公开(公告)号：CN116846631A

公开(公告)日：2023-10-03

申请号：CN202310790905.2

申请日：2023-06-30

申请人： 国家计算机网络与信息安全管理中心河南分中心 ,  郑州信大先进技术研究院

发明人： 张良 ,  杨秉杰 ,  薛钰 ,  赵巍 ,  白文娟 ,  刘岳 ,  方坤 ,  周锦 ,  时辰

IPC分类号： H04L9/40 ,  G06N3/0442 ,  G06N3/08

摘要： 本发明公开了一种基于威胁情报和流量特征的APT攻击检测方法，包括以下步骤：A：获取原始攻击序列集合并进行标记；B：获取数据清洗后的攻击序列集合及对应的网络流量特征集合；C：利构造本地威胁情报库并获取每个原始流量的威胁情报特征；D：构建样本报文特征库并获取序列集合的报文特征；E：利用得到的网络流量特征集合、威胁情报特征和报文特征，对基于LSTM循环神经网络的多融合检测模型进行训练并得到训练后的多融合检测模型；F：利用训练后的多融合检测模型对未知流量序列进行APT攻击检测，确定是否存在APT攻击。本发明能够准确有效地对网络流量中可能存在的APT攻击行为进行检测，从而实现信息系统及网络的安全稳定。