【技术实现步骤摘要】
一种基于Bro的APT监测系统和方法
本专利技术涉及计算机网络安全领域,尤其涉及一种基于Bro的APT监测系统和方法。
技术介绍
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。APT入侵客户的途径多种多样,主要包括以下几个方面:一、以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统;二、社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。从一开始,黑客就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头;三、利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。根据分析...
【技术保护点】
1.一种基于Bro的APT监测系统,其特征在于,包括宿主机、Docker容器和系统拓展;所述宿主机为网关,抓取并产生PCAP文件,并将所述PCAP文件输出给所述Docker容器;所述Docker容器包括提取模块和检测模块,对输入的所述PCAP文件进行提取和检测;所述提取模块和所述检测模块设置为Bro入侵检测系统。/n
【技术特征摘要】 【专利技术属性】
1.一种基于Bro的APT监测系统,其特征在于,包括宿主机、Docker容器和系统拓展;所述宿主机为网关,抓取并产生PCAP文件,并将所述PCAP文件输出给所述Docker容器;所述Docker容器包括提取模块和检测模块,对输入的所述PCAP文件进行提取和检测;所述提取模块和所述检测模块设置为Bro入侵检测系统。
2.如权利要求1所述的基于Bro的APT监测系统,其特征在于,所述Bro入侵检测系统包括libpcap内核、网络事件层和脚本解释器;在所述libpcap内核完成对流量数据包的提取和处理解析后,所述Bro入侵检测系统将所述流量数据包传递给所述网络事件层;所述网络事件层对所述流量数据包的完整性及校验和进行检查,如果是异常流量包,则所述Bro入侵检测系统将所述流量数据包抛弃并报错;如果不是异常流量包,则所述Bro入侵检测系统将所述流量数据包根据传输层协议进行分流;当所述网络事件层完成对所述流量数据包的处理后,所述脚本解释器将生成一系列的网络事件;所述网络事件被缓存在FIFO队列中并会立刻进行处理;当所述网络事件处理完毕后,所述Bro入侵检测系统将回到所述libpcap内核读入下一个所述流量数据包,进行下一次的处理。
3.如权利要求2所述的基于Bro的APT监测系统,其特征在于,所述传输层协议包括TCP和UDP,所述流量数据包根据所述传输层协议的不同分为TCP流量和UDP流量。
4.如权利要求3所述的基于Bro的APT监测系统,其特征在于,对于所述TCP流量,所述Bro入侵检测系统首先对所述流量数据包进行检验和检查;然后根据所述流量数据包的源IP地址端口及目的IP地址端口,将所述流量数据包以TCP连接为单位分离;而后根据SYN/FIN/RST控制位状态,更新连接状态;所述连接状态包括尝试连接、连接建立、连接拒绝和连接断开;最后,所述Bro入侵检测系统将处理所述流量数据包中的数据确认信息,并生成对应的事件以处理所述流量数据包中的载荷。
5.如权利要求3所述的基于Bro的APT监测系统,其特征在于,对于所述UDP流量,所述Bro入侵检测系统将根据所述流量数据包的源IP地址端口及目的IP地址端端口,将所述流量数据包以UDP数据流为单位分离;而后根据所述流量数据包的通信方向生成UDP请求和UDP响应事件,并生成对应的事件以处理所述流量数据包中的载荷。
6.如权利要求3所述的基于Bro的APT监测系统,其特征在于,还包括BroAPT-Daemon守护进程;所述BroAPT-Daemon守护进程为RESTAPI服务器,在所述宿主机上运行。
技术研发人员:邹福泰,肖佳伟,高逸飞,孟德超,化存卿,毕越,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。