一種多維度檢測防禦apt的系統及方法

2023-10-23 22:42:17 1

一種多維度檢測防禦apt的系統及方法
【專利摘要】本發明提供了一種多維度檢測防禦APT的系統及方法，所述系統包括：至少兩個檢測模塊，和維度擴展模塊；檢測模塊分別部署於各維度中，用於檢測當前維度中的待檢測對象，記錄待檢測對象的行為及檢測結果，根據預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中；維度擴展模塊獲取各檢測模塊發送來的維度檢測擴展信息，根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規則，並發送到對應維度的檢測模塊中。本發明還提供了對應的檢測防禦方法，通過本發明的系統及方法，能夠使防禦檢測系統能夠實現自更新以獲得其他維度的檢測能力。
【專利說明】 —種多維度檢測防禦APT的系統及方法
【技術領域】
[0001]本發明涉及網絡安全領域，特別涉及一種多維度檢測防禦APT的系統及方法。
【背景技術】
[0002]APT攻擊是一類高等級網絡攻擊，具體的說，是非授權的個人、團體對受害目標長期採用多種攻擊方法和先進攻擊手段進行的持續性攻擊行為，APT攻擊的常見目的是破壞受害目標的系統，偷竊受害目標的信息，經典的APT事件包括震網(Stuxnet), Duqu, Flame
坐寸ο
[0003]根據典型APT事件進行分析，往往攻擊者具備豐富的經濟、技術、情報等資源，能夠有效的突破安全系統的防禦，經過對近期典型事件的分析，一個APT事件從開始攻擊，進入受害者系統，到被受害者發現的跨度往往從數月到數年不等，且一些典型APT事件在攻擊者披露後，受咅者也未能進彳了發現。
[0004]之所以出現這個情況，和傳統的安全防禦技術的防禦原理和技術手段有關，如傳統雲安全技術通過在公共網絡大量採集客戶信息送到雲端通過統計技術和人工發現異常，而APT事件往往是小範圍事件，具備高定向性，導致很難採集，即使採集也往往淹沒在海量的事件中無法具備統計意義；高性能網絡安全設備由於性能要求，往往採用低精度高實時性的檢測技術，導致難以對APT事件進行細粒度高精度的檢測，終端安全軟體由於其商業上的易獲得性，使得攻擊者可以先研究規避技術後再攻擊，即確認攻擊代碼可以繞過安全軟體後再發起攻擊。以上種種使得現有的安全防禦系統在APT事件中大量的失效。
[0005]而傳統安全防禦系統多基於單個孤立時間點或時間段的實時檢測和防禦，或基於單維度的檢測，如傳統網絡安全設備僅對網絡數據流進行檢測，對偽裝在正常數據的加密攻擊代碼則基本無檢測能力。
[0006]因此有必要克服涉及APT高級安全威脅防禦和檢測的傳統安全系統的上述缺點。
【發明內容】

[0007]本發明提供了一種多維度檢測防禦APT的系統及方法，解決了傳統安全防禦系統只能在單獨時間點或時間段對單一維度進行檢測，無法進行全面檢測的問題，使防禦檢測系統能夠實現自更新以獲得其他維度的檢測能力。
[0008]一種多維度檢測防禦APT的系統，包括:至少兩個檢測模塊，和維度擴展模塊；
所述檢測模塊分別部署於各維度中，根據所處維度檢測點環境，預設檢測規則，用於檢測當前維度中的待檢測對象，記錄待檢測對象的行為及檢測結果，根據預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中；獲取維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中；
所述的篩選規則，可根據維度擴展模塊中維度關聯規則所需要或可以利用的信息預先設定，在當前檢測模塊檢測產生的信息及待檢測對象本身的信息等中選取；
維度擴展模塊，用於獲取各檢測模塊發送來的維度檢測擴展信息，根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規則，並發送到對應維度的檢測模塊中；
維度關聯規則是將維度擴展模塊所獲得的信息與其他維度檢測所需的信息類型進行映射匹配等，進一步得到其他維度可用的信息。
[0009]所述維度由至少兩個不同檢測點環境組成，每個檢測點環境為一個維度。例如部署於網關節點的檢測點環境、部署於PC上的檢測點環境、部署於移動終端的檢測點環境
坐寸O
[0010]所述的系統中，如果所述檢測模塊的預設檢測規則中不存在待檢測對象的檢測規貝U，則記錄所述待檢測對象的信息，並發送到維度擴展模塊；
維度擴展模塊根據待檢測對象的信息，將所述待檢測對象發送到相應維度的檢測模塊中。
[0011]所述的系統中，在所述檢測模塊收到維度擴展模塊發送來的檢測規則及篩選規貝U，補充到預設檢測規則和預設篩選規則中後，對當前檢測模塊中的所有待檢測對象進行二次檢測。
[0012]所述的系統中，包括:至少兩個防禦模塊，所述防禦模塊分別部署於各維度中，用於根據所處維度對應檢測模塊的檢測結果及預設防禦規則，對待檢測對象攔截、阻斷或告警，並根據預設篩選規則，篩選出維度防禦擴展信息，並發送到維度擴展模塊中；獲取維度擴展模塊發送的防禦規則，並補充到預設防禦規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度防禦擴展信息進行投影關聯，產生其他維度可用的防禦規則，並發送到對應維度的防禦模塊中。
[0013]所述的系統中，包括:至少兩個處置模塊，所述處置模塊分別部署於各維度中，用於根據所處維度對應檢測模塊的檢測結果及預設處置規則，對待檢測對象進行處置，並將維度處置擴展信息發送到維度擴展模塊中；獲取維度擴展模塊發送的處置規則，並補充到預設處置規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度處置擴展信息進行投影關聯，產生其他維度可用的處置規則，並發送到對應維度的處置模塊中。
[0014]所述的系統中，所述維度關聯規則將維度檢測擴展信息，和/或維度防禦擴展信息，和/或維度處置擴展信息與各維度檢測點環境所需要的信息關聯，並根據統計數據或數學模型預設到維度擴展模塊中。
[0015]一種多維度檢測防禦APT的方法，適用於上述系統，包括:
檢測模塊根據預設檢測規則，檢測當前維度中的待檢測對象；
記錄待檢測對象的行為及檢測結果；
根據預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中；
獲取檢測模塊發送來的維度檢測擴展信息；
根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規則，並發送到對應維度的檢測模塊中；
所述檢測模塊還獲取維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中；
所述維度由至少兩個不同檢測點環境組成，每個檢測點環境為一個維度。[0016]所述的方法，其特徵在於，如果所述預設檢測規則中不存在待檢測對象的檢測規貝U，則記錄所述待檢測對象的信息，並發送到維度擴展模塊；
維度擴展模塊根據待檢測對象的信息，將所述待檢測對象發送到相應維度的檢測模塊中。
[0017]所述的方法中，在所述檢測模塊收到維度擴展模塊發送來的檢測規則及篩選規貝U，補充到預設檢測規則和預設篩選規則中後，對當前檢測模塊中的所有待檢測對象進行二次檢測。
[0018]所述的方法中，還包括:防禦模塊根據檢測結果及預設防禦規則，對待檢測對象攔截、阻斷或告警，並根據預設篩選規則，篩選出維度防禦擴展信息，並發送到維度擴展模塊中；及獲取維度擴展模塊發送的防禦規則，並補充到預設防禦規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度防禦擴展信息進行投影關聯，產生其他維度可用的防禦規則，並發送到對應維度的防禦模塊中。
[0019]所述的方法中，包括:處置模塊根據檢測結果及預設處置規則，對待檢測對象進行處置，並將維度處置擴展信息發送到維度擴展模塊中；及獲取維度擴展模塊發送的處置規貝U，並補充到預設處置規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度處置擴展信息進行投影關聯，產生其他維度可用的處置規則，並發送到對應維度的處置模塊中。
[0020]所述的方法中，所述維度關聯規則將維度檢測擴展信息，和/或維度防禦擴展信息，和/或維度處置擴展信息與各維度檢測點環境所需要的信息關聯，並根據統計數據或數學模型預設到維度擴展模塊中。
[0021]本發明的系統及方法，能夠通過至少兩個檢測模塊及維度擴展模塊，對待檢測對象進行檢測，當一個檢測模塊檢測完成後，將篩選出可擴展的信息交給維度擴展模塊，維度擴展模塊將收到的信息及待檢測對象，通過維度關聯規則，將上述信息映射擴展到其他檢測模塊，生成其可用的信息。本發明還可以增加防禦模塊及處置模塊，並且也能夠與維度擴展模塊進行關聯擴展。通過本發明的系統及方法，實現了在一個維度上的檢測結果可以轉化成其他維度上可使用的規則，實現了自學習自更新的能力。因此本發明也不依賴於通過安全廠商提供的檢測規則，才能夠獲得新的檢測能力。即本發明系統檢測能力不依賴外部對檢測規則進行更新，就能夠獲得其他維度的檢測能力，從而實現對APT和高級安全威脅的防禦檢測。
【專利附圖】

【附圖說明】
[0022]為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
[0023]圖1為本發明一種多維度檢測防禦APT的系統結構示意圖；
圖2為本發明系統實施例一結構示意圖；
圖3為本發明系統實施例二結構示意圖；
圖4為本發明系統實施例三結構示意圖；圖5為本發明一種多維度檢測防禦APT的方法流程圖。
【具體實施方式】
[0024]為 了使本【技術領域】的人員更好地理解本發明實施例中的技術方案，並使本發明的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖對本發明中技術方案作進一步詳細的說明。
[0025]本發明提供了一種多維度檢測防禦APT的系統及方法，解決了傳統安全防禦系統只能在單獨時間點或時間段對單一維度進行檢測，無法進行全面檢測的問題，是防禦檢測系統能夠實現自更新以獲得其他維度的檢測能力。
[0026]一種多維度檢測防禦APT的系統，如圖1所示，包括:至少兩個檢測模塊101，和維度擴展模塊102 ；
所述檢測模塊101分別部署於各維度中，根據所處維度檢測點環境，預設檢測規則，用於檢測當前維度中的待檢測對象，記錄待檢測對象的行為及檢測結果，根據預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中；獲取維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中；
所述的篩選規則，可根據維度擴展模塊中維度關聯規則所需要或可以利用的信息預先設定，在當前檢測模塊檢測產生的信息及待檢測對象本身的信息等中選取；
維度擴展模塊102，用於獲取各檢測模塊發送來的維度檢測擴展信息，根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規貝U，並發送到對應維度的檢測模塊中；
維度關聯規則是將維度擴展模塊所獲得的信息與其他維度檢測所需的信息類型進行映射匹配等，進一步得到其他維度可用的信息。
[0027]所述維度由至少兩個不同檢測點環境組成，每個檢測點環境為一個維度。例如部署於網關節點的檢測點環境、部署於PC上的檢測點環境、部署於移動終端的檢測點環境等。
[0028]所述的系統中，如果所述檢測模塊的預設檢測規則中不存在待檢測對象的檢測規貝U，則記錄所述待檢測對象的信息，並發送到維度擴展模塊；
維度擴展模塊根據待檢測對象的信息，將所述待檢測對象發送到相應維度的檢測模塊中。
[0029]所述的系統中，在所述檢測模塊收到維度擴展模塊發送來的檢測規則及篩選規貝U，補充到預設檢測規則和預設篩選規則中後，對當前檢測模塊中的所有待檢測對象進行二次檢測。
[0030]所述的系統中，還包括:至少兩個防禦模塊103，所述防禦模塊分別部署於各維度中，用於根據所處維度對應檢測模塊的檢測結果及預設防禦規則，對待檢測對象攔截、阻斷或告警，並根據預設篩選規則，篩選出維度防禦擴展信息，並發送到維度擴展模塊中；獲取維度擴展模塊發送的防禦規則，並補充到預設防禦規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度防禦擴展信息進行投影關聯，產生其他維度可用的防禦規則，並發送到對應維度的防禦模塊中。
[0031]所述的系統中，包括:至少兩個處置模塊104，所述處置模塊分別部署於各維度中，用於根據所處維度對應檢測模塊的檢測結果及預設處置規則，對待檢測對象進行處置，並將維度處置擴展信息發送到維度擴展模塊中；獲取維度擴展模塊發送的處置規則，並補充到預設處置規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度處置擴展信息進行投影關聯，產生其他維度可用的處置規則，並發送到對應維度的處置模塊中。
[0032]所述的系統中，所述維度關聯規則將維度檢測擴展信息，和/或維度防禦擴展信息，和/或維度處置擴展信息與各維度檢測點環境所需要的信息關聯，並根據統計數據或數學模型預設到維度擴展模塊中。
[0033]為使更本領域技術人員更清楚了解本
【發明內容】
，給出一個具體實施例，如圖2所示:
本實施例中僅包含兩個檢測模塊，即檢測模塊A201，及檢測模塊B202，以及維度擴展模塊203 ;其中檢測模塊A部署於維度A環境中，檢測模塊B部署於維度B環境中。
[0034]檢測模塊A根據預設的檢測規則A檢測待檢測對象，產生檢測結果A ；
對檢測結果A及待檢測對象進行記錄，並根據篩選規則將維度擴展模塊可用信息(即維度檢測擴展信息)，篩選出並發送到維度擴展模塊；
維度擴展模塊根據維度關聯規則，從維度檢測擴展信息中關聯映射出檢測模塊B可用的檢測規則,並將檢測規則發送到檢測模塊B ；
檢測模塊B接收檢測規則，並補充到自身的預設檢測規則中；
檢測模塊B利用補充後的預設檢測規則，再次檢測當前維度B中的待檢測對象。
[0035]同時在檢測模塊B檢測完成後，仍然可以進行篩選，並通過維度擴展模塊將檢測規則擴展給檢測模塊A。
[0036]本發明系統中的檢測模塊及維度擴展模塊，可以通過不斷的檢測，擴展，達到隨時對各維度檢測模塊的擴展。
[0037]以下提供一種在實際應用中的實施例，如圖3所示，包括網絡維度的UTM檢測模塊301、終端維度的PC檢測模塊302及維度擴展模塊303。
[0038]文件A通過網絡下載至PC檢測模塊所在PC機，UTM檢測模塊中不存在對文件A的檢測規則，因此僅對文件A事件進行記錄，並將文件A出現在網絡維度的信息提供給維度擴展豐吳塊；
PC檢測模塊中具有對完整文件較強的檢測能力，檢測到文件A為某APT組成部分；
PC檢測模塊經篩選將文件A、檢測結果及文件A來源網址提交給維度擴展模塊進行維度擴展；
維度擴展模塊根據維度關聯規則，對文件A進行模擬執行，將新發現的網址、文件A來源網址、文件散列值等,作為網絡維度UTM檢測規則推送給UTM檢測模塊；
UTM檢測模塊收到新增檢測規則後，對檢測歷史進行複查，從而發現文件A為某APT組成部分，在後續檢測過程中提示用戶。
[0039]本發明的另一實施例如圖4所示，包括PC檢測模塊401、移動終端檢測模塊402及維度擴展模塊403。
[0040]PC檢測模塊以MD5為檢測規則，對exe文件進行檢測，並記錄文件釋放的文件MD5，如果釋放的文件為APK文件，則將該APK文件的信息提供給維度擴展模塊； 維度擴展模塊將APK文件提供給移動終端檢測模塊；
移動終端檢測模塊對APK文件進行檢測，如果APK文件為惡意文件，則將該APK文件的MD5值提供給維度擴展模塊；
維度擴展模塊根據維度關聯規則，將MD5值關聯並推送到PC檢測模塊；
PC檢測模塊補充預設檢測規則，進而對該APK文件具有檢測能力。
[0041]本發明還提供一種多維度檢測防禦APT的方法，如圖5所示，適用於上述系統中，包括:
5501:檢測模塊根據預設檢測規則，檢測當前維度中的待檢測對象；
5502:記錄待檢測對象的行為及檢測結果；
5503:預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中；
5504:獲取檢測模塊發送來的維度檢測擴展信息；
5505:根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規則，並發送到對應維度的檢測模塊中；
所述檢測模塊還獲取維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中；
所述維度由至少兩個不同檢測點環境組成，每個檢測點環境為一個維度。
[0042]所述的方法，其特徵在於，如果所述預設檢測規則中不存在待檢測對象的檢測規貝U，則記錄所述待檢測對象的信息，並發送到維度擴展模塊；
維度擴展模塊根據待檢測對象的信息，將所述待檢測對象發送到相應維度的檢測模塊中。
[0043]所述的方法中，在所述檢測模塊收到維度擴展模塊發送來的檢測規則及篩選規貝U，補充到預設檢測規則和預設篩選規則中後，對當前檢測模塊中的所有待檢測對象進行二次檢測。
[0044]所述的方法中，還包括:防禦模塊根據檢測結果及預設防禦規則，對待檢測對象攔截、阻斷或告警，並根據預設篩選規則，篩選出維度防禦擴展信息，並發送到維度擴展模塊中；及獲取維度擴展模塊發送的防禦規則，並補充到預設防禦規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度防禦擴展信息進行投影關聯，產生其他維度可用的防禦規則，並發送到對應維度的防禦模塊中。
[0045]所述的方法中，包括:處置模塊根據檢測結果及預設處置規則，對待檢測對象進行處置，並將維度處置擴展信息發送到維度擴展模塊中；及獲取維度擴展模塊發送的處置規貝U，並補充到預設處置規則中；
所述維度擴展模塊根據維度關聯規則，對收到的維度處置擴展信息進行投影關聯，產生其他維度可用的處置規則，並發送到對應維度的處置模塊中。
[0046]所述的方法中，所述維度關聯規則將維度檢測擴展信息，和/或維度防禦擴展信息，和/或維度處置擴展信息與各維度檢測點環境所需要的信息關聯，並根據統計數據或數學模型預設到維度擴展模塊中。
[0047]本發明的系統及方法，能夠通過至少兩個檢測模塊及維度擴展模塊，對待檢測對象進行檢測，當一個檢測模塊檢測完成後，將篩選出可擴展的信息交給維度擴展模塊，維度擴展模塊將收到的信息及待檢測對象，通過維度關聯規則，將上述信息映射擴展到其他檢測模塊，生成其可用的信息。本發明還可以增加防禦模塊及處置模塊，並且也能夠與維度擴展模塊進行關聯擴展。通過本發明的系統及方法，實現了在一個維度上的檢測結果可以轉化成其他維度上可使用的規則，實現了自學習自更新的能力。因此本發明也不依賴於通過安全廠商提供的檢測規則，才能夠獲得新的檢測能力。即本發明系統檢測能力不依賴外部對檢測規則進行更新，就能夠獲得其他維度的檢測能力，從而實現對APT和高級安全威脅的防禦檢測。
[0048]本說明書中的各個實施例均採用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。雖然通過實施例描繪了本發明，本領域普通技術人員知道，本發明有許多變形和變化而不脫離本發明的精神，希望所附的權利要求包括這些變形和變化而不脫離本發明的精神。
【權利要求】
1.一種檢測防禦APT和高級安全威脅的系統，其特徵在於，包括:至少兩個檢測模塊，和維度擴展模塊； 所述檢測模塊分別部署於各維度中，根據所處維度檢測點環境，預設檢測規則，用於檢測當前維度中的待檢測對象，記錄待檢測對象的行為及檢測結果，根據預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中；獲取維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中； 維度擴展模塊，用於獲取各檢測模塊發送來的維度檢測擴展信息，根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規則，並發送到對應維度的檢測模塊中； 所述維度由至少兩個不同檢測點環境組成，每個檢測點環境為一個維度。
2.如權利要求1所述的系統，其特徵在於，如果所述檢測模塊的預設檢測規則中不存在待檢測對象的檢測規則，則記錄所述待檢測對象的信息，並發送到維度擴展模塊； 維度擴展模塊根據待檢測對象的信息，將所述待檢測對象發送到相應維度的檢測模塊中。
3.如權利要求1所述的系統，其特徵在於，在所述檢測模塊收到維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中後，對當前檢測模塊中的所有待檢測對象進行二次檢測。
4.如權利要求1所述的系統，其特徵在於，包括:至少兩個防禦模塊，所述防禦模塊分別部署於各維度中，用於根據所處維度對應檢測模塊的檢測結果及預設防禦規則，對待檢測對象攔截、阻斷或告警，並根據預設篩選規則，篩選出維度防禦擴展信息，並發送到維度擴展模塊中；獲取維度擴展模塊發送的防禦規則，並補充到預設防禦規則中； 所述維度擴展模塊根據維度關聯規則，對收到的維度防禦擴展信息進行投影關聯，產生其他維度可用的防禦規則，並發送到對應維度的防禦模塊中。
5.如權利要求1所述的系統，其特徵在於，包括:至少兩個處置模塊，所述處置模塊分別部署於各維度中，用於根據所處維度對應檢測模塊的檢測結果及預設處置規則，對待檢測對象進行處置，並將維度處置擴展信息發送到維度擴展模塊中；獲取維度擴展模塊發送的處置規則，並補充到預設處置規則中； 所述維度擴展模塊根據維度關聯規則，對收到的維度處置擴展信息進行投影關聯，產生其他維度可用的處置規則，並發送到對應維度的處置模塊中。
6.如權利要求1至5所述的系統，其特徵在於，所述維度關聯規則將維度檢測擴展信息，和/或維度防禦擴展信息，和/或維度處置擴展信息與各維度檢測點環境所需要的信息關聯，並根據統計數據或數學模型預設到維度擴展模塊中。
7.—種檢測防禦APT和高級安全威脅的方法，適用於權利要求1所述系統，其特徵在於，包括: 檢測模塊根據預設檢測規則，檢測當前維度中的待檢測對象； 記錄待檢測對象的行為及檢測結果； 根據預設篩選規則，篩選出維度檢測擴展信息，並發送到維度擴展模塊中； 獲取檢測模塊發送來的維度檢測擴展信息； 根據預設維度關聯規則對所述維度檢測擴展信息進行投影關聯，產生其他維度可用的檢測規則及篩選規則，並發送到對應維度的檢測模塊中； 所述檢測模塊還獲取維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中； 所述維度由至少兩個不同檢測點環境組成，每個檢測點環境為一個維度。
8.如權利要求7所述的方法，其特徵在於，如果所述預設檢測規則中不存在待檢測對象的檢測規則，則記錄所述待檢測對象的信息，並發送到維度擴展模塊； 維度擴展模塊根據待檢測對象的信息，將所述待檢測對象發送到相應維度的檢測模塊中。
9.如權利要求7所述的方法，其特徵在於，在所述檢測模塊收到維度擴展模塊發送來的檢測規則及篩選規則，補充到預設檢測規則和預設篩選規則中後，對當前檢測模塊中的所有待檢測對象進行二次檢測。
10.如權利要求7所述的方法，其特徵在於，還包括包括:防禦模塊根據檢測結果及預設防禦規則，對待檢測對象攔截、阻斷或告警，並根據預設篩選規則，篩選出維度防禦擴展信息，並發送到維度擴展模塊中；及獲取維度擴展模塊發送的防禦規則，並補充到預設防禦規則中； 所述維度擴展模塊根據維度關聯規則，對收到的維度防禦擴展信息進行投影關聯，產生其他維度可用的防禦規則，並發送到對應維度的防禦模塊中。
11.如權利要求7所述的方法，其特徵在於，包括:處置模塊根據檢測結果及預設處置規則，對待檢測對象進行處置，並將維度處置擴展信息發送到維度擴展模塊中；及獲取維度擴展模塊發送的處置規則，並補充到預設處置規則中； 所述維度擴展模塊根據維度關聯規則，對收到的維度處置擴展信息進行投影關聯，產生其他維度可用的處置規則，並發送到對應維度的處置模塊中。
12.如權利要求7至11所述的方法，其特徵在於，所述維度關聯規則將維度檢測擴展信息，和/或維度防禦擴展信息，和/或維度處置擴展信息與各維度檢測點環境所需要的信息關聯，並根據統計數據或數學模型預設到維度擴展模塊中。
【文檔編號】H04L29/06GK103905418SQ201310559032
【公開日】2014年7月2日 申請日期:2013年11月12日 優先權日:2013年11月12日
【發明者】方華, 關墨辰 申請人:北京安天電子設備有限公司