【技术实现步骤摘要】
一种用于TDA的防御威胁攻击的方法、电子设备和介质
[0001]本专利技术涉及通信
,具体涉及一种用于威胁发现设备(TDA,Threat Discovery Appliance)的防御威胁攻击的方法、一种电子设备和一种计算机可读介质。
技术介绍
[0002]APT(Advanced Persistent Threat,高级持续性威胁)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,大多数APT攻击都是利用未知漏洞(如0 day)和未知恶意代码来进行的。然而,传统的依靠已知特征检测攻击的IDS(Intrusion Detection Systems,入侵检测系统)和IPS(Intrusion Prevention System,入侵防御系统),在无法预知攻击特征和攻击行为模式的情况下,对APT攻击将无能为力。
技术实现思路
[0003]本专利技术提供一种防御威胁攻击的方法、一种电子设备和一种计算机可读介质。
[0004]为了实现上述目的,本专利技术第一方面提供一种防御威胁攻击的...
【技术保护点】
【技术特征摘要】
1.一种防御威胁攻击的方法,其特征在于,所述方法用于TDA,所述TDA安装在网络交换机上,所述方法包括:获取所述网络交换机接收到的原始数据包;创建所述原始数据包的镜像数据包;根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。2.根据权利要求1所述的方法,其特征在于,所述发现规则包括程序发现规则、攻击发现规则和交叉关联规则,所述内容分析结果包括第一分析结果、第二分析结果和第三分析结果;所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:利用所述程序发现规则对所述镜像数据包进行匹配,得到第一分析结果;利用所述攻击发现规则对所述镜像数据包进行匹配,得到第二分析结果;通过所述交叉关联规则对所述第一分析结果、以及所述第二分析结果均指示安全的内容进行分析,得到第三分析结果;所述威胁通知消息中携带有标记指示消息和程序标识,所述标记指示消息用于指示所述网络交换机对所述程序标识对应的程序进行标记。3.根据权利要求2所述的方法,其特征在于,所述程序发现规则包括恶意程序发现规则和/或未经授权程序发现规则,且所述未经授权程序发现规则所处理的程序、以及所述恶意程序发现规则所处理的程序均选自以下至少之一:即时通讯程序、P2P文件共享程序、流媒体程序、邮件传输协议SMTP中继服务、域名解析系统DNS服务。4.根据权利要求2所述的方法,其特征在于,所述攻击发现规则包括web攻击及邮件攻击发现规则。5.根据权利要求1至4中任意一项所述的方法,其特征在于,在所述内容分析结果为存在威胁的情况下,向...
【专利技术属性】
技术研发人员:赵章界,赵莹,徐杨,宁振宇,高磊,张廷彪,崔鑫铭,石志国,
申请(专利权)人:北京市大数据中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。