【技术实现步骤摘要】
本申请涉及网络安全,特别是涉及一种apt攻击的检测方法及装置。
技术介绍
1、随着科技的不断发展,人们对网络安全的要求也在不断提高。网络安全,通常指计算机网络的安全,也可以指计算机通信网络的安全。高级持续性威胁(advancedpersistent threat,apt)是一种复杂且持续的网络攻击。apt攻击具有不同于传统网络攻击的五个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。apt攻击可能会通过长时间持续性的网络渗透,一步步的获取内部网络权限,此后便长期潜伏在内部网络,不断地收集各种信息,直至窃取到重要情报。
2、现有技术对apt攻击的检测一般通过“白名单”或“黑名单”的方法。由于两种方式本质相同,为避免冗余后续均采用“白名单”的方式进行说明。“白名单”法会预先设置多种对应于数据报文的白名单。图1为一种数据报文的结构示意图,数据报文不同的部分在不同的层起作用,源mac地址和目的mac地址在数据链路层起作用,源ip地址和目的ip地址在网络层起作用,源端口、协议和目的端口、协议在传输层起作用,操作功能码、操...
【技术保护点】
1.一种APT攻击的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一类数据报文的操作地址、操作功能码、操作值和操作时间确定广义杰卡德相似系数包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一类数据报文中所述操作功能码为写操作且所述操作地址相同的数据报文对应的所述操作值得到第一检测结果包括:
4.根据权利要求2所述的方法,其特征在于,所述基于所述第一类数据报文中所述操作功能码在所述第一类数据报文中的混乱程度得到第二检测结果包括:
5.根据权利要求2所述的方法,其特征在...
【技术特征摘要】
1.一种apt攻击的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一类数据报文的操作地址、操作功能码、操作值和操作时间确定广义杰卡德相似系数包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一类数据报文中所述操作功能码为写操作且所述操作地址相同的数据报文对应的所述操作值得到第一检测结果包括:
4.根据权利要求2所述的方法,其特征在于,所述基于所述第一类数据报文中所述操作功能码在所述第一类数据报文中的混乱程度得到第二检测结果包括:
5.根据权利要...
【专利技术属性】
技术研发人员:张志群,彭鑫,卢志诚,邹玲,
申请(专利权)人:浙江国利网安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。