【技术实现步骤摘要】
一种高级持续性威胁攻击IP检测方法
[0001]本专利技术涉及高级持续性威胁领域,尤其涉及一种高级持续性威胁攻击IP检测方法。
技术介绍
[0002]高级持续性威胁(APT)攻击并不是特指某一种攻击手段,而是指组织与组织之间综合性网络战的一种表现形式。相对于普通网络攻击,APT攻击更为复杂化、专业化,长期潜伏需要财力物力支持。
[0003]APT攻击是长期持续性的针对某些特定攻击目标利用先进的攻击手段进行网络攻击。攻击过程:确定攻击目标
‑
搜集目标相关信息
‑
潜入目标所在系统环境
‑
准备攻击所需的工具
‑
部署攻击所需的工具
‑
实施攻击
‑
清除攻击痕迹。APT攻击从确定攻击目标到攻击成功的时间可能是数个月或长达数十年。
[0004]APT攻击通常是多样攻击方式的组合,因此在防御上也需要进行多层次多方位的检测和防御。因其隐蔽性强,传统的安全防御方式很难察觉。传统的威胁检测系统往往每天生产成千上万的告警,而APT攻击的攻击IP通常隐藏其中。
技术实现思路
[0005]鉴于上述问题,提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种高级持续性威胁攻击IP检测方法。
[0006]根据本专利技术的一个方面,提供了一种高级持续性威胁攻击IP检测方法,所述检测方法包括:
[0007]步骤S1:在网络中部署网络安全检测设备,并获取各类检测设备的检测报警日志和级别; ...
【技术保护点】
【技术特征摘要】
1.一种高级持续性威胁攻击IP检测方法,其特征在于,所述检测方法包括:步骤S1:在网络中部署网络安全检测设备,并获取各类检测设备的检测报警日志和级别;步骤S2:对获取的告警日志进行归一化处理,规范格式为网络攻击三元组的集合;步骤S3:根据所述三元组的集合生成状态转移矩阵G;步骤S4:结合IP白名单,使用改进的pagerank算法对状态转移矩阵进行迭代计算,获得所述IP的威胁值;步骤S5:根据威胁值进行排序。2.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法,其特征在于,所述三元组具体包括:攻击IP、被攻击IP和威胁权重。3.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法,其特征在于,所述步骤S1:在网络中部署网络安全检测设备,并获取各类检测设备的检测报警日志和级别具体包括:获取的日志统一为五元组;根据所述三元组,设计映射表,对应不同的威胁权重。4.根据权利要求3所述的一种高级持续性威胁攻击IP检测方法,其特征在于,所述五元组具体包括:设备,攻击IP,被攻击IP,攻击类型,威胁级别。5.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法,其特征在于,所述步骤S2:对获取的告警日志进行归一化处理,规范格式为网络攻击三元组的集合具体包括:基于不同的设备,攻击类型,威胁级别所对应不同的威胁权重,规范格式为所述三元组的集合;对有着相同的攻击IP和被攻击IP的三元组进行合并,将威胁权重求和,更新威胁权重。6.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法,其特征在于,所述步骤S3:根据所述三元组的集合生成状态转移矩阵G具体包括:定义所有的攻击IP和被攻击的IP为集合A[N]={IP1,IP2,
…
IP
N
},状态转移矩阵G为N*N大小的矩阵;遍历网络攻击三元组集合中的每一个元素(IP
i
,IP
j
,W
k
),更新状态转移矩阵G中的元素的值G(j,i)的值为W
k
。7.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法,其特征在于,所述步骤S4:结合IP白名单...
【专利技术属性】
技术研发人员:郭超,韦崴,宋文芳,方绪鹏,
申请(专利权)人:中国电子产业工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。