The invention provides an advanced persistent threat analysis method based on user behavior analysis, and an advanced persistent threat detection method based on user behavior analysis, so that it can obtain detailed user behavior as far as possible, and analyze the process, command line parameters, instructions, Internet services used, file operation and data access of user terminals on the premise of meeting the detection requirements. By analyzing the user behavior anomalies, analyzing the suspicious and malicious behavior, capturing the kernel and kernel information at the user terminal level, making decision by analyzing the suspicion of user behavior and matching attack feature library, dynamically analyzing the user behavior of the system, and determining whether there are malicious attacks, so as to achieve the detection of high-level persistent threats, high detection efficiency and more comprehensive. Analyse the behavior of attacks at the system level.
【技术实现步骤摘要】
一种基于用户行为分析的高级持续性威胁分析方法
本专利技术是一种基于用户行为分析的高级持续性威胁分析方法,属于网络安全
技术介绍
现有技术中,高级持续性威胁(APT)是一种针对特定高价值的商业或政治实体目标的长时间持续性攻击。高级持续性攻击在长时间的攻击中通常会使用多种复杂技术并长期保持隐匿性,在顺利进入目标系统后往往会缓慢提升自己的权限,监控攻击目标并提取目标数据。对于这种隐蔽性极强的攻击,我们需要有能力即使发现并对其进行处理,保护系统安全、数据安全。高级持续性威胁的攻击通常可分为4个阶段:搜集阶段,进入阶段,渗透阶段以及收获阶段。通常在不同阶段应用不同技术方法进行防御。搜集阶段:在这一阶段攻击者主要收集目标信息并制定攻击计划。在此阶段如果能够通过威胁检测与预警系统发现攻击者对商业或政治团体的网络嗅探和扫描行为,提前进行防范,也可以减少系统信息的暴露。进入阶段:在此阶段攻击者会试图通过各种方式获得系统内部的一台计算机或一个账户作为发动攻击的起点,常见方法有恶意链接、恶意文件、系统漏洞、购买肉鸡等。防御者可以通过防火墙等检测预警系统在此阶段进行防御。渗透阶段:此阶段攻击者会通过已经建立的立足点在系统内部构建命令与控制信道(C&C)通过远程控制的方法逐步提升权限、搜索敏感数据,这一阶段可能会持续相当长的一段时间。在此阶段应当注重对全系统状态、用户行为的审计与分析,定期进行安全风险评估,加强权限管理与敏感数据管理。收获阶段:在收获阶段攻击者会试图建立一条隐匿通信线路将之前阶段获得的有价值数据发送出来,此阶段一般会持续到攻击被发现为止。常见防御策 ...
【技术保护点】
1.一种基于用户行为分析的高级持续性威胁分析方法,其特征在于包括如下步骤:步骤1:接管系统内核所有程序执行管道;步骤2:监控系统终端,若发现进程、文件等异常则系统告警;步骤3:监控账户系统,如果在用户的登录行为中发现异常行为特征则向系统发出警告;步骤4:监控系统数据访问,若发现异常行为如异常数据库操作则系统告警;步骤5:监控网络层数据,如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警;步骤6:从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎,判断是否为恶意行为,若是则发出告警,若否,则返回步骤2继续执行。
【技术特征摘要】
1.一种基于用户行为分析的高级持续性威胁分析方法,其特征在于包括如下步骤:步骤1:接管系统内核所有程序执行管道;步骤2:监控系统终端,若发现进程、文件等异常则系统告警;步骤3:监控账户系统,如果在用户的登录行为中发现异常行为特征则向系统发出警告;步骤4:监控系统数据访问,若发现异常行为如异常数据库操作则系统告警;步骤5:监控网络层数据,如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警;步骤6:从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎,判断是否为恶意行为,若是则发出告警,若否,则返回步骤2继续执行。2.根据权利要求1所述的一种基于用户行为分析的高级持续性威胁分析方法,其特征在于:所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测,其中捕捉所有执行性的操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。3.根据权利要求1所述的一种基于用户行为分析的高级持续性威胁分析方法,其特...
【专利技术属性】
技术研发人员:施勇,傅烨文,刘宁,何翔,
申请(专利权)人:施勇,傅烨文,刘宁,何翔,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。