【技术实现步骤摘要】
一种基于独立成分分析方法的APT攻击判定方法、系统及存储介质
[0001]本申请涉及攻击判定
,尤其涉及一种基于独立成分分析方法的APT攻击判定方法、系统及存储介质。
技术介绍
[0002]目前:APT攻击是一种有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁,它的主要特点是:单个攻击源隐蔽能力强:为了躲避传统检测系统,APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测,或者通过伪造合法签名的方式避免恶意代码文件本身被识别,这就给传统基于签名的检测带来很大困难。
[0003]攻击手段多,攻击持续时间长:APT攻击分为多个步骤,从最初的信息搜集,获取入口点,实施远程控制到重要数据发现、信息窃取并外传等等,往往要经历几个月、一年甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测,无法识别攻击者的真实意图,之前已发生过、未能引起分析人员注意的告警,有可能隐藏着蓄意攻击意图,目前时代正处于大数据时代,越来越多的事件正在发生,攻击信息数据量大,急需对攻击信息进...
【技术保护点】
【技术特征摘要】
1.一种基于独立成分分析方法的APT攻击判定方法,其特征在于,包括如下步骤:S1:定义创建APT攻击特征规则语法,利用样本构建APT攻击场景特征知识库;S2:收集实时混合流量;S3:使用独立成分分析方法对混合流量分离出具有APT攻击特征的流量;S4:分析具有APT攻击特征的流量和APT攻击场景特征知识库里面的样本进行对比,判断是否有攻击行为。2.根据权利要求1所述的一种基于独立成分分析方法的APT攻击判定方法,其特征在于,所述步骤S1中APT攻击场景特征知识库包括追溯时间范围、告警类型、被告IP位置信息、攻击程度。3.根据权利要求1所述的一种基于独立成分分析方法的APT攻击判定方法,其特征在于,所述步骤S2中收集实时混合流量通过直接从网卡上采集数据,或直接接收其他系统发送过来的流量数据。4.根据权利要求1所述的一种基于独立成分分析方法的APT攻击判定方法,其特征在于,所述步骤S3中使用独立成分分析方法对混合流量分离出具有APT攻击特征的流量具体包括:S11:对获取的混合流量进行预处理,使混合流量接近ICA的基本假设;S12:先选取合适的ICA分离方式,求取出幂迭代公式;再将S11中预处理后的混合流量进行幂迭代ICA分解,分解出两组独立的分离流量;S13:对分解出的两组分离流量进行识别,通过比较预设的阈值,判断得出有APT攻击特征的流量信息和普通流量信息,完成分离识别。5.根据权利要求4所述的一种基于独立成分分析方法的APT攻击判定方法,其特征在于,所述步骤S11中对获取的混合流量进行预处理包括中心化处理和白化处理,所述中心化处理是将混合流量的均值归零。6.根据权利要求5所述的一种基于独立成分分析方法的APT攻击判定方法,其特征在于,所述白化处理是消去混合流量各个分量的相关性,使得白化...
【专利技术属性】
技术研发人员:肖冬玲,魏晓燕,孟浩华,邓国如,金波,高飞,黄俊东,张成,廖荣涛,郭峰,何涛,余铮,查志勇,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。