CN107483425A - 基于攻击链的复合攻击检测方法 - Google Patents
基于攻击链的复合攻击检测方法 Download PDFInfo
- Publication number
- CN107483425A CN107483425A CN201710672534.2A CN201710672534A CN107483425A CN 107483425 A CN107483425 A CN 107483425A CN 201710672534 A CN201710672534 A CN 201710672534A CN 107483425 A CN107483425 A CN 107483425A
- Authority
- CN
- China
- Prior art keywords
- attack
- chain
- event
- metadata
- phase
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于攻击链的复合攻击检测方法。该方法可以包括:构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件;以及计算行为异常事件的攻击链匹配度,发现攻击行为。本发明通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
Description
技术领域
本发明涉及信息安全领域,更具体地,涉及一种基于攻击链的复合攻击检测方法。
背景技术
在信息安全领域,电子数据信息对于国家、政府、企业的重要性与日俱增,对竞争对手的意义也同样重大,如果信息系统遭受APT(高级持续攻击)攻击,那么单位受到的影响也会日益严重。然而在APT时代,由于感知能力比较差,感知时间比较长,基于事后签名机制的传统产品如IPS、IDS、杀毒软件等,在面对APT攻击时,这种事后签名机制几乎失效。与此同时APT攻击针对性、隐蔽性又在不断加强,攻击者通过持续的攻击,对信息系统的威胁仍在不断加大。因此,加强APT攻击防护任务艰巨。
APT攻击是一种复杂多阶段的攻击手段,一般包括即搜索阶段、进入阶段、渗透阶段、收获阶段。APT攻击技术更加复杂、攻击手段更加隐蔽,而且攻击已经不局限于传统的信息系统,而是逐渐把目标扩散到工业控制等系统。传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的单次威胁,对于未知的漏洞利用、木马程序、攻击手法,无法进行检测和定位。
发明人发现,针对复合攻击的检测方法仍然较少,目前有人提出了采用随机森林分类模型对数据进行训练进而进行异常检测的方法,但该方法适合在线常驻检测,难以对真正的多阶段长周期攻击进行检测。因此有必要提供一种复合攻击检测方法。
公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
发明内容
本发明提出了一种基于攻击链的复合攻击检测方法,其能够通过将事件类型映射为攻击阶段,获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件,实现了对多阶段长周期复杂网络攻击的检测。
根据本发明提出了一种基于攻击链的复合攻击检测方法。所述方法可以包括:构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件;计算所述行为异常事件的攻击链匹配度,发现攻击行为。
优选地,通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。
优选地,获取攻击元数据包括:基于syslog或文件系统,实时获取安全事件;将所述安全事件进行标准化,得到标准化事件;基于所述攻击链映射表,将所述标准化事件映射至所述攻击阶段,获得所述攻击元数据。
优选地,所述标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型。
优选地,所述攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。
优选地,通过所述事件类型与所述攻击链映射表匹配获得所述攻击阶段。
优选地,获取攻击元数据还包括,对所述攻击元数据进行实时存储,形成元数据数据库。
优选地,所述发现行为异常事件包括:基于采集到的所述攻击元数据,实时计算建立攻击链基线;当某时刻某攻击阶段的安全事件总量偏离所述攻击链基线超过阈值时,确定该时刻该攻击阶段最活跃的安全事件为所述行为异常事件。
优选地,所述计算所述行为异常事件的攻击链匹配度包括:针对每一个所述行为异常事件从元数据数据库进行回溯计算,构建攻击序列图;基于所述攻击序列图计算所述行为异常事件的所述攻击链匹配度,发现所述攻击行为。
优选地,所述攻击阶段包括:
(1)侦查扫描,利用社会工程学侦查目标网络;
(2)定向攻击,制作定向攻击所述目标网络的攻击工具;
(3)入侵控制,输送所述攻击工具到目标系统;
(4)安装攻击,利用所述目标系统的应用或操作系统漏洞,在所述目标系统触发所述攻击工具运行;
(5)恶意活动,执行所述攻击行为,创建攻击据点,扩大攻击战果。
本发明的有益效果在于:通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
本发明的方法具有其它的特性和优点,这些特性和优点从并入本文中的附图和随后的具体实施例中将是显而易见的,或者将在并入本文中的附图和随后的具体实施例中进行详细陈述,这些附图和具体实施例共同用于解释本发明的特定原理。
附图说明
通过结合附图对本发明示例性实施例进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施例中,相同的附图标记通常代表相同部件。
图1示出了根据本发明的基于攻击链的复合攻击检测方法的步骤的流程图。
具体实施方式
下面将参照附图更详细地描述本发明。虽然附图中显示了本发明的优选实施例,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了使本发明更加透彻和完整,并且能够将本发明的范围完整地传达给本领域的技术人员。
实施例
图1示出了根据本发明的基于攻击链的复合攻击检测方法的步骤的流程图。
在该实施例中,根据本发明的基于攻击链的复合攻击检测方法可以包括:步骤101,构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;步骤102,获取攻击元数据;步骤103,建立攻击链基线,根据行为偏离发现行为异常事件;以及步骤104,计算行为异常事件的攻击链匹配度,发现攻击行为。
该实施例通过将事件类型映射为攻击阶段,获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件,实现了对多阶段长周期复杂网络攻击的检测。
下面结合图1详细说明根据本发明的基于攻击链的复合攻击检测方法的具体步骤。
步骤101,构建事件类型与攻击链映射表,将事件类型映射为攻击阶段。
在一个示例中,通过人工配置或预置将事件类型与各个攻击阶段进行映射。本领域技术人员应当理解,可以采用本领域已知的各种常规方法,将安全事件的事件类型与攻击链映射表匹配。
在一个示例中,攻击阶段包括:
(1)侦查扫描,利用社会工程学侦查目标网络;
(2)定向攻击,制作带有恶意代码的pdf文件或office文件,作为定向攻击的工具;
(3)入侵控制,通过邮件的附件或U盘将攻击工具输送到目标系统;
(4)安装攻击,利用目标系统的操作系统漏洞触发攻击工具运行;
(5)恶意活动,执行pdf文件或office文件携带的恶意代码,创建攻击据点,并进一步扩大攻击战果。
步骤102,获取攻击元数据。
在一个示例中,获取攻击元数据包括:基于syslog或文件系统,实时获取安全事件;将安全事件进行标准化,得到标准化事件;基于攻击链映射表,将标准化事件映射至攻击阶段,获得攻击元数据。
在一个示例中,标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型,这些信息是组成攻击元数据的必要信息。
在一个示例中,攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段,标准化事件所含的信息加上匹配获得的攻击阶段,就能得到完整的攻击元数据。
在一个示例中,通过事件类型与攻击链映射表匹配获得攻击阶段,依据安全事件的事件类型与攻击链映射表匹配,就可以得出该事件所处的攻击阶段。
具体地,基于syslog或文件系统,实时获取防火墙、IDS/IPS、操作系统、Web服务器和数据库中的各类安全日志,作为构建攻击链的数据支撑;然后对各类安全日志进行标准化,标准化后的日志包括了攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型的信息;最后通过事件类型与攻击链映射表匹配获得攻击阶段,在标准化后的日志所含的信息中加入匹配获得的攻击阶段,就能得到一个完整的攻击元数据。
在一个示例中,获取攻击元数据还包括,对攻击元数据进行实时存储,形成元数据数据库。
具体地,由于攻击元数据数据量大,采用HDFS分布式文件存储系统。
步骤103,建立攻击链基线,根据行为偏离发现行为异常事件。
在一个示例中,发现行为异常事件包括:基于采集到的攻击元数据,实时计算建立攻击链基线;当某时刻某攻击阶段的安全事件总量偏离攻击链基线超过阈值时,确定该时刻该攻击阶段最活跃的安全事件为行为异常事件。
具体地,该攻击链基线以事件量为基本指标,基线构成是固定周期的攻击链各阶段的平均事件总量。
步骤104,计算行为异常事件的攻击链匹配度,发现攻击行为。
在一个示例中,计算行为异常事件的攻击链匹配度包括:针对每一个行为异常事件从元数据数据库进行回溯计算,构建攻击序列图;基于攻击序列图计算行为异常事件的攻击链匹配度,发现攻击行为,并且触发告警。
具体地,攻击序列图的设计为:
M={P(M),E(M),W(M)} (1)
其中,P(M)={p1,p2,p3,…,pn}表示攻击链,每一个元素表示一个攻击阶段;E(M)={E(p1),E(p2),E(p3),...,E(pn)},E(M)与P(M)一一对应,E(pi)表示攻击阶段为pi的攻击事件的集合,E(pi)={e1,e2,e3,...,eki}每个元素代表一个攻击事件;W(M)={w1,w2,w3,...,wn},W(M)与P(M)一一对应,表示每一个攻击阶段pi在攻击链中的重要性和危害程度,wi的取值在0~10之间。
具体地,针对每一个异常事件从元数据数据库进行回溯计算方法为:
(1)根据异常事件的源IP和目的IP信息,从元数据数据库中检索相关元数据;
(2)按照攻击链P(M)={p1,p2,p3,...,pn}顺次进行检索;
(3)检索获取到的元数据中的源IP和目的IP作为新的条件进行攻击链下一阶段的检索。
攻击链匹配度计算公式为:
其中,n为攻击链的阶段数量;pi为攻击阶段;wi表示每一个攻击阶段在攻击链中的重要性和危害程度,wi的取值在0~10之间。E(pi)表示攻击阶段为pi的攻击事件的集合;E(pi)={e1,e2,e3,...,eki}每个元素代表一个攻击事件;ki表示该攻击阶段攻击事件的数量。
该实施例通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
应用示例
为便于理解本发明实施例的方案及其效果,以下给出一个具体应用示例。本领域技术人员应理解,该示例仅为了便于理解本发明,其任何具体细节并非意在以任何方式限制本发明。
构建事件类型与攻击链映射表,采集syslog或文件系统中的海量安全事件,对安全事件进行标准化处理后映射到攻击链的攻击阶段,从而获得攻击元数据;采用HDFS分布式文件存储系统对获得的攻击元数据进行实时存储,形成元数据数据库;建立攻击链基线,根据行为偏离发现行为异常事件;针对每一个异常事件从元数据数据库进行回溯计算,将攻击阶段、处于该攻击阶段攻击事件的集合以及攻击严重程度代入公式(1)中,构建攻击序列图;基于攻击序列图,将攻击严重程度代入公式(2)中,计算异常事件的攻击链匹配度,发现潜在的攻击事件,并告警。
该应用示例通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
本领域技术人员应理解,上面对本发明的实施例的描述的目的仅为了示例性地说明本发明的实施例的有益效果,并不意在将本发明的实施例限制于所给出的任何示例。
以上已经描述了本发明的实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的实施例。在不偏离所说明的实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。
Claims (10)
1.一种基于攻击链的复合攻击检测方法,其特征在于,包括:
构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;
获取攻击元数据;
建立攻击链基线,根据行为偏离发现行为异常事件;
计算所述行为异常事件的攻击链匹配度,发现攻击行为。
2.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。
3.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,获取攻击元数据包括:
基于syslog或文件系统,实时获取安全事件;
将所述安全事件进行标准化,得到标准化事件;
基于所述攻击链映射表,将所述标准化事件映射至所述攻击阶段,获得所述攻击元数据。
4.根据权利要求3所述的基于攻击链的复合攻击检测方法,其中,所述标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型。
5.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,所述攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。
6.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,通过所述事件类型与所述攻击链映射表匹配获得所述攻击阶段。
7.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,获取攻击元数据还包括,对所述攻击元数据进行实时存储,形成元数据数据库。
8.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,所述发现行为异常事件包括:
基于采集到的所述攻击元数据,实时计算建立攻击链基线;
当某时刻某攻击阶段的安全事件总量偏离所述攻击链基线超过阈值时,确定该时刻该攻击阶段最活跃的安全事件为所述行为异常事件。
9.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,所述计算所述行为异常事件的攻击链匹配度包括:
针对每一个所述行为异常事件从元数据数据库进行回溯计算,构建攻击序列图;
基于所述攻击序列图计算所述行为异常事件的所述攻击链匹配度,发现所述攻击行为。
10.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,所述攻击阶段包括:
(1)侦查扫描,利用社会工程学侦查目标网络;
(2)定向攻击,制作定向攻击所述目标网络的攻击工具;
(3)入侵控制,输送所述攻击工具到目标系统;
(4)安装攻击,利用所述目标系统的应用或操作系统漏洞,在所述目标系统触发所述攻击工具运行;
(5)恶意活动,执行所述攻击行为,创建攻击据点,扩大攻击战果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710672534.2A CN107483425B (zh) | 2017-08-08 | 2017-08-08 | 基于攻击链的复合攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710672534.2A CN107483425B (zh) | 2017-08-08 | 2017-08-08 | 基于攻击链的复合攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107483425A true CN107483425A (zh) | 2017-12-15 |
CN107483425B CN107483425B (zh) | 2020-12-18 |
Family
ID=60599104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710672534.2A Active CN107483425B (zh) | 2017-08-08 | 2017-08-08 | 基于攻击链的复合攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107483425B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
CN109284317A (zh) * | 2018-10-26 | 2019-01-29 | 山东中孚安全技术有限公司 | 一种基于时序有向图的窃取信息线索提取与分段评估方法 |
CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111880884A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种告警显示系统及显示方法 |
CN113411288A (zh) * | 2020-03-17 | 2021-09-17 | 中国电信股份有限公司 | 设备安全的检测方法、装置和存储介质 |
US11334666B2 (en) * | 2019-04-15 | 2022-05-17 | Qualys Inc. | Attack kill chain generation and utilization for threat analysis |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105468765A (zh) * | 2015-12-03 | 2016-04-06 | 中国南方电网有限责任公司信息中心 | 一种多节点web服务异常检测方法和系统 |
CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
US20170006055A1 (en) * | 2015-06-30 | 2017-01-05 | The Mitre Corporation | Network attack simulation systems and methods |
CN106415507A (zh) * | 2014-06-06 | 2017-02-15 | 日本电信电话株式会社 | 日志分析装置、攻击检测装置、攻击检测方法以及程序 |
US20170063917A1 (en) * | 2015-08-24 | 2017-03-02 | Empow Cyber Security Ltd. | Risk-chain generation of cyber-threats |
WO2017044503A1 (en) * | 2015-09-08 | 2017-03-16 | The Children's Hospital Of Philadelphia | Methods of diagnosing and treating anxiety disorder |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
WO2017114200A1 (zh) * | 2015-12-31 | 2017-07-06 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
US20170201530A1 (en) * | 2015-08-28 | 2017-07-13 | The Boeing Company | Cumulative trajectory of cyber reconnaissance indicators |
-
2017
- 2017-08-08 CN CN201710672534.2A patent/CN107483425B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN106415507A (zh) * | 2014-06-06 | 2017-02-15 | 日本电信电话株式会社 | 日志分析装置、攻击检测装置、攻击检测方法以及程序 |
CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
US20170006055A1 (en) * | 2015-06-30 | 2017-01-05 | The Mitre Corporation | Network attack simulation systems and methods |
US20170063917A1 (en) * | 2015-08-24 | 2017-03-02 | Empow Cyber Security Ltd. | Risk-chain generation of cyber-threats |
US20170201530A1 (en) * | 2015-08-28 | 2017-07-13 | The Boeing Company | Cumulative trajectory of cyber reconnaissance indicators |
WO2017044503A1 (en) * | 2015-09-08 | 2017-03-16 | The Children's Hospital Of Philadelphia | Methods of diagnosing and treating anxiety disorder |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105468765A (zh) * | 2015-12-03 | 2016-04-06 | 中国南方电网有限责任公司信息中心 | 一种多节点web服务异常检测方法和系统 |
CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
WO2017114200A1 (zh) * | 2015-12-31 | 2017-07-06 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
Non-Patent Citations (3)
Title |
---|
侯贵斌: "《信息与网络空间安全2015》", 15 January 2016, 上海科学技术文献出版社 * |
刘威歆: "基于攻击图的APT攻击检测和威胁评估研究", 《中国优秀博士论文》 * |
管磊: "基于大数据的网络安全态势感知技术研究", 《信息网络安全》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
CN109284317A (zh) * | 2018-10-26 | 2019-01-29 | 山东中孚安全技术有限公司 | 一种基于时序有向图的窃取信息线索提取与分段评估方法 |
CN109284317B (zh) * | 2018-10-26 | 2021-07-06 | 中孚安全技术有限公司 | 一种基于时序有向图的窃取信息线索提取与分段评估方法 |
US11334666B2 (en) * | 2019-04-15 | 2022-05-17 | Qualys Inc. | Attack kill chain generation and utilization for threat analysis |
US11762991B2 (en) | 2019-04-15 | 2023-09-19 | Qualys, Inc. | Attack kill chain generation and utilization for threat analysis |
CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110602042B (zh) * | 2019-08-07 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN113411288A (zh) * | 2020-03-17 | 2021-09-17 | 中国电信股份有限公司 | 设备安全的检测方法、装置和存储介质 |
CN111880884A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种告警显示系统及显示方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107483425B (zh) | 2020-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107483425A (zh) | 基于攻击链的复合攻击检测方法 | |
JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN105721416B (zh) | 一种apt事件攻击组织同源性分析方法及装置 | |
Kholidy et al. | A finite state hidden markov model for predicting multistage attacks in cloud systems | |
CN111245807B (zh) | 基于攻击链因子的网络态势量化评估方法 | |
CN103227798A (zh) | 一种免疫网络系统 | |
CN104871171B (zh) | 分布式模式发现 | |
CN112788008A (zh) | 一种基于大数据的网络安全动态防御系统及方法 | |
CN105760762B (zh) | 一种嵌入式处理器的未知恶意代码检测方法 | |
CN103973702A (zh) | 基于改进的粒子群算法的信息安全防御规则智能部署方法 | |
KR101535529B1 (ko) | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 | |
CN103401838A (zh) | 一种基于僵尸程序传播行为的僵尸网络预防方法 | |
CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
CN112291260A (zh) | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 | |
Ghafoor et al. | A Threat Detection Model of Cyber-security through Artificial Intelligence | |
CN108182360A (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
CN113709176A (zh) | 基于安全云平台的威胁检测与响应方法及系统 | |
Zheng et al. | Wmdefense: Using watermark to defense byzantine attacks in federated learning | |
CN105791236A (zh) | 一种木马通信通道检测方法及系统 | |
Zhang et al. | IDS alert classification model construction using decision support techniques | |
Pogossian et al. | Effective discovery of intrusion protection strategies | |
Ionită et al. | Biologically inspired risk assessment in cyber security using neural networks | |
CN103916399B (zh) | 一种计算机信息安全防御系统 | |
Kang et al. | ActDetector: A Sequence-based Framework for Network Attack Activity Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |