【技术实现步骤摘要】
【技术保护点】
一种高级持续威胁的检测方法,其特征在于,包括:获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;获取网络入侵的检测结果,记录网络中发生的报警事件;如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,包括:如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将所述当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
【技术特征摘要】
【专利技术属性】
技术研发人员:孙海波,田进山,周涛,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。