买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明公开一种针对APT攻击的检测和防御方法，方法包括：网关实时记录网络流量数据，网络服务器生成网络流量基线，网络服务器根据网络流量基线得出点级网络流量异常的次数，网络服务器使用嵌套LSTM集成全连接神经网络模型得出子序列级网络流量异常的次数，网络服务器使用类PID的APT风险指数公式计算APT风险指数，网关根据APT风险指数动态调整防火墙。本发明属于网络安全领域，通过上述技术手段实现了及时对网络安全态势的变化做出反应和防护性能随时间推移增强。

主权项：1.一种针对APT攻击的检测和防御方法，应用于网络服务器系统，所述网络服务器系统包括网关和网络服务器，其特征在于，所述针对APT攻击的检测和防御方法包括以下步骤：步骤S1：网关实时记录网络流量数据，传输给网络服务器；步骤S2：网络服务器根据过往网络流量数据计算生成网络流量基线；步骤S3：网络服务器根据网络流量基线识别网络流量数据，得出点级网络流量异常的次数，所述点级网络流量异常是指在特定时间点上观察到的网络流量与预期或正常模式显著不同；步骤S4：网络服务器使用嵌套LSTM集成全连接神经网络模型识别网络流量数据，得出子序列级网络流量异常的次数；步骤S5：网络服务器使用类PID的APT风险指数公式计算APT风险指数，网络服务器将APT风险指数传递给网关；步骤S6：网关内预置防火墙，网关根据APT风险指数动态调整防火墙；在步骤S3中，网络服务器根据网络流量基线识别网络流量数据的过程如下：步骤S31：管理员设置未发生APT攻击的置信度；步骤S32：网络服务器根据未发生APT攻击的置信度计算未发生APT攻击的置信区间；步骤S33：网络服务器将网络流量数据与未发生APT攻击的置信区间进行对比，网络流量数据超出未发生APT攻击的置信区间则网络服务器记录一次点级网络流量异常，同时记录该次点级网络流量异常的时间点和该时间点网络流量数据对于未发生APT攻击的置信区间的超出量；在步骤S5中，网络服务器使用类PID的APT风险指数公式计算APT风险指数的过程包括以下步骤：步骤S51：网络服务器使用贝叶斯优化法设置点级网络流量异常的APT风险指数的比例项、积分项和微分项与单次子序列级网络流量异常的APT风险指数；步骤S52：网络服务器每出现一次子序列级网络流量异常或点级网络流量异常时计算一次APT风险指数，类PID的APT风险指数公式如下： ；其中，代表APT风险指数，代表单次子序列级网络流量异常的APT风险指数，代表过去一小时中子序列级网络流量异常的次数，代表最近一次点级网络流量异常的网络流量数据对于未发生APT攻击的置信区间的超出量，代表第二近的点级网络流量异常的网络流量数据对于未发生APT攻击的置信区间的超出量，代表第三近的点级网络流量异常的网络流量数据对于未发生APT攻击的置信区间的超出量，代表最近一次点级网络流量异常的时间点，代表第三近的点级网络流量异常的时间点，是过去一小时中所有点级网络流量异常的网络流量数据对于未发生APT攻击的置信区间的超出量之和，P是点级网络流量异常的APT风险指数的比例项，I是点级网络流量异常的APT风险指数的积分项，D是点级网络流量异常的APT风险指数的微分项。

全文数据：

权利要求：

百度查询： 奇安星城网络安全技术(湖南)有限公司 一种针对APT攻击的检测和防御方法