大红鹰电子秤官网获得:一种基于流量指纹和通信特征匹配的APT检测方发的发明专利。
本发明提供一种基于流量指纹和通信特征匹配的APT检测方法,先获取并对网络流的流量指纹进行保存形成网络流量指纹库;之后构建通信特征库;对抓取到的流量包根据TCP/IP协议进行逐层解析;再进行流量异常检测,根据计算得到的流量指纹特征信息熵与指纹基线比较,同时用流量包的通信特征与通信特征库进行匹配;再将异常流量通信特征与APT通信特征库中的特征进行比较。
本发明主要利用流量分析的手法,快速分析网络流量,获取网络流量指纹及通信特征,通过通信特征匹配结果及流量指纹特征基线变化结果判断网络流量是否存在异常,提高异常流量的发现速度,并将异常流量的通信特征与APT通信特征库进行匹配,判断是否为APT攻击,大大提高APT攻击的检测精度。
