申请/专利权人：北京网藤科技有限公司

申请日：2018-07-02

公开（公告）日：2021-04-13

公开（公告）号：CN108848102B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101)

优先权：

专利状态码：有效-授权

法律状态：2021.04.13#授权;2019.05.10#实质审查的生效;2018.11.20#公开

摘要：本发明公开了一种APT攻击预警系统，包括采集模块，用于采集网络通讯数据；数据存储模块，用于对采集的网络通讯数据进行暂存；模拟运行模块，对采集的网络通讯数据进行模拟运行；风险分析模块，用于对各类风险行为进行分析；风险预警模块，用于对分析出的风险行为进行预警；风险关联模块，用于对不同的风险行为进行关联分析，对预警结果进行修正。本发明能够改进现有技术的不足，实现对APT攻击的全生命周期的预警。

主权项：1.一种APT攻击预警系统的预警方法，所述APT攻击预警系统包括，采集模块1，用于采集网络通讯数据；数据存储模块2，用于对采集的网络通讯数据进行暂存；模拟运行模块3，对采集的网络通讯数据进行模拟运行；风险分析模块4，用于对各类风险行为进行分析；风险预警模块5，用于对分析出的风险行为进行预警；风险关联模块6，用于对不同的风险行为进行关联分析，对预警结果进行修正；其特征在于包括以下步骤：A、采集模块1对网络通讯数据进行采集，并发送至数据存储模块2；对网络通讯数据的采集采用周期性采集方式，采集周期分为固定周期与非固定周期两部分，非固定周期与实时预警数量成正比；数据存储模块2对采集到的数据进行封装，封装过程中将数据缓存信息作为包头封装入数据结构体中；B、模拟运行模块3从数据存储模块2调取数据进行模拟运行；数据存储模块2根据数据结构体的数据缓存信息分配数据运行空间，对于具有同类型数据缓存信息的数据结构体分配于同一数据运行空间进行分时复用模拟运行，对于不同数据运行空间内运行的目的地址相同的数据结构体进行同步并行运行；C、风险分析模块4对运行过程进行实时监控，并对风险行为进行分析；D、风险预警模块5对分析出的风险行为进行预警；E、风险关联模块6将分析出的风险行为进行关联分析，对预警结果进行修正。

全文数据：一种APT攻击预警系统及其预警方法技术领域[0001]本发明涉及工业控制系统安全防御技术领域，尤其是一种APT攻击预警系统及其预警方法。背景技术[0002]APT攻击是采用现有检测体系难以检测的技术ODAY漏洞、NDAY漏洞、已知漏洞变形、特种木马等），组合各种包括社会工程学、钓鱼、供应链植入等在内的多重手段，有针对性地对目标发起攻击，而基于事后签名机制的传统产品如IPS、IDS、杀毒软件、防毒墙、安全网关等，在面对APT攻击时，这种事后签名机制几乎全部失效，特种木马和OdayNday漏洞正不断对传统安全设备发起挑战。发明内容[0003]本发明要解决的技术问题是提供一种APT攻击预警系统及其预警方法，能够解决现有技术的不足，实现对APT攻击的全生命周期的预警。[0004]为解决上述技术问题，本发明所采取的技术方案如下。[0005]一种APT攻击预警系统，包括，采集模块，用于采集网络通讯数据；数据存储模块，用于对采集的网络通讯数据进行暂存；模拟运行模块，对采集的网络通讯数据进行模拟运行；风险分析模块，用于对各类风险行为进行分析；风险预警模块，用于对分析出的风险行为进行预警；风险关联模块，用于对不同的风险行为进行关联分析，对预警结果进行修正。[0006]一种上述的APT攻击预警系统的预警方法，包括以下步骤：A、采集模块对网络通讯数据进行采集，并发送至数据存储模块；B、模拟运行模块从数据存储模块调取数据进行模拟运行；C、风险分析模块对运行过程进行实时监控，并对风险行为进行分析；D、风险预警模块对分析出的风险行为进行预警；E、风险关联模块将分析出的风险行为进行关联分析，对预警结果进行修正。[0007]作为优选，步骤A中，对网络通讯数据的采集采用周期性采集方式，采集周期分为固定周期与非固定周期两部分，非固定周期与实时预警数量成正比；数据存储模块对采集到的数据进行封装，封装过程中将数据缓存信息作为包头封装入数据结构体中。[0008]作为优选，步骤B中，数据存储模块根据数据结构体的数据缓存信息分配数据运行空间，对于具有同类型数据缓存信息的数据结构体分配于同一数据运行空间进行分时复用模拟运行，对于不同数据运行空间内运行的目的地址相同的数据结构体进行同步并行运行。[0009]作为优选，步骤C中，风险分析模块提取模拟运行过程中的行为特征，并与风险数据库中预存的风险行为特征进行比对，将含有比对相似度高于阈值的行为认定为风险行为。[0010]作为优选，步骤C中，行为特征包括链路行为特征、目标行为特征、协议行为特征和访问行为特征。[0011]采用上述技术方案所带来的有益效果在于:本发明可以对不同类型的APT攻击进行有效的预警，部署方式灵活，适用于各种工业网络环境。本发明采用专门研发的模拟运行的方式，运行速度快，占用资源少，可以对风险行为进行有效的识别。附图说明[0012]图1是本发明一个具体实施方式的系统原理图。具体实施方式[0013]参照图1，本发明一个具体实施方式包括，一种APT攻击预警系统，包括，采集模块1，用于采集网络通讯数据；数据存储模块2，用于对采集的网络通讯数据进行暂存；模拟运行模块3，对采集的网络通讯数据进行模拟运行；风险分析模块4，用于对各类风险行为进行分析；风险预警模块5，用于对分析出的风险行为进行预警；风险关联模块6,用于对不同的风险行为进行关联分析，对预警结果进行修正。[0014]—种上述的APT攻击预警系统的预警方法，包括以下步骤：A、采集模块1对网络通讯数据进行采集，并发送至数据存储模块2;B、模拟运行模块3从数据存储模块2调取数据进行模拟运行；C、风险分析模块4对运行过程进行实时监控，并对风险行为进行分析；D、风险预警模块5对分析出的风险行为进行预警；E、风险关联模块6将分析出的风险行为进行关联分析，对预警结果进行修正。[0015]步骤A中，对网络通讯数据的采集采用周期性采集方式，采集周期分为固定周期与非固定周期两部分，非固定周期与实时预警数量成正比;数据存储模块2对采集到的数据进行封装，封装过程中将数据缓存信息作为包头封装入数据结构体中。[0016]步骤B中，数据存储模块2根据数据结构体的数据缓存信息分配数据运行空间，对于具有同类型数据缓存信息的数据结构体分配于同一数据运行空间进行分时复用模拟运行，对于不同数据运行空间内运行的目的地址相同的数据结构体进行同步并行运行。[0017]步骤c中，通过设置静态节点，风险分析模块4提取模拟运行过程中的行为特征，并与风险数据库中预存的风险行为特征进行比对，将含有比对相似度高于阈值的行为认定为风险行为。[0018]步骤C中，行为特征包括链路行为特征、目标行为特征、协议行为特征和访问行为特征。[0019]步骤E中，根据各链路行为特征的链路重合度和目标一致度的加权平均值对行为的关联度进行判断；当行为特征的行为关联度超出阈值时，将包含上述行为特征的行为认定为风险行为。[0020]其中，本实施例中的所述的阈值，均根据实际工况，通过使用本发明进行有限次试验进行设定。[0021]以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

权利要求：1.一种APT攻击预警系统，其特征在于:包括，采集模块1，用于采集网络通讯数据；数据存储模块2，用于对采集的网络通讯数据进行暂存；模拟运行模块3，对采集的网络通讯数据进行模拟运行；风险分析模块4，用于对各类风险行为进行分析；风险预警模块5，用于对分析出的风险行为进行预警；风险关联模块6，用于对不同的风险行为进行关联分析，对预警结果进行修正。2.—种权利要求1所述的APT攻击预警系统的预警方法，其特征在于包括以下步骤：A、采集模块1对网络通讯数据进行采集，并发送至数据存储模块2;'B、模拟运行模块C3从数据存储模块2调取数据进行模拟运行；C、风险分析模块4对运行过程进行实时监控，并对风险行为进行分析；D、风险预警模块5对分析出的风险行为进行预警；E、风险关联模块6将分析出的风险行为进行关联分析，对预警结果进行修正。3.根据权利要求2所述的APT攻击预警系统的预警方法，其特征在于：步骤A中，对网络通讯数据的采集采用周期性采集方式，采集周期分为固定周期与非固定周期两部分，非固定周期与实时预警数量成正比;数据存储模块2对采集到的数据进行封装，封装过程中将数据缓存信息作为包头封装入数据结构体中。4.根据权利要求3所述的APT攻击预警系统的预警方法，其特征在于：步骤B中，数据存储模块2根据数据结构体的数据缓存信息分配数据运行空间，对于具有同类型数据缓存信息的数据结构体分配于同一数据运行空间进行分时复用模拟运行，对于不同数据运行空间内运行的目的地址相同的数据结构体进行同步并行运行。5.根据权利要求2所述的APT攻击预警系统的预警方法，其特征在于:步骤C中，风险分析模块4提取模拟运行过程中的行为特征，并与风险数据库中预存的风险行为特征进行比对，将含有比对相似度高于阈值的行为认定为风险行为。_6.根据权利要求5所述的APT攻击预警系统的预警方法，其特征在于：步骤C中，行为特征包括链路行为特征、目标行为特征、协议行为特征和访问行为特征。

百度查询： 北京网藤科技有限公司 一种APT攻击预警系统及其预警方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD