CN107483425B - 基于攻击链的复合攻击检测方法 - Google Patents

基于攻击链的复合攻击检测方法 Download PDF

Info

Publication number
CN107483425B
CN107483425B CN201710672534.2A CN201710672534A CN107483425B CN 107483425 B CN107483425 B CN 107483425B CN 201710672534 A CN201710672534 A CN 201710672534A CN 107483425 B CN107483425 B CN 107483425B
Authority
CN
China
Prior art keywords
attack
event
chain
metadata
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710672534.2A
Other languages
English (en)
Other versions
CN107483425A (zh
Inventor
陈华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Cybersky Information Technology Co ltd
Original Assignee
Beijing Cybersky Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Cybersky Information Technology Co ltd filed Critical Beijing Cybersky Information Technology Co ltd
Priority to CN201710672534.2A priority Critical patent/CN107483425B/zh
Publication of CN107483425A publication Critical patent/CN107483425A/zh
Application granted granted Critical
Publication of CN107483425B publication Critical patent/CN107483425B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于攻击链的复合攻击检测方法。该方法可以包括:构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件;以及计算行为异常事件的攻击链匹配度,发现攻击行为。本发明通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。

Description

基于攻击链的复合攻击检测方法
技术领域
本发明涉及信息安全领域,更具体地,涉及一种基于攻击链的复合攻击检测方法。
背景技术
在信息安全领域,电子数据信息对于国家、政府、企业的重要性与日俱增,对竞争对手的意义也同样重大,如果信息系统遭受APT(高级持续攻击)攻击,那么单位受到的影响也会日益严重。然而在APT时代,由于感知能力比较差,感知时间比较长,基于事后签名机制的传统产品如IPS、IDS、杀毒软件等,在面对APT攻击时,这种事后签名机制几乎失效。与此同时APT攻击针对性、隐蔽性又在不断加强,攻击者通过持续的攻击,对信息系统的威胁仍在不断加大。因此,加强APT攻击防护任务艰巨。
APT攻击是一种复杂多阶段的攻击手段,一般包括即搜索阶段、进入阶段、渗透阶段、收获阶段。APT攻击技术更加复杂、攻击手段更加隐蔽,而且攻击已经不局限于传统的信息系统,而是逐渐把目标扩散到工业控制等系统。传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的单次威胁,对于未知的漏洞利用、木马程序、攻击手法,无法进行检测和定位。
发明人发现,针对复合攻击的检测方法仍然较少,目前有人提出了采用随机森林分类模型对数据进行训练进而进行异常检测的方法,但该方法适合在线常驻检测,难以对真正的多阶段长周期攻击进行检测。因此有必要提供一种复合攻击检测方法。
公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
发明内容
本发明提出了一种基于攻击链的复合攻击检测方法,其能够通过将事件类型映射为攻击阶段,获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件,实现了对多阶段长周期复杂网络攻击的检测。
根据本发明提出了一种基于攻击链的复合攻击检测方法。所述方法可以包括:构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件;计算所述行为异常事件的攻击链匹配度,发现攻击行为。
优选地,通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。
优选地,获取攻击元数据包括:基于syslog或文件系统,实时获取安全事件;将所述安全事件进行标准化,得到标准化事件;基于所述攻击链映射表,将所述标准化事件映射至所述攻击阶段,获得所述攻击元数据。
优选地,所述标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型。
优选地,所述攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。
优选地,通过所述事件类型与所述攻击链映射表匹配获得所述攻击阶段。
优选地,获取攻击元数据还包括,对所述攻击元数据进行实时存储,形成元数据数据库。
优选地,所述发现行为异常事件包括:基于采集到的所述攻击元数据,实时计算建立攻击链基线;当某时刻某攻击阶段的安全事件总量偏离所述攻击链基线超过阈值时,确定该时刻该攻击阶段最活跃的安全事件为所述行为异常事件。
优选地,所述计算所述行为异常事件的攻击链匹配度包括:针对每一个所述行为异常事件从元数据数据库进行回溯计算,构建攻击序列图;基于所述攻击序列图计算所述行为异常事件的所述攻击链匹配度,发现所述攻击行为。
优选地,所述攻击阶段包括:
(1)侦查扫描,利用社会工程学侦查目标网络;
(2)定向攻击,制作定向攻击所述目标网络的攻击工具;
(3)入侵控制,输送所述攻击工具到目标系统;
(4)安装攻击,利用所述目标系统的应用或操作系统漏洞,在所述目标系统触发所述攻击工具运行;
(5)恶意活动,执行所述攻击行为,创建攻击据点,扩大攻击战果。
本发明的有益效果在于:通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
本发明的方法具有其它的特性和优点,这些特性和优点从并入本文中的附图和随后的具体实施例中将是显而易见的,或者将在并入本文中的附图和随后的具体实施例中进行详细陈述,这些附图和具体实施例共同用于解释本发明的特定原理。
附图说明
通过结合附图对本发明示例性实施例进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施例中,相同的附图标记通常代表相同部件。
图1示出了根据本发明的基于攻击链的复合攻击检测方法的步骤的流程图。
具体实施方式
下面将参照附图更详细地描述本发明。虽然附图中显示了本发明的优选实施例,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了使本发明更加透彻和完整,并且能够将本发明的范围完整地传达给本领域的技术人员。
实施例
图1示出了根据本发明的基于攻击链的复合攻击检测方法的步骤的流程图。
在该实施例中,根据本发明的基于攻击链的复合攻击检测方法可以包括:步骤101,构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;步骤102,获取攻击元数据;步骤103,建立攻击链基线,根据行为偏离发现行为异常事件;以及步骤104,计算行为异常事件的攻击链匹配度,发现攻击行为。
该实施例通过将事件类型映射为攻击阶段,获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件,实现了对多阶段长周期复杂网络攻击的检测。
下面结合图1详细说明根据本发明的基于攻击链的复合攻击检测方法的具体步骤。
步骤101,构建事件类型与攻击链映射表,将事件类型映射为攻击阶段。
在一个示例中,通过人工配置或预置将事件类型与各个攻击阶段进行映射。本领域技术人员应当理解,可以采用本领域已知的各种常规方法,将安全事件的事件类型与攻击链映射表匹配。
在一个示例中,攻击阶段包括:
(1)侦查扫描,利用社会工程学侦查目标网络;
(2)定向攻击,制作带有恶意代码的pdf文件或office文件,作为定向攻击的工具;
(3)入侵控制,通过邮件的附件或U盘将攻击工具输送到目标系统;
(4)安装攻击,利用目标系统的操作系统漏洞触发攻击工具运行;
(5)恶意活动,执行pdf文件或office文件携带的恶意代码,创建攻击据点,并进一步扩大攻击战果。
步骤102,获取攻击元数据。
在一个示例中,获取攻击元数据包括:基于syslog或文件系统,实时获取安全事件;将安全事件进行标准化,得到标准化事件;基于攻击链映射表,将标准化事件映射至攻击阶段,获得攻击元数据。
在一个示例中,标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型,这些信息是组成攻击元数据的必要信息。
在一个示例中,攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段,标准化事件所含的信息加上匹配获得的攻击阶段,就能得到完整的攻击元数据。
在一个示例中,通过事件类型与攻击链映射表匹配获得攻击阶段,依据安全事件的事件类型与攻击链映射表匹配,就可以得出该事件所处的攻击阶段。
具体地,基于syslog或文件系统,实时获取防火墙、IDS/IPS、操作系统、Web服务器和数据库中的各类安全日志,作为构建攻击链的数据支撑;然后对各类安全日志进行标准化,标准化后的日志包括了攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型的信息;最后通过事件类型与攻击链映射表匹配获得攻击阶段,在标准化后的日志所含的信息中加入匹配获得的攻击阶段,就能得到一个完整的攻击元数据。
在一个示例中,获取攻击元数据还包括,对攻击元数据进行实时存储,形成元数据数据库。
具体地,由于攻击元数据数据量大,采用HDFS分布式文件存储系统。
步骤103,建立攻击链基线,根据行为偏离发现行为异常事件。
在一个示例中,发现行为异常事件包括:基于采集到的攻击元数据,实时计算建立攻击链基线;当某时刻某攻击阶段的安全事件总量偏离攻击链基线超过阈值时,确定该时刻该攻击阶段最活跃的安全事件为行为异常事件。
具体地,该攻击链基线以事件量为基本指标,基线构成是固定周期的攻击链各阶段的平均事件总量。
步骤104,计算行为异常事件的攻击链匹配度,发现攻击行为。
在一个示例中,计算行为异常事件的攻击链匹配度包括:针对每一个行为异常事件从元数据数据库进行回溯计算,构建攻击序列图;基于攻击序列图计算行为异常事件的攻击链匹配度,发现攻击行为,并且触发告警。
具体地,攻击序列图的设计为:
M={P(M),E(M),W(M)} (1)
其中,P(M)={p1,p2,p3,…,pn}表示攻击链,每一个元素表示一个攻击阶段;E(M)={E(p1),E(p2),E(p3),...,E(pn)},E(M)与P(M)一一对应,E(pi)表示攻击阶段为pi的攻击事件的集合,E(pi)={e1,e2,e3,...,eki}每个元素代表一个攻击事件;W(M)={w1,w2,w3,...,wn},W(M)与P(M)一一对应,表示每一个攻击阶段pi在攻击链中的重要性和危害程度,wi的取值在0~10之间。
具体地,针对每一个异常事件从元数据数据库进行回溯计算方法为:
(1)根据异常事件的源IP和目的IP信息,从元数据数据库中检索相关元数据;
(2)按照攻击链P(M)={p1,p2,p3,...,pn}顺次进行检索;
(3)检索获取到的元数据中的源IP和目的IP作为新的条件进行攻击链下一阶段的检索。
攻击链匹配度计算公式为:
Figure BDA0001373472680000071
其中,n为攻击链的阶段数量;pi为攻击阶段;wi表示每一个攻击阶段在攻击链中的重要性和危害程度,wi的取值在0~10之间。E(pi)表示攻击阶段为pi的攻击事件的集合;E(pi)={e1,e2,e3,...,eki}每个元素代表一个攻击事件;ki表示该攻击阶段攻击事件的数量。
该实施例通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
应用示例
为便于理解本发明实施例的方案及其效果,以下给出一个具体应用示例。本领域技术人员应理解,该示例仅为了便于理解本发明,其任何具体细节并非意在以任何方式限制本发明。
构建事件类型与攻击链映射表,采集syslog或文件系统中的海量安全事件,对安全事件进行标准化处理后映射到攻击链的攻击阶段,从而获得攻击元数据;采用HDFS分布式文件存储系统对获得的攻击元数据进行实时存储,形成元数据数据库;建立攻击链基线,根据行为偏离发现行为异常事件;针对每一个异常事件从元数据数据库进行回溯计算,将攻击阶段、处于该攻击阶段攻击事件的集合以及攻击严重程度代入公式(1)中,构建攻击序列图;基于攻击序列图,将攻击严重程度代入公式(2)中,计算异常事件的攻击链匹配度,发现潜在的攻击事件,并告警。
该应用示例通过构建事件类型和攻击链映射表,将安全事件映射到攻击阶段,获得了攻击元数据;采用HDFS分布式文件存储系统对攻击元数据进行实时存储,大大提高了存储效率;同时针对每一个异常事件从元数据数据库进行回溯计算,判断该异常事件是否为攻击行为并告警,实现了对多阶段长周期复杂网络攻击的检测。
本领域技术人员应理解,上面对本发明的实施例的描述的目的仅为了示例性地说明本发明的实施例的有益效果,并不意在将本发明的实施例限制于所给出的任何示例。
以上已经描述了本发明的实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的实施例。在不偏离所说明的实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims (5)

1.一种基于攻击链的复合攻击检测方法,其特征在于,包括:
构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;
获取攻击元数据;
建立攻击链基线,根据行为偏离发现行为异常事件;
计算所述行为异常事件的攻击链匹配度,发现攻击行为;
所述攻击链基线以事件量为基本指标,基线构成是固定周期的攻击链各阶段的平均事件总量;
所述发现行为异常事件包括:
基于采集到的所述攻击元数据,实时计算建立攻击链基线;
当某时刻某攻击阶段的安全事件总量偏离所述攻击链基线超过阈值时,确定该时刻该攻击阶段最活跃的安全事件为所述行为异常事件;
所述计算所述行为异常事件的攻击链匹配度包括:
针对每一个所述行为异常事件从元数据数据库进行回溯计算,构建攻击序列图;
基于所述攻击序列图计算所述行为异常事件的所述攻击链匹配度,发现所述攻击行为;
其中,获取攻击元数据包括:
基于syslog或文件系统,实时获取安全事件;
将所述安全事件进行标准化,得到标准化事件;
基于所述攻击链映射表,将所述标准化事件映射至所述攻击阶段,获得所述攻击元数据;
所述标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型;
所述攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。
2.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。
3.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,通过所述事件类型与所述攻击链映射表匹配获得所述攻击阶段。
4.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,获取攻击元数据还包括,对所述攻击元数据进行实时存储,形成元数据数据库。
5.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,所述攻击阶段包括:
(1)侦查扫描,利用社会工程学侦查目标网络;
(2)定向攻击,制作定向攻击所述目标网络的攻击工具;
(3)入侵控制,输送所述攻击工具到目标系统;
(4)安装攻击,利用所述目标系统的应用或操作系统漏洞,在所述目标系统触发所述攻击工具运行;
(5)恶意活动,执行所述攻击行为,创建攻击据点,扩大攻击战果。
CN201710672534.2A 2017-08-08 2017-08-08 基于攻击链的复合攻击检测方法 Active CN107483425B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710672534.2A CN107483425B (zh) 2017-08-08 2017-08-08 基于攻击链的复合攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710672534.2A CN107483425B (zh) 2017-08-08 2017-08-08 基于攻击链的复合攻击检测方法

Publications (2)

Publication Number Publication Date
CN107483425A CN107483425A (zh) 2017-12-15
CN107483425B true CN107483425B (zh) 2020-12-18

Family

ID=60599104

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710672534.2A Active CN107483425B (zh) 2017-08-08 2017-08-08 基于攻击链的复合攻击检测方法

Country Status (1)

Country Link
CN (1) CN107483425B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881265B (zh) * 2018-06-29 2021-02-12 北京奇虎科技有限公司 一种基于人工智能的网络攻击检测方法及系统
CN109308409A (zh) * 2018-10-16 2019-02-05 国网湖南省电力有限公司 一种基于相似度计算的攻击路径重构方法
CN109284317B (zh) * 2018-10-26 2021-07-06 中孚安全技术有限公司 一种基于时序有向图的窃取信息线索提取与分段评估方法
US11334666B2 (en) 2019-04-15 2022-05-17 Qualys Inc. Attack kill chain generation and utilization for threat analysis
CN110602042B (zh) * 2019-08-07 2022-04-29 中国人民解放军战略支援部队信息工程大学 基于级联攻击链模型的apt攻击行为分析检测方法及装置
CN111030986B (zh) * 2019-10-30 2022-10-21 安天科技集团股份有限公司 一种攻击组织溯源分析的方法、装置及存储介质
CN113411288A (zh) * 2020-03-17 2021-09-17 中国电信股份有限公司 设备安全的检测方法、装置和存储介质
CN111880884A (zh) * 2020-07-30 2020-11-03 北京微步在线科技有限公司 一种告警显示系统及显示方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771582A (zh) * 2009-12-28 2010-07-07 北京神州泰岳软件股份有限公司 一种基于状态机的安全监控关联分析方法
CN103312679A (zh) * 2012-03-15 2013-09-18 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
CN105024976A (zh) * 2014-04-24 2015-11-04 中国移动通信集团山西有限公司 一种高级持续威胁攻击识别方法及装置
CN105376245A (zh) * 2015-11-27 2016-03-02 杭州安恒信息技术有限公司 一种基于规则的apt攻击行为的检测方法
CN105471882A (zh) * 2015-12-08 2016-04-06 中国电子科技集团公司第三十研究所 一种基于行为特征的网络攻击检测方法及装置
CN106790186A (zh) * 2016-12-30 2017-05-31 中国人民解放军信息工程大学 基于多源异常事件关联分析的多步攻击检测方法
WO2017114200A1 (zh) * 2015-12-31 2017-07-06 阿里巴巴集团控股有限公司 报文清洗方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039326A (zh) * 2007-04-28 2007-09-19 华为技术有限公司 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US10243982B2 (en) * 2014-06-06 2019-03-26 Nippon Telegraph And Telephone Corporation Log analyzing device, attack detecting device, attack detection method, and program
CN104361283B (zh) * 2014-12-05 2018-05-18 网宿科技股份有限公司 防护Web攻击的方法
US10218735B2 (en) * 2015-06-30 2019-02-26 The Mitre Corporation Network attack simulation systems and methods
US10193919B2 (en) * 2015-08-24 2019-01-29 Empow Cyber Security, Ltd Risk-chain generation of cyber-threats
US11848940B2 (en) * 2015-08-28 2023-12-19 The Boeing Company Cumulative trajectory of cyber reconnaissance indicators
IL290993B2 (en) * 2015-09-08 2023-11-01 Childrens Hospital Philadelphia Methods for diagnosis and treatment of Tourette syndrome
CN105468765B (zh) * 2015-12-03 2017-12-19 中国南方电网有限责任公司信息中心 一种多节点web服务异常检测方法和系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771582A (zh) * 2009-12-28 2010-07-07 北京神州泰岳软件股份有限公司 一种基于状态机的安全监控关联分析方法
CN103312679A (zh) * 2012-03-15 2013-09-18 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
CN105024976A (zh) * 2014-04-24 2015-11-04 中国移动通信集团山西有限公司 一种高级持续威胁攻击识别方法及装置
CN105376245A (zh) * 2015-11-27 2016-03-02 杭州安恒信息技术有限公司 一种基于规则的apt攻击行为的检测方法
CN105471882A (zh) * 2015-12-08 2016-04-06 中国电子科技集团公司第三十研究所 一种基于行为特征的网络攻击检测方法及装置
WO2017114200A1 (zh) * 2015-12-31 2017-07-06 阿里巴巴集团控股有限公司 报文清洗方法及装置
CN106790186A (zh) * 2016-12-30 2017-05-31 中国人民解放军信息工程大学 基于多源异常事件关联分析的多步攻击检测方法

Also Published As

Publication number Publication date
CN107483425A (zh) 2017-12-15

Similar Documents

Publication Publication Date Title
CN107483425B (zh) 基于攻击链的复合攻击检测方法
EP3588898B1 (en) Defense against apt attack
US9032521B2 (en) Adaptive cyber-security analytics
Chen et al. A study on advanced persistent threats
CN100448203C (zh) 用于识别和防止恶意入侵的系统和方法
CN106796639B (zh) 用于可信执行环境的数据挖掘算法
Modi et al. Integrating signature apriori based network intrusion detection system (NIDS) in cloud computing
EP1995929B1 (en) Distributed system for the detection of eThreats
CN105491053A (zh) 一种Web恶意代码检测方法及系统
CN110719291A (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
US10516671B2 (en) Black list generating device, black list generating system, method of generating black list, and program of generating black list
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN104967628B (zh) 一种保护web应用安全的诱骗方法
CN113711559B (zh) 检测异常的系统和方法
EP3531324B1 (en) Identification process for suspicious activity patterns based on ancestry relationship
Abdullayev et al. SQL Injection Attack: Quick View
EP3232358B1 (en) Correlation-based detection of exploit activity
CN104579819A (zh) 网络安全检测方法以及装置
EP4111660B1 (en) Cyberattack identification in a network environment
Al-Hamami et al. Development of a network-based: Intrusion Prevention System using a Data Mining approach
CN113055362B (zh) 异常行为的预防方法、装置、设备及存储介质
KR20150091713A (ko) 공격특성 dna 분석 장치 및 그 방법
Kono et al. An unknown malware detection using execution registry access
CN110830518B (zh) 溯源分析方法、装置、电子设备及存储介质
Mathews et al. Detecting botnets using a collaborative situational-aware idps

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant