CN105007262B - Wlan多步攻击意图预先识别方法 - Google Patents

Wlan多步攻击意图预先识别方法 Download PDF

Info

Publication number
CN105007262B
CN105007262B CN201510298886.7A CN201510298886A CN105007262B CN 105007262 B CN105007262 B CN 105007262B CN 201510298886 A CN201510298886 A CN 201510298886A CN 105007262 B CN105007262 B CN 105007262B
Authority
CN
China
Prior art keywords
attack
sequence
advance
short forecasting
forecasting sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510298886.7A
Other languages
English (en)
Other versions
CN105007262A (zh
Inventor
陈观林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University City College ZUCC
Original Assignee
Zhejiang University City College ZUCC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University City College ZUCC filed Critical Zhejiang University City College ZUCC
Priority to CN201510298886.7A priority Critical patent/CN105007262B/zh
Publication of CN105007262A publication Critical patent/CN105007262A/zh
Application granted granted Critical
Publication of CN105007262B publication Critical patent/CN105007262B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明公开了一种WLAN多步攻击意图预先识别方法,包括三个步骤:构造层次攻击树、生成最短预测序列和预先识别攻击意图。(1)构造层次攻击树:构造一种包含特征节点的层次攻击树,存储无线多步攻击模式,可以描述多步攻击步骤之间的层次关系,并提高预先识别攻击意图的效率。(2)生成最短预测序列:利用构造的层次攻击树,为每个无线多步攻击模式生成最短预测序列,并定义预先度来衡量预先识别的程度。(3)预先识别攻击意图:设计基于最短预测序列的多步攻击预先识别算法,最终实现在线的无线多步攻击意图预先识别。本发明的有益效果是:通过生成无线多步攻击的最短预测序列,可以有效实现无线多步攻击意图的预先识别。

Description

WLAN多步攻击意图预先识别方法
技术领域
本发明涉及预先识别方法,更具体说,它涉及一种WLAN多步攻击意图预先识别方法。
背景技术
入侵检测和防御作为一种重要的网络安全技术,一直以来受到学者的广泛关注,各种智能技术如数据挖掘、神经网络、专家系统、人工免疫技术等逐渐被应用到了入侵检测和防御系统中。近年来,规划识别(Plan Recognition)作为人工智能领域的重要研究内容,由于其与入侵检测和防御有着很大的关联性,能够根据攻击者的行为推断出多步攻击中的下一步动作,挖掘网络攻击者的真正攻击意图,已在入侵检测和防御中有了初步的应用,并取得了一定的研究成果。
2001年,Geib和Goldman第一次将规划识别方法引入到入侵检测领域,详细阐述了规划识别在入侵检测系统中的要求和特性,奠定了规划识别方法在入侵检测领域应用的基础。Geib和Goldman采用了基于规划执行的规划识别方法,主要解决了敌对环境中的规划识别问题,并对敌对智能体和部分可观察规划进行了识别。2002年,美国北卡罗莱纳州大学的Peng Ning及其工作组提出了一种利用攻击前后逻辑关系进行关联分析的方法,通过定义关联规则描述攻击步骤之间的前提条件和后续结果,并构造多步攻击场景,从而实现攻击规划的识别。2004年,Peng Ning等人将告警关联方法和分析工具进行了集成,专门提供了分析告警之间关联关系的开发包TIAA(A Toolkit for Intrusion Alert Analysis)。Cuppens等人也提出了相似的关联分析方法,利用Prolog谓词逻辑描述攻击行为,并根据这些攻击的前提条件和后果自动产生关联规则。2004年,Xinzhou Qin和Wenke Lee提出了网络安全领域对规划识别的新要求,并采用一种因果网络的方法对网络攻击进行识别,该方法首先构建攻击树,并定义攻击规划库对警报集进行关联,然后将攻击树转换为因果网络,从而实现预测攻击规划和下一步的攻击行为。2010年,Li Wang和Ali Ghorbani等人提出了一种定量的警报关联度计算方法,该方法结合警报的IP地址信息分析攻击行为步骤间存在的关联关系,自动挖掘多步攻击模式。
在国内,2004年李家春和李芝棠首先将规划识别理论引入到入侵检测的研究中,并建立了一种采用因果告警关联分析和贝叶斯网推理模型的入侵规划识别模型。2006年,诸葛建伟和韩心慧等人提出了一种基于扩展目标规划图(Extended Goal Graph,EGG)模型的网络攻击规划识别算法,通过扩展Jun Hong提出的目标图,引入观察节点区分规划者动作,能有效地从大量入侵报警信息中识别攻击者意图及规划。2007年,张卫华和范植华基于Kautz规划识别算法,利用彩色Petri网(Colored Petri Net,CPN)作为新的规划表示和识别方法,将低阶报警事件关联为多步骤攻击,以恢复出攻击全貌。同年,王莉提出了一种新的基于关联分析的网络多步攻击识别方法,利用RCI安全事件聚合方法、多步攻击行为模式挖掘方法和在线的多步攻击关联方法,分析多步攻击行为之间的关联关系。2011年,梅海彬和龚俭等人提出了一种基于警报序列聚类的多步攻击模式识别方法,该方法采用动态规划思想和序列比对技术,通过抽取最长公共子序列的算法自动发现警报数据中的多步攻击模式。
专利201010561551.7“一种网络多步攻击识别和预测方法”提出了一种网络多步攻击识别和预测方法,该方法将入侵检测系统、防火墙和杀毒软件等多种安全设备的报警存入数据库,并将数据库中的报警按照攻击类型转化为多步攻击序列,然后转化为多个长度不同的子攻击序列,再通过统计各个子攻击序列中的攻击相互转化的频数,生成攻击转化频率矩阵,结合攻击转化频率矩阵,生成历史多步攻击序列,最后通过分析网络中新的报警,依据历史多步攻击序列进行匹配,识别和预测多步攻击。专利201410535425.2“多步攻击警报关联网络服务接口开发方法”提出了一种多步攻击警报关联网络服务接口开发方法,该方法包括数据处理、警报关联以及网络服务接口开发三个模块,通过模糊积分计算模糊测度值,根据测度值进行警报合并入超警报,根据警报合并情况更新积分值代表的阈值,根据积分值进行超警报队列中超警报的生成、淘汰、删除,采用模糊积分的方式实现警报关联,并通过网络服务接口的方式进行发布并提供调用,能够有针对性的进行复杂网络攻击行为的防护。
通过对这些研究方法的分析发现,现有多步攻击的识别方法主要都是针对有线网络,而无线局域网的应用和发展较晚,由于WLAN具有的特殊性和WLAN攻击行为的差异性,对识别WLAN的多步攻击意图并不十分有效。例如,有线网络攻击规划识别的研究主要针对网络层及以上层次的协议数据包信息,重点考虑IP地址、端口号和应用层协议等关键字段,而WLAN数据包主要涉及物理层和数据链路层协议,侧重于MAC地址、Channel信道和Beacon信标帧等网络层以下的内容,所以无法直接将有线网络入侵检测领域的多步攻击识别方法应用到无线网络环境中。
因此,迫切需要研究WLAN网络这一新环境中面临的多步攻击识别难点,准确识别WLAN多步攻击的真正意图,从而实现智能的WLAN入侵防御。
发明内容
本发明的目的是克服现有技术中的不足,提供一种WLAN多步攻击意图预先识别方法。
这种WLAN多步攻击意图预先识别方法,包括三个步骤:构造层次攻击树、生成最短预测序列和预先识别攻击意图。
(1)构造层次攻击树:构造一种包含特征节点的层次攻击树,存储无线多步攻击模式,可以描述多步攻击步骤之间的层次关系,并提高预先识别攻击意图的效率。
(2)生成最短预测序列:利用构造的层次攻击树,为每个无线多步攻击模式生成最短预测序列,并定义预先度来衡量预先识别的程度。
(3)预先识别攻击意图:设计基于最短预测序列的多步攻击预先识别算法,最终实现在线的无线多步攻击意图预先识别
该方法的总体结构如图1所示,具体实现步骤如下:
步骤一、构造层次攻击树
本发明提出了一种包含特征节点的层次攻击树(Hierarchical Attack Tree,HAT)的概念,将无线多步攻击模式以层次攻击树的形式进行存储,不仅可以描述多步攻击步骤之间的层次关系,还能够将多步攻击中的相同攻击行为进行合并,从而提高预先识别最终攻击意图的精确性和效率。
定义1层次攻击树(Hierarchical Attack Tree)。将无线多步攻击模式以树的方式进行存储,每个节点为代表攻击行为的以数字表示的攻击名称ID(sig_id),根节点为所有无线多步攻击模式的第一步攻击名称ID,并将具有相同前续攻击行为的节点进行合并,这样构建起来的攻击树称为层次攻击树。
定义2特征节点(Feature Nodes)。在层次攻击树中,如果多步攻击模式中的某一个攻击与其前后关联的父节点及子节点的相关度均不小于事先定义的阈值,并且它是符合前述条件的攻击节点中的最深层子节点,则将该节点称为多步攻击模式的特征节点,特征节点代表了多步攻击模式的显著攻击行为。
步骤二、生成最短预测序列
利用构造的包含特征节点的层次攻击树,接下来需要生成每个无线多步攻击模式的最短预测序列,为下一步预先识别最终攻击意图提供依据。
定义3最短预测序列(Shortest Prediction Sequence,SPS)。对于层次攻击树存储的某一无线多步攻击序列AS=<at1,...,atn>,如果其子序列ASj=<at1,...,atj>满足以下条件:ASj包含其特征节点,不属于任何其它攻击序列的子序列,并且j为最小长度,则称ASj=<at1,...,atj>为该无线多步攻击序列的最短预测序列,记为SPS(AS)。
最短预测序列描述了带有无线多步攻击序列显著特征的最短攻击序列,可以提前有效地预测攻击者的最终攻击意图。
生成最短预测序列的具体步骤如下:
(1)首先对层次攻击树中的所有多步攻击模式进行分析,得到不同的多步攻击序列ASn(at);
(2)对于任一ASn(at),采用基于特征节点的最短预测序列生成算法(ShortestPredictionSequence Generation Algorithm,SPSGA),生成其最短预测序列。
SPSGA最短预测序列生成算法的具体描述如下:
从第一个多步攻击序列开始,找出其由根节点开始到特征节点组成的子序列,将其作为最短预测序列,并保存到最短预测序列集合中,如果后续生成的最短预测序列是已有最短预测序列集合中某一序列的子序列,则将该生成的最短预测序列长度加1,即增加后续一个攻击行为,直到不是子序列,那么新得到的序列即为最短预测序列,如果后续生成的最短预测序列包含了已有最短预测序列集合中的某个最短预测序列,则要将原有的该最短预测序列长度加1,直到不再被包含,新得到的序列即为更新后的最短预测序列,如果后续生成的最短预测序列在最短预测序列集合中存在重复的序列,则将这两个最短预测序列的长度都加1,当增加后的序列不再有重复序列存在时,则作为新的最短预测序列,重复以上操作,直到生成所有的最短预测序列为止。
通过生成的最短预测序列可以提前预测到攻击者的最终攻击意图,本发明提出了一个预先度(Earliness)的概念,来衡量预先识别的程度。
定义4预先度(Earliness)。对于无线多步攻击序列ASi=<at1,...,atn>,其序列的长度为n,如果其最短预测序列SPS(ASi)=<at1,...,atj>,最短预测序列的长度为j,j≤n,则提前n-j步可以识别出攻击规划,预先度的计算方法见如下公式1:
预先度为[0,1)之间的数值,该数值越高,说明提前预测的可能性越大,如果预先度为0,说明无线多步攻击序列的最短预测序列就是其本身,无法预先识别。
步骤三、预先识别攻击意图
利用上述构造的层次攻击树和生成的最短预测序列,可以对WLAN环境中的无线多步攻击意图进行预先识别。
本发明利用Geib和Goldman提出的基于规划执行的规划识别方法,改进了待定集(Pending Set)的生成过程,设计一种基于最短预测序列的多步攻击预先识别算法(Multi-step Attack Plan Early Recognition Algorithm,MAPERA),可以实现在线的无线多步攻击意图识别。
MAPERA算法的流程图如图5所示。
MAPERA算法的具体步骤如下:
(1)给定一个告警时间窗口阈值,如果新收到一条原始安全告警,判断其是否为层次攻击树中的根节点,如果是,则在待定集中增加一条包含该告警的子序列;
(2)如果新收到的原始安全告警和位于告警时间窗口阈值内的前续告警构成了层次攻击树中的子序列,则在待定集中增加这条子序列;
(3)如果待定集中某个子序列第一个告警发生的时间已超过了告警时间窗口阈值,则删除该子序列;
(4)重复以上过程,如果发现待定集中的某一个子序列为最短预测序列,并且该最短预测序列对应的攻击条件和攻击对象的特征相符合,则说明已成功地预先识别了该多步攻击模式。
图6描述了改进后的待定集的生成过程。
当收到一条安全告警时,根据MAPERA算法产生相应的待定集,同时检查是否属于告警时间窗口对待定集进行更新,如果生成的待定集中包含了某一个多步攻击的最短预测序列,则通过和该攻击对象对应的无线设备信息进行比对,输出符合攻击特征的最短预测序列。
本发明的有益效果是:本发明提出了一种基于层次攻击树的无线多步攻击意图预先识别方法,通过生成无线多步攻击的最短预测序列,可以有效实现无线多步攻击意图的预先识别。该方法包括三个步骤:构造层次攻击树、生成最短预测序列和预先识别攻击意图。构造层次攻击树通过引入特征节点进行构造,以攻击树的方式描述多步攻击步骤之间的层次关系;生成最短预测序列利用SPSGA算法为无线多步攻击模式产生相应的最短预测序列,并定义了预先度来衡量预先识别的程度;预先识别攻击意图利用基于最短预测序列的MAPERA算法,实现在线的无线多步攻击意图预先识别。
附图说明
图1是本发明提出的无线多步攻击意图预先识别方法总体结构图;
图2是本发明涉及的两种WEP攻击的层次规划库描述;
图3是本发明构建的层次攻击树实例;
图4是本发明给出的最短预测序列以及相应的预先度;
图5是本发明提出的MAPERA算法的流程图;
图6是本发明提出的改进后的待定集生成过程;
图7是本发明提出的MAPERA算法生成的待定集。
具体实施方式
下面结合附图和实施例对本发明做进一步描述。虽然本发明将结合较佳实施例进行描述,但应知道,并不表示本发明限制在所述实施例中。相反,本发明将涵盖可包含在有附后权利要求书限定的本发明的范围内的替换物、改进型和等同物。
步骤一、构造层次攻击树
例如,利用Geib和Goldman提出的层次规划库的思想对无线攻击中的ARP+Deauthentication Flood攻击破解WEP密钥和wesside-ng破解WEP密钥这两种多步攻击模式进行描述,可以得到如图2所示的层次规划库。
其中,不带箭头的弧线代表了“与”的关系,表示父节点规划的实现需要所有子节点规划的实现;带有箭头的弧线代表了“顺序与”的关系,表示子节点要按顺序实现才能导致父节点规划的实现。
在图2中,使用ARP+Deauthentication Flood攻击破解WEP密钥的多步攻击规划需要airodump探测、ARP注入攻击、Deauthentication Flood攻击和关联AP接入点等四个步骤依次按顺序实现后才能实现。
图3为本发明构建的一个层次攻击树实例。
其中,图3(a)为构建的一个层次攻击树,每个节点中的数字对应一个攻击名称ID,该层次攻击树存储了四个无线多步攻击序列:<3,8,18,30>、<3,8,17,30>、<3,8,26,30>和<3,20,18,30>,具有相同前续攻击行为3和8的节点进行了合并,图3(b)为层次攻击树所对应的具体多步攻击模式,分别为ARP+Deauthentication Flood攻击破解WEP密钥、MAC欺骗攻击、双面恶魔攻击和wesside-ng破解WEP密钥,层次攻击树中带阴影的节点表示其为特征节点,均为多步攻击序列中的第三个元素。
步骤二、生成最短预测序列
例如,利用SPSGA算法得到多步攻击序列<3,8,18,30>的最短预测序列为<3,8,18>,可以计算得到其预先度为25%;多步攻击序列<1,6,3,8,30,35>的最短预测序列为<1,6,3,8>,其预先度为33.3%。
图4给出了图3中无线多步攻击序列的最短预测序列以及相应的预先度。
步骤三、预先识别攻击意图
如果设置告警时间窗口阈值为30分钟,在该告警时间窗口阈值内,针对某一AP接入点产生的原始安全告警序列为<3,1,8,6,18>,则利用MAPERA算法生成待定集的每一步结果如图7所示。
由于该原始安全告警序列产生的待定集中包含了最短预测序列<3,8,18>,这是利用ARP+Deauthentication Flood攻击破解WEP密钥的多步攻击模式,同时检测攻击对象AP接入点确实设置了WEP加密方式,因此,输出该最短预测序列<3,8,18>,即提前识别了这一多步攻击行为。

Claims (4)

1.一种WLAN多步攻击意图预先识别方法,其特征在于:包括如下步骤:
步骤一、构造层次攻击树:构造一种包含特征节点的层次攻击树,存储无线多步攻击模式,可以描述多步攻击步骤之间的层次关系,并提高预先识别攻击意图的效率;所述步骤一包含具体步骤为:
定义层次攻击树(Hierarchical Attack Tree):将无线多步攻击模式以树的方式进行存储,每个节点为代表攻击行为的以数字表示的攻击名称ID(sig_id),根节点为所有无线多步攻击模式的第一步攻击名称ID,并将具有相同前续攻击行为的节点进行合并,这样构建起来的攻击树称为层次攻击树;
定义特征节点(Feature Nodes):在层次攻击树中,如果多步攻击模式中的某一个攻击与其前后关联的父节点及子节点的相关度均不小于事先定义的阈值,并且它是符合前述条件的攻击节点中的最深层子节点,则将该节点称为多步攻击模式的特征节点,特征节点代表了多步攻击模式的显著攻击行为;
步骤二、生成最短预测序列:利用构造的层次攻击树,为每个无线多步攻击模式生成最短预测序列,并定义预先度来衡量预先识别的程度;
步骤三、预先识别攻击意图:设计基于最短预测序列的多步攻击预先识别算法,最终实现在线的无线多步攻击意图预先识别。
2.根据权利要求1所述的WLAN多步攻击意图预先识别方法,其特征在于:所述步骤二包含具体步骤为:
定义最短预测序列(Shortest Prediction Sequence,SPS);对于层次攻击树存储的某一无线多步攻击序列AS=<at1,...,atn>,如果其子序列ASj=<at1,...,atj>满足以下条件:ASj包含其特征节点,不属于任何其它攻击序列的子序列,并且j为最小长度,则称ASj=<at1,...,atj>为该无线多步攻击序列的最短预测序列,记为SPS(AS);
生成最短预测序列的具体步骤如下:
(1)首先对层次攻击树中的所有多步攻击模式进行分析,得到不同的多步攻击序列ASn(at);
(2)对于任一ASn(at),采用基于特征节点的最短预测序列生成算法(ShortestPrediction Sequence Generation Algorithm,SPSGA),生成其最短预测序列;
定义预先度(Earliness);对于无线多步攻击序列ASi=<at1,...,atn>,其序列的长度为n,如果其最短预测序列SPS(ASi)=<at1,...,atj>,最短预测序列的长度为j,j≤n,则提前n-j步可以识别出攻击规划,预先度的计算方法见如下公式1:
预先度为[0,1)之间的数值,该数值越高,说明提前预测的可能性越大,如果预先度为0,说明无线多步攻击序列的最短预测序列就是其本身,无法预先识别。
3.根据权利要求2所述的WLAN多步攻击意图预先识别方法,其特征在于:所述步骤二中SPSGA最短预测序列生成算法的具体描述如下:从第一个多步攻击序列开始,找出其由根节点开始到特征节点组成的子序列,将其作为最短预测序列,并保存到最短预测序列集合中,如果后续生成的最短预测序列是已有最短预测序列集合中某一序列的子序列,则将该生成的最短预测序列长度加1,即增加后续一个攻击行为,直到不是子序列,那么新得到的序列即为最短预测序列,如果后续生成的最短预测序列包含了已有最短预测序列集合中的某个最短预测序列,则要将原有的该最短预测序列长度加1,直到不再被包含,新得到的序列即为更新后的最短预测序列,如果后续生成的最短预测序列在最短预测序列集合中存在重复的序列,则将这两个最短预测序列的长度都加1,当增加后的序列不再有重复序列存在时,则作为新的最短预测序列,重复以上操作,直到生成所有的最短预测序列为止。
4.根据权利要求1所述的WLAN多步攻击意图预先识别方法,其特征在于:所述步骤三包含具体步骤为:
(1)给定一个告警时间窗口阈值,如果新收到一条原始安全告警,判断其是否为层次攻击树中的根节点,如果是,则在待定集中增加一条包含该告警的子序列;
(2)如果新收到的原始安全告警和位于告警时间窗口阈值内的前续告警构成了层次攻击树中的子序列,则在待定集中增加这条子序列;
(3)如果待定集中某个子序列第一个告警发生的时间已超过了告警时间窗口阈值,则删除该子序列;
(4)重复以上过程,如果发现待定集中的某一个子序列为最短预测序列,并且该最短预测序列对应的攻击条件和攻击对象的特征相符合,则说明已成功地预先识别了该多步攻击模式。
CN201510298886.7A 2015-06-03 2015-06-03 Wlan多步攻击意图预先识别方法 Active CN105007262B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510298886.7A CN105007262B (zh) 2015-06-03 2015-06-03 Wlan多步攻击意图预先识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510298886.7A CN105007262B (zh) 2015-06-03 2015-06-03 Wlan多步攻击意图预先识别方法

Publications (2)

Publication Number Publication Date
CN105007262A CN105007262A (zh) 2015-10-28
CN105007262B true CN105007262B (zh) 2017-12-22

Family

ID=54379785

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510298886.7A Active CN105007262B (zh) 2015-06-03 2015-06-03 Wlan多步攻击意图预先识别方法

Country Status (1)

Country Link
CN (1) CN105007262B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111859898B (zh) * 2019-04-16 2024-01-16 中森云链(成都)科技有限责任公司 一种基于隐藏关联网络的多领域文本隐式特征抽取方法及计算机存储介质
CN110210454B (zh) * 2019-06-17 2020-12-29 合肥工业大学 一种基于数据融合的人体动作预判方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN102075516A (zh) * 2010-11-26 2011-05-25 哈尔滨工程大学 一种网络多步攻击识别和预测方法
CN103944919A (zh) * 2014-05-06 2014-07-23 浙江大学城市学院 一种面向wlan的无线多步攻击模式挖掘方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060021046A1 (en) * 2004-07-22 2006-01-26 Cook Chad L Techniques for determining network security

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN102075516A (zh) * 2010-11-26 2011-05-25 哈尔滨工程大学 一种网络多步攻击识别和预测方法
CN103944919A (zh) * 2014-05-06 2014-07-23 浙江大学城市学院 一种面向wlan的无线多步攻击模式挖掘方法

Also Published As

Publication number Publication date
CN105007262A (zh) 2015-10-28

Similar Documents

Publication Publication Date Title
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN106341414B (zh) 一种基于贝叶斯网络的多步攻击安全态势评估方法
Li et al. LSTM-BA: DDoS detection approach combining LSTM and Bayes
CN111475804A (zh) 一种告警预测方法及系统
CN106411921B (zh) 基于因果贝叶斯网络的多步攻击预测方法
CN104348829B (zh) 一种网络安全态势感知系统及方法
CN110380896A (zh) 基于攻击图的网络安全态势感知模型和方法
CN105471882A (zh) 一种基于行为特征的网络攻击检测方法及装置
CN105260795A (zh) 一种基于条件随机场的重点人员位置时空预测方法
CN109617706B (zh) 工业控制系统防护方法及工业控制系统防护装置
CN104394177A (zh) 一种基于全局攻击图的攻击目标可达性的计算方法
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN103916385A (zh) 一种基于智能算法的waf安全监测系统
CN105007262B (zh) Wlan多步攻击意图预先识别方法
CN112887323B (zh) 一种面向工业互联网边界安全的网络协议关联与识别方法
CN106874762A (zh) 基于api依赖关系图的安卓恶意代码检测方法
CN111131279B (zh) 基于免疫理论的安全感知模型构建方法
CN105488394B (zh) 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN101505304B (zh) 一种基于概率推理的网络入侵意图识别方法
CN106506567A (zh) 一种基于行为评判的隐蔽式网络攻击主动发现方法
CN111191230A (zh) 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用
Zhou et al. Research on network security attack detection algorithm in smart grid system
Kun et al. Network security situation evaluation method based on attack intention recognition
Saini et al. Modelling intrusion detection system using hidden Markov model: A review

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant