CN110012037B - 基于不确定性感知攻击图的网络攻击预测模型构建方法 - Google Patents
基于不确定性感知攻击图的网络攻击预测模型构建方法 Download PDFInfo
- Publication number
- CN110012037B CN110012037B CN201910425827.XA CN201910425827A CN110012037B CN 110012037 B CN110012037 B CN 110012037B CN 201910425827 A CN201910425827 A CN 201910425827A CN 110012037 B CN110012037 B CN 110012037B
- Authority
- CN
- China
- Prior art keywords
- uncertainty
- alarm
- attack
- graph
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本发明公开了基于不确定性感知攻击图的网络攻击预测模型构建方法,一、在攻击图上添加漏洞被攻击的不确定性概率,获得不确定性感知攻击图;二、对网络系统中的服务受到攻击时入侵检测系统生成的警报信息进行关联,生成警报关联图,并利用警报信息所对应的响应决策生成入侵响应图;三、根据警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号,对不确定性概率进行改进;四、通过入侵响应图中响应决策之间的关联关系以及响应的代价对不确定性概率进行改进;五、根据不确定性概率获得服务被攻击的概率,从而得到预测攻击模型;本发明能够实现准确全面的预测网络攻击。
Description
技术领域
本发明属于网络安全的技术领域,具体涉及一种基于不确定性感知攻击图的网络攻击预测模型构建方法。
背景技术
在现实生活中网络攻击的形式千变万化,在攻击发生并造成严重后果以后采取措施成本高且会造成不可估计的损失,所以攻击预测这项研究也就应运而生。在发明中将攻击的不确定性分析定义为攻击预测,大多的研究是通过攻击图来进行攻击预测,但是攻击图上记录的主要是一些网络脆弱信息,脆弱性之间的关联关系等一些静态信息,对网络中动态的因素考虑的相对较少。其一就是像入侵检测系统检测到入侵警报以及网络中的服务依赖关系和网络入侵响应信息这样可以动态反应网络安全状态的因素并没有考虑进去,其二就是没有攻击概率的不确定性,使得攻击预测模型不能够更为准确的预测网络攻击。
发明内容
有鉴于此,本发明提供了一种基于不确定性感知攻击图的网络攻击预测模型构建方法,能够实现准确全面的预测网络攻击,具有较高的准确性。
实现本发明的技术方案如下:
基于不确定性感知攻击图的网络攻击预测模型构建方法,包括以下步骤:
步骤一、在攻击图上添加漏洞被攻击的不确定性概率,获得不确定性感知攻击图;
步骤二、对网络系统中的服务受到攻击时入侵检测系统生成的警报信息进行关联,生成警报关联图,并利用警报信息所对应的响应决策生成入侵响应图;警报信息的关联原则为:若某一漏洞被攻击者利用产生一次原子攻击造成网络系统的安全状态发生变化,同时此安全状态的变化又是另外一个漏洞被攻击者利用进行原子攻击的前提条件,那么就对这两个原子攻击产生的警报信息进行关联;
步骤三、根据警报关联图中警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号,对不确定性感知攻击图上的不确定性概率进行改进;
步骤四、通过入侵响应图中响应决策之间的关联关系以及响应的代价对不确定性感知攻击图上的不确定性概率进行改进;
步骤五、根据改进后的不确定性概率获得服务被攻击的概率,从而得到预测攻击模型。
进一步地,步骤一中,所述不确定性概率通过专家经验得到。
进一步地,步骤二中,根据生成的警报信息查找攻击图上所对应的漏洞,对于无警报信息的漏洞设置虚拟警报信息,并将该虚拟警报信息与所述警报信息进行关联。
进一步地,步骤二中,当生成的警报信息在攻击图中找不到对应的漏洞时,则根据该警报信息获得缺失漏洞信息,并添加到攻击图上。
有益效果:
1、本发明提出了一种网络攻击预测模型构建方法,将警报信息,入侵响应信息以及网络系统中的服务及服务关联关系对不确定性感知攻击图进行改进,使预测模型能够更准确地预测网络系统中的攻击。
2、本发明对现有的警报关联方法进行改进,使警报管理按更准确。
3、本发明对缺失警报的处理和对缺失漏洞的处理,首次考虑漏洞扫描工具存在缺陷的情况,使得预测模型更加完善。
附图说明
图1为本发明方法流程图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明提供了一种基于不确定性感知攻击图的网络攻击预测模型构建方法,如图1所示,包括以下步骤:
步骤一、在攻击图上添加漏洞被攻击的不确定性概率,获得不确定性感知攻击图,所述不确定性概率通过专家经验得到。
通过以下两个公式对不确定性感知攻击图中的不确定性概率进行计算,其中P^(ni)是通过专家经验得到,本发明是通过CVSS评分系统得出的;ni就表示攻击图上的节点;P (old)(ni)表示初始不确定性概率的最小值;P-(old)(ni)表示初始不确定性概率的最大值。
攻击图:在这里我们定义攻击图为G(Eg∪Cg,Rr∪Ri)的形式,其中Eg={e1,e2,…,en}表示存在的漏洞,Cg={c1,c2,…,cm}攻击图中所对应的一组安全属性的信息, 表示安全属性发生改变会出现的漏洞之间的关系,表示漏洞一旦被利用会导致怎样的属性变化之间的关系。例如:从安全属性ci到漏洞ej的边表示ci是ej的前置条件,那么从ej到ci的边界表明,ci是ej的后置条件。
其中,上述攻击图是通过扩展的队列图实现,扩展的队列图:本发明改进了之前研究中的队列图数据结构,在其中加入前向指针和后向指针,使存在于内存中的警报信息存取速度更为迅速。扩展的队列图中包括以下组件:
①Q={q1,q2,…,qn},表示长度为1的n个队列的集合;
②V={v1,v2,…,vm},表示m个变量的集合。
③对于每一个k=1,2,…,n,Bqk={<qk,vi>|(ci,ek)∈Rr}代表qk的后向指针集合,Fqk={<qk,vi>|(ek,ci)∈Ri}表示qk的前向指针集合;
④对于每一个k=1,2,…,n,Bvk={<vk,qi>|(ei,ck)∈Ri}代表vk的后向指针集合,Fvk={<vk,qi>|(ck,ei)∈Rr}表示vk的前向指针集合;
不确定感知攻击图:用来处理网络系统中攻击概率的不确定性的数据结构,这种不确定性来自于对网络系统中的脆弱性或者是漏洞利用概率的度量。
不确定性感知攻击图的形式化表示:为了方便后续的攻击预测模型生成算法,我们用一个六元组对不确定性感知攻击图进行形式化描述,该六元组为IAG=(N,EN,D,Pr,C,G),其中
①N={n1,n2,…,nk}表示的是不确定性感知攻击图中节点的集合,每个节点表示网络系统中存在的漏洞。
②EN表示的是不确定性感知攻击图中节点之间的边集,用来显示两个漏洞节点之间存在关联关系。
③D表示的是类似于<ni,di>的节点对的集合,其中di表示的是节点ni的节点类型。di的取值集合是di∈{LEAF,AND,OR}
④Pr={P^(n1),P^(n2),…,P^(nk)}表示的是攻击不确定性概率的集合,P^(ni)=<- P(ni),P-(ni)>,其中P(ni)=sup{P(ni):P∈ρ}表示的是不确定性感知攻击图中不确定性概率集合中最小的概率值;P-(ni)=inf{P(ni):P∈ρ}表示的是不确定性感知攻击图中不确定性概率集合中最大的概率值;ρ表示的是概率分布的集合,在经典概率论中概率的上下边界取值相同。
⑤C表示的是有关节点概率约束条件的集合,其中有些约束条件可以直接从攻击图模型中提取,但是有些需要靠专家经验来定义。所以每个节点有以下的约束条件:
如果<ni,di>∈D且di={LEAF}那么P^(ni)=<1,1>。
如果<ni,di>∈D且di={AND}那么P^(ni)≤∏P^(Pre(ni))。
如果<ni,di>∈D且di={OR}那么P^(ni)≤1-∏P^(1-Pre(ni))。
步骤二、当网络系统中的服务受到攻击时,入侵检测系统生成警报信息,对警报信息进行关联,生成警报关联图,并根据警报信息进行相应的响应决策,然后根据响应决策生成入侵响应图;警报信息的关联原则为:若某一漏洞被攻击者利用产生一次原子攻击造成网络系统的安全状态发生变化,同时此安全状态的变化又是另外一个漏洞被攻击者利用进行原子攻击的前提条件,那么就对这两个原子攻击产生的警报信息进行关联;
本发明在警报关联阶段提出一种改进的警报关联算法,不仅可以准确有效的关联警报还能在一段时间内进行警报增强。具体内容包括在数据结构的选取上进行优化,使用队列图的结构将攻击图中的组成元素进行形式化,从而降低了生成的警报关联图的复杂度;
警报信息:lert=(aID,Pro,Sip,Dip,Sp,Dp,vulID)aID:表示是唯一能够标识警报的编号,Pro:表示该条警报所使用的协议,常见的协议类型有tcp,udp等,Sip:表示该条警报的源主机地址,Dip:表示该条警报的目的主机地址,Sp:表示该条警报的源端口号,Dp:表示该条警报的目的端口号,vulID:表示该条警报利用的漏洞编号。
警报关联图:结果图定义为G(Vr,Er),是一个有向图,其中Vr是真实警报,假设警报和安全属性的一个组合,表示警报之间相关性的一组边,例如存在ai到ck之间的边也存在ck到aj之间的边,就表示警报ai和aj之间存在关联关系。
缺失警报假设算法:根据生成的警报信息查找攻击图上所对应的漏洞,对于无警报信息的漏洞设置虚拟警报信息,并将该虚拟警报信息与所述警报信息进行关联。缺失警报假设算法能够确保警报更好地关联,使警报关联图能够更好的记录网络系统中攻击者的攻击路径,动态的反映出网络安全的状态变化。同时缺失警报假设算法也完善了警报关联算法的输入条件。
缺失漏洞算法:当生成的警报信息在攻击图中找不到对应的漏洞时,则根据该警报信息获得缺失漏洞信息,并添加到攻击图上。本发明首次提出了攻击图中漏洞关系缺失的问题,造成该问题的原因有可能是漏洞扫描工具存在缺陷,没有将网络系统中对所有脆弱点或者漏洞都进行识别并反馈。因此提出根据入侵检测系统产生的警报完善攻击图中的漏洞信息,且该警报是未能在攻击图中找到编码的先验知识的警报。通过本算法能够对攻击图进行补充,完善攻击图中的信息,也为后来的警报能够通过攻击图中的知识进行关联提供更为完善的先验知识库。
入侵响应:是指入侵响应系统在入侵检测系统发现入侵行为后会及时作出响应,从而降低网络系统因为入侵行为造成的损失。入侵响应分为主动响应和被动响应两种类型。
多级入侵响应图的形式化表示:为了方便后续模型中不确定性概率值的分析,本发明将入侵响应信息建模为一个多级响应图,并用一个四元组对其进行形式化描述。该四元组为R=(R,ER,C,A),其中:
①R={r1,r2,…,rn}是一系列节点的集合,其中每个节点代表一个入侵响应新信息。
②ER是节点之间的边的集合,其中每条边代表的是入侵响应信息之间的关联关系。
③C是类似于<ri,ci>的节点对的集合。其中i∈{1,n},ci∈{0,1},代表节点ri的响应代价。
④A是类似于<ri,ai>的节点对的集合。其中i∈{1,n},ai∈{Yes,No},代表节点对应的入侵响应是否被激活。
步骤三、根据警报关联图中警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号,对不确定性感知攻击图上的攻击不确定性概率进行改进;
对于每一条警报信息,通过以下公式计算,得到通过警报信息改进的不确定性概率。其中θ表示的是不确定性感知攻击图中节点与每一条警报信息的相似度;P (H)(ni)表示的是通过警报信息改进后的不确定性概率的最小值;P-(H)(ni)表示的是通过警报信息改进后的不确定性概率的最大值;P^(H)(ni)表示的是通过警报信息改进后的不确定性概率的最大值和最小值的集合。
P (H)(ni)=[1-P (old)(ni)]×θ+P (old)(ni)
P-(H)(ni)=[1-P-(old)(ni)]×θ+P-(old)(ni)
P^(H)(ni)=<P (old)(ni),P-(old)(ni)>
步骤四、通过入侵响应图中响应决策之间的关联关系以及响应的代价对不确定性感知攻击图上的不确定性概率进行改进;
对于每一条入侵响应信息,通过以下公式计算,最终得到更新的不确定性感知攻击图中节点的概率。其中ω表示的是确定性感知攻击图中节点与每一条入侵响应信息的相似度;P (R)(ni)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最小值;P-(R)(ni)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最大值;P^(R)(ni)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最大值和最小值的集合;P^(new)(ni)表示的是最终改进得到的新的攻击不确定性概率。
P (R)(ni)=-P (H)(ni)×ω+P (H)(ni)
P-(R)(ni)=-P-(H)(ni)×ω+P-(H)(ni)
P^(R)(ni)=<P (R)(ni),P-(R)(ni)>
P^(new)(ni)=P^(R)(ni)
步骤五、根据不确定性概率获得服务被攻击的概率,从而得到预测攻击模型。
对于预测攻击图中的每一个节点,如果服务依赖图中的节点也存在于不确定性感知攻击图中,则服务被攻击的概率就是P^(new)(ni),否则就是0,也就是说此服务不存在于本系统中。
服务依赖图:即存储网络系统中的服务信息以及服务之间关联关系的信息。在本发明中将服务依赖关系图形式化描述为一个四元组,该四元组为DG=(SP,ESP,U,Q),其中:
①SP={sp1,sp2,…,spt}是一系列节点的集合。其中每个节点代表网络系统中的一个活动进程或者是一个服务信息。
②ESP是节点之间边的集合。其中每条边代表的是网络系统中进程或者服务之间存在的依赖关系。
③U是类似于<ui,spj>的节点对的集合。其中i=1,…,nu,j=1,…,t,表示的是用户ui使用的是进程或者服务spj。
④Q是一个三元组的集合,该三元组表示为<ui,spj,qk>,其中i=1,…,nu,j=1,…,t,k=1,…,nq,qk表示的是用户ui对进程或者服务spj的需要程度。
预测攻击图(预测攻击模型):本发明提出的预测攻击图是通过使用不确定性感知攻击图、警报关联图、服务依赖图和入侵响应图进行构建的。预测攻击图的形式化表示。
在建立预测攻击图的第一步中要解决的问题是找到不确定感知攻击图中节点初始的不确定性概率;在第二步中将警报关联图和入侵响应图的信息转换为不确定性感知攻击图中的信息,通过警报关联图和入侵相应图中的信息可以帮助提高未来攻击预测的准确性;在最后一步中,需要计算预测攻击图中每个服务或者是进程被攻击的概率。在本发明中将预测攻击图形式化为一个四元组:FAG=<SP,ESP,H,PA>,其中:
①SP={sp1,sp2,…,spt}是一系列节点的集合。其中每个节点代表服务或者进程。
②ESP是节点之间边的集合。其中每条边代表的是网络系统中服务进程存在关系。
③H是类似于<spj,hl>的节点对的集合。其中j=1,…,t,l=1,…,nu,表示的是服务spj存在于主机hl上。
④PA是一个三元组的集合,该三元组表示为<spj,hl,P^(Attg (jl))>,其中l=1,…,nh,j=1,…,t,g=1,…,nAtt,P^(Attg (jl))=[P(Attg (jl)),P-(Attg (jl))]表示的是攻击行为对主机hi上的服务spj的攻击概率的最大值和最小值。
利用上面生成的警报关联图,以及入侵响应信息,网络系统中的服务以及服务依赖信息生成网络攻击预测模型,考虑了网络攻击的不确定性概率。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.基于不确定性感知攻击图的网络攻击预测模型构建方法,其特征在于,包括以下步骤:
步骤一、在攻击图上添加漏洞被攻击的不确定性概率,获得不确定性感知攻击图,所述不确定性概率通过专家经验得到;
步骤二、对网络系统中的服务受到攻击时入侵检测系统生成的警报信息进行关联,生成警报关联图,并利用警报信息所对应的响应决策生成入侵响应图;警报信息的关联原则为:若某一漏洞被攻击者利用产生一次原子攻击造成网络系统的安全状态发生变化,同时此安全状态的变化又是另外一个漏洞被攻击者利用进行原子攻击的前提条件,那么就对这两个原子攻击产生的警报信息进行关联;
步骤三、根据警报关联图中警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号,对不确定性感知攻击图上的不确定性概率进行改进;
对于每一条警报信息,通过以下公式得到通过警报信息改进的不确定性概率;其中θ表示的是不确定性感知攻击图中节点与每一条警报信息的相似度;P (H)(ni)表示的是通过警报信息改进后的不确定性概率的最小值;P-(H)(ni)表示的是通过警报信息改进后的不确定性概率的最大值;P^(H)(ni)表示的是通过警报信息改进后的不确定性概率的最大值和最小值的集合,ni表示攻击图上的节点;P (old)(ni)表示初始不确定性概率的最小值;P-(old)(ni)表示初始不确定性概率的最大值;
P (H)(ni)=[1-P (old)(ni)]×θ+P (old)(ni)
P-(H)(ni)=[1-P-(old)(ni)]×θ+P-(old)(ni)
P^(H)(ni)=<P (old)(ni),P-(old)(ni)>
步骤四、通过入侵响应图中响应决策之间的关联关系以及响应的代价对不确定性感知攻击图上的不确定性概率进行改进;
对于每一条入侵响应信息,通过以下公式得到更新的不确定性感知攻击图中节点的概率;其中ω表示的是确定性感知攻击图中节点与每一条入侵响应信息的相似度;P (R)(ni)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最小值;P-(R)(ni)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最大值;P^(R)(ni)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最大值和最小值的集合;P^(new)(ni)表示的是最终改进得到的新的攻击不确定性概率;
P (R)(ni)=-P (H)(ni)×ω+P (H)(ni)
P-(R)(ni)=-P-(H)(ni)×ω+P-(H)(ni)
P^(R)(ni)=<P (R)(ni),P-(R)(ni)>
P^(new)(ni)=P^(R)(ni)
步骤五、根据改进后的不确定性概率获得服务被攻击的概率,从而得到预测攻击模型。
2.如权利要求1所述的基于不确定性感知攻击图的网络攻击预测模型构建方法,其特征在于,步骤二中,根据生成的警报信息查找攻击图上所对应的漏洞,对于无警报信息的漏洞设置虚拟警报信息,并将该虚拟警报信息与所述警报信息进行关联。
3.如权利要求1所述的基于不确定性感知攻击图的网络攻击预测模型构建方法,其特征在于,步骤二中,当生成的警报信息在攻击图中找不到对应的漏洞时,则根据该警报信息获得缺失漏洞信息,并添加到攻击图上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910425827.XA CN110012037B (zh) | 2019-05-21 | 2019-05-21 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910425827.XA CN110012037B (zh) | 2019-05-21 | 2019-05-21 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110012037A CN110012037A (zh) | 2019-07-12 |
CN110012037B true CN110012037B (zh) | 2020-08-18 |
Family
ID=67177647
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910425827.XA Active CN110012037B (zh) | 2019-05-21 | 2019-05-21 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110012037B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708287B (zh) * | 2019-09-03 | 2020-12-29 | 浙江大学 | 一种基于攻击图和心理理论的入侵响应方法 |
CN110598417B (zh) * | 2019-09-05 | 2021-02-12 | 北京理工大学 | 一种基于图挖掘的软件漏洞检测方法 |
CN111931168B (zh) * | 2020-06-19 | 2022-09-09 | 河海大学常州校区 | 一种基于警报关联的僵尸机检测方法 |
CN112637178B (zh) * | 2020-12-18 | 2022-09-20 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
CN112861913A (zh) * | 2021-01-12 | 2021-05-28 | 浙江大学 | 一种基于图卷积网络的入侵警报消息的关联方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6772334B1 (en) * | 2000-08-31 | 2004-08-03 | Networks Associates, Inc. | System and method for preventing a spoofed denial of service attack in a networked computing environment |
CN102638458B (zh) * | 2012-03-23 | 2015-09-09 | 中国科学院软件研究所 | 识别脆弱性利用安全威胁并确定相关攻击路径的方法 |
CN108156114A (zh) * | 2016-12-02 | 2018-06-12 | 全球能源互联网研究院有限公司 | 电力信息物理系统网络攻击图的关键节点确定方法及装置 |
CN106850607B (zh) * | 2017-01-20 | 2019-09-20 | 北京理工大学 | 基于攻击图的网络安全态势的量化评估方法 |
CN108494810B (zh) * | 2018-06-11 | 2021-01-26 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
-
2019
- 2019-05-21 CN CN201910425827.XA patent/CN110012037B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110012037A (zh) | 2019-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110012037B (zh) | 基于不确定性感知攻击图的网络攻击预测模型构建方法 | |
US11374953B2 (en) | Hybrid machine learning to detect anomalies | |
JP7436501B2 (ja) | サイバーセキュリティ・イベントについての時間関係を推測すること | |
US10154051B2 (en) | Automatic detection of network threats based on modeling sequential behavior in network traffic | |
US9888020B2 (en) | Global clustering of incidents based on malware similarity and online trustfulness | |
US10592666B2 (en) | Detecting anomalous entities | |
Shittu et al. | Intrusion alert prioritisation and attack detection using post-correlation analysis | |
CN111565205A (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
US20130291108A1 (en) | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining | |
JP6557774B2 (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
CN114547415A (zh) | 工业物联网中基于网络威胁情报的攻击模拟方法 | |
CN113992349B (zh) | 恶意流量识别方法、装置、设备和存储介质 | |
CN113872943A (zh) | 网络攻击路径预测方法及装置 | |
CN112769803B (zh) | 网络威胁的检测方法、装置和电子设备 | |
CN112333195A (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
CN114422224A (zh) | 面向攻击溯源的威胁情报智能分析方法及系统 | |
US20230412634A1 (en) | Automated prediction of cyber-security attack techniques using knowledge mesh | |
US10885593B2 (en) | Hybrid classification system | |
JP2018170008A (ja) | エンティティの属性をマッピングする方法及びシステム | |
CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
CN115567325B (zh) | 一种基于图匹配的威胁狩猎方法 | |
CN109255238B (zh) | 终端威胁检测与响应方法及引擎 | |
CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |