CN110022288A - 一种apt威胁识别方法 - Google Patents
一种apt威胁识别方法 Download PDFInfo
- Publication number
- CN110022288A CN110022288A CN201810023203.0A CN201810023203A CN110022288A CN 110022288 A CN110022288 A CN 110022288A CN 201810023203 A CN201810023203 A CN 201810023203A CN 110022288 A CN110022288 A CN 110022288A
- Authority
- CN
- China
- Prior art keywords
- apt
- attack
- analysis
- recognition methods
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种APT威胁识别方法,包括:建立正常数据行为模型;建立模拟APT攻击生命周期模型;建立威胁可视化关联分析数据行为模型。通过建立正常数据行为模型,实现对各种来源日志数据进行周期性关联分析进而发现异常数据、可疑APT攻击行为等。通过建立模拟APT攻击生命周期模型,可模拟APT攻击行为及攻击路径,可提前发现可疑APT攻击动作。并根据其被真实运行后的实际动作来判定危险程度。开发基于遵义供电局网络环境的综合数据实时关联分析平台,通过静态分析模块、动态分析模块、行为检测的关联分析模块来实现用户环境内的APT攻击可视化。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种APT威胁识别方法。
背景技术
APT(Advanced Persistent Threat)--------高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标***进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信***和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的***或程序。APT与一般攻击的区别在两方面:(1)高级性:使用的工具或恶意程序一般都是专门开发的,很难检测到;另外攻击中会用到一个或多个0day漏洞。(2)持续性:一般会花比较长时间,观察、踩点、收集信息、社会工程、逐步渗透、信息回传等等。
目前,对APT危机所采取的措施主要是用户主动防御。即第一,提高企业用户的信息安全意识,防患于未然;第二,安装网络安全预警***。然而,网络安全预警***是一种基于硬件的网络安全技术,能够针对局域网内的安全事件自动进行归纳总结,并根据这些数据对全网安全进行预警。但是,对于从海量数据中分析中所潜伏的威胁,上述防御措施存在漏洞,并且很难对所有海量数据进行分析,因此可能会错过潜伏的APT攻击。
为此,有必要设计一种新的APT威胁识别方法,以克服上述问题。
发明内容
本发明要解决的技术问题在于,针对现有技术的缺点,提供一种可识别内部网络中潜在的APT威胁的方法。
本发明解决其问题所采用的技术方案是:
提供一种APT威胁识别方法,包括:
建立正常数据行为模型;
建立模拟APT攻击生命周期模型;
建立威胁可视化关联分析数据行为模型。
在本发明提供的APT威胁识别方法中,所述的建立正常数据行为模型包括:通过了解分析网络,获取多个***之间的***通信情况,收集各种来源的日志数据进行周期性关联分析,并描绘数据传输生命周期,建立正常数据行为模型,匹配模型分析发现异常数据、可疑行为。
在本发明提供的APT威胁识别方法中,所述的建立模拟APT攻击生命周期模型包括:了解APT攻击特点,分析网络安全环境薄弱环节及APT针对攻击可能存在方式,建立模拟APT攻击生命周期模型;从攻击者发起的攻击生命周期角度,可以建立一个模拟攻击线路,覆盖攻击者攻击的多个主要环节。
在本发明提供的APT威胁识别方法中,所述多个主要环节包括信息收集环节的检测、入侵实施环节的检测、木马植入环节和控制窃取与渗透环节。
在本发明提供的APT威胁识别方法中,所述的建立威胁可视化关联分析数据行为模型包括:开发基于网络环境的综合数据实时关联分析平台,结合正常数据行为模型,利用大数据分析技术,定义与正常数据行为模型不匹配数据为所述异常数据及所述可疑行为,通过将所述异常数据与模拟APT攻击生命周期模型对应攻击节点,全面分析海量所述异常数据来还原整个APT攻击场景;平台主要通过静态分析、动态分析、行为检测的关联分析来实现可视化发现用户环境内的APT攻击。
在本发明提供的APT威胁识别方法中,所述的静态分析包括:
针对PDF、Word、多种压缩文件或档案等,使用最新的分析技术针对可疑APT攻击行为进行检测,所述最新的分析技术为:特征码分析,透过启发式规则与文档漏洞攻击代码分析技术。
在本发明提供的APT威胁识别方法中,所述的动态分析包括:
将在所述静态分析或所述行为检测中发现的可疑文件放入基于APT攻击生命周期模型搭建的模拟环境模块中进行操作,并根据所述可疑文件被真实运行后的实际动作来判定危险程度。
在本发明提供的APT威胁识别方法中,所述的行为检测分析包括:
通过VSAPI(Virus Scanning Application Programming Interface),对文件进行已知病毒分析,如果为已知病毒,直接报警,如果为未知病毒,提交到沙盒进行二次深度分析。
在本发明提供的APT威胁识别方法中,所述的行为检测分析包括:
在所述沙盒中,可以通过模拟内部环境,让所述可疑文件进行模拟运行,并通过多组监控探针记录该文件对所述沙盒进行的改变;
通过报告把所有可疑行为,发送给管理员;其中,
所述沙盒还可由管理员配置为匹配其***配置,以使企业可以更好地看到专门针对企业的定制恶意软件将如何运行,这将允许管理员更好地评估该恶意软件对***的潜在影响。
在本发明提供的APT威胁识别方法中,所述的行为检测分析包括:
利用网络内容检测技术侦测网络流量以及病毒扫描引擎对***进行内容分析,并采用在网络交换机上镜像数据流的方式进行内容检查,确保网络运行不会被影响和中断。
与现有技术相比,实施本发明提供的APT威胁识别方法,具有如下有益效果:所述方法包括:建立正常数据行为模型;建立模拟APT攻击生命周期模型;建立威胁可视化关联分析数据行为模型。通过建立正常数据行为模型,实现对各种来源日志数据进行周期性关联分析进而发现异常数据、可疑APT攻击行为等。通过建立模拟APT攻击生命周期模型,可模拟APT攻击行为及攻击路径,可提前发现可疑APT攻击动作。并根据其被真实运行后的实际动作来判定危险程度。开发基于遵义供电局网络环境的综合数据实时关联分析平台,通过静态分析模块、动态分析模块、行为检测的关联分析模块来实现用户环境内的APT攻击可视化。
附图说明
图1为本发明提供的APT威胁识别方法的步骤流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种APT威胁识别方法,参见图1,包括:建立正常数据行为模型;建立模拟APT攻击生命周期模型;建立威胁可视化关联分析数据行为模型。通过建立正常数据行为模型,实现对各种来源日志数据进行周期性关联分析进而发现异常数据、可疑APT攻击行为等。通过建立模拟APT攻击生命周期模型,可模拟APT攻击行为及攻击路径,可提前发现可疑APT攻击动作。并根据其被真实运行后的实际动作来判定危险程度。开发基于遵义供电局网络环境的综合数据实时关联分析平台,通过静态分析模块、动态分析模块、行为检测的关联分析模块来实现用户环境内的APT攻击可视化。
所述的建立正常数据行为模型包括:通过了解分析网络,知道哪些***应该和哪些其他***通信,以及它们之间的通信情况,应该发生的频率等,以及收集各种来源日志数据进行周期性关联分析,并描绘数据传输生命周期,建立正常数据行为模型,匹配模型分析发现异常数据、可疑行为等。
所述的建立模拟APT攻击生命周期模型包括:了解APT攻击特点,分析网络安全环境薄弱环节及APT针对攻击可能存在方式,建立模拟APT攻击生命周期模型。从攻击者发起的攻击生命周期角度,可以建立一个模拟攻击线路,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
所述多个主要环节包括信息收集环节的检测、入侵实施环节的检测、木马植入环节和控制窃取与渗透环节。
攻击者在信息收集环节会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
攻击者在入侵实施环节会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
攻击者在木马植入环节会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
攻击者在控制窃取与渗透环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。
所述的建立威胁可视化关联分析数据行为模型包括:开发基于网络环境的综合数据实时关联分析平台,结合正常数据行为模型,利用大数据分析技术,定义与正常数据行为模型不匹配数据为异常数据及行为,通过将异常数据与模拟APT攻击生命周期模型对应攻击节点,全面分析这些海量异常数据来还原整个APT攻击场景;平台主要通过静态分析、动态分析、行为检测的关联分析来实现可视化发现用户环境内的APT攻击。
所述的静态分析包括:针对PDF、Word、多种压缩文件或档案等,使用最新的分析技术(特征码分析,透过启发式规则与文档漏洞攻击代码分析技术等)针对可疑APT攻击行为进行检测。
所述的动态分析包括:将在静态分析或行为检测中发现的可疑文件放入基于APT攻击生命周期模型搭建的模拟环境模块中进行操作,并根据其被真实运行后的实际动作来判定危险程度。
所述的行为检测分析包括:
通过VSAPI(Virus Scanning Application Programming Interface),对文件进行已知病毒分析,如果为已知病毒,直接报警,如果为未知病毒,提交到沙盒进行二次深度分析;
在沙盒中,可以通过模拟内部环境,让该可疑文件进行模拟运行,并通过多组监控探针记录该文件对沙盒进行的改变;
通过报告把所有可疑行为,发送给管理员;其中,
沙盒还可由管理员配置为匹配其***配置,以使企业可以更好地看到专门针对企业的定制恶意软件将如何运行,这将允许管理员更好地评估该恶意软件对其***的潜在影响。
所述的行为检测分析还可以包括:利用网络内容检测技术侦测网络流量以及病毒扫描引擎对其进行内容分析,并采用在网络交换机上镜像数据流的方式进行内容检查,确保网络运行不会被影响和中断。
与“云安全”技术配合,威胁发现设备可检测基于Web威胁或邮件内容的攻击,如Web攻击、跨站点脚本攻击和网络钓鱼。另外,当恶意程序在网络中传播感染其它用户时,它们就会被打上标记,其中就包括向外界传送信息或从恶意的来源(如僵尸网络)接收命令的隐藏型恶意软件。威胁发现设备还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序。这些应用程序和服务程序包括如即时通讯(Bittorrent,Kazaa,eDonkey,MSN,Yahoo Messenger)、P2P文件共享、流媒体,以及未授权服务如SMTP中继和DNS欺骗。威胁发现设备利用网络内容检测技术侦测网络流量以及病毒扫描引擎对其进行内容分析,并采用在网络交换机上镜像数据流的方式进行内容检查,确保网络运行不会被影响和中断。安全管理员也可根据威胁发现设备收集提供的反馈报告信息调整当前安全策略,并制订下一步网络安全建设规划。
综上所述,实施本发明提供的,可以达到以下有益效果:
1、抵御外部攻击,防止内部重要数据泄漏。
2、阻断外部可疑行为连接内网,保证内部网络运行状态稳定。
3、攻击可视化,简化管理及防御,降低处理周期及人力成本。。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护范围之内。
Claims (10)
1.一种APT威胁识别方法,其特征在于,包括:
建立正常数据行为模型;
建立模拟APT攻击生命周期模型;
建立威胁可视化关联分析数据行为模型。
2.根据权利要求1所述的APT威胁识别方法,其特征在于,所述的建立正常数据行为模型包括:通过了解分析网络,获取多个***之间的***通信情况,收集各种来源的日志数据进行周期性关联分析,并描绘数据传输生命周期,建立正常数据行为模型,匹配模型分析发现异常数据、可疑行为。
3.根据权利要求1所述的APT威胁识别方法,其特征在于,所述的建立模拟APT攻击生命周期模型包括:了解APT攻击特点,分析网络安全环境薄弱环节及APT针对攻击可能存在方式,建立模拟APT攻击生命周期模型;从攻击者发起的攻击生命周期角度,可以建立一个模拟攻击线路,覆盖攻击者攻击的多个主要环节。
4.根据权利要求3所述的APT威胁识别方法,其特征在于,所述多个主要环节包括信息收集环节的检测、入侵实施环节的检测、木马植入环节和控制窃取与渗透环节。
5.根据权利要求1所述的APT威胁识别方法,其特征在于,所述的建立威胁可视化关联分析数据行为模型包括:开发基于网络环境的综合数据实时关联分析平台,结合正常数据行为模型,利用大数据分析技术,定义与正常数据行为模型不匹配数据为所述异常数据及所述可疑行为,通过将所述异常数据与模拟APT攻击生命周期模型对应攻击节点,全面分析海量所述异常数据来还原整个APT攻击场景;平台主要通过静态分析、动态分析、行为检测的关联分析来实现可视化发现用户环境内的APT攻击。
6.根据权利要求5所述的APT威胁识别方法,其特征在于,所述的静态分析包括:
针对PDF、Word、多种压缩文件或档案等,使用最新的分析技术针对可疑APT攻击行为进行检测,所述最新的分析技术为:特征码分析,透过启发式规则与文档漏洞攻击代码分析技术。
7.根据权利要求5所述的APT威胁识别方法,其特征在于,所述的动态分析包括:
将在所述静态分析或所述行为检测中发现的可疑文件放入基于APT攻击生命周期模型搭建的模拟环境模块中进行操作,并根据所述可疑文件被真实运行后的实际动作来判定危险程度。
8.根据权利要求5所述的APT威胁识别方法,其特征在于,所述的行为检测分析包括:
通过VSAPI(Virus Scanning Application Programming Interface),对文件进行已知病毒分析,如果为已知病毒,直接报警,如果为未知病毒,提交到沙盒进行二次深度分析。
9.根据权利要求8所述的APT威胁识别方法,其特征在于,所述的行为检测分析包括:
在所述沙盒中,可以通过模拟内部环境,让所述可疑文件进行模拟运行,并通过多组监控探针记录该文件对所述沙盒进行的改变;
通过报告把所有可疑行为,发送给管理员;其中,
所述沙盒还可由管理员配置为匹配其***配置,以使企业可以更好地看到专门针对企业的定制恶意软件将如何运行,这将允许管理员更好地评估该恶意软件对***的潜在影响。
10.根据权利要求9所述的APT威胁识别方法,其特征在于,所述的行为检测分析包括:
利用网络内容检测技术侦测网络流量以及病毒扫描引擎对***进行内容分析,并采用在网络交换机上镜像数据流的方式进行内容检查,确保网络运行不会被影响和中断。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810023203.0A CN110022288A (zh) | 2018-01-10 | 2018-01-10 | 一种apt威胁识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810023203.0A CN110022288A (zh) | 2018-01-10 | 2018-01-10 | 一种apt威胁识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110022288A true CN110022288A (zh) | 2019-07-16 |
Family
ID=67188083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810023203.0A Pending CN110022288A (zh) | 2018-01-10 | 2018-01-10 | 一种apt威胁识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110022288A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545293A (zh) * | 2019-10-08 | 2019-12-06 | 贵州银智科技发展有限公司 | 一种精准式网络攻击检测预警平台 |
CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN111104670A (zh) * | 2019-12-11 | 2020-05-05 | 国网甘肃省电力公司电力科学研究院 | 一种apt攻击的识别和防护方法 |
CN111209570A (zh) * | 2019-12-31 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 基于mitre att&ck创建安全闭环过程的方法 |
CN111224933A (zh) * | 2019-10-25 | 2020-06-02 | 中国人民解放军陆军工程大学 | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111641589A (zh) * | 2020-04-30 | 2020-09-08 | ***通信集团有限公司 | 高级可持续威胁检测方法、***、计算机以及存储介质 |
CN111953684A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种电力网络中apt攻击分析*** |
CN113612779A (zh) * | 2021-08-05 | 2021-11-05 | 杭州中尔网络科技有限公司 | 一种基于流量信息的高级可持续攻击行为检测方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152323A (zh) * | 2013-01-29 | 2013-06-12 | 深圳市深信服电子科技有限公司 | 控制客户端网络访问行为的方法及*** |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | ***通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及*** |
CN106254317A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种数据安全异常监控*** |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
-
2018
- 2018-01-10 CN CN201810023203.0A patent/CN110022288A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152323A (zh) * | 2013-01-29 | 2013-06-12 | 深圳市深信服电子科技有限公司 | 控制客户端网络访问行为的方法及*** |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | ***通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及*** |
CN106254317A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种数据安全异常监控*** |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
Non-Patent Citations (1)
Title |
---|
李杰: "面向APT攻击的关联分析检测模型研究", 《计算机工程与科学》 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110602042B (zh) * | 2019-08-07 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110545293A (zh) * | 2019-10-08 | 2019-12-06 | 贵州银智科技发展有限公司 | 一种精准式网络攻击检测预警平台 |
CN111224933B (zh) * | 2019-10-25 | 2022-04-08 | 中国人民解放军陆军工程大学 | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
CN111224933A (zh) * | 2019-10-25 | 2020-06-02 | 中国人民解放军陆军工程大学 | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
CN111104670A (zh) * | 2019-12-11 | 2020-05-05 | 国网甘肃省电力公司电力科学研究院 | 一种apt攻击的识别和防护方法 |
CN111104670B (zh) * | 2019-12-11 | 2023-09-01 | 国网甘肃省电力公司电力科学研究院 | 一种apt攻击的识别和防护方法 |
CN111209570A (zh) * | 2019-12-31 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 基于mitre att&ck创建安全闭环过程的方法 |
CN111259204B (zh) * | 2020-01-13 | 2023-04-11 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111641589A (zh) * | 2020-04-30 | 2020-09-08 | ***通信集团有限公司 | 高级可持续威胁检测方法、***、计算机以及存储介质 |
CN111953684A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种电力网络中apt攻击分析*** |
CN113612779A (zh) * | 2021-08-05 | 2021-11-05 | 杭州中尔网络科技有限公司 | 一种基于流量信息的高级可持续攻击行为检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110022288A (zh) | 一种apt威胁识别方法 | |
US11693964B2 (en) | Cyber security using one or more models trained on a normal behavior | |
EP1495616B1 (en) | Detecting and countering malicious code in enterprise networks | |
Chen et al. | A study on advanced persistent threats | |
Bhattacharyya et al. | Met: An experimental system for malicious email tracking | |
Sendi et al. | Real time intrusion prediction based on optimized alerts with hidden Markov model | |
US20230336581A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
AU2016333461B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
Sandhu et al. | A survey of intrusion detection & prevention techniques | |
Schindler | Anomaly detection in log data using graph databases and machine learning to defend advanced persistent threats | |
WO2023283357A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
JP2012064208A (ja) | ネットワークウイルス防止方法及びシステム | |
Park et al. | Performance evaluation of a fast and efficient intrusion detection framework for advanced persistent threat-based cyberattacks | |
Abe et al. | Cyber threat information sharing system for industrial control system (ICS) | |
Bsufka et al. | Intelligent network-based early warning systems | |
Lysenko et al. | Resilient Computer Systems Development for Cyberattacks Resistance. | |
Benmoussa et al. | Towards a new intelligent generation of intrusion detection system | |
Ahmad et al. | State of the Art Intrusion Detection System for Cloud Computing | |
Maciel et al. | Impact assessment of multi-threats in computer systems using attack tree modeling | |
Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
Faulkner | Looking to Deception Technology to Combat Advanced Persistent Threats | |
KR102540904B1 (ko) | 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법 | |
Koch et al. | Defending the grid: backfitting non-expandable control systems | |
Érsok et al. | Measuring Honeypots based on CTF game | |
Scandariato et al. | An automated defense system to counter internet worms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190716 |