CN109088869B - Apt攻击检测方法及装置 - Google Patents
Apt攻击检测方法及装置 Download PDFInfo
- Publication number
- CN109088869B CN109088869B CN201810923156.5A CN201810923156A CN109088869B CN 109088869 B CN109088869 B CN 109088869B CN 201810923156 A CN201810923156 A CN 201810923156A CN 109088869 B CN109088869 B CN 109088869B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- abnormal data
- data
- apt attack
- suspected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及电力技术领域,提供一种APT攻击检测方法及装置。其中,APT攻击检测方法首先获得电力控制***中的采集得到的异常数据,然后判断异常数据与异常检测模型是否满足预设相似度条件。若满足预设相似度条件,表明当前的异常数据具有APT攻击的某些特征,从而可以将其确定为疑似APT攻击。最后,将疑似APT攻击的异常数据保存至异常数据库中,以便进行后续的数据分析或者APT攻击的防御。上述方法及装置能够有效检测电力控制***中的APT攻击,并将疑似APT攻击的异常数据进行保存,为分析APT攻击的特征以及APT攻击的防御打下了坚实的基础,有利于改善电力控制***的安全性,确保其正常稳定运行。
Description
技术领域
本发明涉及电力技术领域,具体而言,涉及一种APT攻击检测方法及装置。
背景技术
APT(Advanced Persistent Threat)是指高级持续性威胁。即利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标***进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信***和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
电力控制***主要用于配变电监控,对于保障生产生活用电起着至关重要的作用,目前,随着电力设备数量的增加,电力控制***的结构也变得越发复杂,其安全需求不断提高。网络攻击,特别是APT攻击对电力控制***的威胁不断加大,然而,在现有的电力控制***中,还缺乏对APT进行有效检测的方法。
发明内容
有鉴于此,本发明实施例提供一种智能规划方法及***,以解决上述技术问题。
为实现上述目的,本发明提供如下技术方案:
第一方面,本发明实施例提供一种APT攻击检测方法,包括:
获得电力控制***中的异常数据;
判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型;
若满足预设相似度条件,则将异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。
在第一方面的一种可能的实现方式中,判断异常数据与异常检测模型是否满足预设相似度条件,包括:
利用大数据聚类算法判断异常数据与异常检测模型是否满足预设相似度条件。
在第一方面的一种可能的实现方式中,大数据聚类算法为结构性聚类算法中的层次聚类算法。
在第一方面的一种可能的实现方式中,层次聚类算法包括凝聚层次聚类算法AGNES或***层次聚类算法DIANA。
在第一方面的一种可能的实现方式中,聚类算法在计算相似度时采用下列相似度计算方法中的至少一种:
欧式距离相似度、Jaccard相似度、余弦相似度、Pearson相似度以及相对熵。
在第一方面的一种可能的实现方式中,异常数据由电力控制***中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集。
在第一方面的一种可能的实现方式中,在获得电力控制***中的异常数据之后,在判断异常数据与异常检测模型是否满足预设相似度条件之前,方法还包括:
利用安全风险评价模型对异常数据进行过滤,过滤出存在安全风险的异常数据,其中,安全风险评价模型为基于数据的日常规律构建的模型,不符合日常规律的异常数据被确定为存在安全风险;
判断异常数据与异常检测模型是否满足预设相似度条件,包括:
判断存在安全风险的异常数据与异常检测模型是否满足预设相似度条件。
在第一方面的一种可能的实现方式中,在将疑似APT攻击的异常数据保存至异常数据库之后,方法还包括:
定期检测异常数据库中的疑似APT攻击的异常数据是否为持续攻击;
若否,将疑似APT攻击的异常数据从异常数据库中删除。
在第一方面的一种可能的实现方式中,在将疑似APT攻击的异常数据保存至异常数据库之后,方法还包括:
对异常数据库中的疑似APT攻击的异常数据进行下列至少一种数据分析:
异常流量检测、异常代码检测、数据挖掘、事件关联以及数据对比。
第二方面,本发明实施例提供一种APT攻击检测装置,包括:
异常数据获取模块,用于获得电力控制***中的异常数据;
异常数据判断模块,用于判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型;
异常数据存储模块,用于若满足预设相似度条件,则将异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。
第三方面,本发明实施例提供一种计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被计算机的处理器读取并运行时,执行第一方面或第一方面的任意一种可能的实现方式提供的方法。
第四方面,本发明实施例提供一种电子设备,包括处理器以及计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被处理器读取并运行时,执行第一方面或第一方面的任意一种可能的实现方式提供的方法。
本发明提供的技术方案至少具有如下有益效果:
本发明实施例提供一种APT攻击检测方法及装置,首先获得电力控制***中的采集得到的异常数据,然后判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型。若满足预设相似度条件,表明当前的异常数据具有APT攻击的某些特征,从而可以将其确定为疑似APT攻击。最后,将疑似APT攻击的异常数据保存至异常数据库中,以便进行后续的数据分析或者APT攻击的防御。
上述方法及装置能够有效检测电力控制***中的APT攻击,并将疑似APT攻击的异常数据进行保存,为分析APT攻击的特征以及APT攻击的防御打下了坚实的基础,有利于改善电力控制***的安全性,确保其正常稳定运行。
为使本发明的上述目的、技术方案和有益效果能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了一种可应用于本发明实施例中的电子设备的结构框图;
图2示出了本发明第一实施例提供的APT攻击检测方法的流程图;
图3示出了本发明第一实施例提供的APT攻击检测方法的工作原理示意图;
图4示出了凝聚层次聚类算法以及***层次聚类算法的工作原理示意图;
图5示出了发明第二实施例提供的APT攻击检测装置的功能模块图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
同时,在本发明的描述中,术语“第一”、“第二”等仅用于将一个实体或者操作与另一个实体或操作区分开来,而不能理解为指示或暗示相对重要性,也不能理解为要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
图1示出了一种可应用于本发明实施例中的电子设备100的结构框图。如图2所示,电子设备100包括存储器102、存储控制器104、处理器106以及网络单元108等。这些组件通过一条或多条通讯总线/信号线110相互通讯。
存储器102可用于存储软件程序以及模块,如本发明实施例中的APT攻击检测方法及装置对应的程序指令/模块,处理器106通过运行存储在存储器102内的软件程序以及模块,从而实现本发明实施例提供的APT攻击检测方法及装置。
存储器102可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
处理器106可以是一种集成电路芯片,具有信号的处理能力。上述的处理器106可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、微控制单元(MicroController Unit,MCU)、网络处理器(Network Processor,NP)或者其他常规处理器;还可以是专用处理器,包括数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuits,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。
网络单元108用于接收以及发送网络信号,网络信号可以包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。于本发明实施例中,电子设备100可以是服务器、个人计算机、移动设备、智能穿戴设备、车载设备等能够连接网络并具有运算处理能力的设备。在某些实施方式中,电子设备100还可以不限于物理设备,例如还可以是虚拟机、虚拟服务器等。
第一实施例
图2示出了本发明第一实施例提供的APT攻击检测方法的流程图,图3示出了本发明第一实施例提供的APT攻击检测方法的工作原理示意图。结合参照图2以及图3,该方法包括:
步骤S10:获得电力控制***中的异常数据。
电力控制***中的设备在运行过程中会产生大量数据,这些数据中可能混有APT攻击。异常数据是指电力控制***中的硬件安全装置或安全软件所采集到的、存在安全隐患的数据,通常可以将APT攻击囊括在其中,但此时还不能检测出APT攻击。
在本发明第一实施例的一种实施方式中,异常数据可以由电力控制***中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集,如图3所示。其中,纵向加密装置、横向隔离装置、防火墙设备都是目前常见的硬件安全装置。而安全管理平台可以是一种安全软件,可以部署于终端主机、服务器等硬件设备上,采集该硬件设备上产生的异常数据,例如用户插拔U盘、越权访问内容、危险操作等。异常数据的数量通常与预先设定的安全级别有关,如果安全级别设定越高,采集到的异常数据的量也会越大,安全级别可以根据具体需求进行设定。
上述设备或软件采集到异常数据后将其发送至数据分析设备进行分析,数据分析设备在硬件上可以实现为电子设备100,步骤S10至步骤S12均由电子设备100的处理器102执行。在图3中,数据收集中心、数据分析以及异常数据库三个功能模块可以部署在同一个硬件设备上,例如都部署在上述数据分析设备上,但也可以部署在不同的设备上,例如异常数据库可以部署在单独的数据库服务器上。
步骤S11:判断异常数据与异常检测模型是否满足预设相似度条件。
其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型,可以理解的,由于APT攻击可能具有多样性,因此这样的异常检测模型可以有一个或多个。这里所称的预设相似度条件实际上就是判断异常数据是否与异常检测模型足够相似的条件,如果足够相似,即满足预设相似度条件,可以认为当前的异常数据具有APT攻击的某些特征,可能是APT攻击,否则认为当前的异常数据不具有APT攻击的特征,不是APT攻击。
在本发明第一实施例的一种实施方式中,可以利用聚类算法判断异常数据与异常检测模型是否满足预设相似度条件。具体而言,聚类算法通常包括两类,一类是分散式聚类算法,一类是结构性聚类算法。
分散式聚类算法是一次性确定要产生的类别,一般是自底向上进行聚类。分散式聚类算法的典型代表是k-means算法。
结构性聚类算法利用以前成功使用过的聚类器进行分类,可以自顶向下或者自底向上双向进行计算。结构性聚类算法的典型代表是层次聚类算法。
层次聚类算法对给定的数据集进行层次的分解,直到某种条件满足为止。在已经得到距离值之后,元素间可以被联系起来。通过分离和融合可以构建一个结构。传统上,表示的方法是树形数据结构。层次聚类算法要么是自底向上聚集型的,即从叶子节点开始,最终汇聚到根节点;要么是自顶向下***型的,即从根节点开始,递归的向下***。
层次聚类算法可以包括凝聚层次聚类算法AGNES或***层次聚类算法DIANA。其中,AGNES算法采用一种自底向上的策略,首先将每个对象作为一个簇,然后合并这些原子簇为越来越大的簇,直到某个终结条件被满足。DIANA算法采用一种自顶向下的策略,首先将所有对象置于一个簇中,然后逐渐细分为越来越小的簇,直到达到了某个终结条件。图4示出了凝聚层次聚类算法以及***层次聚类算法的工作原理示意图。
无论采用何种聚类算法,在聚类时都会涉及相似度的判断,在本发明第一实施例的一种实施方式中,可以采用下列相似度计算方法中的至少一种进行相似度计算:欧式距离相似度、Jaccard相似度、余弦相似度、Pearson相似度以及相对熵。
欧式距离相似度:
在n维空间中有两点:
A(x11,x12,x13,……,x1n)
B(x21,x22,x23,……,x2n)
可通过欧氏距离公式计算,该距离越小A和B越相似:
Jaccard相似度:
Jaccard相似度主要用于计算符号度量或布尔值度量的个体间的相似度,无法衡量差异具体值的大小,只能获得“是否相同”这个结果,所以Jaccard系数只关心个体间共同具有的特征是否一致这个问题。Jaccard系数J(X,Y)等于样本集交集与样本集合集的比值,该系数越大X和Y越相似:
余弦相似度:
余弦相似度主要是通过两点之间的夹角来确定是否相似。在n维空间中有两点:
A(x11,x12,x13,……,x1n)
B(x21,x22,x23,……,x2n)
A与B之间的余弦相似度使用如下公式计算,夹角θ越小A和B越相似:
Pearson相似度:
Pearson相似度与欧式距离类似,也是关于通过计算距离来确定两者之间的相似度,只不过Pearson相似度计算的是相对距离,而欧式距离计算的是绝对的距离,系数ρxy越小则x和y越相似:
相对熵
又叫交叉熵/KL散度/KL距离,用来衡量两个取值为正数的函数(概率分布)的相似性。相对熵是两个概率分布f(x)和g(x)差别的非对称性的度量。相对熵是用来度量使用基于g(x)的编码来编码来自f(x)的样本平均所需的额外的位元数。典型情况下,f(x)表示数据的真实分布,g(x)表示数据的理论分布、模型分布或f(x)的近似分布。相对熵的计算公式如下,其值越小f(x)和g(x)越相似。
上述每种相似度计算针对不同类型的异常数据。例如,欧式距离相似度可以针对多维向量数据,Jaccard相似度可以针对集合数据,相对熵可以针对函数型或概率密度型分布的数据。
具体的预设相似度条件可以根据实际需求或经验进行制定。需要指出,在计算相似度时可以结合使用多种相似度。例如先计算欧式距离相似度,如果判定为相似,再计算余弦相似度,如果还是判定为相似才认为满足预设相似度条件。当然,如果在计算欧式距离相似度时已经判定为不相似,则必然不满足预设相似度条件,无需继续计算。
步骤S12:若满足预设相似度条件,则将异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。
如果满足预设相似度条件,可以认为当前的异常数据具有APT攻击的某些特征,将其判定为疑似APT攻击,并作为样本保存至异常数据库;否则认为当前的异常数据不具有APT攻击的特征,不是APT攻击,无需进一步处理。
可以理解的,步骤S12中获得的是疑似APT攻击的异常数据,但并不能100%确定为APT攻击,后续还可以对异常数据库中的数据样本进一步采用人工或自动的方式进行分析,确定其是否为APT攻击。例如,从APT攻击的定义上看,是指持续性的攻击,如果攻击不是持续性的,必然不是APT攻击,因此,可以定期检测异常数据库中的疑似APT攻击的异常数据是否为持续攻击,即检测攻击数据在检测时间隔内是否一直延续,若结果为否,表明不是APT攻击,将疑似APT攻击的异常数据从异常数据库中删除,使异常数据库中尽可能只保留真正的APT攻击的异常数据。
综上所述,本发明第一实施例提供的APT攻击检测方法能够有效检测电力控制***中的APT攻击,并将疑似APT攻击的异常数据进行保存,利用异常数据库中的数据,可以进一步分析APT攻击的特征,以便更精确地确定APT攻击的数据(如步骤S11),并在此基础上对APT攻击采取相应的防护措施,以改善电力控制***的安全性,确保其正常稳定运行。
进一步的,在本发明第一实施例的一种实施方式中,在获得电力控制***中的异常数据之后,在判断异常数据与异常检测模型是否满足预设相似度条件之前,还可以对异常数据先进行过滤。
之前提到过,在电力控制***内部的安全级别设定较高时,会采集到大量的异常数据,如果要对所有的异常数据进行分析,将耗费较长的时间以及较多的计算资源。因此,可以利用安全风险评价模型对异常数据进行过滤,过滤出存在安全风险的异常数据,在分析异常数据时只分析过滤出的这部分数据。其中,安全风险评价模型是指基于数据的日常规律构建的模型,不符合日常规律的异常数据被确定为存在安全风险。
安全风险评价模型可以通过侦测用户的行为、分析***日志等方式,在收集大量数据的基础上进行构建。可以理解的,在判定异常数据是否存在安全风险时,也可以采用聚类、计算相似度的方法,这里不再具体阐述。
进一步的,在本发明第一实施例的一种实施方式中,对于异常数据库中的疑似APT攻击的异常数据,可以通过以下至少一种手段进行进一步分析:异常流量检测、异常代码检测、数据挖掘、事件关联以及数据对比,如图3所示。这些数据分析方法可以进一步挖掘异常数据的价值,以便及时发现并清除电力控制***中的安全隐患。
第二实施例
图5示出了本发明第二实施例提供的APT攻击检测装置200的功能模块图。参照图5,该装置包括异常数据获取模块210、异常数据判断模块220以及异常数据存储模块230。
其中,异常数据获取模块210用于获得电力控制***中的异常数据;
异常数据判断模块220用于判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型;
异常数据存储模块230用于若满足预设相似度条件,则将异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。
本发明第二实施例提供的APT攻击检测装置200,其实现原理及产生的技术效果在第一实施例中已经阐述,为简要描述,第二实施例部分未提及之处,可参考第一实施例中相应内容。
第三实施例
本发明第三实施例提供一种计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被计算机的处理器读取并运行时,执行本发明第一实施例提供的APT攻击检测方法。该计算机存储介质可以实现为,但不限于图1示出的存储器102。
第四实施例
本发明第四实施例提供一种电子设备,包括处理器以及计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被处理器读取并运行时,执行本发明第一实施例提供的APT攻击检测方法。该电子设备可以实现为,但不限于图1示出的电子设备100。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得计算机设备执行本发明各个实施例所述方法的全部或部分步骤。前述的计算机设备包括:个人计算机、服务器、移动设备、智能穿戴设备、网络设备、虚拟设备等各种具有执行程序代码能力的设备,前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟、磁带或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种APT攻击检测方法,其特征在于,包括:
获得电力控制***中的异常数据,其中,所述异常数据是指所述电力控制***中的硬件安全装置或安全软件所采集到的、存在安全隐患的数据,所述异常数据由所述电力控制***中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集得到的;
判断所述异常数据与异常检测模型是否满足预设相似度条件,其中,所述异常检测模型为基于已有的APT攻击的数据特征构建的模型;
若满足所述预设相似度条件,则将所述异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库;
其中,所述异常数据与预先设定的安全级别相关,根据所述预先设定的安全级别,采集对应级别的所述异常数据;
其中,在所述获得电力控制***中的异常数据之后,在所述判断所述异常数据与异常检测模型是否满足预设相似度条件之前,所述方法还包括:
利用安全风险评价模型对所述异常数据进行过滤,过滤出存在安全风险的所述异常数据,其中,所述安全风险评价模型为基于数据的日常规律构建的模型,不符合所述日常规律的所述异常数据被确定为存在安全风险;
所述判断所述异常数据与异常检测模型是否满足预设相似度条件,包括:
判断存在安全风险的所述异常数据与异常检测模型是否满足预设相似度条件;
其中,在所述将疑似APT攻击的异常数据保存至异常数据库之后,所述方法还包括:
定期检测所述异常数据库中的所述疑似APT攻击的异常数据是否为持续攻击;
若否,将所述疑似APT攻击的异常数据从所述异常数据库中删除;
其中,所述判断所述异常数据与异常检测模型是否满足预设相似度条件,包括:
利用大数据聚类算法判断所述异常数据与所述异常检测模型是否满足所述预设相似度条件。
2.根据权利要求1所述的APT攻击检测方法,其特征在于,所述大数据聚类算法为结构性聚类算法中的层次聚类算法。
3.根据权利要求2所述的APT攻击检测方法,其特征在于,所述层次聚类算法包括凝聚层次聚类算法AGNES或***层次聚类算法DIANA。
4.根据权利要求1中所述的APT攻击检测方法,其特征在于,所述聚类算法在计算相似度时采用下列相似度计算方法中的至少一种:
欧式距离相似度、Jaccard相似度、余弦相似度、Pearson相似度以及相对熵。
5.根据权利要求1-4中任一项所述的APT攻击检测方法,其特征在于,所述异常数据由所述电力控制***中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集。
6.根据权利要求1-4中任一项所述的APT攻击检测方法,其特征在于,在所述将疑似APT攻击的异常数据保存至异常数据库之后,所述方法还包括:
对所述异常数据库中的所述疑似APT攻击的异常数据进行下列至少一种数据分析:
异常流量检测、异常代码检测、数据挖掘、事件关联以及数据对比。
7.一种APT攻击检测装置,其特征在于,包括:
异常数据获取模块,用于获得电力控制***中的异常数据,其中,所述异常数据是指所述电力控制***中的硬件安全装置或安全软件所采集到的、存在安全隐患的数据,所述异常数据由所述电力控制***中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集得到的;
异常数据判断模块,用于判断所述异常数据与异常检测模型是否满足预设相似度条件,其中,所述异常检测模型为基于已有的APT攻击的数据特征构建的模型;
异常数据存储模块,用于若满足所述预设相似度条件,则将所述异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库;
其中,所述异常数据与预先设定的安全级别相关,所述异常数据获取模块,具体用于根据所述预先设定的安全级别,采集对应级别的所述异常数据;
其中,所述异常数据判断模块具体用于:
利用安全风险评价模型对所述异常数据进行过滤,过滤出存在安全风险的所述异常数据,其中,所述安全风险评价模型为基于数据的日常规律构建的模型,不符合所述日常规律的所述异常数据被确定为存在安全风险;
所述判断所述异常数据与异常检测模型是否满足预设相似度条件,包括:
判断存在安全风险的所述异常数据与异常检测模型是否满足预设相似度条件;
其中,所述异常数据存储模块具体用于:
定期检测所述异常数据库中的所述疑似APT攻击的异常数据是否为持续攻击;
若否,将所述疑似APT攻击的异常数据从所述异常数据库中删除;
其中,所述异常数据判断模块,还被配置为:
利用大数据聚类算法判断所述异常数据与所述异常检测模型是否满足所述预设相似度条件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810923156.5A CN109088869B (zh) | 2018-08-14 | 2018-08-14 | Apt攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810923156.5A CN109088869B (zh) | 2018-08-14 | 2018-08-14 | Apt攻击检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109088869A CN109088869A (zh) | 2018-12-25 |
CN109088869B true CN109088869B (zh) | 2021-09-28 |
Family
ID=64834705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810923156.5A Active CN109088869B (zh) | 2018-08-14 | 2018-08-14 | Apt攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109088869B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109842622A (zh) * | 2019-01-28 | 2019-06-04 | 苏州水易数据科技有限公司 | 一种网络安全风险评估***及其工作方法 |
CN111030986B (zh) * | 2019-10-30 | 2022-10-21 | 安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN113157760A (zh) * | 2020-01-22 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 目标数据确定方法及装置 |
CN113518058B (zh) * | 2020-04-09 | 2022-12-13 | ***通信集团海南有限公司 | 异常登录行为检测方法、装置、存储介质和计算机设备 |
CN112003838B (zh) * | 2020-08-06 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 网络威胁的检测方法、装置、电子装置和存储介质 |
CN112291260A (zh) * | 2020-11-12 | 2021-01-29 | 福建奇点时空数字科技有限公司 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
CN112953933B (zh) * | 2021-02-09 | 2023-02-17 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
CN117319082B (zh) * | 2023-11-24 | 2024-03-08 | 厦门星汉数智科技有限公司 | 一种apt攻击检测方法和*** |
CN118018325B (zh) * | 2024-04-08 | 2024-07-09 | 山东捷瑞信息技术产业研究院有限公司 | 一种基于人工智能的防DDoS攻击方法及*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607388A (zh) * | 2013-11-18 | 2014-02-26 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及*** |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
CN107172050A (zh) * | 2017-05-19 | 2017-09-15 | 北京安数云信息技术有限公司 | Apt攻击行为的检测方法及检测*** |
CN107426159A (zh) * | 2017-05-03 | 2017-12-01 | 成都国腾实业集团有限公司 | 基于大数据分析的apt监测防御方法 |
CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283889B (zh) * | 2014-10-20 | 2018-04-24 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力***内部apt攻击检测及预警*** |
US10320814B2 (en) * | 2015-10-02 | 2019-06-11 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
CN106341426A (zh) * | 2016-11-11 | 2017-01-18 | 中国南方电网有限责任公司 | 一种防御apt攻击的方法及安全控制器 |
CN107612927B (zh) * | 2017-10-13 | 2020-10-13 | 中国电力科学研究院 | 电力调度自动化***的安全检测方法 |
-
2018
- 2018-08-14 CN CN201810923156.5A patent/CN109088869B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607388A (zh) * | 2013-11-18 | 2014-02-26 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及*** |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
CN107426159A (zh) * | 2017-05-03 | 2017-12-01 | 成都国腾实业集团有限公司 | 基于大数据分析的apt监测防御方法 |
CN107172050A (zh) * | 2017-05-19 | 2017-09-15 | 北京安数云信息技术有限公司 | Apt攻击行为的检测方法及检测*** |
CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109088869A (zh) | 2018-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109088869B (zh) | Apt攻击检测方法及装置 | |
CN110177108B (zh) | 一种异常行为检测方法、装置及验证*** | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
Xie et al. | Evaluating host-based anomaly detection systems: A preliminary analysis of adfa-ld | |
CN105577679A (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
CN103870751A (zh) | 入侵检测方法及*** | |
CN111651767A (zh) | 一种异常行为检测方法、装置、设备及存储介质 | |
CN109684374B (zh) | 一种时间序列数据的键值对的提取方法及装置 | |
CN107249000B (zh) | 一种移动用户异常行为检测方法 | |
CN105959316A (zh) | 网络安全性验证*** | |
CN110717551B (zh) | 流量识别模型的训练方法、装置及电子设备 | |
CN105959162A (zh) | 分布式电力企业信息网络安全管理*** | |
CN114285597A (zh) | 一种网络安全检测方法及*** | |
CN114553591A (zh) | 随机森林模型的训练方法、异常流量检测方法及装置 | |
CN112395608A (zh) | 网络安全威胁监测方法、装置和可读存储介质 | |
CN111339986A (zh) | 基于时域/频域分析的装备用频规律挖掘方法和*** | |
CN109284317B (zh) | 一种基于时序有向图的窃取信息线索提取与分段评估方法 | |
CN115221471B (zh) | 一种异常数据的识别方法、装置、存储介质及计算机设备 | |
CN108108625B (zh) | 基于格式异构的溢出漏洞检测方法、***及存储介质 | |
CN112465073B (zh) | 一种基于距离的数值分布异常检测方法及检测*** | |
CN114758470A (zh) | 一种基于消防工程的火灾预警方法及*** | |
CN113542200B (zh) | 风险控制方法、装置和存储介质 | |
Malviya et al. | An Efficient Network Intrusion Detection Based on Decision Tree Classifier & Simple K-Mean Clustering using Dimensionality Reduction-A Review | |
CN113705625A (zh) | 异常生活保障申请家庭的识别方法、装置及电子设备 | |
He et al. | An improved kernel clustering algorithm used in computer network intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |