【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种apt检测方法、装置、计电子设备及存储介质。
技术介绍
1、apt的全称为高级可持续威胁(advanced persistent threat)。高级指的是apt会使用非常先进的攻击手段,如0day漏洞以及未知的恶意软件,而传统的安全防御手段大多还是基于signature的检测手段,难以检测未知的apt。持续性指的是攻击针对性非常强,目的非常明确,攻击者通常会做大量的侦查工作,长期潜伏于企业中,慢慢地收集信息,并在特定的情况才会下爆发出来。目前apt攻击频繁被报道出来,一般攻击的对象是高价值目标,比如银行、军方、公司等。
2、apt攻击会给具有高价值信息的组织带来巨大的安全威胁,一个理想化的apt检测系统需要能够快速地检测到apt攻击,此外,由于apt恶意行为样本本身数据量较少,且新的apt攻击样本数据更少。因此,如何快速有效地检测出apt攻击、且能够检测出未标记的apt攻击,成为了一个重大问题。
技术实现思路
1、基于此,有必要针对上述技术问...
【技术保护点】
1.一种APT检测方法,其特征在于,包括:
2.如权利要求1所述的APT检测方法,其特征在于,所述获取待检测设备的每一个进程和其第一关联进程的行为所对应的ATT&CK战术阶段和发生时间包括:
3.如权利要求2所述的APT检测方法,其特征在于,所述基于所述的日志判断该进程的各个行为是否为ATT&CK技术包括:基于进程的日志识别该进程所包括的行为,并判断识别得到的各个行为是否为ATT&CK技术。
4.如权利要求2所述的APT检测方法,其特征在于,所述maxLayers=4。
5.如权利要求2所述的AP...
【技术特征摘要】
1.一种apt检测方法,其特征在于,包括:
2.如权利要求1所述的apt检测方法,其特征在于,所述获取待检测设备的每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间包括:
3.如权利要求2所述的apt检测方法,其特征在于,所述基于所述的日志判断该进程的各个行为是否为att&ck技术包括:基于进程的日志识别该进程所包括的行为,并判断识别得到的各个行为是否为att&ck技术。
4.如权利要求2所述的apt检测方法,其特征在于,所述maxlayers=4。<...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。