CN109194693B - 一种网络攻击模式图的生成方法 - Google Patents
一种网络攻击模式图的生成方法 Download PDFInfo
- Publication number
- CN109194693B CN109194693B CN201811280717.0A CN201811280717A CN109194693B CN 109194693 B CN109194693 B CN 109194693B CN 201811280717 A CN201811280717 A CN 201811280717A CN 109194693 B CN109194693 B CN 109194693B
- Authority
- CN
- China
- Prior art keywords
- graph
- vertex
- queue
- split
- directed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种网络攻击模式图的生成方法,从原始入侵检测系统日志文件数据中使用过程挖掘工具获得攻击图,检查攻击图的复杂度,对攻击图进行分割,分割攻击图中的独立子图部分,分割攻击图的长距离环,检查分割子图的复杂度,补全子图的结构信息。本发明可在保留攻击土结构的基础上有效的减少攻击图复杂度,使得攻击图信息更便于网络管理员对入侵检测系统数据分析和进一步研究。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种网络攻击模式图的生成方法。
背景技术
为保护信息安全,一些公司或政府组织往往选择部署IDS(Intrusion DetectionSystems,入侵检测系统)来监控系统和网络,收集可疑行为的警报。然而,IDS产生的巨量警报以及其信息等级过低导致对其的分析非常困难。因此,从IDS产生的警报日志中生产入侵攻击的攻击模式图对于理论与实际有着十分重要的作用。通过攻击模式图,可以极大提高网络安全管理员的管理效率,同时对入侵攻击的进一步分析有着十分重要的作用。
现有的网络攻击模式图的生产方法主要是通过网络攻击的先后顺序直接将攻击的步骤简单地连接在一起,生成一个巨大的攻击图后再进行分割处理。如Sean Alvarenga的等人的从巨大共计图中打散再从新连接的方式。这样的方式在处理攻击图时会耗费大量的时间用于将警报记录重新生成攻击图,同时,在打散重组的过程中会丢失大量的攻击信息,使得一些攻击模式在攻击图的构建过程中被丢失或破坏。
综上,现有的攻击模式图的生成方法在质量上和时间效率上有着很大的提升空间。对目前的网络安全情况,现有的方法需要得到有效的改进。
发明内容
有鉴于此,本发明的目的是提出一种网络攻击模式图的生成方法,可在保留攻击土结构的基础上有效地减少攻击图的复杂度,使得攻击图信息更便于网络管理员对入侵检测系统的数据分析和进一步研究。
本发明采用以下方案实现:一种网络攻击模式图的生成方法,包括以下步骤:
步骤S1:获取一段时间的网络入侵检测系统的日志数据,作为生成攻击图的输入数据;
步骤S2:对步骤S1获得的日志数据进行过程挖掘,得到一个包含所有攻击链的攻击图G;
步骤S3:计算攻击图G的复杂度,若攻击图G的复杂度大于指定阈值,则输出G;否则将G放入队列Qs中,执行步骤S4;其中队列Qs用于存放待分割的有向图,初始为空队列;
步骤S4:遍历队列Qs,对队列中的每个有向图G,自顶向下寻找分支点Vsplit;
步骤S5:以分支点Vsplit作为分割的起始点,去除有向图G中的独立子图,然后将剩余以Vsplit为起始点的有向边加入到队列Qe中,其中队列Qe用于存放待遍历的以Vsplit为起始点的有向边,初始为空队列;
步骤S6:遍历队列Qe,对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图,对每个后继子图Ge,计算Ge复杂度,如果Ge不是复杂子图,将Ge加入输出队列Qoutput中;否则将Ge加入队列Qs;
步骤S7:判断队列Qs是否为空,如果Qs为空,转到步骤S8;否者转到步骤S4;
步骤S8:将Qoutput中的有向图G,使用分支信息补全算法处理得到有向图G',输出G',即为攻击模式图。
进一步地,过程挖掘是通过从网络安全日志中提取知识,来发现和检测实际攻击过程,从而得到攻击者的攻击模式。步骤S2具体包括以下步骤:
步骤S21:将源数据按照IP地址分组,作为输入簇,将攻击事件标记为行为活动;
步骤S22:挖掘各个活动之间的依赖关系;
步骤S23:处理活动之间的AND/XOR-split/Join和不可见关系;
步骤S24:挖掘寻找活动之间的长距离依赖和自循环关系;
步骤S25:输出挖掘结果,即包含所有攻击链的攻击图G。
进一步地,步骤S3中,计算攻击图G的复杂度,具体包括以下步骤:
步骤S31:计算图G的顶点数和边数,利用顶点数和边数的关系计算复杂度;
步骤S32:设定两个阈值Vmin和Vmax,若图G的顶点个数|V|<Vmin,则图G为非复杂图;若图G的顶点个数|V|>Vmax,则图G为复杂图;若图G的顶点个数满足Vmin<|V|<Vmax,则计算图G的顶点集V与边集E大小的比值|V|/|E|,若比值大于指定阈值T1,则图G是复杂图。
进一步地,步骤S4中,所述分支点定义为出度大于1的顶点,寻找分支点Vsplit的方法为:自顶向下遍历有向图G中的所有顶点,对遍历到的顶点v,检查顶点v的出度,若出度大于1,则该顶点v为分支点。
进一步地,所述步骤S5具体包括以下步骤:
步骤S51:获取分支点Vsplit的各个后继子图;其中,分支点Vsplit的后继子图定义为有向图G中,从以Vsplit为起始点的有向边e出发能遍历到的所有顶点和边构成的子图;
步骤S52:遍历Vsplit的后继子图,对遍历到的每个后继子图Gsucc,判断Gsucc是否是独立子图,若是,将Gsucc加入队列Qs中;若不是,将Gsucc中以Vsplit为起始点的边e加入队列Qe;
步骤S53:遍历以Vsplit为起始点的边,判断有向边的权值是否小于阈值T2,若小于T2,则从队列Qe中删除该边;
图中有向边的权值代表两个攻击步骤之前的依赖程度或关联程度,若有向边权值小于T2,则认为该边对应的前后步骤的关联程度低。
进一步地,步骤S6中,所述遍历队列Qe,对遍历到的边e使用广度优先算法遍历并生成e的后继子图包括以下步骤:
步骤S61:遍历队列Qe,对遍历到的有向边e,以有向边e为起始,使用广度优先遍历算法遍历e的后继顶点和对应的有向边;
步骤S62:对遍历到的每个顶点,判断是否存在远距离环,若存在则去除远距离环,最后由遍历到的顶点和有向边生成后继子图Ge。
进一步地,步骤S62中,判断并去除远距离环的方法是:对遍历到的顶点v,若v∈Ge,则认为遍历到的顶点v为子图的顶点;若且v≠Vsplit,则认为顶点v为图外的顶点,遍历退回前一次访问的顶点且不将以v为终点的有向边纳入后继子图Ge中;若v=Vsplit,遍历退回前一次访问的顶点,将以v为终点的有向边e加入子图Ge。
进一步地,步骤S8具体包括以下步骤:
步骤S81:将Qoutput的队首元素出队列,记为G',获取G'的起始点vs;
步骤S82:检查顶点vs的前驱顶点是否存在,若存在则纳入G';
步骤S84:输出攻击模式图G';
步骤S85:重复步骤S81至步骤S84,直到Qoutput为空。
与现有技术相比,本发明有以下有益效果:在保留攻击模式基础信息不变的前提下,既能减少攻击图生成过程中耗费的资源,又能够有效减少攻击图的规模,使得对其的研究和分析难度降低。
附图说明
图1为本发明实施例的方法流程示意图。
图2为本发明实施例的步骤S2示意图。
图3为本发明实施例的步骤S3示意图。
图4为本发明实施例的步骤S5示意图。
图5为本发明实施例的步骤S6示意图。
图6为本发明实施例的步骤S8示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,本实施例提供了一种网络攻击模式图的生成方法,包括以下步骤:
步骤S1:获取一段时间的网络入侵检测系统的日志数据,作为生成攻击图的输入数据;
步骤S2:对步骤S1获得的日志数据进行过程挖掘,得到一个包含所有攻击链的攻击图G;
步骤S3:计算攻击图G的复杂度,若攻击图G的复杂度大于指定阈值,则输出G;否则将G放入队列Qs中,执行步骤S4;其中队列Qs用于存放待分割的有向图,初始为空队列;
步骤S4:遍历队列Qs,对队列中的每个有向图G,自顶向下寻找分支点Vsplit;
步骤S5:以分支点Vsplit作为分割的起始点,去除有向图G中的独立子图,然后将剩余以Vsplit为起始点的有向边加入到队列Qe中,其中队列Qe用于存放待遍历的以Vsplit为起始点的有向边,初始为空队列;
步骤S6:遍历队列Qe,对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图,对每个后继子图Ge,计算Ge复杂度,如果Ge不是复杂子图,将Ge加入输出队列Qoutput中;否则将Ge加入队列Qs;
步骤S7:判断队列Qs是否为空,如果Qs为空,转到步骤S8;否者转到步骤S4;
步骤S8:将Qoutput中的有向图G,使用分支信息补全算法处理得到有向图G',输出G',即为攻击模式图。
在本实施例中,过程挖掘是通过从网络安全日志中提取知识,来发现和检测实际攻击过程,从而得到攻击者的攻击模式。如图2所示,步骤S2具体包括以下步骤:
步骤S21:将源数据按照IP地址分组,作为输入簇,将攻击事件标记为行为活动;
步骤S22:挖掘各个活动之间的依赖关系;
步骤S23:处理活动之间的AND/XOR-split/Join和不可见关系;
步骤S24:挖掘寻找活动之间的长距离依赖和自循环关系;
步骤S25:输出挖掘结果,即包含所有攻击链的攻击图G。
在本实施例中,如图3所示,步骤S3中,计算攻击图G的复杂度具体包括以下步骤:
步骤S31:计算图G的顶点数和边数,利用顶点数和边数的关系计算复杂度;
步骤S32:设定两个阈值Vmin和Vmax,若图G的顶点个数|V|<Vmin,则图G为非复杂图;若图G的顶点个数|V|>Vmax,则图G为复杂图;若图G的顶点个数满足Vmin<|V|<Vmax,则计算图G的顶点集V与边集E大小的比值|V|/E|,若比值大于指定阈值T1,则图G是复杂图。
在本实施例中,步骤S4中,所述分支点定义为出度大于1的顶点,寻找分支点Vsplit的方法为:自顶向下遍历有向图G中的所有顶点,对遍历到的顶点v,检查顶点v的出度,若出度大于1,则该顶点v为分支点。
在本实施例中,如图4所示,所述步骤S5具体包括以下步骤:
步骤S51:获取分支点Vsplit的各个后继子图;其中,分支点Vsplit的后继子图定义为有向图G中,从以Vsplit为起始点的有向边e出发能遍历到的所有顶点和边构成的子图;
步骤S52:遍历Vsplit的后继子图,对遍历到的每个后继子图Gsucc,判断Gsucc是否是独立子图,若是,将Gsucc加入队列Qs中;若不是,将Gsucc中以Vsplit为起始点的有向边e加入队列Qe;
步骤S53:遍历以Vsplit为起始点的有向边,判断有向边的权值是否小于阈值T2,若小于T2,则从队列Qe中删除该边;
图中有向边的权值代表两个攻击步骤之前的依赖程度或关联程度,若边权值小于T2,则认为该边对应的前后步骤的关联程度低。
在本实施例中,如图5所示,步骤S6中,所述遍历队列Qe,对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图包括以下步骤:
步骤S61:遍历队列Qe,对遍历到的有向边e,以有向边e为起始,使用广度优先遍历算法遍历e的后继顶点和对应的有向边;
步骤S62:对遍历到的每个顶点,判断是否存在远距离环,若存在则去除远距离环,最后由遍历到的顶点和有向边生成后继子图Ge。
在本实施例中,步骤S62中,判断并去除远距离环的方法是:对遍历到的顶点v,若v∈Ge,则认为遍历到的顶点v为子图的顶点;若且v≠Vsplit,则认为顶点v为图外的顶点,遍历退回前一次访问的顶点且不将以v为终点的有向边纳入后继子图Ge中;若v=Vsplit,遍历退回前一次访问的顶点,将以v为终点的边e加入子图Ge。
在本实施例中,如图6所示,步骤S8具体包括以下步骤:
步骤S81:将Qoutput的队首元素出队列,记为G',获取G'的起始点vs;
步骤S82:检查顶点vs的前驱顶点是否存在,若存在则纳入G';
步骤S84:输出攻击模式图G';
步骤S85:重复步骤S81至步骤S84,直到Qoutput为空。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (8)
1.一种网络攻击模式图的生成方法,其特征在于:包括以下步骤:
步骤S1:获取一段时间的网络入侵检测系统的日志数据,作为生成攻击图的输入数据;
步骤S2:对步骤S1获得的日志数据进行过程挖掘,得到一个包含所有攻击链的攻击图G;
步骤S3:计算攻击图G的复杂度,若攻击图G的复杂度大于指定阈值,则输出G;否则将有向图G放入队列Qs中,执行步骤S4;其中队列Qs用于存放待分割的有向图,初始为空队列;
步骤S4:遍历队列Qs,对队列中的每个有向图G,自顶向下寻找分支点Vsplit;其中,所述分支点Vsplit为自顶向下遍历有向图G所找到的第一个出度大于1的顶点;
步骤S5:以分支点Vsplit作为分割的起始点,去除有向图G中的独立子图,然后将剩余以Vsplit为起始点的有向边加入到队列Qe中,其中队列Qe用于存放待遍历的以Vsplit为起始点的有向边,初始为空队列;
步骤S6:遍历队列Qe,对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图,对每个后继子图Ge,计算Ge复杂度,如果Ge不是复杂子图,将Ge加入输出队列Qoutput中;否则将Ge加入队列Qs;
步骤S7:判断队列Qs是否为空,如果Qs为空,转到步骤S8;否则转到步骤S4;
步骤S8:将Qoutput中的有向图G,使用分支信息补全算法处理得到有向图G',输出G',即为攻击模式图。
2.根据权利要求1所述的一种网络攻击模式图的生成方法,其特征在于:步骤S2具体包括以下步骤:
步骤S21:将日志数据按照IP地址分组,作为输入簇,将攻击事件标记为行为活动;
步骤S22:挖掘各个活动之间的依赖关系;
步骤S23:处理活动之间的AND/XOR-split/Join和不可见关系;
步骤S24:挖掘寻找活动之间的长距离依赖和自循环关系;
步骤S25:输出挖掘结果,即包含所有攻击链的攻击图G。
3.根据权利要求1所述的一种网络攻击模式图的生成方法,其特征在于:步骤S3中,计算攻击图G的复杂度具体包括以下步骤:
步骤S31:计算图G的顶点数和边数,利用顶点数和边数的关系计算复杂度;
步骤S32:设定两个阈值Vmin和Vmax,若图G的顶点个数|V|<Vmin,则图G为非复杂图;若图G的顶点个数|V|>Vmax,则图G为复杂图;若图G的顶点个数满足Vmin<|V|<Vmax,则计算图G的顶点集V与边集E大小的比值|V|/|E|,若比值大于指定阈值T1,则图G是复杂图。
4.根据权利要求1所述的一种网络攻击模式图的生成方法,其特征在于:步骤S4中,寻找分支点Vsplit的方法为:自顶向下遍历有向图G中的顶点,对遍历到的顶点v,检查顶点v的出度,若v是遍历过程遇到的第一个出度大于1的顶点,则该顶点v为分支点。
5.根据权利要求1所述的一种网络攻击模式图的生成方法,其特征在于:所述步骤S5具体包括以下步骤:
步骤S51:获取分支点Vsplit的各个后继子图;其中,分支点Vsplit的后继子图定义为有向图G中,从以Vsplit为起始点的有向边e出发能遍历到的所有顶点和边构成的子图;
步骤S52:遍历Vsplit的后继子图,对遍历到的每个后继子图Gsucc,判断Gsucc是否是独立子图,若是,将Gsucc加入队列Qs中;若不是,将Gsucc中以Vsplit为起始点的边e加入队列Qe;
步骤S53:遍历以Vsplit为起始点的有向边,判断有向边的权值是否小于阈值T2,若小于T2,则从队列Qe中删除该边;
图中有向边的权值代表两个攻击步骤之间的依赖程度或关联程度,若边权值小于T2,则认为该边对应的前后步骤的关联程度低。
6.根据权利要求1所述的一种网络攻击模式图的生成方法,其特征在于:步骤S6中,所述遍历队列Qe,对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图包括以下步骤:
步骤S61:遍历队列Qe,对遍历到的有向边e,以有向边e为起始,使用广度优先遍历算法遍历e的后继顶点和对应的有向边;
步骤S62:对遍历到的每个顶点,判断是否存在远距离环,若存在则去除远距离环,最后由遍历到的顶点和有向边生成后继子图Ge。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811280717.0A CN109194693B (zh) | 2018-10-30 | 2018-10-30 | 一种网络攻击模式图的生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811280717.0A CN109194693B (zh) | 2018-10-30 | 2018-10-30 | 一种网络攻击模式图的生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109194693A CN109194693A (zh) | 2019-01-11 |
CN109194693B true CN109194693B (zh) | 2021-04-27 |
Family
ID=64940911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811280717.0A Active CN109194693B (zh) | 2018-10-30 | 2018-10-30 | 一种网络攻击模式图的生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109194693B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11928605B2 (en) | 2019-08-06 | 2024-03-12 | International Business Machines Corporation | Techniques for cyber-attack event log fabrication |
CN114244766A (zh) * | 2021-12-09 | 2022-03-25 | 中国人民解放军国防科技大学 | 一种基于拓扑有权割裂度的网络链路攻击方法 |
CN115242614B (zh) * | 2022-09-22 | 2023-01-10 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
CN116488941B (zh) * | 2023-06-19 | 2023-09-01 | 上海观安信息技术股份有限公司 | 攻击链的检测方法、装置及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282332B (zh) * | 2008-05-22 | 2011-05-11 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
CN106850607B (zh) * | 2017-01-20 | 2019-09-20 | 北京理工大学 | 基于攻击图的网络安全态势的量化评估方法 |
CN108494810B (zh) * | 2018-06-11 | 2021-01-26 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
-
2018
- 2018-10-30 CN CN201811280717.0A patent/CN109194693B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109194693A (zh) | 2019-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109194693B (zh) | 一种网络攻击模式图的生成方法 | |
CN113676464B (zh) | 一种基于大数据分析技术的网络安全日志告警处理方法 | |
EP3152869B1 (en) | Real-time model of states of monitored devices | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN107579986B (zh) | 一种复杂网络中网络安全检测的方法 | |
CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN104601591A (zh) | 网络攻击源组织检测方法 | |
US11032303B1 (en) | Classification using projection of graphs into summarized spaces | |
CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
CN112685734B (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
CN117216660A (zh) | 基于时序网络流量集成异常点和异常集群检测方法及装置 | |
CN111835681A (zh) | 一种大规模流量异常主机检测方法和装置 | |
CN115514558A (zh) | 一种入侵检测方法、装置、设备及介质 | |
CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
CN112084239B (zh) | 基于大数据特征模型识别的信令网络安全挖掘分析方法 | |
CN110912753B (zh) | 一种基于机器学习的云安全事件实时检测系统及方法 | |
CN116566689A (zh) | 立体攻击链路还原及告警处置方法、装置、设备及介质 | |
CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
Ionită et al. | Biologically inspired risk assessment in cyber security using neural networks | |
CN115225373B (zh) | 一种信息不完备条件下的网络空间安全态势表达方法及装置 | |
CN116208416A (zh) | 一种工业互联网的攻击链路挖掘方法及系统 | |
CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
Bijalwan et al. | Examining the Crimninology using Network Forensic | |
CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |