CN103746961A - 一种网络攻击场景的因果知识挖掘方法、装置及服务器 - Google Patents
一种网络攻击场景的因果知识挖掘方法、装置及服务器 Download PDFInfo
- Publication number
- CN103746961A CN103746961A CN201310681330.7A CN201310681330A CN103746961A CN 103746961 A CN103746961 A CN 103746961A CN 201310681330 A CN201310681330 A CN 201310681330A CN 103746961 A CN103746961 A CN 103746961A
- Authority
- CN
- China
- Prior art keywords
- warning information
- bunch
- attack scenarios
- class bunch
- class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络攻击场景的因果知识挖掘方法、装置及服务器,其中方法包括:接收网络中的安全设备在经网络攻击后所上传的告警信息;按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。本发明实施例在进行因果知识挖掘时具有较高的自动化程度,能够对全面的网络攻击场景进行有效的因果知识挖掘。
Description
技术领域
本发明涉及信息安全技术领域,更具体地说,涉及一种网络攻击场景的因果知识挖掘方法、装置及服务器。
背景技术
因果知识是指网络空间中多步网络攻击活动的模式抽象,每一个因果知识都代表着一种可能的攻击模式,它是网络攻击场景重构或网络攻击活动还原的模板、依据。因此对网络攻击场景的因果知识进行准确高效的挖掘,对于网络攻击场景的重构,和网络攻击活动的还原具有重要的意义。
目前主要是基于预定义的谓词进行因果知识的挖掘,其主要步骤如下:首先依据专家经验为每种已知的攻击类型AttackType_i定义一个对应的因果谓词<Pre_i,AttackType_i,Post_i>,其中Pre_i表示对应类型的攻击成功发生所需的前提条件集合,包括网络或系统需要符合的一些条件以及攻击者所具备的能力,Post_i表示攻击成功发生后可能会产生的结果集合,包括攻击者对某些事实的发现或某种能力的获取等;在定义好各个因果谓词,形成因果谓词集以后,基于下述假设采用循环遍历的方法,对谓词集中的谓词进行相互匹配,挖掘不同的因果知识,构建因果知识库。假设为:如果攻击类型AttackType_i和AttackType_j之间具有逻辑上的前后步骤关系,即如果攻击类型AttackType_j是AttackType_i的直接后续步骤,那么当且仅当AttackType_i结果集合中的元素能够完全或部分匹配AttackType_j的前提条件集合中的元素。
本发明的发明人在实现本发明的过程中发现现有技术至少存在如下问题:现有技术进行因果知识挖掘的对象是依据专家经验定义的谓词集,谓词集的人工定义限制了因果知识挖掘的自动化程度,同时也增加了管理员的人工负担;并且预定义的谓词集并不全面,不能包括所有的网络攻击场景,因此对于涉及谓词集以外攻击类型的场景知识,现有技术将无能为力,不能进行因果知识的有效挖掘。可见,目前急需提供一种新的网络攻击场景的因果知识挖掘方法,以提升因果知识挖掘的自动化程度,且能对全面的网络攻击场景进行有效的因果知识挖掘。
发明内容
有鉴于此,本发明实施例提供一种网络攻击场景的因果知识挖掘方法、装置及服务器,以解决现有因果知识挖掘方式所存在的自动化程度较低,无法对全面的网络攻击场景进行有效的因果知识挖掘的问题。
为实现上述目的,本发明实施例提供如下技术方案:
一种网络攻击场景的因果知识挖掘方法,包括:
接收网络中的安全设备在经网络攻击后所上传的告警信息;
按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;
对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。
其中,所述按照告警所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景的过程包括:
将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇。
其中,所述将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇包括:
判断当前告警信息的源IP地址或目的IP地址是否与,已有类簇的告警信息的源IP地址或目的IP地址对应;
若是,将所述当前告警信息加入到所述已有类簇中,所述已有类簇中的各告警信息具有时序关系;
若否,为所述当前告警信息建立一个新的类簇。
其中,所述对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识包括:
通过马尔可夫性质算法对各个类簇进行分析,对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵;
将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链,一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。
其中,所述对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵包括:
对于各个类簇,为各类簇构建一个为空的转移概率矩阵,按照类簇中的告警信息的时序关系,遍历各个类簇中的各个告警信息;
若某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中,则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1;
若某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中,则在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列,将该两告警信息对应的攻击场景间的计数器加1;
将各类簇所对应的转移概率矩阵进行归一化处理,得到各类簇所属的攻击场景相对应的一步转移概率矩阵。
本发明实施例还提供一种网络攻击场景的因果知识挖掘装置,包括:
接收模块,用于接收网络中的安全设备在经网络攻击后所上传的告警信息;
聚类模块,用于按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;
分析挖掘模块,用于对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。
其中,所述聚类模块包括:
类簇形成单元,用于将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇;
所述类簇形成单元包括:
判断子单元,用于判断当前告警信息的源IP地址或目的IP地址是否与,已有类簇的告警信息的源IP地址或目的IP地址对应;
加入子单元,用于在所述判断子单元的判断结果为是时,将所述当前告警信息加入到所述已有类簇中,所述已有类簇中的各告警信息具有时序关系;
新建子单元,用于在所述判断子单元的判断结果为否时,为所述当前告警信息建立一个新的类簇。
其中,所述分析挖掘模块包括:
一步转移概率矩阵确定单元,用于通过马尔可夫性质算法对各个类簇进行分析,对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵;
马尔可夫链生成单元,用于将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链,一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。
其中,所述一步转移概率矩阵确定单元包括:
矩阵构建子单元,用于对于各个类簇,为各类簇构建一个为空的转移概率矩阵,按照类簇中的告警信息的时序关系,遍历各个类簇中的各个告警信息;
第一加值子单元,用于在某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中时,在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1;
第二加值子单元,用于在某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中时,在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列,将该两告警信息对应的攻击场景间的计数器加1;
归一处理子单元,用于将各类簇所对应的转移概率矩阵进行归一化处理,得到各类簇所属的攻击场景相对应的一步转移概率矩阵。
本发明实施例还提供一种服务器,包括上述所述的网络攻击场景的因果知识挖掘装置。
基于上述技术方案,本发明实施例提供的网络攻击场景的因果知识挖掘方法,将安全设备所上传的告警信息按照告警信息所属的攻击场景进行聚类,形成多个类簇,一个类簇对应一个攻击场景;从而对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。相比现有基于谓词的因果知识挖掘方法,本发明实施例将安全设备所产生的告警信息作为因果知识挖掘的数据源,整个挖掘过程无需任何人工辅助,其自动化程度明显高于现有技术;并且本发明实施例直接面向安全设备的告警信息进行因果知识的挖掘,除受安全设备漏报率的影响外,其可以挖掘出任何隐藏在告警信息中的潜在攻击模式的因果知识,能够对全面的网络攻击场景进行有效的因果知识挖掘。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络攻击场景的因果知识挖掘方法的流程图;
图2为本发明实施例提供的类簇形成方法的流程图;
图3为本发明实施例提供的挖掘出各个类簇对应的攻击场景的因果知识的方法流程图;
图4为本发明实施例提供的马尔可夫链的示意图;
图5为本发明实施例提供的一步转移概率矩阵的示意图;
图6为本发明实施例提供的生成一步转移概率矩阵的方法流程图;
图7为本发明实施例提供的告警信息的示意图;
图8为本发明实施例提供的两个类簇的示意图;
图9为本发明实施例提供的两个一步转移概率矩阵的示意图;
图10为本发明实施例提供的两个图形化的马尔可夫链的示意图;
图11为本发明实施例提供的一种网络攻击场景的因果知识挖掘装置的结构框图;
图12为本发明实施例提供的聚类模块的结构框图;
图13为本发明实施例提供的类簇形成单元的结构框图;
图14为本发明实施例提供的分析挖掘模块的结构框图;
图15为本发明实施例提供的一步转移概率矩阵确定单元的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种网络攻击场景的因果知识挖掘方法的流程图,该方法可应用于部署在网络中的服务器中,参照图1,该方法可以包括:
步骤S100、接收网络中的安全设备在经网络攻击后所上传的告警信息;
在网络攻击者对目标网络进行攻击时,攻击者的攻击动作将会触发目标网络中的安全设备,如IDS(入侵检测系统)、防火墙等生成告警信息(如日志告警);安全设备在生成告警信息后,将向服务器上传所生成的告警信息,所上传的告警信息即是本发明实施例进行因果知识挖掘的数据源;
可选的,告警ai可以简单描述为一个形如ai=(timestamp,pluginID,pluginSID,srcIP,srcPort,desIP,desPort,priority)的8元组,其中timestamp为安全设备检测到恶意特征的时间,pluginID为生成该告警信息的安全设备ID,pluginSID为告警信息在对应安全设备中的分类信息,srcIP和srcPort分别是攻击源IP地址和源端口,desIP和desPort分别是目的IP地址和目的端口,priority为告警的优先级。pluginID和pluginSID一起作为键值决定了告警的攻击类型。
步骤S110、按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;
可选的,本发明实施例可基于IP(Internet Protocol,网协)地址的相关性,按照各告警信息所属的攻击场景对各告警信息进行聚类,形成类簇,一个类簇对应一个攻击场景。
可选的,本发明实施例的告警信息聚类规则可以如下:如果告警ai和告警aj是地址相关可聚类的,那么ai的IP地址,不论是源IP地址或目的IP地址,总有一个和aj的源IP地址或目的IP地址相同(即具有IP地址相关性的任意两个告警信息,一个告警信息的源IP地址或目的IP地址中总有一个,与另一告警信息的源IP地址或目的IP地址相同)。由同一攻击活动触发的告警信息,彼此在IP地址分布上总是具有相关性,如多步攻击中,前一攻击步骤的目标节点可能就是下一攻击步骤的源节点,因此上述聚类规则的本质就是依据这种IP地址相关性,尽可能的将同一攻击活动的告警信息聚类在一起,为后续的因果知识挖掘提供客观准确的输入。具体的,可将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇。
步骤S120、对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。
本发明实施例提供的网络攻击场景的因果知识挖掘方法,将安全设备所上传的告警信息按照告警信息所属的攻击场景进行聚类,形成多个类簇,一个类簇对应一个攻击场景;从而对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。相比现有基于谓词的因果知识挖掘方法,本发明实施例将安全设备所产生的告警信息作为因果知识挖掘的数据源,整个挖掘过程无需任何人工辅助,其自动化程度明显高于现有技术;并且本发明实施例直接面向安全设备的告警信息进行因果知识的挖掘,除受安全设备漏报率的影响外,其可以挖掘出任何隐藏在告警信息中的潜在攻击模式的因果知识,能够对全面的网络攻击场景进行有效的因果知识挖掘。
可选的,本发明实施例将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇的实现方式可以如图2所示,图2为本发明实施例提供的类簇形成方法的流程图,参照图2,该方法可以包括:
步骤S200、判断当前告警信息的源IP地址或目的IP地址是否与,已有类簇的告警信息的源IP地址或目的IP地址对应,若是,执行步骤S210,若否,执行步骤S220;
已有类簇中所具有的告警信息的源IP地址或目的IP地址是对应相关的。
步骤S210、将所述当前告警信息加入到所述已有类簇中,所述已有类簇中的各告警信息具有时序关系;
若当前告警信息的源IP地址或目的IP地址,与已有类簇中的某一类簇的告警信息的源IP地址或目的IP地址相对应,则说明当前告警信息所属的攻击场景与该类簇对应的攻击场景一致,可将当前告警信息加入了该类簇中;
可选的,已有类簇中所具有的各告警信息具有时序关系,即各告警信息在类簇中按照原有的时序关系进行存储。
步骤S220、为所述当前告警信息建立一个新的类簇。
若当前告警信息的源IP地址或目的IP地址,与已有类簇中的某一类簇的告警信息的源IP地址或目的IP地址不对应,则说明已有类簇中没有任何一个类簇所对应的攻击场景,与当前告警信息所属的攻击场景一致,可为当前告警信息新建一个类簇,通过该新建的类簇来对应当前告警信息所属的攻击场景。
值得注意的是,对于下一个进行处理的告警信息,步骤S220新建的类簇将作为已有类簇;可通过循环执行图2所示方法,以使所有告警信息均进行聚类处理,得到最终的类簇。
为便于理解图2所示方法,可将图2所示方法中表达的聚类算法描述如下:当有告警信息上报时,如果该告警信息是第一条告警a0,那么此时没有任何类簇,构建第一个类簇A0,将a0添加到类簇A0中,并将a0的源IP地址和目的IP地址添加到A0对应的地址集IPset0中。可设集合IPseti存储的是类簇Ai中所有告警信息的IP地址,判断一条新产生的告警信息是否属于Ai,不需用该告警信息和Ai中的所有告警信息两两匹配,只需判断该告警信息的源IP地址或目的IP地址是否已存在集合IPseti中即可;如果上报的告警信息不是第一条告警信息,那么通过IP地址比对的方式,判断其属于哪个类簇,并更新对应类簇的地址集,如果上报的告警信息不属于任何一个已形成的类簇,那么类似a0为其新建立一个类簇。每次为类簇添加所属告警信息时,可保持告警信息间原有的时序关系。
在对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识的具体实现上,本发明实施例可采用不同的挖掘算法实现因果知识的挖掘,对于具体地因果知识挖掘算法本发明实施例并不作限制;作为一种优选方式,下面对基于马尔可夫性质的因果知识挖掘算法进行介绍,值得注意的是,下述介绍仅为优选方式,其不应成为本发明保护范围的限制。
可选的,在形成多个类簇后,可通过马尔可夫性质的因果知识挖掘算法对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识;对应的,图3示出了挖掘出各个类簇对应的攻击场景的因果知识的方法流程,参照图3,该方法可以包括:
步骤S300、通过马尔可夫性质算法对各个类簇进行分析,对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵;
步骤S310、将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链,一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。
马尔可夫链通常用于对离散事件的随机取值过程进行建模,图4是一个马尔可夫链的示例,也是本发明实施例最终挖掘出的因果知识示例。图中的每一个状态(节点)代表一种攻击类型,状态之间的转移概率表示攻击者从当前攻击类型转移到下一攻击类型的条件概率。马尔可夫链模型要求给定状态的所有转移概率之和必须等于1。
一阶马尔可夫性质也称马尔可夫性质,是指马尔可夫链下一时刻的状态取值只与当前状态有关,而与之前的状态序列无关。例如,如果当前状态为AttackType_k,那么下一时刻的状态为AttackType_x还是AttackType_y,仅与AttackType_x有关,而与之前的AttackType_i和AttackType_j无关。满足一阶马尔可夫性质的马尔可夫链称为一阶马尔可夫链,一阶马尔可夫链也可用一步转移概率矩阵表示,一步转移概率矩阵可如图5所示。本发明实施例基于马尔可夫性质的因果知识挖掘算法的核心内容就是从各个独立类簇中,挖掘出隐藏的一步转移概率矩阵。
可选的,步骤S300所示的生成一步转移概率矩阵的实现方式可以如图6所示,包括:
步骤S400、对于各个类簇,为各类簇构建一个为空的转移概率矩阵,按照类簇中的告警信息的时序关系,遍历各个类簇中的各个告警信息;
步骤S410、若某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中,则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1;
步骤S420、若某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中,则在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列,将该两告警信息对应的攻击场景间的计数器加1;
步骤S430、将各类簇所对应的转移概率矩阵进行归一化处理,得到各类簇所属的攻击场景相对应的一步转移概率矩阵。
值得注意的是,步骤S410和步骤S420为步骤S400下的两个不同的处理分支,两者没有严格先后顺序。
可结合下述描述对图6所示方法进行理解:针对类簇Ai,首先为其构建一个为空的转移概率矩阵T;然后按告警信息的时序,从头依次遍历类簇中的各个告警信息。如果告警信息ai和ai+1的时序依次出现,那么基于一阶马尔可夫性质,攻击类型ai+1.AttackType的出现仅与ai.AttackType有关,那么在矩阵T中将ai.AttackType到ai+1.AttackType间的计数器加1。如果告警对应的攻击类型不在矩阵中,那么先在T中新增加对应的行和列,然后再将新增行、列所对应的ai.AttackType到ai+1.AttackType间的计数器加1;依上述过程,处理完所有类簇后,为满足马尔可夫链要求,可对矩阵再进行归一化处理,将转移频率转换到转移概率;最终得到了对应攻击场景的一步转移概率矩阵。将一步转移概率矩阵转换成图形化的马尔可夫链因果知识,完成因果知识的挖掘。
本发明实施例最终给出的因果知识是马尔可夫链的形式,有效的解决了强关联因果知识灵活性不高的问题。通过将概率引入到因果知识中,利用转移概率描述不同攻击类型之间的潜在因果关系,提高了因果知识的客观性和准确性。同时概率的引入也有助于后续的基于概率知识的攻击意图推理、预测等工作。
可选的,本发明实施例可采用基于告警信息的IP地址相关性的告警聚类算法,和基于马尔可夫性质的因果知识挖掘算法,完成因果知识的挖掘;告警聚类算法和基于马尔可夫性质的因果知识挖掘算法的时间复杂度均为O(n)级,因此整个因果知识挖掘的过程是可伸缩的。同时,本技术方案也采用了并行处理技术(对各个类簇的挖掘可以并行进行),因此相比于现有技术,本发明实施例提供的网络攻击场景的因果知识挖掘方法的可扩展性更强。
现以示例方式对本发明实施例提供的网络攻击场景的因果知识挖掘方法进行介绍:
1、假设网络空间中发生了两种多步攻击活动,“消耗FTP(File TransferProtocol,文件传输协议)服务器磁盘空间的攻击”和“远程木马植入攻击”。两种攻击活动发生后,入侵检测(可选的,本实施例中的入侵检测设备为Snort,相应的后续因果知识中的攻击类型名称也是Snort定义的)等安全设备生成如图7所示的部分告警信息并上报。告警信息中的第2列和第3列分别是pluginID和pluginSID,二者一起决定了告警的攻击类型;
2、基于IP地址相关性的告警聚类算法对图7所示的告警信息进行聚类,产生如图8所示的两个类簇。其中第一个为“消耗FTP服务器磁盘空间”攻击场景的对应类簇,第二个为“远程木马植入”攻击场景的对应类簇;
3、基于马尔可夫性质的因果知识挖掘算法并行处理如图8所示的两个类簇,处理结束后对应的生成两个一步转移概率矩阵,如图9所示;
4、查找矩阵每一行和每一列对应的攻击类型名称,绘制图形化的马尔可夫链因果知识,结果如图10所示。其中图10中的左图为“消耗FTP服务器磁盘空间”攻击场景的模板知识,从中可以看出此类攻击场景一般都经过了端口扫描、口令猜测(导致FTP认证失败)、口令暴力破解以及大流量传输(导致Netflow异常)等几个步骤。图10中的右图为“远程木马植入”攻击场景的模板知识,此类攻击场景一般都经过了端口扫描、Telnet登陆尝试、缓冲区溢出攻击、木马程序远程安装(告警类型为RSERVICES Rsh root)、木马程序交互(告警类型为Mstream_Zombie)等几个步骤。将生成的两个因果知识存入到因果知识库中,供后续的告警实时关联分析使用,以支撑攻击场景的实时重构等。
下面对本发明实施例提供的网络攻击场景的因果知识挖掘装置进行介绍,下文描述的网络攻击场景的因果知识挖掘装置与上文描述的网络攻击场景的因果知识挖掘方法可相互对应参照。
图11为本发明实施例提供的一种网络攻击场景的因果知识挖掘装置的结构框图,该装置可应用于部署在网络中的服务器中,参照图11,该装置可以包括:
接收模块100,用于接收网络中的安全设备在经网络攻击后所上传的告警信息;
聚类模块200,用于按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;
分析挖掘模块300,用于对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。
本发明实施例提供的网络攻击场景的因果知识挖掘装置,具有较高的自动化程度,能够对全面的网络攻击场景进行有效的因果知识挖掘。
可选的,聚类模块200的结构可如图12所示,包括:
类簇形成单元210,用于将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇。
图13示出了类簇形成单元210的一种可选结构,参照图13,类簇形成单元210可以包括:
判断子单元211,用于判断当前告警信息的源IP地址或目的IP地址是否与,已有类簇的告警信息的源IP地址或目的IP地址对应;
加入子单元212,用于在判断子单元211的判断结果为是时,将所述当前告警信息加入到所述已有类簇中,所述已有类簇中的各告警信息具有时序关系;
新建子单元213,用于在判断子单元211的判断结果为否时,为所述当前告警信息建立一个新的类簇。
图14示出了分析挖掘模块300的一种可选结构,参照图14,分析挖掘模块300可以包括:
一步转移概率矩阵确定单元310,用于通过马尔可夫性质算法对各个类簇进行分析,对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵;
马尔可夫链生成单元320,用于将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链,一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。
图15示出了一步转移概率矩阵确定单元310的一种可选结构,参照图15,一步转移概率矩阵确定单元310可以包括:
矩阵构建子单元311,用于对于各个类簇,为各类簇构建一个为空的转移概率矩阵,按照类簇中的告警信息的时序关系,遍历各个类簇中的各个告警信息;
第一加值子单元312,用于在某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中时,在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1;
第二加值子单元313,用于在某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中时,在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列,将该两告警信息对应的攻击场景间的计数器加1;
归一处理子单元314,用于将各类簇所对应的转移概率矩阵进行归一化处理,得到各类簇所属的攻击场景相对应的一步转移概率矩阵。
本发明实施例还提供一种服务器,该服务器可以包括上述所述的网络攻击场景的因果知识挖掘装置,对于该装置的描述可参照上文图11~图15部分的描述,此处不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络攻击场景的因果知识挖掘方法,其特征在于,包括:
接收网络中的安全设备在经网络攻击后所上传的告警信息;
按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;
对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。
2.根据权利要求1所述的方法,其特征在于,所述按照告警所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景的过程包括:
将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇。
3.根据权利要求2所述的方法,其特征在于,所述将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇包括:
判断当前告警信息的源IP地址或目的IP地址是否与,已有类簇的告警信息的源IP地址或目的IP地址对应;
若是,将所述当前告警信息加入到所述已有类簇中,所述已有类簇中的各告警信息具有时序关系;
若否,为所述当前告警信息建立一个新的类簇。
4.根据权利要求2或3所述的方法,其特征在于,所述对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识包括:
通过马尔可夫性质算法对各个类簇进行分析,对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵;
将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链,一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。
5.根据权利要求4所述的方法,其特征在于,所述对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵包括:
对于各个类簇,为各类簇构建一个为空的转移概率矩阵,按照类簇中的告警信息的时序关系,遍历各个类簇中的各个告警信息;
若某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中,则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1;
若某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中,则在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列,将该两告警信息对应的攻击场景间的计数器加1;
将各类簇所对应的转移概率矩阵进行归一化处理,得到各类簇所属的攻击场景相对应的一步转移概率矩阵。
6.一种网络攻击场景的因果知识挖掘装置,其特征在于,包括:
接收模块,用于接收网络中的安全设备在经网络攻击后所上传的告警信息;
聚类模块,用于按照告警信息所属的攻击场景对各告警信息进行聚类,形成多个类簇,一个类簇对应一个攻击场景;
分析挖掘模块,用于对各个类簇进行分析,挖掘出各个类簇对应的攻击场景的因果知识。
7.根据权利要求6所述的装置,其特征在于,所述聚类模块包括:
类簇形成单元,用于将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景,将属于同一攻击场景的告警信息聚成一个类簇,形成多个类簇;
所述类簇形成单元包括:
判断子单元,用于判断当前告警信息的源IP地址或目的IP地址是否与,已有类簇的告警信息的源IP地址或目的IP地址对应;
加入子单元,用于在所述判断子单元的判断结果为是时,将所述当前告警信息加入到所述已有类簇中,所述已有类簇中的各告警信息具有时序关系;
新建子单元,用于在所述判断子单元的判断结果为否时,为所述当前告警信息建立一个新的类簇。
8.根据权利要求6或7所述的装置,其特征在于,所述分析挖掘模块包括:
一步转移概率矩阵确定单元,用于通过马尔可夫性质算法对各个类簇进行分析,对于各个类簇,按照类簇中的告警信息的时序关系,确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵;
马尔可夫链生成单元,用于将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链,一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。
9.根据权利要求8所述的装置,其特征在于,所述一步转移概率矩阵确定单元包括:
矩阵构建子单元,用于对于各个类簇,为各类簇构建一个为空的转移概率矩阵,按照类簇中的告警信息的时序关系,遍历各个类簇中的各个告警信息;
第一加值子单元,用于在某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中时,在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1;
第二加值子单元,用于在某个类簇的相邻的两告警信息的时序存在接续关系,且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中时,在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列,将该两告警信息对应的攻击场景间的计数器加1;
归一处理子单元,用于将各类簇所对应的转移概率矩阵进行归一化处理,得到各类簇所属的攻击场景相对应的一步转移概率矩阵。
10.一种服务器,其特征在于,包括权利要求6-9任一项所述的网络攻击场景的因果知识挖掘装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310681330.7A CN103746961B (zh) | 2013-12-12 | 2013-12-12 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310681330.7A CN103746961B (zh) | 2013-12-12 | 2013-12-12 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103746961A true CN103746961A (zh) | 2014-04-23 |
| CN103746961B CN103746961B (zh) | 2017-03-15 |
Family
ID=50503948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310681330.7A Expired - Fee Related CN103746961B (zh) | 2013-12-12 | 2013-12-12 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103746961B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| CN107645493A (zh) * | 2017-08-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种ip组相似度计算方法 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN109286511A (zh) * | 2017-07-19 | 2019-01-29 | 东软集团股份有限公司 | 数据处理的方法及装置 |
| CN109684181A (zh) * | 2018-11-20 | 2019-04-26 | 华为技术有限公司 | 告警根因分析方法、装置、设备及存储介质 |
| CN110535866A (zh) * | 2019-09-02 | 2019-12-03 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
| CN111709022A (zh) * | 2020-06-16 | 2020-09-25 | 桂林电子科技大学 | 基于ap聚类与因果关系的混合报警关联方法 |
| CN112385196A (zh) * | 2018-07-18 | 2021-02-19 | 比特梵德知识产权管理有限公司 | 用于报告计算机安全事故的系统和方法 |
| CN113037776A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种电力系统信息资产安全监控方法 |
| CN113923009A (zh) * | 2021-09-30 | 2022-01-11 | 中通服创立信息科技有限责任公司 | 一种网络安全事件溯源分析方法、装置、介质及电子设备 |
| CN114070593A (zh) * | 2021-11-09 | 2022-02-18 | 全球能源互联网研究院有限公司 | 一种基于多级告警和联动防御的虚拟网络安全管控方法 |
| CN114978778A (zh) * | 2022-08-01 | 2022-08-30 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
| CN115001753A (zh) * | 2022-05-11 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
| CN115051870A (zh) * | 2022-06-30 | 2022-09-13 | 浙江网安信创电子技术有限公司 | 一种基于因果发现检测未知网络攻击的方法 |
| CN115102778A (zh) * | 2022-07-11 | 2022-09-23 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115499245A (zh) * | 2022-11-16 | 2022-12-20 | 广东电网有限责任公司江门供电局 | 一种基于关联检测的事中实时告警方法和系统 |
| CN115801458A (zh) * | 2023-02-02 | 2023-03-14 | 南京赛宁信息技术有限公司 | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150958A1 (en) * | 2005-12-22 | 2007-06-28 | Daesik Choi | N grouping of traffic and pattern-free Internet worm response system and method using N grouping of traffic |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
| CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| CN101778112A (zh) * | 2010-01-29 | 2010-07-14 | 中国科学院软件研究所 | 一种网络攻击检测方法 |
| CN102355361A (zh) * | 2011-06-30 | 2012-02-15 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
| CN103139220A (zh) * | 2013-03-07 | 2013-06-05 | 南京理工大学常熟研究院有限公司 | 一种状态攻防图模型的网络安全攻击防御方法 |
-
2013
- 2013-12-12 CN CN201310681330.7A patent/CN103746961B/zh not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150958A1 (en) * | 2005-12-22 | 2007-06-28 | Daesik Choi | N grouping of traffic and pattern-free Internet worm response system and method using N grouping of traffic |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
| CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| CN101778112A (zh) * | 2010-01-29 | 2010-07-14 | 中国科学院软件研究所 | 一种网络攻击检测方法 |
| CN102355361A (zh) * | 2011-06-30 | 2012-02-15 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
| CN103139220A (zh) * | 2013-03-07 | 2013-06-05 | 南京理工大学常熟研究院有限公司 | 一种状态攻防图模型的网络安全攻击防御方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王璐璐: "基于告警因果关系和概率统计的攻击场景重建方法的研究", 《上海交通大学硕士学位论文》 * |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| CN109286511A (zh) * | 2017-07-19 | 2019-01-29 | 东软集团股份有限公司 | 数据处理的方法及装置 |
| CN109286511B (zh) * | 2017-07-19 | 2021-10-08 | 东软集团股份有限公司 | 数据处理的方法及装置 |
| CN107645493A (zh) * | 2017-08-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种ip组相似度计算方法 |
| CN107645493B (zh) * | 2017-08-20 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种ip组相似度计算方法 |
| CN112385196A (zh) * | 2018-07-18 | 2021-02-19 | 比特梵德知识产权管理有限公司 | 用于报告计算机安全事故的系统和方法 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN109684181A (zh) * | 2018-11-20 | 2019-04-26 | 华为技术有限公司 | 告警根因分析方法、装置、设备及存储介质 |
| CN110535866A (zh) * | 2019-09-02 | 2019-12-03 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| CN110535866B (zh) * | 2019-09-02 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
| CN111709022A (zh) * | 2020-06-16 | 2020-09-25 | 桂林电子科技大学 | 基于ap聚类与因果关系的混合报警关联方法 |
| CN113037776A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种电力系统信息资产安全监控方法 |
| CN113923009A (zh) * | 2021-09-30 | 2022-01-11 | 中通服创立信息科技有限责任公司 | 一种网络安全事件溯源分析方法、装置、介质及电子设备 |
| CN114070593A (zh) * | 2021-11-09 | 2022-02-18 | 全球能源互联网研究院有限公司 | 一种基于多级告警和联动防御的虚拟网络安全管控方法 |
| CN115001753B (zh) * | 2022-05-11 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
| CN115001753A (zh) * | 2022-05-11 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
| CN115051870A (zh) * | 2022-06-30 | 2022-09-13 | 浙江网安信创电子技术有限公司 | 一种基于因果发现检测未知网络攻击的方法 |
| CN115051870B (zh) * | 2022-06-30 | 2024-02-06 | 浙江网安信创电子技术有限公司 | 一种基于因果发现检测未知网络攻击的方法 |
| CN115102778A (zh) * | 2022-07-11 | 2022-09-23 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115102778B (zh) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN114978778B (zh) * | 2022-08-01 | 2022-10-28 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
| CN114978778A (zh) * | 2022-08-01 | 2022-08-30 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
| CN115499245A (zh) * | 2022-11-16 | 2022-12-20 | 广东电网有限责任公司江门供电局 | 一种基于关联检测的事中实时告警方法和系统 |
| CN115801458A (zh) * | 2023-02-02 | 2023-03-14 | 南京赛宁信息技术有限公司 | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103746961B (zh) | 2017-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103746961A (zh) | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 | |
| CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
| CN111177417B (zh) | 基于网络安全知识图谱的安全事件关联方法、系统、介质 | |
| Wang et al. | A network gene-based framework for detecting advanced persistent threats | |
| CN101282332B (zh) | 面向网络安全告警关联的攻击图生成系统 | |
| CN102724199B (zh) | 基于贝叶斯网络推理的攻击意图识别方法 | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN101242278A (zh) | 网络多步攻击意图在线识别方法 | |
| CN108076040A (zh) | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 | |
| CN106899435A (zh) | 一种面向无线入侵检测系统的复杂攻击识别技术 | |
| CN107517216A (zh) | 一种网络安全事件关联方法 | |
| CN110674503B (zh) | 一种基于图卷积神经网络的智能合约死循环检测方法 | |
| CN110474885A (zh) | 基于时间序列与ip地址的报警关联分析方法 | |
| CN113965469B (zh) | 网络数据分析模型的构建方法 | |
| Ahmadian Ramaki et al. | Causal knowledge analysis for detecting and modeling multi‐step attacks | |
| Vargas-Muñoz et al. | Classification of network anomalies in flow level network traffic using Bayesian networks | |
| CN104166708A (zh) | 基于社交网络和半马尔可夫过程的手机病毒传播建模方法 | |
| CN113225337A (zh) | 一种多步攻击警报关联方法、系统和存储介质 | |
| CN104159089A (zh) | 一种异常事件报警高清视频智能处理器 | |
| CN114499982A (zh) | 蜜网动态配置策略生成方法、配置方法及存储介质 | |
| Roschke et al. | High-quality attack graph-based IDS correlation | |
| CN113822355A (zh) | 基于改进的隐马尔可夫模型的复合攻击预测方法及装置 | |
| CN112364304A (zh) | 一种区块链的日蚀攻击检测方法及装置 | |
| CN114430331A (zh) | 一种基于知识图谱的网络安全态势感知方法及系统 | |
| Il-Agure et al. | The semantics of anomalies in IoT integrated BlockChain network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170315 Termination date: 20181212 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |