Part 01

专利发明的初衷

APT(Advanced Persistent Threat,高级持续性威胁)是一种针对性攻击,利用先进的攻击手段对特定目标进行长期持续性网络攻击。对APT的检测是当前企业数据安全防护技术的重要挑战。


当前的主流APT检测方法是基于深度包检测(DPI)技术,深度分析提取APT过程中的数据报文特征,形成基于报文内容的特定关键字、报文结构、前后报文相关性、源端对特征等规则,建立规则库,以规则匹配方式进行APT检测。

规则匹配方法常常采取部分规则子集和特定APT攻击方式一对一的检测模式,在面对加密、变体和未知类型APT攻击缺乏检测成功率,且规则库的建立需要大量的专家和安全技术人员进行数据分析和总结,维护、更新和扩展代价大。

Part 02

专利可实现功能  

本专利针对规则库方法的缺点,通过网络数据收集、自动化标签、网络数据多元采样、网络行为序列多样本生成、基于双向GRU-RNN神经网络模型的有监督机器学习算法和威胁评分等步骤,形成一种APT攻击的自动检测方法一方面:可以找出局域网内潜在的被APT攻击的对象,另一方面:可以有效检测加密、变体和未知类型的APT攻击。

主要功能:

1-特定事件追溯:对客户关心的特定数据泄漏事件进行追溯,将触发数据泄漏事件的用户的行为做为正向样本,收集相关用户的行为数据。

2-增加预测准确率:采用双向循环神经网络技术建模,可以正向、逆向推导,双向信息相互佐证,预测结果更加准确。

3-生成精准行为分析模型:采用监督式学习方式,通过对样本进行持续培训,形成对该特定威胁行为进行精准识别的数据模型。使用该数据模型对所有用户的行为进行评估,得出模型风险分值。

Part 03

专利适用产品

本专利应用于天空卫士内部威胁防护体系(ITP)在 APT 攻击的早期阶段通过分析用户的“非正常”数据行为来锁定 APT 的潜在威胁,实现对内部异常用户行为的主动防御。以“人”的视角给出判定,让一般安全管理员就可以快速地定位高风险的“坏人”背后的行为,并定位其产生风险行为的证据。

Part 04

专利的应用效果  

对处于企业内部安全威胁和风险评估中的用户提供APT攻击风险分值,实现更精准的策略反馈与控制,对高风险的人执行更严格的策略,进行实时控制,达到主动防御的效果,真正防患于未然。
作者介绍

胡跃,毕业于电子科技大学,硕士学位。曾就职于航天七院,绿盟科技,MTK等单位,现为ITP产品组高级软件工程师,主要负责数据安全和机器学习技术结合应用。