CN106790186A - 基于多源异常事件关联分析的多步攻击检测方法 - Google Patents
基于多源异常事件关联分析的多步攻击检测方法 Download PDFInfo
- Publication number
- CN106790186A CN106790186A CN201611257755.5A CN201611257755A CN106790186A CN 106790186 A CN106790186 A CN 106790186A CN 201611257755 A CN201611257755 A CN 201611257755A CN 106790186 A CN106790186 A CN 106790186A
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- source
- association
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于多源异常事件关联分析的多步攻击检测方法。包含:首先通过特征检测和异常事件定义与识别;计算基于攻击链的安全事件评分,识别出异常主机,并以受害主机为线索聚合各类事件;然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进行关联重组;最后重构出多步攻击场景,输出预测攻击事件。本发明通过对分散孤立的安全事件进行关联聚合,生成相对完整的多步攻击场景,可提高安全管理人员的安全分析能力,拓展安全视角,帮助有效应对分布零散的多步攻击威胁,缩短攻击行为的发现时间,为应对APT等高级攻击手段提供一种有效的预测防御解决方案,降低系统安全风险,有效保网络信息安全。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种基于多源异常事件关联分析的多步攻击检测方法。
背景技术
随着网络技术的发展,网络安全威胁的方式层出不穷,病毒、蠕虫、后门、木马等网络攻击方式越来越多,网络空间安全正逐渐受到人们的广泛关注。为应对多种多样的攻击方式,相应出现了多种检测和阻断的防御手段,攻击技术也在不断发展,单一手段对目标的攻击渗透方式已很难奏效,多步攻击已成为主流攻击样式,其主要特征表现在:在单个主机上的攻击行为具有多步性,在目标网络内对多个主机的渗透过程具有多步性。
现有对网络攻击的检测手段主要可分为两种,特征检测和异常检测。1)基于特征的检测方法,采用黑名单和特征匹配机制,根据已被发现的攻击特征,包括文件Hash值、恶意IP地址和域名、后门程序的通信特征等,对已知类型的攻击检测和防御有较好的效果,但是也有明显的缺陷。首先是需要维护和更新复杂的问题,不能应对未知攻击和已知攻击的变种形式,攻击者可以通过一些简单的手段规避系统检测。因此即使是在部署入侵检测系统的网络环境中,成功的攻击事件还是频频发生。2)异常检测技术,是应对未知威胁的可行方法,通过将系统行为定义为“正常”和“异常”两类,符合预期的行为定义为正常行为,而与“正常”行为背离较大的定义为异常行为,监视日志记录中系统使用的异常情况,检测出违反安全的事件。在检测时,将系统日志与已经建立的正常行为特征相比较,若相异程度超过某个阈值,就认为是一个入侵行为。现有异常检测技术的缺点在于不能检测合作式攻击,且由于异常检测技术本身误报情况严重,影响了其推广应用,如何降低误报也是异常检测技术研究的关键问题。
由于缺乏聚合和关联攻击活动的模型和框架,传统的入侵检测与分析问题仍未得到很好的解答。现有检测方法的长时间滞后性和人工依赖性,给及时防御网络攻击带来巨大挑战。由于网络攻防领域的博弈特性,检测方的滞后性不可避免,而缩短针对攻击行为的检测时间,可使攻击造成的损失和破坏降到最小。
发明内容
针对现有技术中的不足,本发明提供一种基于多源异常事件关联分析的多步攻击检测方法,通过对攻击链异常评分,对各类数据作有效关联,检测及重构多步攻击场景,提高网络安全威胁检测的准确率,对网络攻击事件提前预测,有效保证网络的安全。
按照本发明所提供的设计方案,一种基于多源异常事件关联分析的多步攻击检测方法,包含如下步骤:
步骤1、通过特征检测产生基于特征码的检测数据,并通过异常评分生成异常事件;
步骤2、对多源数据进行采集汇聚,识别异常主机,基于主机进行事件聚合,获取攻击事件和攻击进程;
步骤3、通过链内关联、链间关联和特征聚类对攻击进程进行关联重组;
步骤4、重构多步攻击场景,输出预测攻击事件。
上述的,步骤2包含如下内容:采用攻击链评分方法,对攻击事件和攻击进程进行量化,识别异常主机,基于受害主机进行事件聚合,将涉及同一主机的事件提取至同一集合。
上述的,对攻击事件和攻击进程进行量化,包含内容如下:形成攻击链的攻击事件,攻击事件包含:源和目的主机标识,事件类型,事件标记,攻击阶段,起始和终止时间,安全评分;满足攻击链逻辑特征的事件组形成攻击进程。
优选的,攻击事件表示为:
Event:(hsrc,hdst,e,m,p,tstart,tend,s)
其中,h表示源主机和目的主机的IP地址,e表示事件类型,m表示事件标记,k表示攻击步骤/阶段,tstart和tend分别表示事件的起始时间和终止时间,s是对事件的安全评分;攻击进程定义为一个有序的k元组,每一个事件根据事件类型归属于某攻击阶段,表示为:
AP:(Event1,Event2,Event3,...,Eventn)
其中:n个攻击事件的hsrc和hdst相同,即整体攻击进程AP的hsrc,表示为hsrc(AP),与n个事件对应的攻击阶段为:
AP:(p1,p2,p3,...,pn)
p是攻击链中的一个阶段;pn的集合元素大于2;pk+1≥pk。
上述的,步骤3的通过链内关联、链间关联和特征聚类对攻击进程进行关联重组,包含如下内容:对单个主机的事件进行分析,对攻击进程中缺失数据信息进行填充,生成疑似攻击进程;对跨多个垂直关系之间因果相连事件进行解析,标识攻击进程之间的公共信息缺失,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联,找出同属一个攻击场景的行为;将不同攻击进程中具有相同事件标记的事件作聚类操作,建立无向连接边。
上述的,对攻击进程中缺失数据信息进行填充,生成疑似攻击进程,包含如下内容:根据时间特征和逻辑关联性对攻击进程进行关联,将涉及同一主机的事件按攻击阶段和逻辑顺序组合,通过在事件之间添加虚拟连接边,建立因果关系,对漏失元素添加假设填充,生成疑似多步攻击的攻击进程。
上述的,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联,找出同属一个攻击场景的行为,包含如下内容:按节点间通信关系和事件主体,在多个进程间添加关联边,填充不同节点之间的偏序关系。
上述的,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联,找出同属一个攻击场景的行为,包含如下内容:从攻击因果关联角度,根据逻辑推断将不同攻击进程关联同一攻击场景中。
上述的,将不同攻击进程中具有相同事件标记的事件作聚类操作,是指:通过攻击事件相同元素特征,获取攻击进程相似度,通过相似度,攻击进程之间建立联系,完成攻击进程聚合。
上述的,重构多步攻击场景,输出预测攻击事件,包含如下内容:根据关联重组结果,建立按攻击阶段排序的攻击图,匹配重构出多步攻击场景,根据攻击知识和关联,输出潜在的预测攻击事件。
本发明的有益效果:
本发明提供的一种基于多源异常事件关联分析的多步攻击检测方法,通过特征检测和异常事件定义与识别;计算基于攻击链的安全事件评分,识别出异常主机,并以受害主机为线索聚合各类事件;然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进一步关联重组,最后基于此重构出多步攻击场景,输出预测攻击事件。通过对分散孤立的安全事件进行关联聚合,生成相对完整的多步攻击场景,可提高安全管理人员的安全分析能力,拓展安全视角,帮助有效应对分布零散的多步攻击威胁,缩短攻击行为的发现时间,为应对APT等高级攻击手段提供一种有效的预测防御解决方案;有效提升网络的整体安全性,降低系统安全风险。
附图说明:
图1是本发明的方法流程示意图;
图2是多步攻击检测模型示意图;
图3是多步攻击检测模型数据流转示意图;
图4是多步攻击检测实例具体流程图;
图5是链内关联分析示例图;
图6是链间关联分析示例图;
图7是特征聚类分析示例图。
具体实施方式:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
实施例一,参见图1所示,一种基于多源异常事件关联分析的多步攻击检测方法,包含如下步骤:
步骤1、通过特征检测产生基于特征码的检测数据,并通过异常评分生成异常事件;
步骤2、对多源数据进行采集汇聚,识别异常主机,基于主机进行事件聚合,获取攻击事件和攻击进程;
步骤3、通过链内关联、链间关联和特征聚类对攻击进程进行关联重组;
步骤4、重构多步攻击场景,输出预测攻击事件。
通过对分散孤立的安全事件进行关联聚合,生成相对完整的多步攻击场景,提高安全管理人员的安全分析能力,拓展安全视角,帮助有效应对分布零散的多步攻击威胁,缩短攻击行为的发现时间,为应对APT等高级攻击手段提供一种有效的预测防御解决方案;有效提升网络的整体安全性,降低系统安全风险。
实施例二,参见图1~7所示,一种基于多源异常事件关联分析的多步攻击检测方法,包含如下内容:
一)、通过特征检测产生基于特征码的检测数据,并通过异常评分生成异常事件。
二)、对多源数据进行采集汇聚,识别异常主机,基于主机进行事件聚合,获取攻击事件和攻击进程。
采用攻击链评分方法,对攻击事件和攻击进程进行量化,形成攻击链的攻击事件,攻击事件包含:源和目的主机标识,事件类型,事件标记,攻击阶段,起始和终止时间,安全评分;满足攻击链逻辑特征的事件组形成攻击进程。识别异常主机,基于受害主机进行事件聚合,将涉及同一主机的事件提取至同一集合。
优选的,攻击事件表示为:
Event:(hsrc,hdst,e,m,p,tstart,tend,s)
其中,h表示源主机和目的主机的IP地址,e表示事件类型,m表示事件标记,k表示攻击步骤/阶段,tstart和tend分别表示事件的起始时间和终止时间,s是对事件的安全评分;攻击进程定义为一个有序的k元组,每一个事件根据事件类型归属于某攻击阶段,表示为:
AP:(Event1,Event2,Event3,...,Eventn)
其中:n个攻击事件的hsrc和hdst相同,即整体攻击进程AP的hsrc,表示为hsrc(AP),与n个事件对应的攻击阶段为:
AP:(p1,p2,p3,...,pn)
,p是攻击链中的一个阶段;pn的集合元素大于2,即攻击进程中至少存在两个阶段的事件;
pk+1≥pk,即Eventk+1和Eventk同属一个阶段或Eventk+1是Eventk的下一阶段。
三)、通过链内关联、链间关联和特征聚类对攻击进程进行关联重组。
对单个主机的事件进行分析,对攻击进程中缺失数据信息进行填充,根据时间特征和逻辑关联性对攻击进程进行关联,将涉及同一主机的事件按攻击阶段和逻辑顺序组合,通过在事件之间添加虚拟连接边,建立因果关系,对漏失元素添加假设填充,生成疑似多步攻击的攻击进程。对跨多个垂直关系之间因果相连事件进行解析,标识攻击进程之间的公共信息缺失,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联:按节点间通信关系和事件主体,在多个进程间添加关联边,填充不同节点之间的偏序关系;或从攻击因果关联角度,根据逻辑推断将不同攻击进程关联同一攻击场景中。将不同攻击进程中具有相同事件标记的事件作聚类操作,建立无向连接边,通过攻击事件相同元素特征,获取攻击进程相似度,通过相似度,攻击进程之间建立联系,完成攻击进程聚合。
四)、重构多步攻击场景,输出预测攻击事件,根据关联重组结果,建立按攻击阶段排序的攻击图,匹配重构出多步攻击场景,根据攻击知识和关联,输出潜在的预测攻击事件。
为了使本发明的目的、方法特点和优点更为清晰,下面结合附图2~7对本发明作进一步详细描述。
参见图2检测模型示意图和图3数据流转示意图中:
S101、本发明的基础数据:一是入侵检测系统、防病毒软件等基于特征检测技术的安全事件结果;另一部分是基于终端节点采集数据的异常检测结果;
S102、首先基于攻击链将两类安全事件进行聚合与评分,识别出异常主机,在此阶段以原始数据为输入,生成安全事件集合;
S103、安全事件输入至链内关联分析模块,将分散孤立的安全事件关联成攻击进程;再经过链间关联和特征聚类,将攻击进程关联成攻击场景;
S104、最后通过攻击场景重构,生成最终攻击场景。
图4中多步攻击检测模型流程图中:
S301、两类基础数据源:入侵检测系统、防病毒软件等特征检测结果,以及基于异常评分方法生成的异常事件;
S302、多源数据采集与汇聚;
S303、基于主机的事件聚合,即将涉及同一主机的事件提取至同一集合中;
S304、链内关联:结合攻击链模型,将涉及同一主机的事件按攻击阶段和逻辑顺序组合,对漏失元素添加假设和填充,生成攻击进程;
S305、链间关联:按节点通信关系和事件主体,在多个攻击进程间添加关联边,填充不同节点之间的关系;
S306、特征聚类:将不同攻击进程中具有的相同事件标记的事件作聚类操作,建立无向连接边;
S307、基于攻击图技术,综合以上三种关联结果,组合生成攻击场景,对关联结果作评估预测,并按置信度高低排序上报给安全管理人员。
具体的,链内关联分析实例如图5所示:
在图5中,实线表示检测出的攻击行为,虚线表示未被检测到的事件,是依据现有数据源得出的假设事件。图5中表示的攻击示例是:受害主机收到带有木马程序附件的邮件,安全检测软件并未给出报警,但是随后受害主机上有新进程创建及安装新服务的事件发生。综合现有因素可以推断出,攻击者可能采用了某种隐蔽手段绕过安全软件的检测,对系统进行渗透,进一步地可以推测,受害主机后续可能会向C&C服务器发出异常的网络请求,并在宿主机上按照指令执行相应操作。将由于信息缺失而未被检测出的事件标注添加到攻击进程中,得出相对完整的攻击过程。
链间关联分析实例如图6所示:
在图6中,实线表示检测出的攻击行为,虚线表示未被检测到的事件,是依据现有数据源得出的假设事件。图6表示的攻击示例是:在Host1上检测到相对完整的攻击进程,已被攻陷的主机节点,Host2上检测到以Host1为源主机的投递和侵入过程,Host3是收到Host2的渗透连接,并有安装运行新程序的现象,以及未知外连,可在Host1与Host2以及Host2与Host3之间分别建立假设连接,形成攻击进程组合。
特征聚类分析实例如图7所示:
特征聚类以上述安全事件库和攻击进程库作为输入,且伴随数据的实时接入,将输入数据源根据外连IP或域名、C&C服务器特征、类似恶意代码、投递阶段的钓鱼邮件中的相同URL、主机中出现的相同的新进程、新服务等攻击特征将其聚类为攻击进程群组、安全事件群组或事件-进程群组,在特征事件间添加无向连接边;对于未聚类的安全事件和攻击进程仍然返回送至安全事件库和攻击进程,当有新数据到来时,对事件和进程进一步检测。
通过链内关联、链间关联和特征聚类,原本孤立分散的事件之间已经建立初步联系,并可将原始事件组织成按攻击阶段排序的攻击图,在观测到的实际异常的基础上给出攻击路径可能性预测。
攻击场景重构在攻击图技术的基础上,综合以上三种关联结果,组合生成攻击场景,对关联结果作评估预测,并按置信度高低排序上报给安全管理人员。与传统攻击图试图找出所有可能的路径不同,这里只建模真实攻击路径,即在现有检测结果的基础上,根据现有攻击知识和各阶段关联关系,给出潜在攻击场景。
在攻击链建立过程之初,可能只是给出攻击过程的一个事件或一个步骤,在后续检测中,随着新事件的出现和被检测接收,划分和添加新的攻击阶段事件到图中,对攻击图逐步充实和完善,最终匹配和重构出整个多步攻击场景。
本发明不局限于上述具体实施方式,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
Claims (10)
1.一种基于多源异常事件关联分析的多步攻击检测方法,其特征在于,包含如下步骤:
步骤1、通过特征检测产生基于特征码的检测数据,并通过异常评分生成异常事件;
步骤2、对多源数据进行采集汇聚,识别异常主机,基于主机进行事件聚合,获取攻击事件和攻击进程;
步骤3、通过链内关联、链间关联和特征聚类对攻击进程进行关联重组;
步骤4、重构多步攻击场景,输出预测攻击事件。
2.根据权利要求1所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,步骤2包含如下内容:采用攻击链评分方法,对攻击事件和攻击进程进行量化,识别异常主机,基于受害主机进行事件聚合,将涉及同一主机的事件提取至同一集合。
3.根据权利要求2所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,对攻击事件和攻击进程进行量化,包含内容如下:形成攻击链的攻击事件,攻击事件包含:源和目的主机标识,事件类型,事件标记,攻击阶段,起始和终止时间,安全评分;满足攻击链逻辑特征的事件组形成攻击进程。
4.根据权利要求3所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,攻击事件表示为:
Event:(hsrc,hdst,e,m,p,tstart,tend,s)
其中,h表示源主机和目的主机的IP地址,e表示事件类型,m表示事件标记,k表示攻击步骤/阶段,tstart和tend分别表示事件的起始时间和终止时间,s是对事件的安全评分;攻击进程定义为一个有序的k元组,每一个事件根据事件类型归属于某攻击阶段,表示为:
AP:(Event1,Event2,Event3,...,Eventn)
其中:n个攻击事件的hsrc和hdst相同,即整体攻击进程AP的hsrc,表示为hsrc(AP),与n个事件对应的攻击阶段为:
AP:(p1,p2,p3,...,pn)
p是攻击链中的一个阶段;pn的集合元素大于2;pk+1≥pk。
5.根据权利要求3所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,步骤3的通过链内关联、链间关联和特征聚类对攻击进程进行关联重组,包含如下内容:对单个主机的事件进行分析,对攻击进程中缺失数据信息进行填充,生成疑似攻击进程;对跨多个垂直关系之间因果相连事件进行解析,标识攻击进程之间的公共信息缺失,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联,找出同属一个攻击场景的行为;将不同攻击进程中具有相同事件标记的事件作聚类操作,建立无向连接边。
6.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,对攻击进程中缺失数据信息进行填充,生成疑似攻击进程,包含如下内容:根据时间特征和逻辑关联性对攻击进程进行关联,将涉及同一主机的事件按攻击阶段和逻辑顺序组合,通过在事件之间添加虚拟连接边,建立因果关系,对漏失元素添加假设填充,生成疑似多步攻击的攻击进程。
7.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联,找出同属一个攻击场景的行为,包含如下内容:按节点间通信关系和事件主体,在多个进程间添加关联边,填充不同节点之间的偏序关系。
8.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,使用来自一个攻击进程的知识填充另一个攻击进程,根据不同攻击进程之间的关联,找出同属一个攻击场景的行为,包含如下内容:从攻击因果关联角度,根据逻辑推断将不同攻击进程关联同一攻击场景中。
9.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,将不同攻击进程中具有相同事件标记的事件作聚类操作,是指:通过攻击事件相同元素特征,获取攻击进程相似度,通过相似度,攻击进程之间建立联系,完成攻击进程聚合。
10.根据权利要求3所述的基于多源异常事件关联分析的多步攻击检测方法,其特征在于,重构多步攻击场景,输出预测攻击事件,包含如下内容:根据关联重组结果,建立按攻击阶段排序的攻击图,匹配重构出多步攻击场景,根据攻击知识和关联,输出潜在的预测攻击事件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611257755.5A CN106790186B (zh) | 2016-12-30 | 2016-12-30 | 基于多源异常事件关联分析的多步攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611257755.5A CN106790186B (zh) | 2016-12-30 | 2016-12-30 | 基于多源异常事件关联分析的多步攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106790186A true CN106790186A (zh) | 2017-05-31 |
CN106790186B CN106790186B (zh) | 2020-04-24 |
Family
ID=58953604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611257755.5A Active CN106790186B (zh) | 2016-12-30 | 2016-12-30 | 基于多源异常事件关联分析的多步攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106790186B (zh) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN108076040A (zh) * | 2017-10-11 | 2018-05-25 | 北京邮电大学 | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 |
CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN109167781A (zh) * | 2018-08-31 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于动态关联分析的网络攻击链识别方法和装置 |
CN109286511A (zh) * | 2017-07-19 | 2019-01-29 | 东软集团股份有限公司 | 数据处理的方法及装置 |
CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
CN109509327A (zh) * | 2018-10-31 | 2019-03-22 | 武汉烽火众智数字技术有限责任公司 | 一种异常行为预警方法及装置 |
CN109522095A (zh) * | 2018-11-27 | 2019-03-26 | 无锡华云数据技术服务有限公司 | 云主机异常故障检测恢复系统、方法及云平台 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
CN109902176A (zh) * | 2019-02-26 | 2019-06-18 | 北京微步在线科技有限公司 | 一种数据关联拓展方法及非暂时性的计算机指令存储介质 |
CN110213226A (zh) * | 2019-04-23 | 2019-09-06 | 南瑞集团有限公司 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110765391A (zh) * | 2019-09-16 | 2020-02-07 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
CN110875928A (zh) * | 2019-11-14 | 2020-03-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种攻击溯源方法、装置、介质和设备 |
CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
CN111224928A (zh) * | 2018-11-26 | 2020-06-02 | 中国移动通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN111885064A (zh) * | 2020-07-24 | 2020-11-03 | 浙江军盾信息科技有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
CN112003835A (zh) * | 2020-08-03 | 2020-11-27 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
CN112333195A (zh) * | 2020-11-10 | 2021-02-05 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 |
CN112637142A (zh) * | 2020-12-08 | 2021-04-09 | 中国南方电网有限责任公司超高压输电公司 | 基于电力网络环境下的安全威胁追溯方法及系统 |
CN113010888A (zh) * | 2021-03-02 | 2021-06-22 | 电子科技大学 | 一种基于关键神经元的神经网络后门攻击防御方法 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
CN114124484A (zh) * | 2021-11-09 | 2022-03-01 | 招商银行股份有限公司 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
CN114915479A (zh) * | 2022-05-18 | 2022-08-16 | 中国科学院信息工程研究所 | 一种基于Web日志的Web攻击阶段分析方法及系统 |
CN115373834A (zh) * | 2021-05-27 | 2022-11-22 | 北京火山引擎科技有限公司 | 一种基于进程调用链的入侵检测方法 |
CN115442065A (zh) * | 2022-04-26 | 2022-12-06 | 浙江工业大学 | 一种面向软件供应链的攻击表征方法与装置 |
CN115469176A (zh) * | 2022-07-22 | 2022-12-13 | 国网河南省电力公司新乡供电公司 | 一种基于数据模型的数字孪生电网用风险评估系统 |
CN116319074A (zh) * | 2023-05-12 | 2023-06-23 | 北京安博通科技股份有限公司 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110320816A1 (en) * | 2009-03-13 | 2011-12-29 | Rutgers, The State University Of New Jersey | Systems and method for malware detection |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
-
2016
- 2016-12-30 CN CN201611257755.5A patent/CN106790186B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110320816A1 (en) * | 2009-03-13 | 2011-12-29 | Rutgers, The State University Of New Jersey | Systems and method for malware detection |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
Non-Patent Citations (1)
Title |
---|
张玉刚: "基于模糊聚类和因果关联的攻击场景构造方法的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109286511A (zh) * | 2017-07-19 | 2019-01-29 | 东软集团股份有限公司 | 数据处理的方法及装置 |
CN109286511B (zh) * | 2017-07-19 | 2021-10-08 | 东软集团股份有限公司 | 数据处理的方法及装置 |
CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN107483425B (zh) * | 2017-08-08 | 2020-12-18 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN108076040A (zh) * | 2017-10-11 | 2018-05-25 | 北京邮电大学 | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 |
CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN108616381B (zh) * | 2018-02-28 | 2021-10-15 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
CN108471429B (zh) * | 2018-06-29 | 2021-10-15 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
CN109167781B (zh) * | 2018-08-31 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种基于动态关联分析的网络攻击链识别方法和装置 |
CN109167781A (zh) * | 2018-08-31 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于动态关联分析的网络攻击链识别方法和装置 |
CN110881016B (zh) * | 2018-09-05 | 2021-06-01 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
CN109509327A (zh) * | 2018-10-31 | 2019-03-22 | 武汉烽火众智数字技术有限责任公司 | 一种异常行为预警方法及装置 |
CN111224928B (zh) * | 2018-11-26 | 2021-11-30 | 中国移动通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN111224928A (zh) * | 2018-11-26 | 2020-06-02 | 中国移动通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN109522095A (zh) * | 2018-11-27 | 2019-03-26 | 无锡华云数据技术服务有限公司 | 云主机异常故障检测恢复系统、方法及云平台 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109617885B (zh) * | 2018-12-20 | 2021-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
CN109902176A (zh) * | 2019-02-26 | 2019-06-18 | 北京微步在线科技有限公司 | 一种数据关联拓展方法及非暂时性的计算机指令存储介质 |
CN109902176B (zh) * | 2019-02-26 | 2021-07-13 | 北京微步在线科技有限公司 | 一种数据关联拓展方法及非暂时性的计算机指令存储介质 |
CN110213226A (zh) * | 2019-04-23 | 2019-09-06 | 南瑞集团有限公司 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
CN110213226B (zh) * | 2019-04-23 | 2021-08-24 | 南瑞集团有限公司 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110602042B (zh) * | 2019-08-07 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110765391B (zh) * | 2019-09-16 | 2022-02-22 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
CN110765391A (zh) * | 2019-09-16 | 2020-02-07 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
CN110875928A (zh) * | 2019-11-14 | 2020-03-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种攻击溯源方法、装置、介质和设备 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111259204B (zh) * | 2020-01-13 | 2023-04-11 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN111885064A (zh) * | 2020-07-24 | 2020-11-03 | 浙江军盾信息科技有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
CN111885064B (zh) * | 2020-07-24 | 2022-11-25 | 杭州安恒信息安全技术有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
CN112003835B (zh) * | 2020-08-03 | 2022-10-14 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
CN112003835A (zh) * | 2020-08-03 | 2020-11-27 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
CN112333195B (zh) * | 2020-11-10 | 2021-11-30 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 |
CN112333195A (zh) * | 2020-11-10 | 2021-02-05 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 |
CN112637142B (zh) * | 2020-12-08 | 2022-12-23 | 中国南方电网有限责任公司超高压输电公司 | 基于电力网络环境下的安全威胁追溯方法及系统 |
CN112637142A (zh) * | 2020-12-08 | 2021-04-09 | 中国南方电网有限责任公司超高压输电公司 | 基于电力网络环境下的安全威胁追溯方法及系统 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113179241B (zh) * | 2021-03-01 | 2022-06-17 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113010888A (zh) * | 2021-03-02 | 2021-06-22 | 电子科技大学 | 一种基于关键神经元的神经网络后门攻击防御方法 |
CN115373834A (zh) * | 2021-05-27 | 2022-11-22 | 北京火山引擎科技有限公司 | 一种基于进程调用链的入侵检测方法 |
CN114124484B (zh) * | 2021-11-09 | 2024-04-05 | 招商银行股份有限公司 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
CN114124484A (zh) * | 2021-11-09 | 2022-03-01 | 招商银行股份有限公司 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
CN115442065A (zh) * | 2022-04-26 | 2022-12-06 | 浙江工业大学 | 一种面向软件供应链的攻击表征方法与装置 |
CN114915479A (zh) * | 2022-05-18 | 2022-08-16 | 中国科学院信息工程研究所 | 一种基于Web日志的Web攻击阶段分析方法及系统 |
CN115469176A (zh) * | 2022-07-22 | 2022-12-13 | 国网河南省电力公司新乡供电公司 | 一种基于数据模型的数字孪生电网用风险评估系统 |
CN116319074A (zh) * | 2023-05-12 | 2023-06-23 | 北京安博通科技股份有限公司 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
CN116319074B (zh) * | 2023-05-12 | 2023-08-15 | 北京安博通科技股份有限公司 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN106790186B (zh) | 2020-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106790186A (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
US10721249B2 (en) | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN103227798B (zh) | 一种免疫网络系统 | |
Cannady et al. | A comparative analysis of current intrusion detection technologies | |
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
US20070300300A1 (en) | Statistical instrusion detection using log files | |
CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护系统 | |
CN103118036A (zh) | 一种基于云端的智能安全防御系统和方法 | |
CN105516073B (zh) | 网络入侵防御方法 | |
Lahre et al. | Analyze different approaches for ids using kdd 99 data set | |
CN103905459A (zh) | 基于云端的智能安全防御系统及防御方法 | |
Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
CN111726342B (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
Song et al. | A generalized feature extraction scheme to detect 0-day attacks via IDS alerts | |
Chen et al. | Advanced persistent threat organization identification based on software gene of malware | |
Zhang et al. | A study on security framework against advanced persistent threat | |
CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
Mishra et al. | Efficient approaches for intrusion detection in cloud environment | |
Milan et al. | Reducing false alarms in intrusion detection systems–a survey | |
CN113709176A (zh) | 基于安全云平台的威胁检测与响应方法及系统 | |
CN100372296C (zh) | 具有二级决策内核的网络入侵检测系统及其报警优化方法 | |
Mohamed et al. | Alert correlation using a novel clustering approach | |
Gujar et al. | Intrusion detection using Naïve Bayes for real time data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |