CN105471882A - 一种基于行为特征的网络攻击检测方法及装置 - Google Patents
一种基于行为特征的网络攻击检测方法及装置 Download PDFInfo
- Publication number
- CN105471882A CN105471882A CN201510901281.2A CN201510901281A CN105471882A CN 105471882 A CN105471882 A CN 105471882A CN 201510901281 A CN201510901281 A CN 201510901281A CN 105471882 A CN105471882 A CN 105471882A
- Authority
- CN
- China
- Prior art keywords
- security incident
- security
- address
- event
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于行为特征的网络攻击检测方法及装置,涉及信息安全技术领域。本发明技术要点:步骤1:收集各类安全设备输出的原始安全信息;并将所述原始安全信息转换为统一格式的安全事件;步骤2:根据各个字段内容对所述安全事件进行分类;步骤3:对源IP地址及目的IP地址均相同的且发生在一次监测时期内的各类安全事件按照事件产生时间的先后顺序进行排序得到安全事件组合;查找安全事件关联规则库中是否具有相同的安全事件组合,若具有则认为目的IP地址对应的主机遭受到攻击并进行告警;若不具有则将这些安全事件存入关联规则挖掘数据库中。
Description
技术领域
本发明涉及信息安全技术领域,尤其是一种基于行为特征的网络攻击检测方法。
背景技术
在互联网迅速普及当中,人们在感受网络所带来的便利的同时,也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等数据表明,我国有63.6%的企业用户处于“高度风险”级别,每年因网络泄密导致的经济损失高达上百亿。
随着计算机网络及相关技术的发展,网络攻击产生的速度越来越快、规模越来越大、自动化程度越来高,如蠕虫病毒、DDos攻击、僵尸网络等已给网络的正常使用带来了极大的威胁。
目前,基于网络行为分析的攻击检测方法主要有以下几种:
(1)基于概率统计的网络行为分析
基于概率统计的方法通过对用户行为进行抽样统计,对其稳定的网络行为进行统计分析。该方法基于概率统计理论,应用较早,是目前最有流行的网络行为分析方法。其优点是它的理论基础概率统计已非常成熟。但在实际应用中,不同的网络用户其操作习惯及其行为很复杂,简单的概率统计难以给出精确匹配的网络行为模式,因此其恶意攻击代码的阀值难以确定,易造成误报、漏报。
(2)基于机器学习的网络行为分析方法
基于机器学习的方法通过模仿人的学习原理,建立学习系统,并对机器进行学习训练,能够识别用户网络行为特征。其主要研究内容是建立学习系统,并通过大量的样本学习训练。目前主要的方法有归纳法、神经网络、遗传算法等。遗传算法作为人工智能的一个独立分支,基于大量样本进行学习训练,能够描述复杂的行为模式,其行为模型匹配程度高,因此误报率低,检测速度快。但由于该方法需要大量的样本,当用户行为发生变化时,无法及时更新匹配。
(3)基于神经网络的网络行为分析
神经网络在网络行为分析中的应用成为了一个研究热点,该方法能够很好描述复杂的非线性问题,并能通过学习训练进行系统更新,该方法与统计理论相比,能够更好地匹配用户行为模式,抗干扰能力强,且具有更快的分析速度。其缺点是需要确定各因素间的拓扑结构以及各因素之间的权重,这在实际操作中很难确定。
(4)基于数据挖掘的网络行为分析方法
数据挖掘方法擅长从大量关系复杂的数据中提取数据特征,因此比较适用于网络用户的复杂行为。近年来,数据挖掘在网络行为分析中的应用也成为了一个研究热点。数据挖掘方法在恶意代码检测中的应用主要是聚类分析和关联规则,其主要优点是误警率低、适应能力好、可以减轻数据过载。但同时它也存在检测模型实时性实施困难、学习和评价计算成本高、系统需要大量的训练数据等缺点。
针对网络攻击行为的检测,目前主要采用特征匹配、模式匹配和规则匹配算法,只能实现对已知攻击行为的检测,而对于未知或变种攻击的检测目前主要是通过蜜罐技术、基于异常的入侵检测技术等。基于蜜罐的检测技术在如何准确高效地对大量复杂数据进行行之有效的自动数据分析机制,无法有效地进行未知及变种攻击的检查。而基于异常的入侵检测技术,很难实现对网络行为的正确建模,漏检率和误检率很高。
对于大规模的网络攻击行为检测,目前很多系统借用了入侵检测的方法,还有一些结合蜜罐、日志统计等方法来发现攻击。但这些方法通常是基于不同的安全需求和目标独立开发,多局限于单一的主机或网络架构,系统间缺乏互用性,对大规模的网络攻击检测能力明显不足。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种高准确率及能够识别未知攻击的基于行为特征的网络攻击检测方法及装置。
本发明公开的基于行为特征的网络攻击检测方法,包括:
步骤1:收集各类安全设备输出的原始安全信息;并将所述原始安全信息转换为统一格式的安全事件;所述安全事件至少包含事件产生时间字段、事件标识号字段、事件类型字段、源IP地址字段及目的IP地址字段;
步骤2:根据各个字段内容对所述安全事件进行分类;
步骤3:对源IP地址及目的IP地址均相同的且发生在一次监测时期内的各类安全事件按照事件产生时间的先后顺序进行排序得到安全事件组合;查找安全事件关联规则库中是否具有相同的安全事件组合,若具有则认为目的IP地址对应的主机遭受到攻击并进行告警;若不具有则将这些安全事件存入关联规则挖掘数据库中;
其中,安全事件关联规则库是这样生成及定期更新的:定期统计关联规则挖掘数据库内关联规则挖掘数据库若干个源IP地址及目的IP地址均相同的不同类的安全事件在该统计时间内按照固定顺序先后发生的次数;将次数大于设定阈值的安全事件组合作为安全事件关联规则存入安全事件关联规则库中;清空关联规则挖掘数据库。
进一步,所述安全设备至少包括防火墙、入侵检测系统、漏洞库、杀毒软件及主机监控系统。
进一步,所述安全事件的字段还包括:安全设备标识号、源端口、目的端口、网络协议类型、优先级及可信度。
所述步骤1还包括合并冗余安全事件的步骤及去除错误的安全事件的步骤;
其中合并冗余安全事件的步骤包括:
步骤11:判断两个安全事件的事件标识号、安全设备标识号、事件类型、源IP地址、目的IP地址、源端口、目的端口及网络协议类型是否均相同,若是则将这两条安全事件的其他字段内容进行合并得到一条安全事件;合并的具体做法是:将两条安全事件的优先级字段内容同时作为合并后安全事件的优先级;取两条安全事件中较高的可信度为合并后安全事件的可信度;
去除错误的安全事件的步骤包括:
步骤12:首先检测并得到某目标IP地址对应的主机的漏洞库;然后将该目标IP地址的安全事件逐一与所述漏洞库进行匹配,若匹配成功则将此安全事件的可信度置为最高值,否则将该目标IP地址的对应的主机的操作系统、软件版本、端口及网络协议与所述安全事件进行匹配,若匹配成功则将此安全事件的可信度增加,若依然不匹配则将该安全事件丢弃。
步骤2进一步包括:
将安全事件各个字段内容进行量化;
利用K-means聚类算法将已有的安全事件分为k类;
当有新的安全事件到来时,计算这条安全事件与原有各聚类中安全事件的相似度;如果新安全事件与某聚类安全事件的相似程度大于设定的经验阀值,则将这一安全事件增加到该聚类当中;如果新安全事件与多个聚类的安全事件的相似程度都大于所述经验阀值,那么将这些聚类合并为同一聚类,同时把新的安全事件加入其中;如果新安全事件与任何一个聚类的安全事件的相似程度都达不到所述经验阀值,则将该安全事件创建为新的聚类。
本发明还提供了一种基于行为特征的网络攻击检测装置,包括:
安全事件获取单元,用于收集各类安全设备输出的原始安全信息;并将所述原始安全信息转换为统一格式的安全事件;所述安全事件至少包含事件产生时间字段、事件标识号字段、事件类型字段、源IP地址字段及目的IP地址字段;
安全事件分类单元,用于根据各个字段内容对所述安全事件进行分类;
组合攻击识别及告警单元,用于对源IP地址及目的IP地址均相同的且发生在同一次监测时期内的各类安全事件按照事件产生时间的先后顺序进行排序得到安全事件组合;查找安全事件关联规则库中是否具有相同的安全事件组合,若具有则认为目的IP地址对应的主机遭受到攻击并进行告警;若不具有则将这些安全事件存入关联规则挖掘数据库中;
安全事件关联规则库生成及定期更新单元,用于定期统计关联规则挖掘数据库内若干个源IP地址及目的IP地址均相同的不同类的安全事件在该统计时间内按照固定顺序先后发生的次数;将次数大于设定阈值的安全事件组合作为新的安全事件关联规则存入安全事件关联规则库中;清空关联规则挖掘数据库。
所述安全事件获取单元还包括冗余安全事件合并单元及错误安全事件去除单元;
其中冗余安全事件合并单元进一步包括:
冗余安全事件识别单元,用于判断两个安全事件的事件标识号、安全设备标识号、事件类型、源IP地址、目的IP地址、源端口、目的端口及网络协议类型是否均相同,若是则认为这两条安全事件互为冗余;
合并单元,用于将互为冗余的安全事件的其他字段内容进行合并得到一条安全事件;合并的具体做法是:将互为冗余的安全事件的优先级字段内容同时作为合并后安全事件的优先级;取互为冗余的安全事件中较高的可信度为合并后安全事件的可信度;
错误安全事件去除单元包括:
漏洞库获取单元,用于检测并得到某目标IP地址对应的主机的漏洞库;
漏洞库匹配单元,用于将该目标IP地址的安全事件逐一与所述漏洞库进行匹配,若匹配成功则将此安全事件的可信度置为最高值;否则调用主机属性匹配单元;
主机属性匹配单元,用于将该目标IP地址的对应的主机的操作系统、软件版本、端口及网络协议与所述安全事件进行匹配,若匹配成功则将此安全事件的可信度增加,若依然不匹配则将该安全事件丢弃。
安全事件分类单元进一步包括:
字段量化单元,用于将安全事件各个字段内容进行量化;
原聚类形成单元,用于利用K-means聚类算法将已有的安全事件分为k类;
安全事件归类单元,用于当有新的安全事件到来时,计算这条安全事件与原有各聚类中安全事件的相似度;如果新安全事件与某聚类安全事件的相似程度大于设定的经验阀值,则将这一安全事件增加到该聚类当中;如果新安全事件与多个聚类的安全事件的相似程度都大于所述经验阀值,那么将这些聚类合并为同一聚类,同时把新的安全事件加入其中;如果新安全事件与任何一个聚类的安全事件的相似程度都达不到所述经验阀值,则将该安全事件创建为新的聚类。
由于采用了上述技术方案,本发明的有益效果是:
1.检测效率高
本发明在对安全事件进行关联规则匹配前,利用相似度计算对冗余或重复告警事件进行合并,同时,设定过滤规则对错误或虚假告警事件进行滤除,大大降低了用于关联规则匹配的安全事件数量,提高了后续关联规则匹配的处理效率。
2.误报率低
本发明通过收集防火墙、入侵检测系统、漏洞库、杀毒软件、主机监控系统等多种安全设备的数据进行联合检测,并对各个安全事件进行融合、聚类,可大大降低误报率。
3.具备对未知攻击的检测能力
本发明定期挖掘安全事件之间的内在联系,从而发现未知攻击行为,形成新的关联规则,更新关联规则库,因此本发明还具备未知攻击的检测能力。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明方法实施流程图。
图2为步骤1的实施流程。
图3为步骤3的实施流程。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本实施例描述一个具体的基于行为关联的网络攻击检测方法包括以下步骤,参见图1:
步骤1:
本发明采用安全设备获取原始的安全信息,所述安全设备包括但不限于防火墙、入侵检测系统、漏洞库、杀毒软件、主机监控系统等。其中,入侵检测系统可以是Snort,漏洞库可使用OSVDB漏洞数据库和SnortIDS-Nessus漏洞关联表,杀毒软件可采用360杀毒软件,主机监控系统可采用OVALInterpret。
对各类安全设备检测到的安全信息进行统一格式化,例如将各安全信息转换为IDMEF格式。本实施例中,安全事件格式字段包含事件产生时间、事件标识号、事件类型、源IP地址及目的IP地址。在一个优选实施例中,还包括安全设备标识号、源端口、目的端口、网络协议类型、优先级及可信度。对安全事件的格式化可采用在设备上安装代理程序,向安全设备发送格式模板,传感器根据格式模板对安全信息进行封装得到安全事件,参见图2。
步骤2:
对已经获取到的安全事件进行聚类,具体可采用聚类算法采用K-means算法。
先将各个安全事件的字段内容进行量化。
然后利用K-means聚类算法将已有的安全事件库分为k类。
距离度量采用欧几里德公式,其计算简单、运行速度快,且支持多维空间检索,欧几里德公式如下:
为了体现不同字段内容的重要程度,在一个优选的实施例中,给不同的字段内容赋予不同的权重,即基于加权的欧几里德公式对过滤后的数据进行距离度量,公式具体如下:
其中,x1={x1,x2,…,xn},c1={c1,c2,…,cn}表示量化后的安全事件的各个字段内容,wi为对应的权值。
其中k的取值根据实际的数据样本进行自适应选取:
用于当有新的安全事件到来时,计算这条安全事件与原有各聚类中安全事件的相似度;如果新安全事件与某聚类安全事件的相似程度大于设定的经验阀值,则将这一安全事件增加到该聚类当中;如果新安全事件与多个聚类的安全事件的相似程度都大于所述经验阀值,那么将这些聚类合并为同一聚类,同时把新的安全事件加入其中;如果新安全事件与任何一个聚类的安全事件的相似程度都达不到所述经验阀值,则将该安全事件创建为新的聚类。
步骤3:
对源IP地址及目的IP地址均相同的且发生在一次监测时期内的不同类安全事件按照事件产生时间的先后顺序进行排序得到安全事件组合;查找安全事件关联规则库中是否具有相同的安全事件组合,若具有则认为目的IP地址对应的主机遭受到攻击并进行告警。若不具有则将这些安全事件存入关联规则挖掘数据库中。
例如发现针对同一源IP地址及同一目的IP地址在一次监测时期内,依次发生了A类安全事件、B类安全事件及C类安全事件;而关联规则库中存在这样一条关联规则:rule1→rule2→rule3。若接收到的A类安全事件与规则中的rule1相匹配,B类安全事件与rule2匹配,C类安全事件与rule3匹配,则判断出目标IP地址对应的主机遭受某种组合攻击,进行告警。
其中,关联规则库是这样生成并定时更新的:每隔一段时间便统计关联规则挖掘数据库中若干个源IP地址及目的IP地址均相同的不同类的安全事件在该统计时间内按照固定顺序先后发生的次数;将次数大于设定阈值的安全事件组合作为新的安全事件关联规则存入安全事件关联规则库中,删除关联规则挖掘数据库。参见图3。
例如,在一定时期内关联规则挖掘数据库中存储了三条源IP地址及目的IP地址均相同的安全事件,其中安全事件1属于A类,安全事件2属于B类,安全事件3属于C类。通过数据挖掘,发现安全事件2发生后安全事件3发生这一组合的次数达到4次,安全事件3发生后安全事件1发生这一组合的次数为1。而设定阈值为2,那么认为安全事件2发生后安全事件3发生这一组合为一条新的关联规则,将其存入关联规则库中。本次关联规则挖掘完成后便清空关联规则挖掘数据库,以便下次挖掘规则使用。
在另一实施例中,为了提高检测效率,对安全事件进行冗余合并及去错。
对冗余安全事件进行合并的具体做法是:
判断两个安全事件的事件标识号、安全设备标识号、事件类型、源IP地址、目的IP地址、源端口、目的端口及网络协议类型是否均相同,若是则将这两条安全事件的其他字段内容进行合并得到一条安全事件;合并的具体做法是:将两条安全事件的优先级字段内容同时作为合并后安全事件的优先级;取两条安全事件中较高的可信度为合并后安全事件的可信度。
去除错误的安全事件的步骤包括:
首先检测并得到某目标IP地址对应的主机的漏洞库;然后将该目标IP地址的安全事件逐一与所述漏洞库进行匹配,若匹配成功则将此安全事件的可信度置为最高值,否则将该目标IP地址的对应的主机的操作系统、软件版本、端口及网络协议与所述安全事件进行匹配,若匹配成功则将此安全事件的可信度增加,若依然不匹配则将该安全事件丢弃。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (10)
1.一种基于行为特征的网络攻击检测方法,其特征在于,包括:
步骤1:收集各类安全设备输出的原始安全信息;并将所述原始安全信息转换为统一格式的安全事件;所述安全事件至少包含事件产生时间字段、事件标识号字段、事件类型字段、源IP地址字段及目的IP地址字段;
步骤2:根据各个字段内容对所述安全事件进行分类;
步骤3:对源IP地址及目的IP地址均相同的且发生在同一次监测时期内的各类安全事件按照事件产生时间的先后顺序进行排序得到安全事件组合;查找安全事件关联规则库中是否具有相同的安全事件组合,若具有则认为目的IP地址对应的主机遭受到攻击并进行告警;若不具有则将这些安全事件存入关联规则挖掘数据库中;
其中,安全事件关联规则库是这样生成及定期更新的:定期统计关联规则挖掘数据库内若干个源IP地址及目的IP地址均相同的不同类的安全事件在该统计时间内按照固定顺序先后发生的次数;将次数大于设定阈值的安全事件组合作为新的安全事件关联规则存入安全事件关联规则库中;清空关联规则挖掘数据库。
2.根据权利要求1所述的一种基于行为特征的网络攻击检测方法,其特征在于,所述安全设备至少包括防火墙、入侵检测系统、漏洞库、杀毒软件及主机监控系统。
3.根据权利要求1所述的一种基于行为特征的网络攻击检测方法,其特征在于,所述安全事件的字段还包括:安全设备标识号、源端口、目的端口、网络协议类型、优先级及可信度。
4.根据权利要求3所述的一种基于行为特征的网络攻击检测方法,其特征在于,所述步骤1还包括合并冗余安全事件的步骤及去除错误的安全事件的步骤;
其中合并冗余安全事件的步骤包括:
步骤11:判断两个安全事件的事件标识号、安全设备标识号、事件类型、源IP地址、目的IP地址、源端口、目的端口及网络协议类型是否均相同,若是则将这两条安全事件的其他字段内容进行合并得到一条安全事件;合并的具体做法是:将两条安全事件的优先级字段内容同时作为合并后安全事件的优先级;取两条安全事件中较高的可信度为合并后安全事件的可信度;
去除错误的安全事件的步骤包括:
步骤12:首先检测并得到某目标IP地址对应的主机的漏洞库;然后将该目标IP地址的安全事件逐一与所述漏洞库进行匹配,若匹配成功则将此安全事件的可信度置为最高值,否则将该目标IP地址的对应的主机的操作系统、软件版本、端口及网络协议与所述安全事件进行匹配,若匹配成功则将此安全事件的可信度增加,若依然不匹配则将该安全事件丢弃。
5.根据权利要求1所述的一种基于行为特征的网络攻击检测方法,其特征在于,步骤2进一步包括:
将安全事件各个字段内容进行量化;
利用K-means聚类算法将已有的安全事件分为k类;
当有新的安全事件到来时,计算这条安全事件与原有各聚类中安全事件的相似度;如果新安全事件与某聚类安全事件的相似程度大于设定的经验阀值,则将这一安全事件增加到该聚类当中;如果新安全事件与多个聚类的安全事件的相似程度都大于所述经验阀值,那么将这些聚类合并为同一聚类,同时把新的安全事件加入其中;如果新安全事件与任何一个聚类的安全事件的相似程度都达不到所述经验阀值,则将该安全事件创建为新的聚类。
6.一种基于行为特征的网络攻击检测装置,其特征在于,包括:
安全事件获取单元,用于收集各类安全设备输出的原始安全信息;并将所述原始安全信息转换为统一格式的安全事件;所述安全事件至少包含事件产生时间字段、事件标识号字段、事件类型字段、源IP地址字段及目的IP地址字段;
安全事件分类单元,用于根据各个字段内容对所述安全事件进行分类;
组合攻击识别及告警单元,用于对源IP地址及目的IP地址均相同的且发生在同一次监测时期内的各类安全事件按照事件产生时间的先后顺序进行排序得到安全事件组合;查找安全事件关联规则库中是否具有相同的安全事件组合,若具有则认为目的IP地址对应的主机遭受到攻击并进行告警;若不具有则将这些安全事件存入关联规则挖掘数据库中;
安全事件关联规则库生成及定期更新单元,用于定期统计关联规则挖掘数据库内若干个源IP地址及目的IP地址均相同的不同类的安全事件在该统计时间内按照固定顺序先后发生的次数;将次数大于设定阈值的安全事件组合作为新的安全事件关联规则存入安全事件关联规则库中;清空关联规则挖掘数据库。
7.根据权利要求6所述的一种基于行为特征的网络攻击检测装置,其特征在于,所述安全设备至少包括防火墙、入侵检测系统、漏洞库、杀毒软件及主机监控系统。
8.根据权利要求6所述的一种基于行为特征的网络攻击监测装置,其特征在于,所述安全事件的字段还包括:安全设备标识号、源端口、目的端口、网络协议类型、优先级及可信度。
9.根据权利要求8所述的一种基于行为特征的网络攻击检测装置,其特征在于,所述安全事件获取单元还包括冗余安全事件合并单元及错误安全事件去除单元;
其中冗余安全事件合并单元进一步包括:
冗余安全事件识别单元,用于判断两个安全事件的事件标识号、安全设备标识号、事件类型、源IP地址、目的IP地址、源端口、目的端口及网络协议类型是否均相同,若是则认为这两条安全事件互为冗余;
合并单元,用于将互为冗余的安全事件的其他字段内容进行合并得到一条安全事件;合并的具体做法是:将互为冗余的安全事件的优先级字段内容同时作为合并后安全事件的优先级;取互为冗余的安全事件中较高的可信度为合并后安全事件的可信度;
错误安全事件去除单元包括:
漏洞库获取单元,用于检测并得到某目标IP地址对应的主机的漏洞库;
漏洞库匹配单元,用于将该目标IP地址的安全事件逐一与所述漏洞库进行匹配,若匹配成功则将此安全事件的可信度置为最高值;否则调用主机属性匹配单元;
主机属性匹配单元,用于将该目标IP地址的对应的主机的操作系统、软件版本、端口及网络协议与所述安全事件进行匹配,若匹配成功则将此安全事件的可信度增加,若依然不匹配则将该安全事件丢弃。
10.根据权利要求6所述的一种基于行为特征的网络攻击检测装置,其特征在于,安全事件分类单元进一步包括:
字段量化单元,用于将安全事件各个字段内容进行量化;
原聚类形成单元,用于利用K-means聚类算法将已有的安全事件分为k类;
安全事件归类单元,用于当有新的安全事件到来时,计算这条安全事件与原有各聚类中安全事件的相似度;如果新安全事件与某聚类安全事件的相似程度大于设定的经验阀值,则将这一安全事件增加到该聚类当中;如果新安全事件与多个聚类的安全事件的相似程度都大于所述经验阀值,那么将这些聚类合并为同一聚类,同时把新的安全事件加入其中;如果新安全事件与任何一个聚类的安全事件的相似程度都达不到所述经验阀值,则将该安全事件创建为新的聚类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510901281.2A CN105471882A (zh) | 2015-12-08 | 2015-12-08 | 一种基于行为特征的网络攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510901281.2A CN105471882A (zh) | 2015-12-08 | 2015-12-08 | 一种基于行为特征的网络攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105471882A true CN105471882A (zh) | 2016-04-06 |
Family
ID=55609152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510901281.2A Pending CN105471882A (zh) | 2015-12-08 | 2015-12-08 | 一种基于行为特征的网络攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105471882A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
| CN107454039A (zh) * | 2016-05-31 | 2017-12-08 | 北京京东尚科信息技术有限公司 | 网络攻击检测系统和检测网络攻击的方法 |
| CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| CN108182360A (zh) * | 2018-01-31 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
| WO2018149530A1 (en) * | 2017-02-17 | 2018-08-23 | NEC Laboratories Europe GmbH | Method for operating a network |
| CN108549914A (zh) * | 2018-04-19 | 2018-09-18 | 中国南方电网有限责任公司超高压输电公司昆明局 | 基于Apriori算法的异常SER/SOE事件识别方法 |
| CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
| CN109191023A (zh) * | 2018-11-07 | 2019-01-11 | 广东电网有限责任公司 | 一种电网告警信息快速处理方法及装置 |
| CN109309687A (zh) * | 2018-11-27 | 2019-02-05 | 杭州迪普科技股份有限公司 | 网络安全防御方法、装置及网络设备 |
| CN109450876A (zh) * | 2018-10-23 | 2019-03-08 | 中国科学院信息工程研究所 | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 |
| CN110213287A (zh) * | 2019-06-12 | 2019-09-06 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110380940A (zh) * | 2019-08-22 | 2019-10-25 | 北京大学深圳研究生院 | 一种路由器及其数据包的评估方法 |
| CN110620690A (zh) * | 2019-09-19 | 2019-12-27 | 国网思极网安科技(北京)有限公司 | 一种网络攻击事件的处理方法及其电子设备 |
| CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
| CN110896386A (zh) * | 2018-09-12 | 2020-03-20 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
| CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
| CN112671767A (zh) * | 2020-12-23 | 2021-04-16 | 广东能源集团科学技术研究院有限公司 | 一种基于告警数据分析的安全事件预警方法及装置 |
| CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113328976A (zh) * | 2020-02-28 | 2021-08-31 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
| CN113792296A (zh) * | 2021-08-24 | 2021-12-14 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| US11582249B2 (en) | 2019-11-27 | 2023-02-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Computer-implemented method and arrangement for classifying anomalies |
| CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040133672A1 (en) * | 2003-01-08 | 2004-07-08 | Partha Bhattacharya | Network security monitoring system |
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| CN104753861A (zh) * | 2013-12-27 | 2015-07-01 | 中国电信股份有限公司 | 安全事件处理方法和装置 |
-
2015
- 2015-12-08 CN CN201510901281.2A patent/CN105471882A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040133672A1 (en) * | 2003-01-08 | 2004-07-08 | Partha Bhattacharya | Network security monitoring system |
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| CN104753861A (zh) * | 2013-12-27 | 2015-07-01 | 中国电信股份有限公司 | 安全事件处理方法和装置 |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454039A (zh) * | 2016-05-31 | 2017-12-08 | 北京京东尚科信息技术有限公司 | 网络攻击检测系统和检测网络攻击的方法 |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
| CN106411562B (zh) * | 2016-06-17 | 2021-10-29 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
| US11552985B2 (en) | 2017-02-17 | 2023-01-10 | Nec Corporation | Method for predicting events using a joint representation of different feature types |
| WO2018149530A1 (en) * | 2017-02-17 | 2018-08-23 | NEC Laboratories Europe GmbH | Method for operating a network |
| CN107483425B (zh) * | 2017-08-08 | 2020-12-18 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| CN108182360A (zh) * | 2018-01-31 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
| CN108182360B (zh) * | 2018-01-31 | 2023-09-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
| CN108549914A (zh) * | 2018-04-19 | 2018-09-18 | 中国南方电网有限责任公司超高压输电公司昆明局 | 基于Apriori算法的异常SER/SOE事件识别方法 |
| CN108549914B (zh) * | 2018-04-19 | 2021-10-01 | 中国南方电网有限责任公司超高压输电公司昆明局 | 基于Apriori算法的异常SER/SOE事件识别方法 |
| CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
| US11405416B2 (en) | 2018-09-12 | 2022-08-02 | Siemens Ltd., China | Method and device for identifying security threats, storage medium, processor and terminal |
| CN110896386A (zh) * | 2018-09-12 | 2020-03-20 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
| CN109450876A (zh) * | 2018-10-23 | 2019-03-08 | 中国科学院信息工程研究所 | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 |
| CN109450876B (zh) * | 2018-10-23 | 2020-12-22 | 中国科学院信息工程研究所 | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 |
| CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
| CN109191023A (zh) * | 2018-11-07 | 2019-01-11 | 广东电网有限责任公司 | 一种电网告警信息快速处理方法及装置 |
| CN109309687A (zh) * | 2018-11-27 | 2019-02-05 | 杭州迪普科技股份有限公司 | 网络安全防御方法、装置及网络设备 |
| CN110213287A (zh) * | 2019-06-12 | 2019-09-06 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110213287B (zh) * | 2019-06-12 | 2020-07-10 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110380940A (zh) * | 2019-08-22 | 2019-10-25 | 北京大学深圳研究生院 | 一种路由器及其数据包的评估方法 |
| CN110380940B (zh) * | 2019-08-22 | 2022-05-24 | 北京大学深圳研究生院 | 一种路由器及其数据包的评估方法 |
| CN110620690A (zh) * | 2019-09-19 | 2019-12-27 | 国网思极网安科技(北京)有限公司 | 一种网络攻击事件的处理方法及其电子设备 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| US11582249B2 (en) | 2019-11-27 | 2023-02-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Computer-implemented method and arrangement for classifying anomalies |
| US11838308B2 (en) | 2019-11-27 | 2023-12-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Computer-implemented method and arrangement for classifying anomalies |
| CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
| CN113328976A (zh) * | 2020-02-28 | 2021-08-31 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
| CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
| CN111988285B (zh) * | 2020-08-03 | 2023-04-14 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
| CN112671767A (zh) * | 2020-12-23 | 2021-04-16 | 广东能源集团科学技术研究院有限公司 | 一种基于告警数据分析的安全事件预警方法及装置 |
| CN112887310B (zh) * | 2021-01-27 | 2022-09-20 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113792296A (zh) * | 2021-08-24 | 2021-12-14 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
| CN113792296B (zh) * | 2021-08-24 | 2023-05-30 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN116743502B (zh) * | 2023-08-11 | 2023-11-14 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
| CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
| CN107241352B (zh) | 一种网络安全事件分类与预测方法及系统 | |
| Saxena et al. | Intrusion detection in KDD99 dataset using SVM-PSO and feature reduction with information gain | |
| CN106411921B (zh) | 基于因果贝叶斯网络的多步攻击预测方法 | |
| Rahman et al. | Attacks classification in adaptive intrusion detection using decision tree | |
| CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| CN105205396A (zh) | 一种基于深度学习的安卓恶意代码检测系统及其方法 | |
| Tabash et al. | Intrusion detection model using naive bayes and deep learning technique. | |
| CN106888205A (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
| CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
| CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
| CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| CN104836805A (zh) | 基于模糊免疫理论的网络入侵检测方法 | |
| Shah et al. | Building multiclass classification baselines for anomaly-based network intrusion detection systems | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN116248362A (zh) | 一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法 | |
| CN117368651B (zh) | 一种配电网故障综合分析系统及方法 | |
| Navya et al. | Intrusion detection system using deep neural networks (DNN) | |
| CN117439916A (zh) | 一种网络安全测试评估系统及方法 | |
| CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
| CN110737890A (zh) | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 | |
| CN110708296B (zh) | 一种基于长时间行为分析的vpn账号失陷智能检测模型 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160406 |
|
| RJ01 | Rejection of invention patent application after publication |