CN101599855A - 基于攻击模式建模的复合攻击关联及攻击场景构建方法 - Google Patents
基于攻击模式建模的复合攻击关联及攻击场景构建方法 Download PDFInfo
- Publication number
- CN101599855A CN101599855A CNA2008101948699A CN200810194869A CN101599855A CN 101599855 A CN101599855 A CN 101599855A CN A2008101948699 A CNA2008101948699 A CN A2008101948699A CN 200810194869 A CN200810194869 A CN 200810194869A CN 101599855 A CN101599855 A CN 101599855A
- Authority
- CN
- China
- Prior art keywords
- attack
- path
- compound
- scene
- apg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于攻击模式建模的复合攻击关联及攻击场景构建方法,包括如下步骤:1)攻击路径图构建阶段:11)对报警信息进行初始化处理;12)对预处理后的报警信息构建出相应的攻击路径图;13)计算攻击目标危险度,若超出预设阈值,发出报警信息;14)结束;2)攻击场景图关联阶段:21)攻击场景图初始化过程;22)对攻击路径图集合中的每个映射,将其添加入攻击场景图的集合;23)关联出复合攻击场景图;24)结束;本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法在保持计算简单的前提下,提高了报警时间关联分析的准确率,从而提高了入侵检测系统的关联分析及预测性能。
Description
技术领域
本发明涉及一种入侵报警事件关联方法,尤其涉及一种基于攻击模式建模的复合攻击关联及攻击场景构建方法。
背景技术
现实的网络世界中,攻击者对目标系统实施的攻击大多不是采用单一的工具和方法,而是结合多种工具和方法,并且在进行攻击的时候,往往有一定的时间和空间跨度。这些看似分散的单个攻击其实都是同一次攻击的组成部分,其组合而成的完整攻击过程称为复合攻击。传统的IDS大多针对单个攻击进行检测,并不能发现多个攻击间的逻辑联系,从而不能完整的观测到入侵过程的全貌。因此,要想更好的保护计算机系统的安全,对复合攻击的检测和关联的研究是其中所面临的一个重要问题。
复合攻击检测和攻击场景构建的研究为解决入侵检测系统的上述问题提供了一种较好的途径。攻击场景构建是通过对入侵检测报警信息的关联分析,将属于同一次入侵的多个攻击动作关联在一起以重构攻击的流程。
现有的报警关联算法大都关注于入侵报警信息之间的相似形和关联性,很少考虑到攻击者的攻击步骤、攻击模式。因此对攻击场景的构建过于简单,不够完整,效果并不理想。同时我们发现虽然攻击技术多种多样,但攻击者在进行攻击时往往会遵循一定的模式、计划.因此我们在对攻击模式进行建模的基础上,对每条报警信息映射到对应的攻击模式,然后将报警信息按照攻击步骤的先后次序链接而成攻击路径图,在此过程中动态记录目标地址的威胁度,从而达到对复合攻击的检测,进而通过对攻击路径图进行关联还可以构建出最终、完整的复合攻击场景。
发明内容
本发明目的是:提供一种基于攻击模式建模的复合攻击关联及攻击场景构建方法,以提高入侵检测系统的关联分析及预测性能。
本发明的技术方案是:基于攻击模式建模的复合攻击关联及攻击场景构建方法方法包括如下步骤:
1)攻击路径图构建阶段:
11)对报警信息进行初始化处理;
12)对预处理后的报警信息构建出相应的攻击路径图;
13)计算攻击目标危险度,若超出预设阈值,发出报警信息;
14)结束;
2)攻击场景图关联阶段:
21)攻击场景图初始化过程;
22)对攻击路径图集合中的每个映射,将其添加入攻击场景图的集合;
23)关联出复合攻击场景图;
24)结束;
其中:
步骤11)的具体过程如下:
111)由报警信息的攻击源地址a.Sip创建表示攻击源的顶点ns,若 (Ns表示攻击源地址的集合),则将ns添加到Ns;
112)由报警信息的攻击目标地址a.Tip创建表示攻击目标的顶点nt,若 则将nt添加到 (Nt表示攻击目的地址的集合),置nt的危险度C(nt)=a.weight,(C(nt)表示攻击目标nt的危险程度,a.weight表示报警信息a所对应的权值,刻画攻击事件a的危险程度。)并将nt的危险度C(nt)添加到C;
113)由报警信息a创建对应攻击模式的边e;
114)结束
步骤12)的具体过程如下:
121)若攻击路径图 (APG即Attack path graph,表示攻击路径图,APG(Ns,Nt)表示从攻击源地址ns到攻击目的地址nt的攻击路径),则将APG(ns,nt)添加到APG中去;
122)将边e加入到攻击路径图APG(ns,nt)所对应的边集E(ns,nt)(E(ns,nt)表示结点ns,nt之间相关联的边的集合)中.
123)置攻击路径图APG(ns,nt)的权值w(ns,nt)=a.weight,并置C(nt)=MAX(w(ns,nt),C(nt))(C(nt)表示攻击目标nt的危险程度,每次均更新为当前ns,nt之间权值的最大值);
124)若攻击路径图APG(ns,nt)∈APG,则做如下处理:
125)若e∈E(ns,nt),则边e舍弃,处理下一报警信息;
126)若 则通过寻找e的前件和后件攻击将e关联到图中.并按下列情况更新攻击路径图APG(ns,nt)的权值w(ns,nt)(w(ns,nt)为两个结点ns,nt间的权值,定义为结点ns,nt之间边集合中权值的最大值):
127)若e不是关键边(关键边即为使得当前攻击路径图危险度取值最大的边),则w(ns,nt)不变;
128)若e是关键边,则按公式(1)更新w(ns,nt).;
w(ns,nt)=w(e)+w(precondition(e))+w(relative(e)) (1)
其中w(ns,nt)为两个结点ns,nt间的权值,w(e)表示边的权值,precondition(e)表示边e所对应的攻击事件的前提攻击事件,w(precondition(e))为其权值,relative(e)表示和边e所对应的攻击事件存在相关关系的攻击事件,w(relative(e))表示其权值。
步骤13的具体过程更新攻击目标nt的危险度C(nt):C(nt)=MAX(w(ns,nt),C(nt))。若攻击目标nt的危险度C(nt)超出预设的报警阈值,则将nt添加入集合V中,并发出复合入侵报警信息。
步骤21的具体过程如下:
211)置集合Q,MAS为空,整型变量i为1;
212)对每一个攻击目标v∈V,将v添加到Q中,并从V中删除;
213)若Q不为空,取Q中的一个元素q,从Q中删除并执行22;
步骤22的具体过程如下:
221)对攻击路径图集合APG中的每一个映射对(ns,nt),若q=ns,则将对应的攻击目标nt添加入集合Q中,将映射对(q,nt)添加到MASi中,且如果nt∈V,从V中删除nt;
222)若q=nt,则将对应的攻击源ns添加入集合Q中,将映射对(ns,q))添加到MASi中.且如果ns∈V,从V中删除ns;
223)若Q不为空,返回213)继续执行,若Q为空,则完成第i个攻击场景MASi的构建,i=i+1,返回211续执行。
步骤23得到的集合MAS中存放的即为所求复合攻击场景。
本发明的有益效果是:本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法在保持计算简单的前提下,提高了报警时间关联分析的准确率,从而提高了入侵检测系统的关联分析及预测性能。
附图说明:
图1为入侵检测系统工作流程图
图2为本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的流程图
图3为生成攻击路径图的流程图
图4为利用攻击路径图关联出复合攻击场景的流程图
具体实施方式:
下面结合附图对本发明进行详细说明。
如图1所示,入侵检测系统通过网络会话事件采集设备获取网络报文数据,经报文数据格式化、特征提取等预处理,然后入侵识别,并进行报警关联、入侵跟踪等后续处理。
报警关联是提高网络入侵检测系统预测准确度的主要方法,本发明的思路就是通过提高报警信息的关联精度,从而提高整个网络入侵检测系统的性能。报警关联过程即本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的流程图如图2所示。
步骤0为本发明的网络入侵分类方法的起始状态;
在攻击路径图构建阶段(步骤1-3),步骤1对报警信息进行初始化处理,置相应的集合Ns,Nt,APG,K,E,C,V为空,并按攻击源ns和攻击目标nt初始化相应的Ns和Nt,置每个nt的初始危险度C(nt)然后对处理后的报警信息进行下一步处理;
步骤2对预处理后的报警信息构建出相应的攻击路径图;
步骤3更新攻击目标危险度,若超出预设阈值,发出报警信息。
在攻击场景关联阶段(4-6),步骤4对攻击场景集合进行预处理;
步骤5对构建阶段中生成的攻击路径图集合进行处理,对其中的每一个映射对,按照关联方法加入到攻击场景集合中,
步骤6得到的集合即为所求复合攻击场景集合
步骤7是本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的结束步骤。
图3是对图2中步骤2的详细描述。
步骤30为起始步骤
步骤31对于攻击路径图APG(ns,nt),若 执行步骤32,若攻击路径图
APG(ns,nt)∈APG,则执行步骤33;
步骤32将APG(ns,nt)添加到APG中,边e加入到攻击路径图APG(ns,nt)所对应的边集E(ns,nt)中;置攻击路径图APG(ns,nt)的权值w(ns,nt)=a.weight,并置C(nt)=MAX(w(ns,nt),C(nt)),转步骤40;
步骤33若e∈E(ns,nt),则舍弃边e,处理下一报警信息转步骤30;若 则执行步骤34
步骤34通过寻找e的前件和后件攻击将e关联到图中;
步骤35若e是关键边则执行步骤36;
步骤36按公式(1)更新w(ns,nt)
步骤37按公式(2)更新攻击目标nt的危险度:C(nt)=MAX(w(ns,nt),C(nt))。
其中w(ns,nt)为攻击路径图APG(ns,nt)的权值。
步骤38若攻击目标nt的危险度超出了预设的报警阈值,则执行步骤39
步骤39将nt添加入集合V中,发出复合入侵报警信息。
步骤40若存在报警信息重复上述过程;否则退出
图4详述了图2中的步骤4-5
步骤50为起始步骤。
步骤51置集合Q,MAS为空,整型变量i为1;
步骤52若V为空,则攻击场景构建结束,若V不为空,执行步骤53;
步骤53对每一个攻击目标v∈V,将v添加到Q中,并从V中删除;
步骤54若Q为空,则结束,否则执行步骤55;
步骤55取Q中一个元素q,对它在攻击路径图APG中相应的映射对(ns,nt),执行步骤56;
步骤56若q==ns执行步骤57;若q≠ns,执行步骤59;
步骤57将对应的攻击目标nt添加到集合Q中,将映射对(q,nt)添加到MASi中,若nt∈V,执行
步骤58,否则转步骤61;
步骤58从V中删除nt;
步骤59将对应的攻击源ns添加到集合Q中,将映射对(ns,q)添加到MASi中,若ns∈V,执行步骤60,否则转步骤61;
步骤60从V中删除ns;
步骤61若Q不为空,返回步骤55;若Q为空,执行步骤62;
步骤62完成了第i个攻击场景的构建,i=i+1,执行步骤52;
步骤63集合MAS中得到的即为复合攻击场景;
步骤64为图4的结束状态。
Claims (5)
1.一种基于攻击模式建模的复合攻击关联及攻击场景构建方法,其特征在于该方法包括如下步骤:
1)攻击路径图构建阶段:
11)对报警信息进行初始化处理;
12)对预处理后的报警信息构建出相应的攻击路径图;
13)计算攻击目标危险度,若超出预设阈值,发出报警信息;
14)结束;
2)攻击场景图关联阶段:
21)攻击场景图初始化过程;
22)对攻击路径图集合中的每个映射,将其添加入攻击场景图的集合;
23)关联出复合攻击场景图;
24)结束;
其中:步骤11)的具体过程如下:
111)由报警信息的攻击源地址a.Sip创建表示攻击源的顶点ns,若 (Ns表示攻击源地址的集合),则将ns添加到Ns;
112)由报警信息的攻击目标地址a.Tip创建表示攻击目标的顶点nt,若 则将nt添加到 (Nt表示攻击目的地址的集合),置nt的危险度C(nt)=a.weight,(C(nt)表示攻击目标nt的危险程度,a.weight表示报警信息a所对应的权值,刻画攻击事件a的危险程度。)并将nt的危险度C(nt)添加到C;
113)由报警信息a创建对应攻击模式的边e;
114)结束
2.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建方法,其特征在于步骤12所述的构建出基于攻击模式的攻击路径图的步骤是:步骤12)的具体过程如下:
121)若攻击路径图 (APG即Attack path graph,表示攻击路径图,APG(Ns,Nt)表示从攻击源地址ns到攻击目的地址nt的攻击路径),则将APG(ns,nt)添加到APG中去;
122)将边e加入到攻击路径图APG(ns,nt)所对应的边集E(ns,nt)(E(ns,nt)表示结点ns,nt之间相关联的边的集合)中.
123)置攻击路径图APG(ns,nt)的权值w(ns,nt)=a.weight,并置C(nt)=MAX(w(ns,nt),C(nt))(C(nt)表示攻击目标nt的危险程度,每次均更新为当前ns,nt之间权值的最大值);
124)若攻击路径图APG(ns,nt)∈APG,则做如下处理:
125)若e∈E(ns,nt),则边e舍弃,处理下一报警信息;
126)若 则通过寻找e的前件和后件攻击将e关联到图中.并按下列情况更新攻击路径图APG(ns,nt)的权值w(ns,nt)(w(ns,nt)为两个结点ns,nt间的权值,定义为结点ns,nt之间边集合中权值的最大值):
127)若e不是关键边(关键边即为使得当前攻击路径图危险度取值最大的边),则w(ns,nt)不变;
128)若e是关键边,则按公式(1)更新w(ns,nt).
w(ns,nt)=w(e)+w(precondition(e))+w(relative(e))(1)
其中w(ns,nt)为两个结点ns,nt间的权值,w(e)表示边的权值,precondition(e)表示边e所对应的攻击事件的前提攻击事件,w(precondition(e))为其权值,relative(e)表示和边e所对应的攻击事件存在相关关系的攻击事件,w(relative(e))表示其权值。
步骤13的具体过程更新攻击目标nt的危险度C(nt):C(nt)=MAX(w(ns,nt),C(nt))。若攻击目标nt的危险度C(nt)超出预设的报警阈值,则将nt添加入集合V中,并发出复合入侵报警信息。
3.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建方法,其特征在于13的具体过程更新攻击目标nt的危险度C(nt):C(nt)=MAX(w(ns,nt),C(nt))。若攻击目标nt的危险度C(nt)超出预设的报警阈值,则将nt添加入集合V中,并发出复合入侵报警信息。
4.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建分类方法,其特征在于步骤21的具体过程如下:
211)置集合Q,MAS为空,整型变量i为1;
212)对每一个攻击目标v∈V,将v添加到Q中,并从V中删除;
213)若Q不为空,取Q中的一个元素q,从Q中删除并执行22;
步骤22的具体过程如下:
221)对攻击路径图集合APG中的每一个映射对(ns,nt),若q=ns,则将对应的攻击目标nt添加入集合Q中,将映射对(q,nt)添加到MASi中,且如果nt∈V,从V中删除nt;
222)若q=nt,则将对应的攻击源ns添加入集合Q中,将映射对(ns,q))添加到MASi中.且如果ns∈V,从V中删除ns;
223)若Q不为空,返回213)继续执行,若Q为空,则完成第i个攻击场景MASi的构建,i=i+1,返回211续执行。
5.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建分类方法,其特征在于步骤23得到的集合MAS中存放的即为所求复合攻击场景。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101948699A CN101599855A (zh) | 2008-11-10 | 2008-11-10 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101948699A CN101599855A (zh) | 2008-11-10 | 2008-11-10 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101599855A true CN101599855A (zh) | 2009-12-09 |
Family
ID=41421120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101948699A Pending CN101599855A (zh) | 2008-11-10 | 2008-11-10 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101599855A (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355361A (zh) * | 2011-06-30 | 2012-02-15 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN106254130A (zh) * | 2016-08-25 | 2016-12-21 | 华青融天(北京)技术股份有限公司 | 一种数据处理方法及装置 |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN107251038A (zh) * | 2014-12-05 | 2017-10-13 | T移动美国公司 | 重组威胁建模 |
CN108763067A (zh) * | 2018-05-14 | 2018-11-06 | 南京市芯传汇电子科技有限公司 | 一种软件攻击模式关联关系分析方法 |
CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
CN110765391A (zh) * | 2019-09-16 | 2020-02-07 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
CN111865960A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络入侵场景分析处理方法、系统、终端及存储介质 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN114024830A (zh) * | 2021-11-05 | 2022-02-08 | 哈尔滨理工大学 | 一种基于Grubbs的警报关联方法 |
CN115242614A (zh) * | 2022-09-22 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
-
2008
- 2008-11-10 CN CNA2008101948699A patent/CN101599855A/zh active Pending
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355361B (zh) * | 2011-06-30 | 2013-09-04 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
CN102355361A (zh) * | 2011-06-30 | 2012-02-15 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN103312679B (zh) * | 2012-03-15 | 2016-07-27 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN103746961B (zh) * | 2013-12-12 | 2017-03-15 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN107251038A (zh) * | 2014-12-05 | 2017-10-13 | T移动美国公司 | 重组威胁建模 |
US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
CN106254130B (zh) * | 2016-08-25 | 2019-06-07 | 华青融天(北京)技术股份有限公司 | 一种数据处理方法及装置 |
CN106254130A (zh) * | 2016-08-25 | 2016-12-21 | 华青融天(北京)技术股份有限公司 | 一种数据处理方法及装置 |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN106453417B (zh) * | 2016-12-05 | 2019-01-22 | 国网浙江省电力有限公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN108763067B (zh) * | 2018-05-14 | 2022-03-22 | 南京芯传汇电子科技有限公司 | 一种软件攻击模式关联关系分析方法 |
CN108763067A (zh) * | 2018-05-14 | 2018-11-06 | 南京市芯传汇电子科技有限公司 | 一种软件攻击模式关联关系分析方法 |
CN109660515B (zh) * | 2018-11-15 | 2020-05-12 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
CN110765391A (zh) * | 2019-09-16 | 2020-02-07 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
CN110765391B (zh) * | 2019-09-16 | 2022-02-22 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
CN111865960A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络入侵场景分析处理方法、系统、终端及存储介质 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113179241B (zh) * | 2021-03-01 | 2022-06-17 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN114024830A (zh) * | 2021-11-05 | 2022-02-08 | 哈尔滨理工大学 | 一种基于Grubbs的警报关联方法 |
CN115242614A (zh) * | 2022-09-22 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
CN115242614B (zh) * | 2022-09-22 | 2023-01-10 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101599855A (zh) | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 | |
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
Velliangiri et al. | Detection of distributed denial of service attack in cloud computing using the optimization-based deep networks | |
CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
CN102592103B (zh) | 文件安全处理方法、设备及系统 | |
CN114422224B (zh) | 面向攻击溯源的威胁情报智能分析方法及系统 | |
US7710259B2 (en) | Emergent information database management system | |
CN107004089A (zh) | 恶意软件检测方法及其系统 | |
CN101494567B (zh) | 一种基于负载预测的分布式拒绝服务攻击检测方法 | |
CN103593376A (zh) | 一种采集用户行为数据的方法及装置 | |
CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
CN103401838B (zh) | 一种基于僵尸程序传播行为的僵尸网络预防方法 | |
CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN111200575B (zh) | 一种基于机器学习的信息系统恶意行为的识别方法 | |
CN103491535B (zh) | 面向传感器网络的隐私保护通用近似查询方法 | |
CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
Chen et al. | Multi-level adaptive coupled method for industrial control networks safety based on machine learning | |
CN109040130A (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
CN104871171A (zh) | 分布式模式发现 | |
CN110909195A (zh) | 基于区块链的图片标注方法、装置及存储介质、服务器 | |
CN109564569A (zh) | 减少用于长期计算的存储器使用 | |
Masoudi-Sobhanzadeh et al. | A real-time IoT-based botnet detection method using a novel two-step feature selection technique and the support vector machine classifier | |
CN114499982A (zh) | 蜜网动态配置策略生成方法、配置方法及存储介质 | |
Alowaidi et al. | Integrating artificial intelligence in cyber security for cyber-physical systems | |
CN111865899B (zh) | 威胁驱动的协同采集方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20091209 |