403B CN 110868403 B CN110868403 B CN 110868403B CN 201911038594 A CN201911038594 A CN 201911038594A CN 110868403 B CN110868403 B CN 110868403B
- Authority
- CN
- China
- Prior art keywords
- account
- analyzed
- data
- abnormal
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种识别高级持续性攻击APT的方法及设备,该设备包括:从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。
Description
技术领域
本发明涉及域环境的信息安全领域,特别涉及一种识别高级持续性攻击APT的方法及设备。
背景技术
APT(Advanced Persistent Threat,高级持续性威胁)是一种针对性攻击,利用先进的攻击手段对特定目标进行长期持续性网络攻击,其主要采用0day和前期精密搜集的风险点攻击,辐射范围涉及一切目标资产范围及目标产业链上下游的一切脆弱点。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,并利用0day漏洞进行攻击。
典型的高级持续性威胁是黑客通过发送钓鱼邮件,获取员工常用账号密码访问企业内部资源,横向或纵向的一步步渗透到企业核心资产,达到最终攻击目的。APT通过一切可能的方式,绕过基于代码的传统安全方案如防病毒软件、防火墙、入侵防御系统等,并更长时间地潜伏在系统中,让传统防御体系难以侦测。
现有技术在对APT攻击进行识别时主要是对APT攻击样本进行比对,这些样本主要是从历史攻击事件中提取获得的,若黑客本次攻击使用的是历史攻击样本则触发预警。因此,现有技术在识别APT攻击时需要强大的攻击事件样本库,并且存在滞后性,黑客更新黑客工具后就很容易躲避检测。
发明内容
本发明提供了一种识别高级持续性攻击APT的方法及设备,用以解决现有防御APT攻击的方法需要构建强大的攻击事件样本库以及存在滞后性的问题。
根据本发明实施例的第一方面,提供一种识别高级持续性攻击APT的方法,该方法包括:
从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。可选的,还包括:
确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器;
接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
可选的,从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据,包括:
分别从不同的账号对应的账号数据中,确定各账号的指定特征信息;
将各账号的指定特征信息与异常账号特征信息进行匹配,确定与异常账号的特征信息相匹配的账号为疑似账号,并提取所述疑似账号的账号数据为待分析账号数据。
可选的,从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据,包括:
分别从不同访问行为对应的日志数据中,确定各访问行为的指定特征信息;
将各访问行为的指定特征信息与异常访问行为特征信息进行匹配,确定与异常访问行为的特征信息相匹配的访问行为为疑似访问行为,并提取所述疑似访问行为的日志数据为待分析日志数据。
可选的,按照第一预设规则提取待分析账号数据,及按照第二预设规则提取待分析日志数据,包括:
从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据;
从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
可选的,接收所述返回的异常账号/访问行为确认信息之后,还包括:
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警;
根据所述确认信息,确定所述异常账号/访问行为被确认为正常时,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息。
可选的,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息之后,还包括:
通过用户界面接收返回的所述异常账号/访问行为的确认信息;
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警。
根据本发明实施例的第二方面,提供一种识别高级持续性攻击APT的设备,包括:
账号数据提取模块,用于从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
日志数据提取模块,用于从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
异常访问行为确认模块,用于从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
异常账号确认模块,用于从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。
可选的,识别高级持续性攻击APT的设备还包括:
异常请求模块,用于确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器;
异常确认模块,用于接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
可选的,账号数据提取模块在从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据时,具体用于:
分别从不同的账号对应的账号数据中,确定各账号的指定特征信息;
将各账号的指定特征信息与异常账号特征信息进行匹配,确定与异常账号的特征信息相匹配的账号为疑似账号,并提取所述疑似账号的账号数据为待分析账号数据。
可选的,日志数据提取模块在从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据时,具体用于:
分别从不同访问行为对应的日志数据中,确定各访问行为的指定特征信息;
将各访问行为的指定特征信息与异常访问行为特征信息进行匹配,确定与异常访问行为的特征信息相匹配的访问行为为疑似访问行为,并提取所述疑似访问行为的日志数据为待分析日志数据。
可选的,账号数据提取模块在按照第一预设规则提取待分析账号数据,及日志数据提取模块按照第二预设规则提取待分析日志数据时:
账号数据提取模块具体用于从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据;
日志数据提取模块具体用于从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
可选的,异常确认模块在接收所述返回的异常账号/访问行为确认信息之后,还用于:
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警;
根据所述确认信息,确定所述异常账号/访问行为被确认为正常时,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息。
可选的,异常确认模块在通过用户界面输出对所述异常账号/访问行为进行确认的提示信息之后,还用于:
通过用户界面接收返回的所述异常账号/访问行为的确认信息;
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警。
根据本发明实施例的第三方面,提供一种识别高级持续性攻击APT的设备,包括:存储器和处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括如下步骤:
从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。可选的,所述处理器还用于:
确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器;
接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
可选的,处理器在从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据时,具体用于:
分别从不同的账号对应的账号数据中,确定各账号的指定特征信息;
将各账号的指定特征信息与异常账号特征信息进行匹配,确定与异常账号的特征信息相匹配的账号为疑似账号,并提取所述疑似账号的账号数据为待分析账号数据。
可选的,处理器在从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据时,具体用于:
分别从不同访问行为对应的日志数据中,确定各访问行为的指定特征信息;
将各访问行为的指定特征信息与异常访问行为特征信息进行匹配,确定与异常访问行为的特征信息相匹配的访问行为为疑似访问行为,并提取所述疑似访问行为的日志数据为待分析日志数据。
可选的,处理器在按照第一预设规则提取待分析账号数据,及按照第二预设规则提取待分析日志数据时,具体用于:
从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据;
从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
可选的,处理器在接收所述返回的异常账号/访问行为确认信息之后,还用于:
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警;
根据所述确认信息,确定所述异常账号/访问行为被确认为正常时,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息。
可选的,处理器在通过用户界面输出对所述异常账号/访问行为进行确认的提示信息之后,还用于:
通过用户界面接收返回的所述异常账号/访问行为的确认信息;
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警。
根据本发明实施例的第四方面,提供一种芯片,所述芯片与设备中的存储器耦合,使得所述芯片在运行时调用所述存储器中存储的程序指令,实现本申请实施例上述各个方面以及各个方面涉及的任一可能设计的方法。
根据本发明实施例的第五方面,提供一种计算机可读存储介质,该计算机存储介质存储有程序指令,当其在计算机上运行时,使得计算机执行本发明实施例上述各个方面以及各个方面涉及的任一可能设计的方法。
根据本发明实施例的第六方面,提供一种计算机程序产品,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行实现本申请实施例上述各个方面以及各个方面涉及的任一可能设计的方法。
利用本发明提供的识别高级持续性攻击APT的方法及设备,具有以下有益效果:
本发明提供的识别高级持续性攻击APT的方法及设备,通过提取账号数据和日志数据并进行正向和反向两个角度的联合分析,解决了现有防御APT攻击的方法需要构建强大的攻击事件样本库以及存在滞后性的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中提供的一种识别高级持续性攻击APT的方法示意图;
图2为本发明实施例提供的一种企业内部域环境中识别高级持续性攻击APT的示意图;
图3为本发明实施例中提供的一种识别高级持续性攻击APT的设备示意图;
图4为本发明实施例中提供的一种识别高级持续性攻击APT的设备结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了方便理解,下面对本发明实施例中涉及的名词进行解释:
1)APT(Advanced Persistent Threat,高级持续性攻击):也称为定向威胁攻击,指攻击者对特定目标对象展开的持续有效的攻击活动,这种攻击活动具有极强的隐蔽性和针对性;攻击者在目标网络中潜伏很长的时间段,并反复对目标进行渗透攻击,不断改进攻击路径和方法,发动持续攻击,如0day漏洞攻击等,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
2)域环境:域是网络操作系统的逻辑组织单元,也是网络的逻辑组织单元;域环境是在终端设备和用户数量较多时,为了实现高效管理而建立的一个较大的网络系统,是一个有安全边界的终端设备集合,能实现终端设备和用户以及安全策略的集中管理和部署;在域环境中,每个域用户都可以在域环境中任意一台允许本地登录的终端设备上登录域环境。
3)0day漏洞:通常是指没有被公布也没有补丁的漏洞利用程序,它是危害最大的漏洞,对攻击者来说也是最有价值的漏洞,如果被曝光,那么在官方补丁发布之前,整个网络都处于高危预警状态。
4)日志:是用于记录系统操作事件的记录文件或文件集合,可分为事件日志和消息日志,具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用;终端设备的日志记录操作系统或其他软件运行中发生的事件或在通信软件的不同用户之间的消息;服务器的日志信息包括客户端IP地址、请求日期/时间、请求的网页、HTTP代码、提供的字节数、用户代理、引用地址等,这些数据可能写在一个日志文件中,也可能分隔成不同的日志,如访问日志、错误日志、引荐者日志等。
5)大数据:是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产;大数据分析技术是对大数据进行分析和处理的技术,可以实现对大量数据的数据挖掘、数据管理以及预测。
实施例1
本发明实施例提供一种识别高级持续性攻击APT的方法,如图1所示,包括:
步骤S101,从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
域环境是终端设备/服务器管理模式在局域网构建中的应用,可以实现终端设备和用户以及安全策略的集中管理和部署。在域环境中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器。通过域控制器中的活动目录和域组策略就可以对整个网络中的用户包括用户权限、终端设备账号和安全管理策略进行统一管理及部署。
域环境的网络系统随时都在产生数据,这些数据代表了所有用户的行为、服务级别、安全、风险、欺诈行为等更多操作的绝对记录。大数据分析可以追踪和记录网络访问行为,将实时数据流分析和历史相关数据相结合,通过数据分析发现可能存在的问题以及预测和预防未来运行中的问题。通过大数据分析对域环境中产生的数据进行分类比对,可以快速提取出所需要的数据信息。
在域环境中尽可能多的搜集各用户日常访问的账号数据,所述账号数据包括域环境中所有用户的操作账号的所有特征信息,例如账号名、账号IP、账号登录时间、访问目标IP、对应用户名等。
上述第一预设规则可以根据需求进行定义,可以从账号的指定特征信息的角度进行定义,如提取符合指定特征信息的账号数据。
分别从搜集到的不同的账号对应的账号数据中,确定各账号的指定特征信息,所述指定特征信息为上述账号数据中的任意一个或多个特征信息。利用大数据分析对搜集到的各个账号数据进行分类比对,确定其中不同于常用账号的异常账号,然后将各账号数据中的指定特征信息与异常账号数据中的特征信息进行匹配,确定指定特征信息与异常账号数据中的特征信息相匹配的账号为疑似账号,并提取疑似账号的账号数据作为待分析账号数据。
作为另一种可选的实施方式,从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据。
上述大数据分析属于现有技术,本实施例中在对账号数据进行分析处理时可以采用上述现有技术,这里不再详述。
步骤S102,根据记录账号访问行为的资产日志数据,按照第二预设规则提取待分析日志数据;
在域环境中搜集服务器和终端设备中记录不同账号访问行为的资产日志数据,所述日志数据包括域环境中所有用户的访问行为对应的信息,例如访问源IP、访问成功IP、访问失败IP、访问用户、访问账号、访问状态(中断/活跃)、异常事件等。
上述第二预设规则可以根据需求进行定义,可以从日志记录的访问行为的指定特征信息的角度进行定义,如提取符合指定特征信息的访问行为对应的日志数据。
分别从搜集到的不同访问行为对应的日志数据中,确定各访问行为的指定特征信息,所述指定特征信息为上述日志数据的特征信息中的任意一个或多个特征信息。利用大数据分析对搜集到的各个日志数据记录的访问行为进行分类比对,确定其中不同于日常访问行为的异常访问行为,然后将访问行为对应的指定特征信息与异常访问行为对应的特征信息进行匹配,确定指定特征信息与异常访问行为对应的特征信息相匹配的访问行为为疑似访问行为,并提取疑似访问行为对应的日志数据作为待分析日志数据,具体实施为从记录疑似访问行为的日志数据中提取访问成功的账号的日志数据作为待分析日志数据。
作为另一种可选的实施方式,从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
上述大数据分析属于现有技术,本实施例中在对日志数据进行分析处理时可以采用上述现有技术,这里不再详述。
本实施例中进行高级持续性攻击的识别时,记录账号特征信息的账号数据和记录账号访问行为的日志数据的获取包括但不限于如下几种方法:对一定时间内产生的账号数据和日志数据进行搜集,或者对特定类型的账号数据和日志数据进行搜集,或者对特定范围内的账号数据和日志数据进行搜集,或者对全部账号数据和日志数据进行搜集。
步骤S103,从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
从上述得到的待分析账号数据和待分析日志数据中,对同一账号或同一访问行为对应的待分析账号数据和待分析日志数据进行交叉比对分析。一方面,正向将访问成功的不同账号对应的待分析日志数据,与对应各访问成功的账号的待分析账号数据进行比对,确定同一账号的日志数据记录的不同访问行为与账号数据的特征信息不匹配时,确定该账号为异常账号。
步骤S104,从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号;
从上述得到的待分析账号数据和待分析日志数据中,对同一账号或同一访问行为对应的待分析账号数据和待分析日志数据进行交叉比对分析。另一方面,反向将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,和与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为为异常访问行为。
步骤S105,确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器,接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
将上述确定的异常账号或异常访问行为发送到网络服务器。网络服务器中具有互联网边界事件库,互联网边界事件库中包括互联网安全防御边界信息,如流量防火墙、邮件防火墙、应用防火墙等各种防火墙以及一些预先设置为边界事件的访问事件等。网络服务器能够根据互联网边界事件库对各种访问行为进行分析判断,确定各种访问行为对应的账号是否为域环境系统内安全账号以及各种访问行为是否安全,从而防御来自域环境系统外部的恶意访问,保证域环境的系统安全。
网络服务器接收到异常账号或异常访问行为后对其进行检测分析,在确定异常账号或异常访问行为与互联网边界事件库的任一边界事件的类型匹配时,返回属于边界事件的确认信息;在确定异常账号或异常访问行为与互联网边界事件库的任一边界事件的类型不相匹配时,返回不属于边界事件的确认信息。
在接收到网络服务器返回的属于边界事件的确认信息时,确定异常账号或异常访问行为被确认为异常并进行报警;在接收到网络服务器返回的不属于边界事件的确认信息时,确定异常账号或异常访问行为被确认为正常,此时输出对该异常账号或异常访问行为进行确认的提示信息到用户界面。
用户在接收到对异常账号或异常访问行为进行确定的提示信息后,对异常账号或异常访问行为进行分析判断,在确定异常账号或异常访问行为安全时,返回正常确认信息,在确定异常账号或异常访问行为异常时,返回异常确认信息。
在接收到用户通过用户界面返回的正常确认信息后,忽略此异常账号或异常访问行为,在接收到用户通过用户界面返回的异常确认信息后进行报警。
实施例2
参照图2,为本发明实施例提供的一种企业内部域环境中识别高级持续性攻击APT的示意图。企业内部的终端设备添加到同一个系统网络中构成域环境,在域环境中进行APT的识别。如图所示,具体的识别高级持续性攻击APT的方法流程如下:
步骤S201,采集账号数据并从中提取与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,并执行步骤S203;
采集域环境中用户日常访问的账号数据,包括但不限于账号名、账号登录IP、账号登录时间、访问目标IP、对应用户名等,尽可能多的搜集信息,方便对员工画像进行判断。
从采集的账号数据中提取与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,所述异常账号特征信息为与用户常用账号数据中的特征信息不同的信息。例如,异常账号特征信息可以是账号的登录IP与常用IP不同,或者登录IP不属于系统内部IP,或者账号在一定时间内的登录次数超过一定值,或者账号的访问目标IP为之前从未访问过的IP,或者账号在非工作时间登录,或者账号与用户名不匹配等,当通过大数据分析检索到上述情况发生时,将与上述异常账号特征信息相匹配的账号确定为疑似账号,提取对应的账号数据作为待分析账号数据。
步骤S202,采集日志数据并从中提取与异常行为特征相匹配的疑似访问行为的待分析日志数据,并执行步骤S204;
采集域环境中服务器和终端设备的日志数据,包括但不限于访问源IP、访问成功IP、访问失败IP、访问用户、访问账号、访问状态(中断/活跃)、异常事件等,搜集服务器的所有记录,便于后续回溯。
从采集的日志数据中提取与异常行为特征相匹配的不同疑似访问行为的待分析日志数据,所述异常行为特征为与用户日常访问行为的特征信息不同的信息。例如,异常行为特征可以是服务器短期内存在大量密码登录错误,或者出现与对应用户职责不匹配的访问行为,或者访问账号越权限访问,或者服务器内发生死机事件,或者一定时间内访问状态过于活跃,或者访问状态非正常中断等。当通过大数据分析检索到上述情况发生时,将与上述异常特征相匹配访问行为确定为疑似访问行为,提取其对应的日志数据作为待分析日志数据。
步骤S203,确定与待分析账号数据对应的日志数据,并提取该日志数据中记录的访问行为,并执行步骤S205;
通过查询接口,将步骤S201确定的待分析账号数据当参数放入采集的日志数据中进行查询,确定与其对应的日志数据,并提取该日志数据中记录的访问行为,用于后续比对。例如:当企业域环境系统外部的某个黑客设备利用企业内部财务人员的账号访问企业核心管理员服务器时,该操作账号对应的登录IP不是财务人员常用的登录IP,通过步骤S201能够确定该财务人员账号的账号数据与异常账号特征信息相匹配,因此将与该财务人员账号对应的账号数据(登录IP)确定为待分析账号数据。将该待分析账号数据作为参数放到日志数据中进行查询,就能确定与该待分析账号数据对应的日志数据,提取该日志数据中的访问行为用于后续对比。
步骤S204,确定与待分析日志数据对应的账号,并提取该账号对应的账号数据,并执行步骤S206;
通过查询接口,将步骤S202确定的待分析日志数据当参数放入采集的账号数据中进行查询,确定与其对应的账号,并提取该账号对应的账号数据,用于后续比对。例如:当企业域环境系统外部的某个黑客设备利用企业内部财务人员的账号访问企业核心管理员服务器时,该访问行为属于越轨访问,通过步骤S202能够确定该访问行为与异常行为特征相匹配,因此将记录该访问行为的日志数据(访问源IP)确定为待分析日志数据。将该待分析日志数据作为参数放到账号数据中进行查询,确定与该待分析日志数据对应的账号,提取该账号的账号数据用于后续比对。
步骤S205,与异常行为特征相匹配的疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为为异常访问行为,并执行步骤S207。
将上述步骤S203得到的与待分析账号数据(登录IP)的账号对应的访问行为及其日志数据,及步骤S202得到的与异常行为特征相匹配的疑似访问行为的待分析日志数据进行比对,确定上述访问行为中与疑似访问行为相关联的访问行为为异常访问行为,确定其对应的日志数据为异常日志数据,并发送到网络服务器的互联网边界事件库。例如:将上述财务人员账号登录IP对应的访问行为及其待分析日志数据,及与分系统内部登录IP对应的疑似访问行为进行比对,对于其中与疑似访问行为关联的财务人员账号的访问行为认为是异常访问行为。
步骤S206,与对应各访问成功账号的待分析账号数据进行比对,确定与账号特征信息不匹配的账号为异常账号,并执行步骤S208。
将上述步骤S204得到的与该待分析日志数据(访问源IP)对应的账号及账号数据,及对应各访问成功账号的账号数据进行比对,确定上述账号中与各访问成功账号的特征信息不匹配的账号为异常账号,并发送到网络服务器的互联网边界事件库。例如:将上述财务人员访问核心管理员服务器这一访问行为对应的账号的待分析账号数据与财务人员访问成功的访问行为对应的账号数据进行比对,确定与上述账号数据的特征信息不匹配时,认为财务人员访问核心管理员服务器这一访问行为为异常访问行为。又例如,某服务器短期存在大量密码登录错误,提取记录这一访问行为的日志数据中的访问源IP,并作为账号数据的参数进行查询,与对应账号的账号数据进行比对,若确定该访问源IP与对应账号的IP相同,则可以确定该访问源IP为正常IP,此时不进行后续分析步骤。
步骤S207,网络服务器基于互联网边界事件库对异常日志数据进行分析确定是否报警,并执行步骤S209;
网络服务器基于互联网边界事件库对接收的异常日志数据记录的访问行为进行分析,在确定该访问行为属于边界事件时报警,否则将上述异常日志数据发送到管理员界面。
步骤S208,网络服务器基于互联网边界事件库对异常账号进行分析确定是否报警;
网络服务器基于互联网边界事件库对上述异常账号数据进行分析,在确定账号数据属于边界事件记录的数据时报警,否则将账号数据发送到管理员界面。
步骤S209,管理员对异常账号/日志数据进行判断确定是否报警,并执行步骤S209。
管理员收到事件提醒,对上述异常账号/日志数据进行判断,确认该异常账号/日志数据异常时报警,否则忽略事件不报警。
通过上述方法,当域环境系统受到APT攻击时,能够及时识别出账号和访问行为的异常,从而进一步判断出是否为APT攻击并进行报警,保证了企业域环境系统的安全性。
实施例3
以上对本发明中一种识别高级持续性攻击APT的方法进行说明,以下对执行上述识别高级持续性攻击APT的设备进行说明。
请参阅图3,本发明实施例提供一种识别高级持续性攻击APT的设备,包括:
账号数据提取模块301,用于从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
日志数据提取模块302,用于从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
异常访问行为确认模块303,用于从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
异常账号确认模块304,用于从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。
可选的,识别高级持续性攻击APT的设备还包括:
异常请求模块305,用于确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器;
异常确认模块306,用于接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
可选的,账号数据提取模块在从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据时,具体用于:
分别从不同的账号对应的账号数据中,确定各账号的指定特征信息;
将各账号的指定特征信息与异常账号特征信息进行匹配,确定与异常账号的特征信息相匹配的账号为疑似账号,并提取所述疑似账号的账号数据为待分析账号数据。
可选的,日志数据提取模块在从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据时,具体用于:
分别从不同访问行为对应的日志数据中,确定各访问行为的指定特征信息;
将各访问行为的指定特征信息与异常访问行为特征信息进行匹配,确定与异常访问行为的特征信息相匹配的访问行为为疑似访问行为,并提取所述疑似访问行为的日志数据为待分析日志数据。
可选的,账号数据提取模块在按照第一预设规则提取待分析账号数据,及日志数据提取模块按照第二预设规则提取待分析日志数据时:
账号数据提取模块具体用于从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据;
日志数据提取模块具体用于从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
可选的,异常确认模块在接收所述返回的异常账号/访问行为确认信息之后,还用于:
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警;
根据所述确认信息,确定所述异常账号/访问行为被确认为正常时,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息。
可选的,异常确认模块在通过用户界面输出对所述异常账号/访问行为进行确认的提示信息之后,还用于:
通过用户界面接收返回的所述异常账号/访问行为的确认信息;
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警。
请参阅图4,本申请实施例中识别高级持续性攻击APT的设备的另一个实施例包括:
处理器401、存储器402、收发器409以及总线系统411;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括如下步骤:
从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。图4是本发明实施例提供的一种识别高级持续性攻击APT的设备的结构示意图,该设备400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(英文全称:central processing units,英文简称:CPU)401(例如,一个或一个以上处理器)和存储器402,一个或一个以上存储应用程序404或数据406的存储介质403(例如一个或一个以上海量存储设备)。其中,存储器402和存储介质403可以是短暂存储或持久存储。存储在存储介质403的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对信息处理装置中的一系列指令操作。更进一步地,处理器401可以设置为与存储介质403通信,在设备400上执行存储介质403中的一系列指令操作。
设备400还可以包括一个或一个以上电源410,一个或一个以上有线或无线网络接口407,一个或一个以上输入输出接口408,和/或,一个或一个以上操作系统405,例如Windows Server,Mac OS X,Unix,Linux,FreeBSD等。
可选的,所述处理器还用于:
确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器;
接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
可选的,处理器在从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据时,具体用于:
分别从不同的账号对应的账号数据中,确定各账号的指定特征信息;
将各账号的指定特征信息与异常账号特征信息进行匹配,确定与异常账号的特征信息相匹配的账号为疑似账号,并提取所述疑似账号的账号数据为待分析账号数据。
可选的,处理器在从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据时,具体用于:
分别从不同访问行为对应的日志数据中,确定各访问行为的指定特征信息;
将各访问行为的指定特征信息与异常访问行为特征信息进行匹配,确定与异常访问行为的特征信息相匹配的访问行为为疑似访问行为,并提取所述疑似访问行为的日志数据为待分析日志数据。
可选的,处理器在按照第一预设规则提取待分析账号数据,及按照第二预设规则提取待分析日志数据时,具体用于:
从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据;
从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
可选的,处理器在接收所述返回的异常账号/访问行为确认信息之后,还用于:
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警;
根据所述确认信息,确定所述异常账号/访问行为被确认为正常时,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息。
可选的,处理器在通过用户界面输出对所述异常账号/访问行为进行确认的提示信息之后,还用于:
通过用户界面接收返回的所述异常账号/访问行为的确认信息;
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警。
本发明实施例还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述实施例提供的识别高级持续性攻击APT方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
以上对本申请所提供的技术方案进行了详细介绍,本申请中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种识别高级持续性攻击APT的方法,其特征在于,包括:
从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。
2.根据权利要求 1所述的方法,其特征在于,还包括:
确定存在异常账号/访问行为时,将所述异常账号/访问行为发送到网络服务器;
接收所述网络服务器基于用于筛选异常账号/访问行为的互联网边界事件库,所返回的异常账号/访问行为确认信息。
3.根据权利要求1所述的方法,其特征在于,从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据,包括:
分别从不同的账号对应的账号数据中,确定各账号的指定特征信息;
将各账号的指定特征信息与异常账号特征信息进行匹配,确定与异常账号的特征信息相匹配的账号为疑似账号,并提取所述疑似账号的账号数据为待分析账号数据。
4.根据权利要求1所述的方法,其特征在于,从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据,包括:
分别从不同访问行为对应的日志数据中,确定各访问行为的指定特征信息;
将各访问行为的指定特征信息与异常访问行为特征信息进行匹配,确定与异常访问行为的特征信息相匹配的访问行为为疑似访问行为,并提取所述疑似访问行为的日志数据为待分析日志数据。
5.根据权利要求1所述的方法,其特征在于,按照第一预设规则提取待分析账号数据,及按照第二预设规则提取待分析日志数据,包括:
从记录账号特征信息的账号数据中,提取各访问成功账号的账号数据为待分析账号数据;
从记录账号访问行为的日志数据中,提取访问成功的不同账号的日志数据为待分析日志数据。
6.根据权利要求2所述的方法,其特征在于,接收所述返回的异常账号/访问行为确认信息之后,还包括:
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警;
根据所述确认信息,确定所述异常账号/访问行为被确认为正常时,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息。
7.根据权利要求6所述的方法,其特征在于,通过用户界面输出对所述异常账号/访问行为进行确认的提示信息之后,还包括:
通过用户界面接收返回的所述异常账号/访问行为的确认信息;
根据所述确认信息,确定所述异常账号/访问行为被确认为异常时进行报警。
8.一种识别高级持续性攻击APT的设备,其特征在于,包括:
账号数据提取模块,用于从记录账号特征信息的账号数据中,按照第一预设规则提取待分析账号数据;
日志数据提取模块,用于从记录账号访问行为的日志数据中,按照第二预设规则提取待分析日志数据;
异常访问行为确认模块,用于从所述待分析账号数据和待分析日志数据中,将与异常账号特征信息相匹配的同一疑似账号的待分析账号数据,及与异常行为特征相匹配的不同疑似访问行为的待分析日志数据进行比对,确定与所述疑似账号相关联的疑似访问行为异常访问行为;
异常账号确认模块,用于从所述待分析账号数据和待分析日志数据中,将访问成功的不同账号的待分析日志数据,与对应各访问成功账号的待分析账号数据进行比对,确定同一账号的不同访问行为与账号特征信息不匹配时,确定该同一账号为异常账号。
9.一种识别高级持续性攻击APT的设备,其特征在于,包括:存储器和处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,实现如权利要求1~7任一所述方法的步骤。
10.一种计算机程序介质,其特征在于,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~7任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911038594.4A CN110868403B (zh) | 2019-10-29 | 2019-10-29 | 一种识别高级持续性攻击apt的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911038594.4A CN110868403B (zh) | 2019-10-29 | 2019-10-29 | 一种识别高级持续性攻击apt的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110868403A CN110868403A (zh) | 2020-03-06 |
CN110868403B true CN110868403B (zh) | 2021-08-27 |
Family
ID=69653372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911038594.4A Active CN110868403B (zh) | 2019-10-29 | 2019-10-29 | 一种识别高级持续性攻击apt的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110868403B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111913860B (zh) * | 2020-07-15 | 2024-02-27 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
CN114629693B (zh) * | 2022-02-28 | 2023-10-31 | 天翼安全科技有限公司 | 一种可疑宽带账号的识别方法及装置 |
CN114785579B (zh) * | 2022-04-14 | 2022-11-25 | 福建实达集团股份有限公司 | 一种应用于云边端计算的网络攻击分析方法及服务器 |
CN116167029B (zh) * | 2023-04-23 | 2023-06-30 | 汕头市林百欣科学技术中等专业学校 | 一种基于云计算的计算机系统账户管理方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312679B (zh) * | 2012-03-15 | 2016-07-27 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN102724182B (zh) * | 2012-05-30 | 2015-03-25 | 北京像素软件科技股份有限公司 | 异常客户端的识别方法 |
US9401925B1 (en) * | 2013-09-12 | 2016-07-26 | Symantec Corporation | Systems and methods for detecting security threats based on user profiles |
CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
CN206332695U (zh) * | 2016-12-29 | 2017-07-14 | 杭州世平信息科技有限公司 | 一种基于用户行为和数据状态的自适应安全防护系统 |
CN108521392B (zh) * | 2018-01-25 | 2020-10-16 | 华东师范大学 | 一种双向流量的sql注入攻击检测方法 |
CN109271782B (zh) * | 2018-09-14 | 2021-06-08 | 杭州朗和科技有限公司 | 检测攻击行为的方法、介质、系统和计算设备 |
CN109474586A (zh) * | 2018-10-31 | 2019-03-15 | 施勇 | 一种基于用户行为分析的高级持续性威胁分析方法 |
-
2019
- 2019-10-29 CN CN201911038594.4A patent/CN110868403B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110868403A (zh) | 2020-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3588898B1 (en) | Defense against apt attack | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US8789171B2 (en) | Mining user behavior data for IP address space intelligence | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
EP2715975B1 (en) | Network asset information management | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
EP3374870B1 (en) | Threat risk scoring of security threats | |
JP7204247B2 (ja) | 脅威対応自動化方法 | |
CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
Kurniawan et al. | Detection and analysis cerber ransomware based on network forensics behavior | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
Deng et al. | Lexical analysis for the webshell attacks | |
US11372971B2 (en) | Threat control | |
Shrivastava et al. | Network forensics: Today and tomorrow | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
Kim et al. | Involvers’ behavior-based modeling in cyber targeted attack | |
Kono et al. | An unknown malware detection using execution registry access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |