一种采用拟态技术的APT攻击防御方法、系统技术方案

本发明专利技术公开了采用拟态技术APT攻击防御方法及系统，虚拟出不同形态的业务的拟态业务和不同类型敏感文件的拟态文件；诱导APT访问攻击，一旦拟态业务和/或拟态文件被访问时，实时获取的访问日志信息，并对分析访问日志信息进行分析，依据分析结果，发送报警信息，根据报警信息采用合适的处理措施。本发明专利技术防御方法及系统明对硬件的要求低，而且防御效率高、误伤率低、并且正常用户的各种操作，比如上网，访问内部网络系统等都正常进行，不受影响。

【技术实现步骤摘要】
一种采用拟态技术的APT攻击防御方法、系统
本专利技术涉及一种APT攻击防御方法，特别涉及一种采用拟态技术的APT攻击防御方法及系统。
技术介绍
APT(AdvancedPersistentThreat)--------高级持续性威胁。APT是黑客以窃取核心资料为目的，针对用户所发动的网络攻击和侵袭行为。利用先进的攻击手段，绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测，对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等阶段；如图1所示：1、定向情报收集，即攻击者有针对性的搜集特定组织的网络系统和员工信息。大多数APT攻击都是从组织员工入手，因此，攻击者非常注意搜集组织员本文档来自技高网...

【技术保护点】
1.一种采用拟态技术的APT攻击防御方法，其特征在于，包括：虚拟出不同形态的业务的拟态业务和/或不同类型的敏感文件的拟态文件，所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成，所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件；在所述拟态业务和/或所述拟态文件被访问时，实时获取的访问日志信息；对分析所述访问日志信息进行分析，依据分析结果，确定报警信息；发送报警信息，根据报警信息采用合适的处理措施。

【技术特征摘要】
1.一种采用拟态技术的APT攻击防御方法，其特征在于，包括：虚拟出不同形态的业务的拟态业务和/或不同类型的敏感文件的拟态文件，所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成，所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件；在所述拟态业务和/或所述拟态文件被访问时，实时获取的访问日志信息；对分析所述访问日志信息进行分析，依据分析结果，确定报警信息；发送报警信息，根据报警信息采用合适的处理措施。2.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法，其特征在于：在所述虚拟出不同形态的业务的拟态业务和敏感文件的拟态文件时，包括：提供不同业务的拟态业务和敏感文件的拟态文件，依据客户端的实际情况，确定客户端是否要进行拟态，以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端，客户端依据相应的拟态命令虚拟出相应的拟态业务和/或拟态文件。3.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法，其特征在于：该方法包括对客户端的运行状态进行监测，当检测到客户端运行状态不正常，无法正常模拟拟态业务或拟态文件时，并尝试对客户端进行重启，以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。4.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法，其特征在于：将实时获取的所述访问日志信息，统一存储至大数据平台上，采用大数据分析技术对存储的数据进行分析以获得分析结果。5.根据权利要求2所述的一种采用拟态技术的APT攻击防御方法，其特征在于：可以依据客户端的实际情况，手动或自动调整客户端是否要进行拟态，以及调整要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。6.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法，其特征在于：拟态业务和/或拟态文...

【专利技术属性】
技术研发人员：刘勇，
申请(专利权)人：刘勇，
类型：发明
国别省市：广东,44