买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：刘金保

摘要：本申请的网络恶意程序解析监测的APT攻击防护系统，提出较为完整的恶意程序解析系统和网络监测防护系统，建立了系统的设计思路和逻辑结构，完成了系统的整体设计，构建恶意程序的解析方法和网络入侵检测方法，针对专用网络的恶意攻击特征码提取，整理完善了特征库，恶意程序解析系统利用静态和动态相结合的方式进行软件行为监测，提高了恶意程序检测的准确度；规则库的分层制定、虚拟机的智能调度提高了恶意程序检测的速度。网络监测防护系统中先特征检测再异常检测，两者共同作用提高检测效率；同时，针对攻击者外传数据多为密文的情况，进行了文件还原和密文的检测，让APT攻击防护系统更加完善。

主权项：1.网络恶意程序解析监测的APT攻击防护系统，其特征在于，通过WEB服务和Syslog日志向外部提供数据，恶意程序解析子系统接受网络监测引擎还原的样本文件并对它进行解析,解析结果通过WEB服务提供用户浏览，网络监测引擎子系统对网络数据包进行解析还原，把还原后的样本文件发给恶意程序解析子系统，把告警日志通过syslog发给外部展示或者大数据解析系统；一是恶意程序的解析：静态特征和动态行为相结合的智能解析判定，静态特征包括病毒库、填充数据、输入表、特定字符串，通过这些数据的智能解析过滤掉大部分已知的恶意程序，为未知样本的解析提供有价值的判定，针对样本的操作行为进行归纳、分类、建模，建立行为规则匹配库，把相关行为或者行为序列组成规则单元，对不同的单元设置不同的权值和风险等级，依此建立好规则库，然后对捕获到的注册表操作、网络操作、文件操作、进程线程操作、内存操作行为按指定规则进行置换，与行为规则库进行匹配，当权值达到一定数值时判定为恶意程序，解析已知漏洞对专用系统的威胁，在网关或者隔离器中设计检测引擎，对已知漏洞攻击进行识别，更能对未知漏洞攻击做识别，对未知漏洞攻击的识别是恶意程序识别，将恶意程序发送到服务器，利用特定漏洞，获取权限或者进行其他恶意攻击；二是网络入侵检测：基于异常流量的密文检测，将加密的数据与未加密的数据区分开来,通过判断加密行为是否合法，实现对APT攻击的检测，利用网络监测防护系统对网络流量进行旁路监测，归纳解析数据明文与数据密文的字符特征区别，通过计算流量的统计特征，实现对加密流量的智能识别和准确检测，采用动态流程优化算法，在协议解析、规则匹配各关键处理流程进行动态优化。

全文数据：

权利要求：

百度查询： 刘金保 网络恶意程序解析监测的APT攻击防护系统