申请/专利权人：浙江工业大学

申请日：2022-05-17

公开（公告）日：2024-05-17

公开（公告）号：CN115037523B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.05.17#授权;2022.09.30#实质审查的生效;2022.09.09#公开

摘要：本发明公开了一种异构终端日志融合的APT检测方法，包括：采集各异构终端的日志数据，日志数据包括对象日志数据和事件日志数据，对象日志数据包括进程对象日志数据和文件对象日志数据；基于预设的进程对象数据模板将采集的进程对象日志数据转化为通用格式日志数据，基于预设的文件对象数据模板将采集的文件对象日志数据转化为通用格式日志数据，基于预设的事件数据模板将采集的事件日志数据转化为通用格式日志数据；基于通用格式日志数据进行APT检测。本发明的异构终端日志融合的APT检测方法，满足同时对多平台日志数据进行APT检测的需求。

主权项：1.一种异构终端日志融合的APT检测方法，其特征在于，所述异构终端日志融合的APT检测方法，包括：步骤1、采集各异构终端的日志数据，所述日志数据为内核日志数据，所述日志数据包括对象日志数据和事件日志数据，所述对象日志数据包括进程对象日志数据和文件对象日志数据；步骤2、基于预设的进程对象数据模板将采集的所述进程对象日志数据转化为通用格式日志数据，基于预设的文件对象数据模板将采集的所述文件对象日志数据转化为通用格式日志数据，基于预设的事件数据模板将采集的所述事件日志数据转化为通用格式日志数据；所述进程对象数据模板的内容包括：唯一标识号UUID、进程类别type、进程号cid、进程的父进程号parentSubject、进程用于权限localPrincipal、进程创建的时间startTimestampNanos、进程单元IDunitID、进程单元迭代iteration、进程单元数count、进程执行的命令cmdLine、进程的权限privilegeLevel、加载的库importedLibraries、导入的库exportedLibraries以及属性properties；所述文件对象数据模板的内容包括：唯一标识号UUID、对象类型baseObject、文件类型type、文件描述符fileDescriptor、文件所属权限localPrincipal、文件大小size、便携执行标识peInfo、文件哈希值hashes；所述事件数据模板的内容包括：唯一标识UUID、序列号sequence、事件类型type、主体进程号threadId、主体UUIDsubject、客体1唯一标识predicateObject、客体1路径predicateObjectPath、客体2唯一标识predicateObject2、客体2路径predicateObject2Path、事件发生时间timestampNanos、事件名称names、事件参数parameters、事件位置location、事件大小size、事件触发点programPoint以及属性properties；步骤3、基于通用格式日志数据进行APT检测，包括：步骤31、IoC特征匹配：取APT攻击产生的IoC特征作为攻击样本IoC特征，从每条通用格式日志数据中提取IoC特征，若所提取的IoC特征与所述攻击样本IoC特征相符，则判断对应的通用格式日志数据为初步攻击日志数据；其中，若每条通用格式日志数据中提取的IoC特征与攻击样本IoC特征的重合度大于相似阈值，则所提取的IoC特征与所述攻击样本IoC特征相符；否则不相符；步骤32、上下文行为信息：提取判断为初步攻击日志数据的通用格式日志数据的上下文行为信息，根据上下文行为信息从初步攻击日志数据中判断出APT攻击日志数据，完成APT检测。

全文数据：

权利要求：

百度查询： 浙江工业大学 一种异构终端日志融合的APT检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD