CN104219253A - 多步攻击警报关联网络服务接口开发方法 - Google Patents
多步攻击警报关联网络服务接口开发方法 Download PDFInfo
- Publication number
- CN104219253A CN104219253A CN201410535425.2A CN201410535425A CN104219253A CN 104219253 A CN104219253 A CN 104219253A CN 201410535425 A CN201410535425 A CN 201410535425A CN 104219253 A CN104219253 A CN 104219253A
- Authority
- CN
- China
- Prior art keywords
- alarm
- super
- network service
- service interface
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种多步攻击警报关联网络服务接口开发方法,属于网络信息安全领域。针对多步攻击的警报关联网络服务接口开发方法的流程设计,包括数据处理、警报关联以及网络服务接口开发三个模块;通过模糊积分计算模糊测度值,根据测度值进行警报合并入超警报,根据警报合并情况更新积分值代表的阈值,根据积分值进行超警报队列中超警报的生成、淘汰、删除。采用模糊积分的方式实现警报关联,并通过网络服务接口的方式进行发布并提供调用。用以弥补传统入侵检测系统对系统资源消耗大,以及无法适用于多种终端,尤其是移动终端的问题。能够减轻网络安全工作人员的负担,有针对性的进行复杂网络攻击行为的防护。
Description
技术领域
本发明涉及网络信息安全领域,特别涉及一种多步攻击警报关联网络服务接口开发方法,是一种以模糊积分进行多步攻击警报关联的方法,通过开放网络服务接口,可供多种不同网络以及终端调用进行警报关联。
背景技术
随着计算机给人们的生活工作方式带来巨大改变,各种安全问题不断地出现,严重威胁到个人、公司甚至国家信息的安全。传统的保护计算机安全的方法,主要是被动防御,例如防火墙、加密、杀毒软件等。入侵检测系统IDS采用主动的方法,对网络中潜在的以及正在进行的威胁进行实时检测,是确保网络安全有效方法。
IDS(Intrusion Detection Systems 入侵检测系统)的概念最早提出于二十世纪八十年代,目前已经开发出了许多商用的产品,这些产品有相应的适合环境、用户,甚至特定的攻击。根据检测对象不同,入侵检测系统还可以分为基于主机、基于网络、以及混合型。但是,目前的入侵检测系统通常都只能检测单独的攻击,并且发出警报,因此对网络中存在的复杂的多步攻击,往往造成大量的警报,使得分析和处理都有很大的难度,因此警报关联对于发现复杂攻击具有重要的意义。
多步攻击过程通常是由多个相互关联的步骤组成的,其中前一个攻击步骤,往往是后一个步骤发生的条件。常见的警报之间的关系例如重复、并发、时间、因果、协同等。这种多步攻击手段,根据单独的攻击步骤,难以区分攻击手段和目的,因此这种隐蔽性极强的攻击方式,给现有的安全设备带来了巨大的挑战。
警报关联针对大量的、重复的、具有一定关联的警报进行分析,获取其相互联系,对于识别多步攻击具有十分重要的意义。典型的警报关联方法有如下五种:基于属性相似度,基于已知场景,基于因果关系,基于关联规则,基于统计分析。
Web API是实现网络服务接口的有效技术之一,可以生成适用于多种客户端(包括浏览器和移动设备)的 HTTP 服务。Web API网络应用程序接口的开发主要包括:Web API网络应用程序接口数据模型的定义,Web API网络应用程序接口控制器的构建,Web API网络应用程序接口呈现视图的设计以及最终Web API网络应用程序接口的发布。其中,Web API网络应用程序接口数据模型是应用程序接口的模型逻辑层,用于处理应用程序数据逻辑的部分;Web API网络应用程序接口控制器是应用程序接口的控制器逻辑层,是应用程序中处理用户交互的部分,读取数据、控制输入,并发送数据;Web API网络应用程序接口呈现视图是应用程序接口的视图逻辑层,是应用程序中处理数据显示的部分。Web API网络应用程序接口的发布是通过在IIS中创建站点,将相关文件部署到服务器上。
模糊测度和模糊积分最早于20世纪70年代提出,近年来普遍应用于信息融合、信息关联等领域。模糊积分通过定义一组非负非可加的单调集函数作为模糊测度,度量模糊程度,来表示不同分类器之间的相互影响。Choquet模糊积分是乘积求和算子的组合,当相应的模糊测度不具备线性可加性时,对应的积分也不具有线性可加性。
设 是上的模糊测度,为定义在上的非负实值函数,关于的Choquet积分公式,定义如下:
其中,,当为一个有限集合,并且时,上述公式可以简化为
现有的背景技术中,针对入侵检测警报关联、模糊积分的研究较多,但大部分的研究都偏向于理论,在实际应用中较少。而网络服务接口是近几年有广泛的应用技术。传统的多步攻击警报关联系统由于具有一定的复杂性,因此对系统资源消耗较大,并不适合于应用在小终端上,这限制了在终端进行入侵检测以及警报关联的发展。
发明内容
本发明的目的在于提供一种多步攻击警报关联网络服务接口开发方法,解决了现有技术存在的上述问题。是一种基于模糊积分的多步攻击警报关联系统,并以网络服务接口的方式进行发布,以方便多种终端下进行调用。同时警报关联部分用以解决传统入侵检测技术只能识别单个攻击,对于多个步骤的复杂网络攻击行为难以处理的问题,针对关键节点上的大量的警报信息进行分析和关联。本发明中,模糊积分在入侵检测警报关联中,主要应用在超警报的训练和超警报的关联中。本发明提出一种实用的网络安全数据处理方法,采用模糊积分对多步攻击进行关联,并且进一步的网络服务接口,可供多种类型的终端调用。
本发明的上述目的通过以下技术方案实现:
多步攻击警报关联网络服务接口开发方法,针对多步攻击的警报关联网络服务接口开发方法的流程设计,包括数据处理、警报关联以及网络服务接口开发三个模块;通过模糊积分计算模糊测度值,根据测度值进行警报合并入超警报,根据警报合并情况更新积分值代表的阈值,根据积分值进行超警报队列中超警报的生成、淘汰、删除;具体步骤如下:
(1)定义攻击类别、警报、超警报三种数据结构:
(1.1)攻击类别数据结构定义,包含攻击类别、名称、特征属性测度值、类别指针、最大连接数、目前超警报数量等六项;
(1.2)警报数据结构定义,包含源IP、源端口、目的IP、目的端口、时间戳、协议类型、标识位、源MAC、目的MAC、警报ID等十项;
(1.3)超警报数据结构定义,包含超警报ID、超警报名称、时间戳、警报数、积分阈值、成熟度、时间计数器、成熟标识、后项指针、积分值数值、最小积分值等11项;
(2)警报数据的预处理:
(2.1)IP地址相似度计算:通过两个IP地址的相同位数计算IP地址相似度;
(2.2)协议类型相似度计算,通过对协议类型进行编号,两条警报协议类型的相似度值相同为1,不同为0;
(2.3)时间戳相似度计算:设定时间窗口为T,当两条警报时间戳大于T时,认为相似度为0,当小于T时,通过计算;
(2.4)端口相似度计算:两条警报,端口相同时,相似度为1,否则为0;
(3)将警报训练为超警报,其过程包括:
(3.1)超警报队列融合警报;
(3.2)计算模糊积分值;
(3.3)合并警报与超警报;
(3.4)调整积分阈值;
(3.5)生成新的超警报;
(3.6)超警报淘汰;
(3.7)删除超警报;
(3.8)插入超警报。
(4)警报关联网络服务接口数据模型类中定义了Attacts模型,表示一条超警报关联信息;其中定义的数据属性包括:(a)用来描述攻击步骤名称的AttactStep;(b)用来描述攻击发生日期的AttactDate;(c)用来描述攻击发生的具体时间的AttactTime;(d)用来描述源IP地址的AttactIP_Source;(e)用来描述目的IP地址的AttactIP_Dest;(f)用来描述关联IP数目的AttactNum;
(5)警报关联网络服务接口控制器的构建,定义了三个主要的函数:
(5.1)函数GetAllAttactsInfo():调用了函数ProduceInfo()和函数InfoFromDataBase(),用来实现Http请求,返回超警报关联信息;
(5.2)函数ProduceInfo():产生超警报关联信息并且将其保存至数据库;
(5.3)函数InfoFromDataBase():从数据库里面获取超警报关联信息并且创建数据模型对象。
本发明的有益效果在于:与现有技术相比,本发明的警报关联部分能够以通用IDMEF警报数据格式为输入,依据属性相似度函数进行关键属性的预处理,并依据针对多步攻击特性设计的数据表示格式进行警报数据存储,然后依据模糊积分计算方法和警报关联原则进行计算分析,得到对应的超警报序列作为输出。通过网络接口数据模型的定义,网络接口控制器的构建以及网络接口模型呈现视图的设计,发布警报关联服务接口。能够以网络服务接口的形式,解决当前入侵检测系统数据量大、难以应用于智能终端等问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明的系统整体结构示意图;
图2为本发明的警报训练为超警报过程示意图;
图3为本发明实施例的LLDOS1.0攻击过程;
图4为本发明实施例的警报关联系统首页示意图;
图5为本发明实施例的文件上传页面示意图;
图6为本发明实施例的警报关联结果。
具体实施方式
下面结合附图进一步说明本发明的详细内容及其具体实施方式。
参见图1至图6所示,本发明的多步攻击警报关联网络服务接口开发方法,是一种基于模糊积分的多步攻击警报关联系统,并以网络服务接口的方式进行发布,以方便多种终端下进行调用。同时警报关联部分用以解决传统入侵检测技术只能识别单个攻击,对于多个步骤的复杂网络攻击行为难以处理的问题,针对关键节点上的大量的警报信息进行分析和关联。系统整体结构如附图1所示,包括数据处理、警报关联以及网络服务接口开发三个模块,具体是:
1、数据结构设计
(1)攻击类别数据结构
表1 攻击类别数据结构
内容 | 说明 |
攻击类别(Attack_ID) | 唯一标识一个特定的攻击类别 |
名称(Attack_Name) | 用于攻击过程标识和攻击场景的呈现 |
特征属性测度值(Attack_Attribute) | 根据特征属性值的重要程度赋予不同的测度值 |
类别指针(Attack_Pointer) | 指向每一个攻击类别中超警报队列的对头 |
最大连接数(Attack_Max_Halert_Number) | 每一类攻击所能容纳的超警报的数量 |
目前超警报数量(Halert_Number) | 攻击类别中已经链接的超警报数量 |
(2)警报数据结构
表2 警报数据结构
内容 | 说明 |
源IP(Source_IP) | 识别攻击的发起者 |
源端口(Source_Port) | 识别源主机上正在运行的服务 |
目的IP(Desti_IP) | 一般标识的机器为受害者,但并不尽然 |
目的端口(Desti_Port) | 识别目的主机上正在运行哪些服务,从而识别攻击的的,尤其是对特定端口号进行的服务 |
时间戳(Alert_Time) | 警报被创建的时间,用于对时间要求较高的警报融合和超警报的关联 |
协议类型(Alert_Protocol) | 警报的类型 |
标识位(Alert_Flag) | 标识一条警报是否已经融合进超警报 |
源MAC(Source_MAC) | 标识发送数据包的MAC地址,用于对于IP、MAC伪造数据包攻击的关联 |
目的MAC(Desti_MAC) | 标识目的主机的MAC地址 |
警报ID(Alert_ID) | 唯一标识一个警报 |
(3)超警报数据结构
超警报是指一类具有相同的特征的警报的抽象结构。
表3 超警报数据结构
2、特征相似度
本发明主要选取超警报的8个重要特征属性,利用模糊积分进行关联值的计算,包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型、警报时间戳、警报类型、MAC 地址。
(1)IP地址相似度
警报 A1、A2 的源 IP 设为、,二者IP地址异或为s,为s的位数,其结果是一个在[0,1]区间内的数值:
(2)协议类型相似度
警报 A1、A2 的协议类型分别为、,将协议类型进行编号,例如TCP标识为0,UDP标识为1等。因此,协议类型转换规则,当协议类型相同时,相似度为1,当协议类型不同时,相似度为0。
(3)时间戳相似度
警报A1、A2的时间戳为、,设定时间窗口为 T,当两条警报时间戳小于T时,表明两个警报具有时间上的关联;当时间戳差大于T时,认为二者没有时间上关联。当二者有时间关联时,定义时间关联如下:
(4)端口相似度
警报 A1、A2 的源端口号为、,当两个警报的端口一致,认为警报是针对同一服务类型的攻击,端口转换函数值为1;否则为 0。
3、警报关联过程
这是将警报训练为超警报、并且进行警报关联的过程,Ai为待处理的警报,首先将其从警报队列中移除,若该警报属于本攻击队列,则将其与队列中超警报进行融合,否则,抛弃该警报。警报关联过程如附图2所示。
(1)超警报队列形成
根据模糊积分值,当警报与超警报之间的积分值不小于阈值时,认为该条警报可以融合到超警报中。初始构建一个超警报队列时,将该类别攻击的警报插入队列中,作为超警报队列的第一个元素。其中参数如上述的定义,算法过程描述如下:
Step1、若超警报指针(Haler_Pointer)为空,跳转Step3;
Step2、对于每一条警报,若其与超警报的模糊积分值大于融合积分值(Halert_Value),并且标志(Alert_Flag)为0,则合并警报与超警报;否则丢弃;
Step3、若超警报成熟值为0,若有新的超警报需要加入超警报队列,则淘汰垃圾超警报,产生一个新的超警报,并且插入超警报队列队尾;
Step4、结束。
(2)计算模糊积分值
应用于将警报融入超警报,以及对超警报进行关联即最终形成超警报队列两个方面。将data数组中的属性值进行排序后,存放在temp数组中,实现坐标的变换,在满足Choquet积分的单调性要求之后,进行积分值计算。
Step1、建立浮点型数组data[2][3]初始为0,temp[2][3]初始为 0;
Step2、data[0][0]赋值为地址属性值,data[0][1] 赋值为时间属性值,data[0][2] 赋 值为协议属性值;
Step3、data[1][0] = 1,data[1][1] = 2,data[1][2] = 3;
Step4、temp[2][3]赋值为data[2][3]的第一行元素按照升序排列,temp[2][3]赋值为data[2][3]第二行相应的标号;
Step5、通过temp[2][3]数组中的第二行所标记的元素在 data[2][3]中的位置,找到第一行元素对应的测度值,计算temp[2][3]数组中的第一行元素的积分值;
Step6、结束。
(3)合并警报与超警报
Step1、更新超警报时间计数器Halert_Time, 警报指针Halert_Pointer,融合警报数量Alert_Number加1;
Step2、调整成熟标识Halert_Flag,更新积分值数组,最小积分值位置,调整积分阈值,警报的Alert_Flag值置1;
Step3、当警报成熟度不为1,若Alert_Number大于等于Halert_Mature,则警报成熟度标识置1,否则Halert_Timer设为非成熟超警报的计数器值;若警报成熟度为1,Halert_Timer设为成熟超警报的计数器值;
Step4、结束。
(4)更新积分阈值
Step1、若数组中元素个数<6,则将满足积分阈值的积分值依次赋给数组元素,调整最小积分值下标;
若新积分值>积分数组中的最小值,则以新积分值替换掉最小值;调整最小积分值下标;调整模糊积分阈值;
Step2、结束。
(5)生成新超警报
Step1、超警报标识Halert_ID在队尾超警报标识的基础上加1;
Step2、超警报时间戳为原型警报时间戳;
Step3、超警报名称为攻击类别名与ID号码的组合;
Step4、超警报融合警报数量为1,超警报积分值为1,成熟度为设定值,时间计数器为初始值;
Step5、超警报成熟标识设置为否,超警报后项指针设置为空;
Step6、警报指针指向原型警报;
Step7、积分数组赋值为0,最小积分值标号为0;
Step8、结束。
在产生一个新的超警报之前,先判断超警报队列目前所容纳的超警报数量,是否超过了所能容纳的最大值,如果已经无法再容纳新的超警报,则触发超警报淘汰程序,对队列中那些利用价值相对小的超警报进行淘汰,然后将新建立的超警报链入超警报队列队尾。
(6)超警报淘汰
若超警报数量Halert_Number超过该类攻击所能容纳的最多超警报数量Attack_Max_Halert_Number,则触发超警报淘汰程序。Delete_Flag 用于表示是否已经有一个超警报被删除,初始值为0。
Step1、若Attack_Max_Halert_NumberHalert_Number,若当前的超警报的计数器值小于给定阈值,则删除当前超警报,并且Delete_Flag置1;
Step2、若Delete_Flag==0,删除超警报队列的第一个超警报;
Step3、结束。
(7)删除超警报
以下两种情况下,需要调用超警报删除算法,(1)某一类攻击目前的超警报数量Halert_Number已经超过该类攻击所能容纳的超警报数量限制;(2)由超警报时间计数器所触发的删除。其中,Hyper_Halert_ID 为要删除的超警报 ID,P1 指向超警报队列的头超警报,超警报的删除也分两种情况,(1)删除超警报队列头,并且需要将其后的超警报 ID 设置为 1,用于标识一个超警报队列的第一个超警报;(2)删除非超警报队列头。
(8)插入超警报
Halert_New指将被插入的超警报,当向一个超警报队列添加一个新的超警报时,分为两种情况,即超警报队列的头超警报和超警报队列的非头超警报,这里将其插入到超警报队列的队尾,设定队尾指针Halert_Rear指向队尾。
4、网络服务接口开发
(1)网络接口数据模型的定义
定义了Attacts模型,表示一条超警报关联信息。在该模型中,主要定义了如下几个超警报属性:AttactStep,AttactDate,AttactTime,AttactIP_Source,AttactIP_Dest,AttactNum。其中AttactStep属性用来描述攻击步骤名称;AttactDate属性用来描述攻击发生的日期;AttactTime属性用来描述攻击发生的具体时间;AttactIP_Source属性用来描述源IP地址;AttactIP_Dest属性用来描述目的IP地址;AttactNum用来描述关联的IP数目。定义的代码如下:
public class Attacts
{
public string AttactStep { get; set; }
public string AttactDate { get; set; }
public string AttactTime { get; set; }
public string AttactIP_Source { get; set; }
public string AttactIP_Dest { get; set; }
public int AttactNum { get; set; }
}
(2)网络接口控制器的构建
定义的主要函数及其功能描述如下:
GetAllAttactsInfo()函数:调用了ProduceInfo()函数和InfoFromDataBase()函数,返回超警报关联数据信息,用于响应Http请求。
ProduceInfo()函数调用了InfoFromFile()函数,主要用来产生超警报关联信息,并且将最终的超警报关联信息逐条存入数据库中保存。
InfoFromDataBase()函数主要用来从数据库中获取超警报关联信息,创建Attacts模型对象实例。
InfoFromFile()函数用来处理上传的预处理文件,提取其中的信息供ProduceInfo()函数使用。
实施例:
1、LLDOS1.0攻击
本发明使用安全领域广泛应用的DARPA2000数据集中的LLDOS1.0攻击数据作为实验数据,进行本发明的具体实施方式说明。该数据集的时间为2000年3月7日9时25分至12时35分,共产生33907个警报,其中33786条警报与LLDOS1.0攻击相关。其中攻击过程如附图3所示。
2、警报关联系统首页如附图4所示,其中,文件上传页面如附图5所示。
3、对LLDOS1.0进行警报关联后,总警报输入数量、超警报训练、超警报关联的警报数量之间的关系。结果如附图6所示。
4、对上述关联结果的统计结果如表5所示。
表5 LLDOS1.0警报、超警报训练、超警报关联的警报数量关系表
关联指标 | 步骤1 | 步骤2 | 步骤3 | 步骤4 | 步骤5 |
原始警报总数量 | 3 | 14 | 12 | 6 | 33782 |
超警报融合的警报数量 | 3 | 14 | 12 | 6 | 33782 |
超警报的数量 | 3 | 3 | 3 | 5 | 1 |
正确的警报数量 | 3 | 14 | 12 | 6 | 33751 |
实际正确关联警报数量 | 3 | 14 | 12 | 6 | 33751 |
孤立警报数量 | 0 | 0 | 0 | 0 | 0 |
根据LLDOD1.0的攻击过程图,对上述表格中的数据进行如下解释。例如步骤1,Sadmind_Ping总共有三条警报,即原始警报总数量为3,采用上述方法,超警报融合的警报数量为3,同时形成了3条超警报,这说明3条警报已经被正确的发现,由于3条警报的目的IP地址是不同的,所以分别单独关联形成了3条超警报。对于步骤2,由于14条警报的目的IP包含三个,所以也形成了3条超警报,下面的结果解读也如此,该方法能够有效的实现多步攻击警报关联。
以上所述仅为本发明的优选实例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡对本发明所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种多步攻击警报关联网络服务接口开发方法,其特征在于:针对多步攻击的警报关联网络服务接口开发方法的流程设计,包括数据处理、警报关联以及网络服务接口开发三个模块;通过模糊积分计算模糊测度值,根据测度值进行警报合并入超警报,根据警报合并情况更新积分值代表的阈值,根据积分值进行超警报队列中超警报的生成、淘汰、删除。
2.根据权利要求1所述的多步攻击警报关联网络服务接口开发方法,其特征在于:具体步骤如下:
(1)定义攻击类别、警报、超警报三种数据结构:
(1.1)攻击类别数据结构定义,包含攻击类别、名称、特征属性测度值、类别指针、最大连接数、目前超警报数量六项;
(1.2)警报数据结构定义,包含源IP、源端口、目的IP、目的端口、时间戳、协议类型、标识位、源MAC、目的MAC、警报ID十项;
(1.3)超警报数据结构定义,包含超警报ID、超警报名称、时间戳、警报数、积分阈值、成熟度、时间计数器、成熟标识、后项指针、积分值数值、最小积分值11项;
(2)警报数据的预处理:
(2.1)IP地址相似度计算:通过两个IP地址的相同位数计算IP地址相似度;
(2.2)协议类型相似度计算,通过对协议类型进行编号,两条警报协议类型的相似度值相同为1,不同为0;
(2.3)时间戳相似度计算:设定时间窗口为T,当两条警报时间戳大于T时,认为相似度为0,当小于T时,通过 计算;
(2.4)端口相似度计算:两条警报,端口相同时,相似度为1,否则为0;
(3)将警报训练为超警报,其过程包括:
(3.1)超警报队列融合警报;
(3.2)计算模糊积分值;
(3.3)合并警报与超警报;
(3.4)调整积分阈值;
(3.5)生成新的超警报;
(3.6)超警报淘汰;
(3.7)删除超警报;
(3.8)插入超警报;
(4)警报关联网络服务接口数据模型类中定义了Attacts模型,表示一条超警报关联信息;其中定义的数据属性包括:(a)用来描述攻击步骤名称的AttactStep;(b)用来描述攻击发生日期的AttactDate;(c)用来描述攻击发生的具体时间的AttactTime;(d)用来描述源IP地址的AttactIP_Source;(e)用来描述目的IP地址的AttactIP_Dest;(f)用来描述关联IP数目的AttactNum;
(5)警报关联网络服务接口控制器的构建,定义了三个主要的函数:
(5.1)函数GetAllAttactsInfo():调用了函数ProduceInfo()和函数InfoFromDataBase(),用来实现Http请求,返回超警报关联信息;
(5.2)函数ProduceInfo():产生超警报关联信息并且将其保存至数据库;
(5.3)函数InfoFromDataBase():从数据库里面获取超警报关联信息并且创建数据模型对象。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410535425.2A CN104219253A (zh) | 2014-10-13 | 2014-10-13 | 多步攻击警报关联网络服务接口开发方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410535425.2A CN104219253A (zh) | 2014-10-13 | 2014-10-13 | 多步攻击警报关联网络服务接口开发方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104219253A true CN104219253A (zh) | 2014-12-17 |
Family
ID=52100387
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410535425.2A Pending CN104219253A (zh) | 2014-10-13 | 2014-10-13 | 多步攻击警报关联网络服务接口开发方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104219253A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111797997A (zh) * | 2020-07-08 | 2020-10-20 | 北京天融信网络安全技术有限公司 | 网络入侵检测方法、模型构建方法、装置及电子设备 |
CN112613576A (zh) * | 2020-12-30 | 2021-04-06 | 绿盟科技集团股份有限公司 | 确定告警的方法、装置、电子设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1472916A (zh) * | 2003-06-24 | 2004-02-04 | 北京邮电大学 | 大规模分布式入侵检测系统的数据融合机制 |
US6850252B1 (en) * | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
US7917393B2 (en) * | 2000-09-01 | 2011-03-29 | Sri International, Inc. | Probabilistic alert correlation |
-
2014
- 2014-10-13 CN CN201410535425.2A patent/CN104219253A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850252B1 (en) * | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
US7917393B2 (en) * | 2000-09-01 | 2011-03-29 | Sri International, Inc. | Probabilistic alert correlation |
CN1472916A (zh) * | 2003-06-24 | 2004-02-04 | 北京邮电大学 | 大规模分布式入侵检测系统的数据融合机制 |
CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
Non-Patent Citations (4)
Title |
---|
努尔布力: "一种基于Choquet模糊积分的入侵检测警报关联方法", 《电子学报(2011)》 * |
努尔布力: "基于数据挖掘的异常检测和多步入侵警报关联方法研究", 《中国博士学位论文全文数据库信息科技辑(2011)》 * |
张云英: "基于Choquet模糊积分的入侵检测警报关联", 《中国优秀硕士学位论文全文数据库信息科技辑(2010)》 * |
王典: "基于Snort的报警融合方法研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑(2010)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111797997A (zh) * | 2020-07-08 | 2020-10-20 | 北京天融信网络安全技术有限公司 | 网络入侵检测方法、模型构建方法、装置及电子设备 |
CN112613576A (zh) * | 2020-12-30 | 2021-04-06 | 绿盟科技集团股份有限公司 | 确定告警的方法、装置、电子设备和存储介质 |
CN112613576B (zh) * | 2020-12-30 | 2024-03-19 | 绿盟科技集团股份有限公司 | 确定告警的方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104660594B (zh) | 一种面向社交网络的虚拟恶意节点及其网络识别方法 | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
CN111988285A (zh) | 一种基于行为画像的网络攻击溯源方法 | |
Peng et al. | Network intrusion detection based on deep learning | |
Shang et al. | Research on industrial control anomaly detection based on FCM and SVM | |
CN101242278A (zh) | 网络多步攻击意图在线识别方法 | |
CN105208040A (zh) | 一种网络攻击检测方法及装置 | |
CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
CN110661680A (zh) | 一种基于正则表达式进行数据流白名单检测的方法及系统 | |
CN103795723A (zh) | 一种分布式物联网安全态势感知方法 | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
US20200145455A1 (en) | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time | |
CN104836805A (zh) | 基于模糊免疫理论的网络入侵检测方法 | |
Chen et al. | Multi-level adaptive coupled method for industrial control networks safety based on machine learning | |
Xu et al. | DDoS detection using a cloud-edge collaboration method based on entropy-measuring SOM and KD-tree in SDN | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
CN104219253A (zh) | 多步攻击警报关联网络服务接口开发方法 | |
CN109858510A (zh) | 一种针对HTTP协议ETag值隐蔽通信的检测方法 | |
CN116405275A (zh) | 一种基于网络空间探测行为的攻击组织动态识别方法 | |
CN109309586A (zh) | 一种食品加工远程控制系统入侵检测方法 | |
Abdalla et al. | Impact of packet inter-arrival time features for online peer-to-peer (P2P) classification | |
CN116032677A (zh) | 一种基于智能化电子产品的安防监控系统 | |
Tien et al. | Automatic device identification and anomaly detection with machine learning techniques in smart factories | |
CN102611714A (zh) | 基于联系发现技术的网络入侵预测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141217 |
|
WD01 | Invention patent application deemed withdrawn after publication |