| 发明名称 | 高持续性威胁攻击的检测方法、设备及系统 | ||
| 摘要 | 本发明公开了一种高持续性威胁攻击的检测方法、设备及系统,属于信息安全技术领域。方法包括:分别接收用户终端、邮件终端和网络终端发送的第一可疑事件记录、第二可疑事件记录和第三可疑事件记录;确定三个可疑事件记录中是否有相同IP的可疑事件;如果有,判断该可疑事件在三个可疑事件记录中对应的时间关系;根据时间关系确定,该可疑事件是否为APT攻击。本发明通过在接收到的用户终端、邮件终端和网络终端分别发送的第一、第二和第三可疑事件记录中确定相同IP的可疑事件后,根据该可疑事件所在的三个可疑事件记录中对应的时间关系确定该可疑事件是否为APT攻击,即时发现高持续性威胁攻击,加强安全防御体系的防御效果。 | ||
| 申请公布号 | CN103354548B | 申请公布日期 | 2016.05.25 |
| 申请号 | CN201310268733.9 | 申请日期 | 2013.06.28 |
| 申请人 | 华为数字技术(苏州)有限公司 | 发明人 | 邹荣新 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京三高永信知识产权代理有限责任公司 11138 | 代理人 | 黄厚刚 |
| 主权项 | 一种高持续性威胁攻击的检测方法,其特征在于,所述方法包括:接收用户终端发送的第一可疑事件记录,其中,所述第一可疑事件记录至少包括可疑邮件的接收时间T1,发送可疑邮件的网际协议IP1和可疑邮件中的链接统一资源定位器URL1;接收邮件终端发送的第二可疑事件记录,其中,所述第二可疑事件记录至少包括可疑邮件的接收时间T2,发送可疑邮件的IP2和可疑邮件中的链接URL2;接收网络终端发送的第三可疑事件记录,其中,所述第三可疑事件记录至少包括可疑行为的产生时间T3,产生可疑行为的IP3和可疑行为中的访问链接URL3;确定所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中是否存在相同IP的可疑事件;如果存在所述相同IP的可疑事件,判断所述相同IP的可疑事件在所述第一可疑事件记录、所述第二可疑事件记录及所述第三可疑事件记录中对应的时间关系是否满足T2<T1<T3;如果满足T2<T1<T3,则确定所述相同IP的可疑事件为高持续性威胁APT攻击。 | ||
| 地址 | 215123 江苏省苏州市苏州工业园区星湖街328号创意产业园A3栋 | ||