CN108881316A - 一种天地一体化信息网络下攻击回溯的方法 - Google Patents
一种天地一体化信息网络下攻击回溯的方法 Download PDFInfo
- Publication number
- CN108881316A CN108881316A CN201811004254.5A CN201811004254A CN108881316A CN 108881316 A CN108881316 A CN 108881316A CN 201811004254 A CN201811004254 A CN 201811004254A CN 108881316 A CN108881316 A CN 108881316A
- Authority
- CN
- China
- Prior art keywords
- backtracking
- attack
- dimension
- name
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000010354 integration Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 230000008520 organization Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000009193 crawling Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 235000013372 meat Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种天地一体化信息网络下攻击回溯的方法,所述方法包括:步骤1)建立天地一体化知识图谱,并把各维度的知识通过属性关联起来,包括:建立天地一体化知识图谱分为六个维度的本体,分别是:主机资产维H、漏洞维V、攻击威胁维A、痕迹维E、位置维L、策略维S以及各维度之间的关系集合R;将主机资产维与漏洞维和位置维相关联,漏洞维与攻击威胁维相关联,攻击威胁维与策略维、痕迹维和位置相关联,形成天地一体化知识图谱;步骤2)从不同的角度进行攻击回溯。本发明通过前面所建立的天地一体化知识图谱,可以从不同的角度进行攻击回溯。
Description
技术领域
本发明属于一种天地一体化信息网络下攻击回溯的方法。
背景技术
天地一体化信息网络由天基骨干网、天基接入网、地基节点网组成,并与地面互联网和移动通信网互联互通。分别在天基骨干网、天基接入网、地基节点网部署安全设备监测与处置模块,将采集到的数据分别通过异构网间安全互联网关汇集组件和地面网间安全互联网关汇集组件集中传入汇集子系统,然后由天地一体化网络攻击回溯分析系统得出攻击的路径和攻击方法。
攻击回溯技术在国内发展缓慢,在新兴的天地一体化信息网络中尚未得到使用。攻击回溯就是要找到攻击得源头,或者是找到攻击的成因。网络攻击一旦被实施,一定会留下痕迹,只要顺着痕迹找,就一定能找到攻击的源头或攻击的成因。
发明内容
本发明所要解决的技术问题是通过分析目前网络攻击的特性,构建了天地一体化网络知识图谱,并利用该知识图谱,提出并实现了自动化攻击回溯的方法。
本发明解决上述技术问题所采取的技术方案如下:
一种天地一体化信息网络下攻击回溯的方法,所述方法包括:步骤1)建立天地一体化知识图谱,并把各维度的知识通过属性关联起来,包括:
建立天地一体化知识图谱分为六个维度的本体,分别是:主机资产维H、漏洞维V、攻击威胁维A、痕迹维E、位置维L、策略维S以及各维度之间的关系集合R;
将主机资产维与漏洞维和位置维相关联,漏洞维与攻击威胁维相关联,攻击威胁维与策略维、痕迹维和位置相关联,形成天地一体化知识图谱;
步骤2)从不同的角度进行攻击回溯,包括:
以主机资产维为基础,根据某个疑似被攻击的主机资产,查询该主机资产具有的漏洞,通过漏洞寻找与该漏洞相关联的攻击威胁,最后获取有关攻击的回溯策略,执行回溯策略,由此回溯到攻击源;
或者,以某种攻击威胁为基础,确定某种攻击威胁,通过查询知识图谱,执行该攻击威胁相对应的回溯策略,找出攻击所留下的痕迹和位置,定位到被攻击的主机资产。
优选的是,主机资产维H的数据,其主要属性分别有:
“name”,主机资产的名称,它是一个格式化的字符串,简洁地描述了主机资产信息;“part”,主机资产的类型,包括:硬件、应用软件或操作系统;“vendor”,主机资产的开发商或组织的名字;“product”,主机资产产品的名字;“version”,主机资产的版本号;“cve_list”,漏洞名称列表,它记录了一组与主机资产有关联的漏洞名称;“location_list”,位置列表,它记录了一组与主机资产有关联的位置名称。
优选的是,攻击威胁维A的数据,其主要属性有:“name”,攻击威胁的ID;“strategy_list”,与攻击威胁关联的一组策略名称,一个攻击威胁可能有一个或多个回溯策略;“evidence_list”,与攻击威胁关联的一组痕迹名称,一个攻击可能留下的一些痕迹特征;“location_list”,与攻击威胁关联的一组位置名称,攻击的特征可能被记录的位置;“cve_list”,与攻击威胁关联的一组漏洞名称。
优选的是,痕迹维E,其属性分别有:“name”,痕迹的名称,它可以是一个特征库文件名称,也可以是形式化的名称;“type”,痕迹的类型,包括:规则库、恶意文件或正则表达式;“content”,痕迹的内容,包括:文件路径、文件Hash或正则表达式的内容,分别对应痕迹的类型;“description”,提供痕迹的来源或额外的描述。
优选的是,位置维L的数据,其属性有:“name”,记录着某种攻击的文件名称;“path”记录着某种攻击的文件路径,或者,某个攻击可能残留的特征的路径。
优选的是,回溯策略维S的数据,其属性有:“name”,回溯策略的名称,或者,某个工具的名称;“type”,回溯策略的类型,有工具回溯或关联回溯,工具回溯主要利用各种分析回溯工具或者特征匹配工具来进行回溯,关联回溯主要用于对具有关联性质的事件,利用关联规则进行逻辑运算来回溯攻击;“process”,用于当回溯策略的类型为工具回溯时,记录工具的用法;“location_list”,与回溯策略关联的一组位置名称;“evidence_list”,与回溯策略关联的一组痕迹名称;“strategy_list”,用于当回溯策略的类型为关联回溯时,记录相关联的子策略和子策略之间的规则,子策略之间的关系可以使用逻辑符号来连接;“result_type”,回溯结果类型,如文本或文件,“result”,回溯结果,包括:内容、路径或者关联结果。
本发明通过前面所建立的天地一体化知识图谱,可以从不同的角度进行攻击回溯。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其中,
图1是本发明天地一体化信息网络下攻击回溯的方法的示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
如图1所示,一种天地一体化信息网络下攻击回溯的方法,所述方法包括:步骤1)建立天地一体化知识图谱,并把各维度的知识通过属性关联起来,包括:
建立天地一体化知识图谱分为六个维度的本体,分别是:主机资产维H、漏洞维V、攻击威胁维A、痕迹维E、位置维L、策略维S以及各维度之间的关系集合R;
将主机资产维与漏洞维和位置维相关联,漏洞维与攻击威胁维相关联,攻击威胁维与策略维、痕迹维和位置相关联,形成天地一体化知识图谱;
步骤2)从不同的角度进行攻击回溯,包括:
以主机资产维为基础,根据某个疑似被攻击的主机资产,查询该主机资产具有的漏洞,通过漏洞寻找与该漏洞相关联的攻击威胁,最后获取有关攻击的回溯策略,执行回溯策略,由此回溯到攻击源;
或者,以某种攻击威胁为基础,确定某种攻击威胁,通过查询知识图谱,执行该攻击威胁相对应的回溯策略,找出攻击所留下的痕迹和位置,定位到被攻击的主机资产。
更具体地说,在实施例中,天地一体化知识图谱分为六个维度的本体,即,分别是主机资产维H、漏洞维V、攻击威胁维A、痕迹维E、位置维L、策略维S以及各维度之间的关系集合R。
主机资产维H的数据主要来自于CPE(Common Platform Enumeration)数据库。其主要属性分别有:“name”,主机资产的名称,它是一个格式化的字符串,简洁地描述了主机资产信息;“part”,主机资产的类型,如硬件、应用软件或操作系统等;“vendor”,主机资产的开发商或组织的名字;“product”,主机资产产品的名字;“version”,主机资产的版本号;“cve_list”,漏洞名称列表,它记录了一组与主机资产有关联的漏洞名称;“location_list”,位置列表,它记录了一组与主机资产有关联的位置名称。
漏洞维V的数据主要来自NVD(National Vulnerability Database)漏洞数据库,其主要属性分别有:“name”,漏洞的ID;“score”,漏洞的影响程度;“cwe_id”,该漏洞对应的脆弱信息ID,该脆弱信息由CWE(Common Weakness Enumeration)提供;“capec_list”,与漏洞关联的攻击威胁维ID列表。
攻击威胁维A的数据主要来自于CAPEC(Common Attack Pattern Enumerationand Classification)数据库。其主要属性有:“name”,攻击威胁的ID;“strategy_list”,与攻击威胁关联的一组策略名称,一个攻击威胁可能有一个或多个回溯策略;“evidence_list”,与攻击威胁关联的一组痕迹名称,一个攻击可能留下的一些痕迹特征;“location_list”,与攻击威胁关联的一组位置名称,攻击的特征可能被记录的位置;“cve_list”,与攻击威胁关联的一组漏洞名称。
痕迹维E目前还没有一个明确的数据库来提供数据,本文通过爬取一些网络安全攻击回溯相关的网站或博客,整理了一些属性,分别有:“name”,痕迹的名称,它可以是一个特征库文件名称,也可以是形式化的名称;“type”,痕迹的类型,如规则库、恶意文件或正则表达式等;“content”,痕迹的内容,如文件路径、文件Hash或正则表达式的内容,分别对应痕迹的类型;“description”,提供痕迹的来源或额外的描述。
位置维L的数据根据主机资产的不同而不同,其数据来源也没有一个完整的数据库可以提供,只能通过抽取相关网站或者依赖专家知识来填充。本文抽取出来的属性有:“name”,可能记录着某种攻击的文件名称;“path”可能记录着某种攻击的文件路径,也有可能是某个攻击可能残留的特征的路径。
回溯策略维S的数据同样需要从论文或者技术博客中抽取,或者根据专家知识来制定回溯策略。本文主要整理的属性有:“name”,回溯策略的名称,可以是某个工具的名称;“type”,回溯策略的类型,有工具回溯或关联回溯,工具回溯主要利用各种分析回溯工具或者特征匹配工具来进行回溯,关联回溯主要用于对具有关联性质的事件,利用关联规则进行逻辑运算来回溯攻击;“process”,用于当回溯策略的类型为工具回溯时,记录工具的用法;“location_list”,与回溯策略关联的一组位置名称;“evidence_list”,与回溯策略关联的一组痕迹名称;“strategy_list”,用于当回溯策略的类型为关联回溯时,记录相关联的子策略和子策略之间的规则,子策略之间的关系可以使用逻辑符号来连接;“result_type”,回溯结果类型,如文本或文件,“result”,回溯结果,如内容、路径或者关联结果。
经过上面的描述,我们可以把各维度的知识通过属性关联起来。主机资产维与漏洞维和位置维相关联,漏洞维与攻击威胁维相关联,攻击威胁维与策略维、痕迹维和位置相关联。
通过前面所建立的天地一体化知识图谱,可以从不同的角度进行攻击回溯。比如,可以以主机资产维为基础,回溯人员根据某个疑似被攻击的主机资产,查询该主机资产具有的漏洞,通过漏洞寻找与该漏洞相关联的攻击威胁,最后获取有关攻击的回溯策略。回溯人员执行回溯策略,就可以回溯到攻击源。回溯人员也可以以某种攻击威胁为基础,回溯人员确定了某种攻击威胁,通过查询知识图谱,执行该攻击威胁相对应的回溯策略,找出攻击所留下的痕迹和位置,最后可以定位到被攻击的主机资产。
具体来说,在一个实施例中,该方法以主机资产为基础,首先查询知识图谱,获得与该主机资产对应的策略集合,然后遍历该集合,若某个策略的类型为工具回溯类型,则查询与该回溯策略关联的依赖,即与该回溯策略关联的痕迹和位置,然后把得到的痕迹和位置的信息分别保存到e和d变量中,然后根据回溯策略的process属性和依赖e、d,执行攻击回溯策略,最终将获得的回溯结果放入到回溯结果集;若某个策略的类型为关联回溯策略,则通过查询知识图谱,获取该策略的子策略集合,然后以作为参数递归执行该回溯算法,将获得的结果根据该策略的关联规则作逻辑运算获得回溯结果,并放入回溯结果集R中。最后返回回溯结果集合。
本发明提供了在天地一体化网络环境下攻击检测和防御的方法,并对网络安全攻击回溯技术提供了一种新思路。本发明通过构建天地一体化网络安全知识图谱,利用该知识图谱进行攻击回溯。
在一个实施例中,使用Neo4j作为图数据,存储知识图谱,利用Cypher查询语言查询数据,使用Python语言实现攻击回溯算法。
例如,攻击者利用一个肉机(192.168.134.128)作为攻击主机,发现了服务器(10.2.1.35)具有SQL注入漏洞,并利用该漏洞向服务器注入了一个反弹端口,实现服务器通过反弹端口主动与控制主机(192.168.134.130)相互通信的攻击。
事后,回溯人员想要找出是谁攻击了服务器,又是谁在控制服务器。假设服务器上安装了Apache WEB服务器应用软件,回溯人员可以通过知识图谱查询与Apache服务器有关的回溯策略,然后利用攻击回溯算法,可以直观地获取攻击主机和控制主机。攻击回溯流程图如图1所示。
在实例中,回溯人员通过Cypher查询语句“match r=(a{vendor:'apache'})-[]-(b:CVE)<-[]-(:CAPEC)-[]->()return r”查询与Apache服务器有关的回溯策略。如该主机资产Apache服务器具有一个编号为CVE-2018-1283的漏洞,有一个编号为CAPEC-66的攻击威胁针对该漏洞,与该攻击威胁相关联的有2个回溯策略,每个回溯策略分别依赖一个攻击痕迹,并且都使用服务器日志路径下的access.log文件进行攻击回溯。
回溯人员利用攻击回溯算法进行自动化攻击回溯。上诉查询到的2个回溯策略,其一为利用日志分析工具Scalp.py来对服务器访问日志进行回溯,它需要使用一个规则库default_filter.xml作为输入,然后执行该回溯策略,可以直观地得到攻击主机的IP为192.168.134.128;其二为利用正则表达式对服务器的访问日志进行回溯,它利用该回溯策略所依赖的痕迹,即具有攻击特征的正则表达式来进行攻击回溯,最终发现了控制主机IP为192.168.134.130。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种天地一体化信息网络下攻击回溯的方法,其特征在于,所述方法包括:步骤1)建立天地一体化知识图谱,并把各维度的知识通过属性关联起来,包括:
建立天地一体化知识图谱分为六个维度的本体,分别是:主机资产维H、漏洞维V、攻击威胁维A、痕迹维E、位置维L、策略维S以及各维度之间的关系集合R;
将主机资产维与漏洞维和位置维相关联,漏洞维与攻击威胁维相关联,攻击威胁维与策略维、痕迹维和位置相关联,形成天地一体化知识图谱;
步骤2)从不同的角度进行攻击回溯,包括:
以主机资产维为基础,根据某个疑似被攻击的主机资产,查询该主机资产具有的漏洞,通过漏洞寻找与该漏洞相关联的攻击威胁,最后获取有关攻击的回溯策略,执行回溯策略,由此回溯到攻击源;
或者,以某种攻击威胁为基础,确定某种攻击威胁,通过查询知识图谱,执行该攻击威胁相对应的回溯策略,找出攻击所留下的痕迹和位置,定位到被攻击的主机资产。
2.根据权利要求1所述的天地一体化信息网络下攻击回溯的方法,其特征在于,主机资产维H的数据,其主要属性分别有:
“name”,主机资产的名称,它是一个格式化的字符串,简洁地描述了主机资产信息;“part”,主机资产的类型,包括:硬件、应用软件或操作系统;“vendor”,主机资产的开发商或组织的名字;“product”,主机资产产品的名字;“version”,主机资产的版本号;“cve_list”,漏洞名称列表,它记录了一组与主机资产有关联的漏洞名称;“location_list”,位置列表,它记录了一组与主机资产有关联的位置名称。
3.根据权利要求1所述的天地一体化信息网络下攻击回溯的方法,其特征在于,攻击威胁维A的数据,其主要属性有:“name”,攻击威胁的ID;“strategy_list”,与攻击威胁关联的一组策略名称,一个攻击威胁可能有一个或多个回溯策略;“evidence_list”,与攻击威胁关联的一组痕迹名称,一个攻击可能留下的一些痕迹特征;“location_list”,与攻击威胁关联的一组位置名称,攻击的特征可能被记录的位置;“cve_list”,与攻击威胁关联的一组漏洞名称。
4.根据权利要求1所述的天地一体化信息网络下攻击回溯的方法,其特征在于,痕迹维E,其属性分别有:“name”,痕迹的名称,它可以是一个特征库文件名称,也可以是形式化的名称;“type”,痕迹的类型,包括:规则库、恶意文件或正则表达式;“content”,痕迹的内容,包括:文件路径、文件Hash或正则表达式的内容,分别对应痕迹的类型;“description”,提供痕迹的来源或额外的描述。
5.根据权利要求1所述的天地一体化信息网络下攻击回溯的方法,其特征在于,位置维L的数据,其属性有:“name”,记录着某种攻击的文件名称;“path”记录着某种攻击的文件路径,或者,某个攻击可能残留的特征的路径。
6.根据权利要求1所述的天地一体化信息网络下攻击回溯的方法,其特征在于,回溯策略维S的数据,其属性有:“name”,回溯策略的名称,或者,某个工具的名称;“type”,回溯策略的类型,有工具回溯或关联回溯,工具回溯主要利用各种分析回溯工具或者特征匹配工具来进行回溯,关联回溯主要用于对具有关联性质的事件,利用关联规则进行逻辑运算来回溯攻击;“process”,用于当回溯策略的类型为工具回溯时,记录工具的用法;“location_list”,与回溯策略关联的一组位置名称;“evidence_list”,与回溯策略关联的一组痕迹名称;“strategy_list”,用于当回溯策略的类型为关联回溯时,记录相关联的子策略和子策略之间的规则,子策略之间的关系可以使用逻辑符号来连接;“result_type”,回溯结果类型,如文本或文件,“result”,回溯结果,包括:内容、路径或者关联结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811004254.5A CN108881316B (zh) | 2018-08-30 | 2018-08-30 | 一种天地一体化信息网络下攻击回溯的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811004254.5A CN108881316B (zh) | 2018-08-30 | 2018-08-30 | 一种天地一体化信息网络下攻击回溯的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881316A true CN108881316A (zh) | 2018-11-23 |
| CN108881316B CN108881316B (zh) | 2020-12-22 |
Family
ID=64322788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811004254.5A Active CN108881316B (zh) | 2018-08-30 | 2018-08-30 | 一种天地一体化信息网络下攻击回溯的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881316B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413109A (zh) * | 2018-12-18 | 2019-03-01 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
| CN110300097A (zh) * | 2019-05-23 | 2019-10-01 | 军事科学院系统工程研究院网络信息研究所 | 基于天地一体化网络的信息传输数据格式统一命名方法 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112272178A (zh) * | 2020-10-23 | 2021-01-26 | 西安电子科技大学 | 基于动态概率双域包标记的攻击数据包溯源方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
| CN106096406A (zh) * | 2016-05-30 | 2016-11-09 | 北京启明星辰信息安全技术有限公司 | 一种安全漏洞回溯分析方法及装置 |
| US20180103052A1 (en) * | 2016-10-11 | 2018-04-12 | Battelle Memorial Institute | System and methods for automated detection, reasoning and recommendations for resilient cyber systems |
| CN107968776A (zh) * | 2017-10-30 | 2018-04-27 | 北京计算机技术及应用研究所 | 一种基于双向控制函数的动态攻击面变换方法 |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
-
2018
- 2018-08-30 CN CN201811004254.5A patent/CN108881316B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
| CN106096406A (zh) * | 2016-05-30 | 2016-11-09 | 北京启明星辰信息安全技术有限公司 | 一种安全漏洞回溯分析方法及装置 |
| US20180103052A1 (en) * | 2016-10-11 | 2018-04-12 | Battelle Memorial Institute | System and methods for automated detection, reasoning and recommendations for resilient cyber systems |
| CN107968776A (zh) * | 2017-10-30 | 2018-04-27 | 北京计算机技术及应用研究所 | 一种基于双向控制函数的动态攻击面变换方法 |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| YAN JIA.YULU QI,HUAIJUN SHANG,RONG JIANG,AIPING LI: "A Practical Approach to Constructing a Knowledge Graph for", 《ENGINEERING》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413109A (zh) * | 2018-12-18 | 2019-03-01 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
| CN109413109B (zh) * | 2018-12-18 | 2021-03-05 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
| CN110300097A (zh) * | 2019-05-23 | 2019-10-01 | 军事科学院系统工程研究院网络信息研究所 | 基于天地一体化网络的信息传输数据格式统一命名方法 |
| CN110300097B (zh) * | 2019-05-23 | 2021-08-24 | 军事科学院系统工程研究院网络信息研究所 | 一种管理天地一体化网络的信息传输数据格式处理方法 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112272178A (zh) * | 2020-10-23 | 2021-01-26 | 西安电子科技大学 | 基于动态概率双域包标记的攻击数据包溯源方法及系统 |
| CN112272178B (zh) * | 2020-10-23 | 2021-11-30 | 西安电子科技大学 | 基于动态概率双域包标记的攻击数据包溯源方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881316B (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112131882B (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| Aliero et al. | An algorithm for detecting SQL injection vulnerability using black-box testing | |
| CN108881316B (zh) | 一种天地一体化信息网络下攻击回溯的方法 | |
| Ren et al. | Cskg4apt: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| Kaynar | A taxonomy for attack graph generation and usage in network security | |
| EP3216193B1 (en) | Recombinant threat modeling | |
| US20200327223A1 (en) | Affectedness scoring engine for cyber threat intelligence services | |
| Cuppens | Managing alerts in a multi-intrusion detection environment | |
| Jang et al. | Detecting SQL injection attacks using query result size | |
| US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
| CN111431939B (zh) | 基于cti的sdn恶意流量防御方法 | |
| CN109302380A (zh) | 一种安全防护设备联动防御策略智能决策方法及系统 | |
| US20150207811A1 (en) | Vulnerability vector information analysis | |
| CN113496033B (zh) | 访问行为识别方法和装置及存储介质 | |
| KR102296215B1 (ko) | 지능형 지속 위협 방어를 위한 온톨로지 지식 베이스 기반 보안 요구사항 추천 방법, 이를 수행하는 장치 및 시스템 | |
| CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
| Lee et al. | A semantic approach to improving machine readability of a large-scale attack graph | |
| Zhang et al. | Efficiency and effectiveness of web application vulnerability detection approaches: A review | |
| CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
| CN118018256A (zh) | 一种基于知识图谱的网络攻击威胁分析的方法和系统 | |
| Mathew et al. | Situation awareness of multistage cyber attacks by semantic event fusion | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| CN118381627A (zh) | 一种llm驱动的工业网络入侵检测方法和响应系统 | |
| CN114936369A (zh) | 基于标记的sql注入攻击主动防御方法、系统及存储介质 | |
| Fonseca et al. | Detecting malicious SQL |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |