【技术实现步骤摘要】
检测威胁攻击的方法、装置、设备和存储介质
本专利技术涉及网络安全
,尤其涉及一种利用访问关系检测高级持续性威胁攻击的方法、装置、计算机设备及可读存储介质。
技术介绍
目前,一个完整的APT(AdvancedPersistentThreat,高级持续性威胁)攻击大致具备以下几个阶段:情报收集阶段:这一阶段的目标不仅仅是收集针对预定目标IT环境的战略信息,还要收集其组织结构的相关信息。收集的信息包罗万象,从企业使用的业务应用程序和软件到组织中存在的角色和关系应有尽有。入侵阶段:借助情报收集阶段获得的信息,并辅以以往对公司环境攻击积累的了解,威胁实施者能够选择并确定攻击目标所要利用的漏洞。最终渗入公司网络,攻破组织外围防护之后需要确保受攻击的主机和c&c服务器之间实现连续通信,威胁实施者利用相关技术偷偷保持c&c通信流量。横向渗透阶段:确信存在对受攻击网络的持续访问后,攻击实施者将在整个公司网络中横向移动,伺机寻找存储敏感信息的重要主机。数据窃取阶段:攻击的最终目标是将目标组织外围内部的信息传输至威胁实施者控制的位置。数据传输可以快速完成,也可以逐...
【技术保护点】
1.一种利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述方法包括:获取业务资产,并根据所述业务资产确定业务访问关系的业务访问策略的类型,其中所述业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;根据所述业务资产对所述业务访问关系进行梳理,生成网络访问控制列表;若所述业务访问关系中的业务访问策略为所述业务非必访问策略,则将所述业务访问策略定义为拒绝;检测服务器流量,将所述服务器流量与所述网络访问控制列表进行匹配,将业务访问策略为拒绝的所述服务器流量确定为高级持续性威胁,并进行告警。
【技术特征摘要】
1.一种利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述方法包括:获取业务资产,并根据所述业务资产确定业务访问关系的业务访问策略的类型,其中所述业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;根据所述业务资产对所述业务访问关系进行梳理,生成网络访问控制列表;若所述业务访问关系中的业务访问策略为所述业务非必访问策略,则将所述业务访问策略定义为拒绝;检测服务器流量,将所述服务器流量与所述网络访问控制列表进行匹配,将业务访问策略为拒绝的所述服务器流量确定为高级持续性威胁,并进行告警。2.根据权利要求1所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,获取业务资产,并根据所述业务资产确定业务访问关系的业务访问策略的类型,包括:获取所述业务资产,将所述业务资产分为核心资产信息和非核心资产信息;根据所述核心资产信息确定所述业务访问关系的所述访问策略的类型。3.根据权利要求2所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述核心资产信息包括核心资产名称、核心资产IP地址、核心资产承载应用;所述非核心资产信息包括非核心资产名称和非核心资产IP地址。4.根据权利要求3所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述核心资产承载应用包括应用名称、应用使用协议类型、应用端口号。5.根据权利要求4所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,根据所述业务资产对所述业务访问关系进行梳理,生成网络访问控制列表,包括:通过BP神经网络与D-S证据理论,根据所述业务资产对所述业务访问关系进行梳理,生成基于五元组访问信息的所述网络访问控制列表;其中,所述五元组访问信息包括源IP、目的IP、目的端口、协议、所述业务访问策略。6.根据权利要求5所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,通过BP神经网络与D-S证据理论,根据所述业务资产对所述业务访问关系进行梳理,生成基于五元组访问信息的所述网络访问控制列表,包...
【专利技术属性】
技术研发人员:袁强,李长城,
申请(专利权)人:中国移动通信集团四川有限公司,中国移动通信集团公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。