10.3969/j.issn.1000-8519.2015.09.006
一种基于可信业务流的未知威胁检测方法
在APT攻击过程中,突破目标系统的防御机制后,下一步是在目标系统网络内部持续渗透,控制更多的主机并搜集有价值的数据。通常情况下,持续渗透阶段在网络内传播的未知恶意攻击检测是困难的。本文以生产网为研究对象,利用生产网流量相对可控的特点,提出了一种未知威胁检测方法。该方法基于业务归并网络流量,通过将流量分为可信流量和非可信流量,不断缩小攻击流量的范围并最终实现未知恶意攻击识别。通过原型系统在生产环境的测试表明该方法是可行的。
APT、可信业务流、检测方法
国家电网公司科技项目资助合同号524681140011
2015-06-08(万方平台首次上网日期,不代表论文的发表时间)
共3页
21-23
