一种基于Bro的APT监测系统和方法

本发明公开了一种基于Bro的APT监测系统和方法，涉及计算机网络安全领域，包括宿主机、Docker容器和系统拓展；所述宿主机为网关，抓取并产生PCAP文件，并将所述PCAP文件输出给所述Docker容器；所述Docker容器包括提取模块和检测模块，对输入的所述PCAP文件进行提取和检测；所述提取模块和所述检测模块设置为Bro入侵检测系统。本发明通过对网络流量的直接综合分析，对APT攻击进行检测，具有较高的性能和可延展性，可对流量中传输的文件进行重组和提取，并对高速流量进行实时分析和生成日志的功能，并通过针对性的恶意文件检测，以及对日志的分析，实现了对流量中APT攻击的监测目标。
上海交通大学
邹福泰 | 肖佳伟 | 高逸飞 | 孟德超 | 化存卿 | 毕越