成都康喬電子攻關一種基于流量指紋和通信特征匹配的APT檢測方發的核心技術

成都康喬電子提供一種基于流量指紋和通信特征匹配的APT檢測方法，先獲取并對網絡流的流量指紋進行保存形成網絡流量指紋庫；之后構建通信特征庫；對抓取到的流量包根據TCP/IP協議進行逐層解析；再進行流量異常檢測，根據計算得到的流量指紋特征信息熵與指紋基線比較,同時用流量包的通信特征與通信特征庫進行匹配；再將異常流量通信特征與APT通信特征庫中的特征進行比較。

主要利用流量分析的手法，快速分析網絡流量，獲取網絡流量指紋及通信特征，通過通信特征匹配結果及流量指紋特征基線變化結果判斷網絡流量是否存在異常，提高異常流量的發現速度，并將異常流量的通信特征與APT通信特征庫進行匹配，判斷是否為APT攻擊，大大提高APT攻擊的檢測精度。