摘要:在APT攻击过程中,突破目标系统的防御机制后,下一步是在目标系统网络内部持续渗透,控制更多的主机并搜集有价值的数据。通常情况下,持续渗透阶段在网络内传播的未知恶意攻击检测是困难的。本文以生产网为研究对象,利用生产网流量相对可控的特点,提出了一种未知威胁检测方法。该方法基于业务归并网络流量,通过将流量分为可信流量和非可信流量,不断缩小攻击流量的范围并最终实现未知恶意攻击识别。通过原型系统在生产环境的测试表明该方法是可行的。
关键词:apt 可信业务流 检测方法
单位:北京国电通网络技术有限公司 北京100070 国网辽宁省电力有限公司电力科学研究院 辽宁110006
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社