一種基于網(wǎng)絡(luò)全流量中事件關(guān)系有向圖的APT攻擊檢測方法

基本信息

申請?zhí)?/td> CN202110876733.1 申請日 -
公開(公告)號 CN113596037A 公開(公告)日 2021-11-02
申請公布號 CN113596037A 申請公布日 2021-11-02
分類號 H04L29/06(2006.01)I 分類 電通信技術(shù);
發(fā)明人 劉嘉奇;郭曉冬;高才;唐錫南 申請(專利權(quán))人 南京云利來軟件科技有限公司
代理機(jī)構(gòu) - 代理人 -
地址 210000江蘇省南京市秦淮區(qū)延齡巷27號5號樓302室
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體為一種基于網(wǎng)絡(luò)全流量中事件關(guān)系有向圖的APT攻擊檢測方法,步驟S1,利用深度報文分析采集旁路流量得到實時的網(wǎng)絡(luò)元數(shù)據(jù);步驟S2,基于黑客網(wǎng)絡(luò)技術(shù)并利用大數(shù)據(jù)對網(wǎng)絡(luò)元數(shù)據(jù)進(jìn)行分析,生成網(wǎng)絡(luò)事件關(guān)系有向圖;步驟S3,基于預(yù)設(shè)的APT攻擊技術(shù)帶權(quán)有向圖,構(gòu)建網(wǎng)絡(luò)事件攻擊技術(shù)有向圖并與預(yù)設(shè)的APT攻擊技術(shù)帶權(quán)有向圖進(jìn)行匹配分析,計算網(wǎng)絡(luò)事件有向圖連通分量權(quán)值,最終檢測出當(dāng)前APT攻擊結(jié)果并產(chǎn)生告警提示;本技術(shù)方案能夠提供數(shù)據(jù)分析全面可靠、檢測準(zhǔn)確率更高、節(jié)省存儲資源同時方便回溯查詢分析歷史數(shù)據(jù)的基于網(wǎng)絡(luò)全流量中事件關(guān)系有向圖的APT攻擊檢測方法。