CN111988285A - 一种基于行为画像的网络攻击溯源方法 - Google Patents
一种基于行为画像的网络攻击溯源方法 Download PDFInfo
- Publication number
- CN111988285A CN111988285A CN202010766622.0A CN202010766622A CN111988285A CN 111988285 A CN111988285 A CN 111988285A CN 202010766622 A CN202010766622 A CN 202010766622A CN 111988285 A CN111988285 A CN 111988285A
- Authority
- CN
- China
- Prior art keywords
- network
- metadata
- flow
- behavior
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000004931 aggregating effect Effects 0.000 claims abstract description 4
- 238000007619 statistical method Methods 0.000 claims abstract description 4
- 230000006399 behavior Effects 0.000 claims description 84
- 238000011144 upstream manufacturing Methods 0.000 claims description 15
- 238000010801 machine learning Methods 0.000 claims description 13
- 238000000605 extraction Methods 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 11
- 239000013598 vector Substances 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 238000013461 design Methods 0.000 claims description 4
- 238000005065 mining Methods 0.000 claims description 4
- 230000003542 behavioural effect Effects 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 16
- 230000008447 perception Effects 0.000 abstract description 5
- 230000007123 defense Effects 0.000 description 5
- 238000011160 research Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 208000003443 Unconsciousness Diseases 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013209 evaluation strategy Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000011990 functional testing Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011158 quantitative evaluation Methods 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于行为画像的网络攻击溯源方法,包括:1)实时提取网络流量和日志文件;2)提取网络流量和日志文件中的元数据;3)统计分析同一网络行为主体元数据中的关键字段,针对不同关键字段对应的安全事件,为网络行为打上安全标签;4)根据网络攻击模型,将描述同一网络攻击纬度的安全标签进行聚类,形成结构化标签,即网络攻击行为单一纬度画像;5)将多个纬度的画像结果进行聚合和关联,形成网络攻击行为画像;6)重复步骤1)至步骤5),不断提取实时流量和日志信息,丰富网络行为画像。本发明提高了对网络安全态势的感知能力,增强了对攻击方的分析和抵御能力,用于网络安全。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种基于行为画像的网络攻击溯源方法。
背景技术
随着网络空间对抗日益严峻,为了在网络空间对抗中取得优势,各国通过提升网络攻击行为的分析和溯源能力大力增强网络空间综合防御能力以及攻防对对抗能力。 传统的方法是通过正则式、特征匹配的方式实现对网络攻击行为的识别和分析,对网 络攻击行为进行单一纬度的防御,然而,一方面随着APT(Advanced Persistent Threat) 的兴起,网络攻击呈现出在时间和空间上跨度大的特点,单一纬度的分析无法完整描 述网络攻击;另一方面,人工智能领域的兴起为网络安全的攻守双方均赋予了更丰富 的工具和方法,数据量呈现指数级增长,在海量数据中进行筛选变得越来越困难。
“安全+AI”在经过众多科研工作者和企业单位的推进后,即将机器学习、人工 智能的方法直接使用在网络安全的环境中,就能够达到一定的效果。使用图像识别算 法的日益精进使得极其识别验证码变得越来越容易,使用机器学习的方法对海量日志 进行分析能够是被85%以上的攻击,各种应用场景不胜枚举。
各国在网络空间安全对抗随着大数据时代的到来,面临更多的新问题和新挑战。敌对方或攻击者将攻击数据和攻击特征在大数据的掩护和遮蔽下,持续、精准地发起 网络攻击。从系统漏洞被发现到利用其进行有针对性攻击,大范围的攻击很快就会达 到一个高峰,留给攻击分析与安全防御的反应时间极短。传统的攻击分析与溯源技术, 依赖于对规则的解析和系统日志、网络流量的分析,未能借助大数据的特征与优势, 对隐匿于大数据的复杂、持续性攻击的往往是力不从心,且经常错失良机,给国家基 础设施和军队信息系统带来极大的安全威胁。
隐匿攻击与准确溯源是网络空间对抗的重点,积极发展防御与攻击协同的主动防御相关技术,研究能够实时动态配置的伪装网络技术以及网络攻击数据采集分析技术, 实现对网络攻击在攻击行为、攻击意图、攻击模式和攻击来源等多个维度的深入分析。
华中科技大学丰伟针对地址端口动态跳变技术,采用基于滑动窗口的时间戳同步策略和改进的网络时间同步校正方案,有效克服了网络传输延迟和拥塞对动态跳变同 步造成的影响,提高了跳变过程中的安全性,保证了跳变过程中的同步成功率,并在 音视频通信系统中,对该地址端口动态跳变方法进行了实现,对该系统进行了功能性 测试和抗攻击能力测试。但其中提出的地址端口动态跳变方法仅仅是基于服务器单方 面的跳变,没有实现通信时双方都同时进行对等的动态跳变,同时,其端口跳变是通 过预制端口池来进行随机抽取的,只能够达到防御通过端口进行的攻击手段,并不能 针对性的进行网络攻击的引导,对于攻击者而言,即使没有攻击到既定目标,于其自 身不会受到任何影响,使得网络对抗处于被动的态势。
西安交通大学网络化系统与信息安全研究中心和清华大学智能与网络化系统研究 中心研究提出的基于入侵检测系统的海量报警信息和网络性能指标,结合服务主机本身的重要性及网络系统的组织结构,提出采用自下而上先局部后整体评估策略的层次 化安全威胁态势量化评估方法,并采用该方法在报警发生频率报警严重性及其网络带 宽耗用率的统计基础上,对服务主机本身的重要性因子进行加权,计算服务主机以及 整个网络系统的威胁指数,进而评估分析安全威胁态势。
美国国家高级安全系统研究中心正在进行的SIFT项目,目的就是为Internet提供安全态势感知,在已开发的安全事件融合工具软件集中包含:NVIsionIP,VisFlowConnect-IP等安全态势感知软件。卡内基梅隆大学SEI所领导的CERT/NetSA 开发出SILK,该系统采用集成化思想,即把现有的Netflow工具集成在一起,提供整 个网络的态势感知,便于大规模网络的安全分析。林肯实验室利用支持向量机SVM作 为融合技术,对多源、多属性信息进行融合,从而产生对态势的感知。然而,其对网 络安全态势的感知并不包括对攻击者意图及目标的感知,使得防御态势滞后于攻击行 为,陷于被动的状态。不仅学术研究领域对“安全+AI”进行了深入研究部,同样,工 业领域的成果也不容忽视,与学术界不同的是,工业领域更注重方法的实用性,是否 能解决实际问题,是否能做市场推广,都是他们关注的问题。其中,MIT的CSAIL 实验室于2016年公开他们的研究成果AI2,使用无监督学习配合有监督学习的方法, 通过机器学习对海量的日志信息进行分析,识别出85%以上的攻击行为,并且误报率 低于95%,2017年,他们讲AI2包装推广,成立了PatternEx公司,讲该成果作为盈 利的产品推向市场。
发明内容
发明目的:本发明所要解决的技术问题是针对现有技术的不足,提供一种基于行为画像的网络攻击溯源方法,提升对网络攻击行为的分析能力,实现对网络攻击行为 的多维画像,提高对攻击方的溯源水平。
为实现上述目的,本发明的技术思路是:通过端口镜像技术实时提取业务网络的数据流量和日志文件,根据数据记录的协议和规则进行元数据提取,通过元数据与安 全事件之间的关联关系为同一IP行为数据进行标记,根据多个元数据描述一个网络攻 击维度的规则,将多个元数据标签进行聚类,描述网络攻击行为的单一纬度,通过对 网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级五个维度进行 深入分析,形成多维画像,完成对网络攻击行为的完整描述,本发明方法具体包括如 下步骤:
步骤1,提取网络流量和日志文件;
步骤2,提取网络流量和日志文件中的元数据;
步骤3,统计分析同一网络行为主体元数据中的关键字段,针对不同关键字段对应的安全事件,为网络行为打上安全标签;
步骤4,根据网络攻击模型,将描述同一网络攻击纬度的安全标签进行聚类,形成结构化标签,结构化标签即网络攻击行为单一纬度画像;
步骤5,将多个纬度的画像结果进行聚合和关联,形成网络攻击行为画像;
步骤6,检测实际网络中路由器和交换机上的网络流量,基于网络行为画像进行追踪溯源;
步骤7,重复步骤1至步骤6,不断提取实时流量和日志信息,丰富网络行为画像。
步骤1包括:
步骤1-1,在业务系统具体使用的端口处部署分流器,使用端口镜像技术将业务流量进行旁路,同时,读取业务系统的登录日志、防火墙和IDS(Intrusion DetectionSystem, 入侵检测系统)的检测日志;
步骤1-2,在步骤1-1中的分流器外围部署负载均衡器,将实时流量分配给各个分析机;分流器和负载均衡器都可以基于现有硬件完成;
步骤1-3,对步骤1-1中得到的流量数据和日志记录执行步骤2,并完成格式化存储。
为了能够抵御APT等在时间和空间上跨度较大的攻击方式,步骤1-1中提取网络流量和日志文件,不光从当前网络状态和流量中采集信息,同时也从访问日志、防火 墙日志等相关历史记录中进行提取,原始数据的来源包括了服务登录日志、网络实时 态势数据、系统载荷、防火墙日志、病毒库文件状态字、网络流量、访问日志等。
步骤2包括:
步骤2-1,步骤1-2中的分析机通过对流量数据和日志记录的头文件进行解析(参考文献:周小勇,胡宁,向杨蕊,等.基于数据流的实时网络流量分析系统设计与实现[J])将IP相同的数据包进行归并和整合;
步骤2-2,对同一IP的网络流量,根据网络层、传输层和应用层的不同协议,生 成对应的元数据;
步骤2-3,在元数据提取控制机(元数据提取控制机为部署了基于行为画像的网络攻击溯源模块的PC机器)部署事件生成引擎,向分析机下发元数据提取规则(元数据 提取规则及具体解析过程均为现有技术实现,规则由用户根据需求定义),参考文献: 铭张,宇杨.网络搜索中基于多种规则的元数据自动抽取方法;存储分析机根据规则 将元数据按照要求的格式返回控制机,由控制机存储在指定的位置。所述事件生成引 擎用于判断一个事件A是否为安全事件。
步骤2-2包括:
步骤2-2-1,根据TCP/IP协议的网络层的IP地址和传输层的端口号、协议类型, 使用5元向量标识一个连接,{id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto},5元向量id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto分别表示:原始地址、原始端口号、 目的地址、目的端口、协议类型;当数据包的5元向量符合同一标识时,将数据包进 行统合生成连接数据;
步骤2-2-2,对于数据包统合生成的连接数据,针对TCP/IP协议的传输层规范, 格式化输出以下数据类:{ts,uid,id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto,service, conn_state,local_orig,local_resp};ts、uid,id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto、 service、conn_state、local_orig、local_resp分别代表:时间戳,连接身份标识,原始地 址,原始端口号,目的地址,目的端口,协议,服务,连接状态,本地发送标识,本 地接收标识,共11类数据。
步骤3包括:
步骤3-1,根据网络安全相关知识,关联元数据特定字段与安全时间之间的映射关系,定义网络攻击行为标签库;
步骤3-2,使用分布式计算的方法,将网络流量和日志文件中的元数据与网络攻击行为标签库的对比任务分发给各个计算节点,挖掘元数据中的安全事件,并使用文本 类型的标签对同一网络行为主体进行标记。
步骤3-1包括:
步骤3-1-1,搜集安全事件原始数据作为训练集,设定安全事件A对应的安全事件标签集合为{M1,M2,M3...,Mi,...,Mk},i∈(1,k),Mk代表安全事件A中的第k个标签;
步骤3-1-2,对训练集中的数据流量进行机器学习,挖掘其中元数据与安全事件之间的关系,得出安全事件A对应的元数据特征集合为{C1,C2,C3...,Cj,...,Cp},j∈(1,p),Cp代表安全事件A的第p个元数据特征;;
步骤3-1-3,基于现有的网络攻击链模型建立安全事件标签与元数据特征之间的映 射关系,在判断一个事件A'是否是安全事件A,是否需要标记安全事件A对应的安全 标签时,只需要对A'的元数据特征{C′1,C'2,C′3...,C'j,...,C'p},j∈(1,p)与A的元数据特征{C1,C2,C3...,Cj,...,Cp},j∈(1,p)进行对比,计算其相似度即能够得出结果,其中C'p代表事件A'的第p个元数据特征。参考文献:刘文彦,霍树民,陈扬,等.网络攻击链模型分 析及研究[J]。
步骤4包括:
步骤4-1,对网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级五个维度进行建模,构建元数据与每个单一维度之间多对一的对应关系;
步骤4-2,搜集网络攻击原始数据,对网络攻击原始数据包括的网络攻击行为在元数据各个字段的标识特征进行机器学习,并对其进行归类和建模,构建网络攻击知识 库,且与网络攻击行为标签库进行关联;参考文献:江铭炎,王伟.基于样本推荐标注 的动态机器学习建模方法;
步骤4-3,将两个以上描述同一网络攻击维度的元数据特征进行聚类,形成网络攻击单一维度的画像。元数据特征是步骤4-2-2中所生成的。
步骤4-2包括:
步骤4-2-1,对网络攻击行为的单一维度进行画像,需要对网络攻击原始数据进行特征提取和机器学习,以安全事件原始数据作为训练集,设定安全事件M对应的安全 元数据集合为{d1,d2,d3...,di,...,dk},i∈(1,k),dk代表安全事件M的第k个元数据;
步骤4-2-2,通过对网络攻击数据流量的训练集进行学习,安全事件M中相关元数据集合{d1,d2,d3...,di,...,dk},i∈(1,k)的元数据特征为:
ske代表安全事件M的第k个元数据的第e个标签。
步骤6包括:
步骤6-1,将正在检测的路由器命名为本地路由器,使用I作为正整数集,R作为 实数集,使用<ui,dj,t>来表示本地路由器上的流,其中i,j∈I,t∈R,ui是本地路 由器Ri的上游路由器,dj是一组通过本地路由器Ri的数据包的目的地址,t是当前时 间戳;本地路路由器Ri中来自上游路由器的的输入流命名为过境流;
在局域网上本地路由器Ri生成的另一种类型的输入流命名为局部流,并且使用L表示局部流;
所有流入本地路由器Ri的流命名为输入流,并且将所有离开本地路由器Ri的所有流命名为输出流;
用ui来表示本地路由器的直接上游路由器,集合U来表示路由器Ri的输入流;
得到:U={ui,i∈I}+{L};
用集合D{dj,j∈I}来表示经过路由器Ri的数据包的目的地址;
受害者用v表示,v∈D;
一个本地路由器Ri上的流fij(ui,dj)被定义为如下:
fij(ui,dj)={ui,dj,t/ui∈U,dj∈D,i,j∈I}
用|fij(ui,dj,t)|来表示在时间t上,流fij(ui,dj)的数据包个数;
给定一个时间间隔ΔT,定义指定流的数据包数量变化值Nij(ui,dj,t+ΔT)如下:
Nij(ui,dj,t+ΔT)=|fij(ui,dj,t+ΔT)|-|fij(ui,dj,t)|
令集合|fij(ui,dj,)|=0,则表示流fij(ui,dj)在时间间隔ΔT内流经本地路由器的数据包个数;
用Nij(ui,dj)来表示Nij(ui,dj,+ΔT);
基于大数定理,得出每个流经本地路由器的流的概率为:
步骤6-2,基于行为画像的φ熵Hα'(srcIP)以及基于行为画像的φ发散度量 Dα'(PQ)定义如下:
式中α为行为画像的特征取值的个数,hα)为行为画像的特征增益值,h(α)=αlogα;
这里出现源IP的概率为p(srcIP),即 p(srcIP)=p(srcIP1),p(srcIP2),....p(srcIPn),其中p(srcIPi)代表第i个上游路由器 流入路由器Ri的概率,q(srcIPi)代表路由器Ri输出到第i个下游路由器的概率;
步骤6-3,计算信息距离ID,计算公式如下:
如果给定的抽样网络流满足如下不等式,则被称为合法的:
其中,nc当前流量中每个时间窗口的数据包个数,nN基线流量中每个时间窗口的数据包个数,a,k∈I;
步骤6-4,根据步骤6-3结果识别非法的网络流量,丰富其网络行为画像,并在其上游路由器ui中重复步骤6-1至6-3,直到追溯到攻击源。
步骤7所不断提取实时流量和日志信息,丰富网络行为画像中描述了本发明的核心是通过不断提取网络的实时流量和日志信息,持续提取元数据,标记行为标签并进 行结构化,持续对网络行为主体进行画像,伴随整个系统的不断运行,对网络行为主 体的分析和画像,由粗糙到精细,由模糊到清晰的过程。
本发明与现有技术相比,具有以下优点:
第一,提高了对网络攻击行为的分析深度。本发明通过构建多为标签与结构化标签体系实现了对网络攻击行为的多维画像,不同于以往通过单一特征定义网络攻击行 为,本发明通过多维标签组合能够有效地抵御组合类型的网络攻击行为,有效增强了 业务网络的抗攻击能力。
第二,提高了对攻击者的溯源水平。对攻击者的溯源水平取决于对攻击者攻击数据搜集能力和分析深度,本发明通过对网络攻击身份特征、攻击类型、攻击频率、工 具指纹和数据量级五个维度进行深入分析,极大的增加了攻击数据的搜集能力和分析 能力。
附图说明
下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述和/ 或其他方面的优点将会变得更加清楚。
图1是本发明的实现流程图;
图2是本发明的架构示意图;
图3是本发明的攻击检测流程图。
具体实施方式
参照图1、图2和图3,对本发明的实现步骤作进一步的描述。
步骤1,实时提取网络流量和日志文件。
(1a)在业务系统具体使用的端口处部署分流器,使用端口镜像技术将业务流量进行旁路,同时,读取业务系统的登录日志、防火墙和IDS(Intrusion Detection System,入侵检测系统)的检测日志。
其中提取网络流量和日志文件,不光从当前网络状态和流量中采集信息,同时也从访问日志、防火墙日志等相关历史记录中进行提取,原始数据的来源包括了服务登 录日志、网络实时态势数据、系统载荷、防火墙日志、病毒库文件状态字、网络流量、 访问日志等。
(1b)在(1a)中的分流器外围部署负载均衡器,将大量的实时流量分配给各个 分析机,解决网络流量过大造成的无法对业务流量进行全采集的问题;
(1c)对(1a)中得到的流量数据和日志记录进行分类和格式化存储;
步骤2,提取网络流量和日志文件中的元数据。
(2a)(1b)中的分析机通过对流量数据和日志记录的头文件进行解析,将IP相 同的数据包进行归并和整合;
(2b)对同一IP的网络流量,根据网络层、传输层和应用层的不同协议,生成对 应的元数据,其具体步骤如下;
(2b1)根据TCP/IP协议的网络层的IP地址和传输层的端口号、协议类型,使用 5元向量标识一个连接,{id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto},5元向量分别表 示:原始地址、原始端口号、目的地址、目的端口、协议类型;当数据包的5元向量 符合同一标识时,将数据包进行统合生成连接;
(2b2)针对数据包统合得到的连接数据,针对TCP/IP协议的传输层规范进行进 一步分析,格式化输出以下数据类:{ts,uid,id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto, service,conn_state,local_orig,local_resp};这些分别代表:{时间戳,连接身份标识,原 始地址,原始端口号,目的地址,目的端口,协议,服务,连接状态,本地发送标识, 本地接收标识},共11类数据;
(2c)在元数据提取控制机部署事件生成引擎,向分析机下发元数据提取规则, 存储分析机根据规则将元数据按照要求的格式返回控制机,由控制机存储在指定的位 置;
步骤3,统计分析同一网络行为主体元数据中的关键字段,针对不同关键字段对应的安全事件,为网络行为打上安全标签;
(3a)根据网络安全相关知识,关联元数据特定字段与安全时间之间的映射关系,定义网络攻击行为标签库,其具体步骤如下;
(3a1)搜集海量的安全事件原始数据作为训练集,假设该安全事件A对应的安 全事件标签集合为{M1,M2,M3...,Mi,...,Mk},i∈(1,k),Mk代表安全事件A中的第k个 标签;;
(3a2)对训练集中的数据流量进行机器学习,挖掘其中元数据与安全事件之间的关系,得出安全事件A对应的元数据特征集合为{C1,C2,C3...,Cj,...,Cp},j∈(1,p),Cp代表安全事件A的第p个元数据特征;;
(3a3)通过典型安全事件建立安全事件标签与元数据特征之间的映射关系,在判断一个事件A'是否是安全事件A,是否需要标记安全事件A对应的安全标签时,只需 要对A'的元数据特征{C′1,C'2,C′3...,C'j,...,C'p},j∈(1,p)与A的元数据特征 {C1,C2,C3...,Cj,...,Cp},j∈(1,p)进行对比,计算其相似度即可得出结果,其中C'p代表事 件A'的第p个元数据特征;
(3b)使用分布式计算的方法,将网络流量和日志文件中的元数据与标签库的对比任务分发给各个计算节点,挖掘元数据中的安全事件,并使用文本类型的标签对同 一网络行为主体的网络行为进行标记;
步骤4,根据网络攻击模型,将描述同一网络攻击纬度的安全标签进行聚类,形成结构化标签,即网络攻击行为单一纬度画像;
(4a)对网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级 五个维度进行建模,构建元数据与每个单一维度之间多对一的对应关系;
(4b)由于网络攻击具有多样化的特征,因此搜集海量的网络攻击原始数据,对 这些网络攻击行为在元数据各个字段的标识特征进行机器学习,并对其进行归类和建 模,构建网络攻击知识库,且与标签库进行关联,其具体步骤如下:
(4b1)对网络攻击行为的单一维度进行画像,需要对网络攻击的海量原始数据进行特征提取和机器学习,以海量的安全事件原始数据作为训练集,假设该安全事件M 对应的安全元数据集合为{d1,d2,d3...,di,...,dk},i∈(1,k),dk代表安全事件M的第k个 元数据;
(4b2)通过对网络攻击数据流量的训练集进行学习,安全事件M中相关元数据 集合{d1,d2,d3...,di,...,dk},i∈(1,k)的元数据特征为:
ske代表安全事件M的第k个元数据的第e个标签;
(4b3)对网络攻击行为的每个维度与元数据特征进行关联,构造网络攻击行为单一维度的画像;
(4c)将多个描述同一网络攻击维度的元数据特征进行聚类,形成网络攻击单一维度的画像;
步骤5,将多个纬度的画像结果进行聚合和关联,形成网络攻击行为画像。
步骤6,检测实际网络中路由器和交换机上的网络流量,基于网络行为画像进行追踪溯源,具体包括:
步骤6-1,将正在检测的路由器(交换机)命名为本地路由器(交换机),使用I 作为正整数集,R作为实数集,使用<ui,dj,t>来表示本地路由器上的流,其中 i,j∈I,t∈R,ui是本地路由器Ri的上游路由器,dj是一组通过本地路由器Ri的数 据包的目的地址,t是当前时间戳;本地路路由器Ri中来自上游路由器的的输入流命 名为过境流;
在局域网上本地路由器Ri生成的另一种类型的输入流命名为局部流,并且使用L表示局部流;
所有流入本地路由器Ri的流命名为输入流,并且将所有离开本地路由器Ri的所有流命名为输出流;
用ui来表示本地路由器的直接上游路由器,集合U来表示路由器Ri的输入流;
得到:U={ui,i∈I}+{L};
用集合D{dj,j∈I}来表示经过路由器Ri的数据包的目的地址;
受害者用v表示,v∈D;
一个本地路由器Ri上的流fij(ui,dj)被定义为如下:
fij(ui,dj)={ui,dj,t/ui∈U,dj∈D,i,j∈I}
用|fij(ui,dj,t)|来表示在时间t上,流fij(ui,dj)的数据包个数;
给定一个时间间隔ΔT,定义指定流的数据包数量变化值Nij(ui,dj,+ΔT)如下:
Nij(ui,dj,t+ΔT)=|fij(ui,dj,t+ΔT)|-|fij(ui,dj,t)|
令集合|fij(ui,dj,t)|=0,则表示流fij(ui,dj)在时间间隔ΔT内流经本地路由器的数据包个数;
用Nij(ui,dj)来表示Nij(ui,dj,+ΔT);
基于大数定理,得出每个流经本地路由器的流的概率为:
步骤6-2,基于行为画像的φ熵Hα'(srcIP)以及基于行为画像的φ发散度量 Dα'(PQ)定义如下:
式中α为行为画像的特征取值的个数,h(α)为行为画像的特征增益值,h(α)=αlogα;
这里出现源IP的概率为p(srcIP),即 p(srcIP)=p(srcIP1),p(srcIP2),....p(srcIPn),其中p(srcIPi)代表第i个上游路由器 流入路由器Ri的概率,q(srcIPi)代表路由器Ri输出到第i个下游路由器的概率;
步骤6-3,计算信息距离ID,计算公式如下:
如果给定的抽样网络流满足如下不等式,则被称为合法的:
其中,nc当前流量中每个时间窗口的数据包个数,nN基线流量中每个时间窗口的数据包个数,a,k∈I;
步骤6-4,根据步骤6-3结果识别非法的网络流量,丰富其网络行为画像,并在其上游路由器ui中重复步骤6-1至6-3,直到追溯到攻击源。
步骤7,重复步骤1至步骤6,不断提取实时流量和日志信息,丰富网络行为画像。本发明的核心是通过不断提取网络的实时流量和日志信息,持续提取元数据,标记行 为标签并进行结构化,持续对网络行为主体进行画像,伴随整个系统的不断运行,对 网络行为主体的分析和画像,由粗糙到精细,由模糊到清晰的过程。
本发明提供了一种基于行为画像的网络攻击溯源方法,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的 普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这 些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现 有技术加以实现。
Claims (9)
1.一种基于行为画像的网络攻击溯源方法,其特征在于,包括如下步骤:
步骤1,提取网络流量和日志文件;
步骤2,提取网络流量和日志文件中的元数据;
步骤3,统计分析同一网络行为主体元数据中的关键字段,针对不同关键字段对应的安全事件,为网络行为打上安全标签;
步骤4,根据网络攻击模型,将描述同一网络攻击纬度的安全标签进行聚类,形成结构化标签,结构化标签即网络攻击行为单一纬度画像;
步骤5,将多个纬度的画像结果进行聚合和关联,形成网络攻击行为画像;
步骤6,检测实际网络中路由器和交换机上的网络流量,基于网络行为画像进行追踪溯源;
步骤7,重复步骤1至步骤6,不断提取实时流量和日志信息,丰富网络行为画像。
2.根据权利要求1所述的方法,其特征在于,步骤1包括:
步骤1-1,在业务系统具体使用的端口处部署分流器,使用端口镜像技术将业务流量进行旁路,同时,读取业务系统的登录日志、防火墙和IDS的检测日志,得到网络流量和日志文件;
步骤1-2,在步骤1-1中的分流器外围部署负载均衡器,将实时流量分配给各个分析机;
步骤1-3,对步骤1-1中得到的流量数据和日志记录执行步骤2,并完成格式化存储。
3.根据权利要求2所述的方法,其特征在于,步骤2包括:
步骤2-1,步骤1-2中的分析机通过对流量数据和日志记录的头文件进行解析,将IP相同的数据包进行归并和整合;
步骤2-2,对同一IP的网络流量,根据网络层、传输层和应用层的不同协议,生成对应的元数据;
步骤2-3,在元数据提取控制机部署事件生成引擎,向分析机下发元数据提取规则,存储分析机根据规则将元数据按照要求的格式返回控制机,由控制机存储在指定的位置;所述事件生成引擎用于判断一个事件A是否为安全事件。
4.根据权利要求3所述的方法,其特征在于,步骤2-2包括:
步骤2-2-1,根据TCP/IP协议的网络层的IP地址和传输层的端口号、协议类型,使用5元向量标识一个连接,{id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto},5元向量id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto分别表示:原始地址、原始端口号、目的地址、目的端口、协议类型;当数据包的5元向量符合同一标识时,将数据包进行统合生成连接数据;
步骤2-2-2,对于数据包统合生成的连接数据,针对TCP/IP协议的传输层规范,格式化输出以下数据类:{ts,uid,id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto,service,conn_state,local_orig,local_resp};ts、uid,id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto、service、conn_state、local_orig、local_resp分别代表:时间戳,连接身份标识,原始地址,原始端口号,目的地址,目的端口,协议,服务,连接状态,本地发送标识,本地接收标识,共11类数据。
5.根据权利要求4所述的方法,其特征在于,步骤3包括:
步骤3-1,根据网络安全相关知识,关联元数据特定字段与安全时间之间的映射关系,定义网络攻击行为标签库;
步骤3-2,使用分布式计算的方法,将网络流量和日志文件中的元数据与网络攻击行为标签库的对比任务分发给各个计算节点,挖掘元数据中的安全事件,并使用文本类型的标签对同一网络行为主体进行标记。
6.根据权利要求5所述的方法,其特征在于,步骤3-1包括:
步骤3-1-1,搜集安全事件原始数据作为训练集,设定安全事件A对应的安全事件标签集合为{M1,M2,M3...,Mi,...,Mk},i∈(1,k),Mk代表安全事件A中的第k个标签;
步骤3-1-2,对训练集中的数据流量进行机器学习,挖掘其中元数据与安全事件之间的关系,得出安全事件A对应的元数据特征集合为{C1,C2,C3...,Cj,...,Cp},j∈(1,p),Cp代表安全事件A的第p个元数据特征;
步骤3-1-3,基于网络攻击链模型建立安全事件标签与元数据特征之间的映射关系,在判断一个事件A′是否是安全事件A,是否需要标记安全事件A对应的安全标签时,只需要对A′的元数据特征{C′1,C′2,C′3...,C′j,...,C′p},j∈(1,p)与A的元数据特征{C1,C2,C3...,Cj,...,Cp},j∈(1,p)进行对比,计算其相似度即能够得出结果,其中C′p代表事件A′的第p个元数据特征。
7.根据权利要求6所述的方法,其特征在于,步骤4包括:
步骤4-1,对网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级五个维度进行建模,构建元数据与每个单一维度之间多对一的对应关系;
步骤4-2,搜集网络攻击原始数据,对网络攻击原始数据包括的网络攻击行为在元数据各个字段的标识特征进行机器学习,并对其进行归类和建模,构建网络攻击知识库,且与网络攻击行为标签库进行关联;
步骤4-3,将两个以上描述同一网络攻击维度的元数据特征进行聚类,形成网络攻击单一维度的画像。
9.根据权利要求8所述的方法,其特征在于,步骤6包括:
步骤6-1,将正在检测的路由器命名为本地路由器,使用I作为正整数集,R作为实数集,使用<ui,dj,t>来表示本地路由器上的流,其中i,j∈I,t∈R,ui是本地路由器Ri的上游路由器,dj是一组通过本地路由器Ri的数据包的目的地址,t是当前时间戳;本地路路由器Ri中来自上游路由器的的输入流命名为过境流;
在局域网上本地路由器Ri生成的另一种类型的输入流命名为局部流,并且使用L表示局部流;
所有流入本地路由器Rj的流命名为输入流,并且将所有离开本地路由器Ri的所有流命名为输出流;
用ui来表示本地路由器的直接上游路由器,集合U来表示路由器Ri的输入流;
得到:U={ui,i∈I}+{L};
用集合D={dj,j∈I}来表示经过路由器Ri的数据包的目的地址;
受害者用v表示,v∈D;
一个本地路由器Ri上的流fij(ui,dj)被定义为如下:
fij(ui,dj)={ui,dj,t/ui∈U,dj∈D,i,j∈I}
用|fij(ui,dj,t)来表示在时间t上,流fij(ui,dj)的数据包个数;
给定一个时间间隔ΔT,定义指定流的数据包数量变化值Nij(ui,dj,t+ΔT)如下:
Nij(ui,dj,t+ΔT)=|fij(ui,dj,t+ΔT)|-|fij(ui,dj,t)|
令集合|fij(ui,dj,t)|=0,则表示流fij(ui,dj)在时间间隔ΔT内流经本地路由器的数据包个数;
用Nij(ui,dj)来表示Nij(ui,dj,t+ΔT);
基于大数定理,得出每个流经本地路由器的流的概率为:
步骤6-2,基于行为画像的φ熵Hα’(srcIP)以及基于行为画像的φ发散度量Dα’(PQ)定义如下:
式中α为行为画像的特征取值的个数,h(α)为行为画像的特征增益值,h(α)=αlogα;
这里出现源IP的概率为p(srcIP),即p(srcIP)=p(srcIP1),p(srcIP2),....p(srcIPn),其中p(srcIPi)代表第i个上游路由器流入路由器Ri的概率,q(srcIPi)代表路由器Ri输出到第i个下游路由器的概率;
步骤6-3,计算信息距离ID,计算公式如下:
如果给定的抽样网络流满足如下不等式,则被称为合法的:
其中,nc当前流量中每个时间窗口的数据包个数,nN基线流量中每个时间窗口的数据包个数,a,k∈I;
步骤6-4,根据步骤6-3结果识别非法的网络流量,丰富其网络行为画像,并在其上游路由器ui中重复步骤6-1至6-3,直到追溯到攻击源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010766622.0A CN111988285B (zh) | 2020-08-03 | 2020-08-03 | 一种基于行为画像的网络攻击溯源方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010766622.0A CN111988285B (zh) | 2020-08-03 | 2020-08-03 | 一种基于行为画像的网络攻击溯源方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111988285A true CN111988285A (zh) | 2020-11-24 |
CN111988285B CN111988285B (zh) | 2023-04-14 |
Family
ID=73445025
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010766622.0A Active CN111988285B (zh) | 2020-08-03 | 2020-08-03 | 一种基于行为画像的网络攻击溯源方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111988285B (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532652A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于多源数据的攻击行为画像装置及方法 |
CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及系统和用户画像生成方法 |
CN112559595A (zh) * | 2020-12-14 | 2021-03-26 | 东软集团股份有限公司 | 安全事件挖掘方法、装置、存储介质及电子设备 |
CN112685510A (zh) * | 2020-12-29 | 2021-04-20 | 成都科来网络技术有限公司 | 一种基于全流量标签的资产标签方法、计算机程序及存储介质 |
CN112839039A (zh) * | 2021-01-05 | 2021-05-25 | 四川大学 | 一种网络威胁事件攻击场景交互式自动还原方法 |
CN112953961A (zh) * | 2021-03-14 | 2021-06-11 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
CN113037713A (zh) * | 2021-02-07 | 2021-06-25 | 深信服科技股份有限公司 | 网络攻击的对抗方法、装置、设备及存储介质 |
CN113098791A (zh) * | 2021-03-30 | 2021-07-09 | 中山大学 | 一种多业务网络流的成分占比分析方法 |
CN113297576A (zh) * | 2021-06-16 | 2021-08-24 | 深信服科技股份有限公司 | 威胁检测方法、装置、行为画像方法、装置及电子设备 |
CN113452714A (zh) * | 2021-06-29 | 2021-09-28 | 清华大学 | 主机聚类方法及装置 |
CN113536246A (zh) * | 2021-07-13 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种文件流动的溯源画像方法及相关装置 |
CN113596037A (zh) * | 2021-07-31 | 2021-11-02 | 南京云利来软件科技有限公司 | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
CN114050922A (zh) * | 2021-11-05 | 2022-02-15 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
CN114205161A (zh) * | 2021-12-13 | 2022-03-18 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
CN114637989A (zh) * | 2022-03-21 | 2022-06-17 | 西安电子科技大学 | 基于分布式系统的apt攻击追溯方法、系统及存储介质 |
US20220263842A1 (en) * | 2021-02-18 | 2022-08-18 | Ciena Corporation | Machine learning detection of network attacks using traffic and log information |
CN115134250A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
CN115361215A (zh) * | 2022-08-22 | 2022-11-18 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
CN117436073A (zh) * | 2023-12-21 | 2024-01-23 | 福建极数网络科技有限公司 | 一种基于智能标签的安全日志告警方法、介质和设备 |
CN117610027A (zh) * | 2024-01-23 | 2024-02-27 | 上海齐同信息科技有限公司 | 一种私有协议漏洞检测方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
US20160191549A1 (en) * | 2014-10-09 | 2016-06-30 | Glimmerglass Networks, Inc. | Rich metadata-based network security monitoring and analysis |
CN107733913A (zh) * | 2017-11-04 | 2018-02-23 | 武汉虹旭信息技术有限责任公司 | 基于5g网络攻击溯源系统及其方法 |
-
2020
- 2020-08-03 CN CN202010766622.0A patent/CN111988285B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160191549A1 (en) * | 2014-10-09 | 2016-06-30 | Glimmerglass Networks, Inc. | Rich metadata-based network security monitoring and analysis |
CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
CN107733913A (zh) * | 2017-11-04 | 2018-02-23 | 武汉虹旭信息技术有限责任公司 | 基于5g网络攻击溯源系统及其方法 |
Non-Patent Citations (1)
Title |
---|
唐彰国等: "基于量子神经网络的网络攻击同源性判定方法", 《成都理工大学学报(自然科学版)》 * |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及系统和用户画像生成方法 |
CN112559595A (zh) * | 2020-12-14 | 2021-03-26 | 东软集团股份有限公司 | 安全事件挖掘方法、装置、存储介质及电子设备 |
CN112532652A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于多源数据的攻击行为画像装置及方法 |
CN112685510A (zh) * | 2020-12-29 | 2021-04-20 | 成都科来网络技术有限公司 | 一种基于全流量标签的资产标签方法、计算机程序及存储介质 |
CN112685510B (zh) * | 2020-12-29 | 2023-08-08 | 科来网络技术股份有限公司 | 一种基于全流量标签的资产标签方法、计算机程序及存储介质 |
CN112839039B (zh) * | 2021-01-05 | 2022-02-08 | 四川大学 | 一种网络威胁事件攻击场景交互式自动还原方法 |
CN112839039A (zh) * | 2021-01-05 | 2021-05-25 | 四川大学 | 一种网络威胁事件攻击场景交互式自动还原方法 |
CN113037713A (zh) * | 2021-02-07 | 2021-06-25 | 深信服科技股份有限公司 | 网络攻击的对抗方法、装置、设备及存储介质 |
US20220263842A1 (en) * | 2021-02-18 | 2022-08-18 | Ciena Corporation | Machine learning detection of network attacks using traffic and log information |
CN112953961A (zh) * | 2021-03-14 | 2021-06-11 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
CN113098791B (zh) * | 2021-03-30 | 2022-05-06 | 中山大学 | 一种多业务网络流的成分占比分析方法 |
CN113098791A (zh) * | 2021-03-30 | 2021-07-09 | 中山大学 | 一种多业务网络流的成分占比分析方法 |
CN113297576A (zh) * | 2021-06-16 | 2021-08-24 | 深信服科技股份有限公司 | 威胁检测方法、装置、行为画像方法、装置及电子设备 |
CN113452714A (zh) * | 2021-06-29 | 2021-09-28 | 清华大学 | 主机聚类方法及装置 |
CN113536246A (zh) * | 2021-07-13 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种文件流动的溯源画像方法及相关装置 |
CN113536246B (zh) * | 2021-07-13 | 2024-03-22 | 杭州安恒信息技术股份有限公司 | 一种文件流动的溯源画像方法及相关装置 |
CN113596037A (zh) * | 2021-07-31 | 2021-11-02 | 南京云利来软件科技有限公司 | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
CN113596037B (zh) * | 2021-07-31 | 2023-04-14 | 广州广电研究院有限公司 | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
CN114050922A (zh) * | 2021-11-05 | 2022-02-15 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
CN114050922B (zh) * | 2021-11-05 | 2023-07-21 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
CN114205161A (zh) * | 2021-12-13 | 2022-03-18 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
CN114205161B (zh) * | 2021-12-13 | 2024-03-29 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
CN114637989A (zh) * | 2022-03-21 | 2022-06-17 | 西安电子科技大学 | 基于分布式系统的apt攻击追溯方法、系统及存储介质 |
CN114637989B (zh) * | 2022-03-21 | 2024-07-12 | 西安电子科技大学 | 基于分布式系统的apt攻击追溯方法、系统及存储介质 |
CN115134250B (zh) * | 2022-06-29 | 2024-03-15 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
CN115134250A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
CN115361215A (zh) * | 2022-08-22 | 2022-11-18 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
CN115361215B (zh) * | 2022-08-22 | 2024-07-02 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
CN117436073A (zh) * | 2023-12-21 | 2024-01-23 | 福建极数网络科技有限公司 | 一种基于智能标签的安全日志告警方法、介质和设备 |
CN117436073B (zh) * | 2023-12-21 | 2024-04-16 | 福建极数网络科技有限公司 | 一种基于智能标签的安全日志告警方法、介质和设备 |
CN117610027A (zh) * | 2024-01-23 | 2024-02-27 | 上海齐同信息科技有限公司 | 一种私有协议漏洞检测方法及系统 |
CN117610027B (zh) * | 2024-01-23 | 2024-03-29 | 上海齐同信息科技有限公司 | 一种私有协议漏洞检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111988285B (zh) | 2023-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111988285B (zh) | 一种基于行为画像的网络攻击溯源方法 | |
Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
Sahu et al. | Network intrusion detection system using J48 Decision Tree | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
Kumar | Parallel and distributed computing for cybersecurity | |
Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
Haddadi et al. | Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification | |
Soe et al. | Rule generation for signature based detection systems of cyber attacks in iot environments | |
Lappas et al. | Data mining techniques for (network) intrusion detection systems | |
CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
Rizvi et al. | Application of artificial intelligence to network forensics: Survey, challenges and future directions | |
Gomes et al. | Cryingjackpot: Network flows and performance counters against cryptojacking | |
Garasia et al. | HTTP botnet detection using frequent patternset mining | |
Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
Mohd et al. | Anomaly-based nids: A review of machine learning methods on malware detection | |
Liang et al. | FECC: DNS tunnel detection model based on CNN and clustering | |
Kemp et al. | An approach to application-layer DoS detection | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
Sharma et al. | Recent trend in Intrusion detection using Fuzzy-Genetic algorithm | |
Cheng et al. | A modified PointNet-based DDoS attack classification and segmentation in blockchain | |
Punitha et al. | Traffic classification in server farm using supervised learning techniques | |
Alqahtani et al. | On implementing a powerful intrusion prevention system focused on big data | |
Long et al. | Botnet Detection Based on Flow Summary and Graph Sampling with Machine Learning | |
Molcer et al. | Machine learning based network intrusion detection system for internet of things cybersecurity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 210000 No.1, Lingshan South Road, Qixia District, Nanjing City, Jiangsu Province Applicant after: THE 28TH RESEARCH INSTITUTE OF CHINA ELECTRONICS TECHNOLOGY Group Corp. Address before: 210007 No. 1 East Street, alfalfa garden, Jiangsu, Nanjing Applicant before: THE 28TH RESEARCH INSTITUTE OF CHINA ELECTRONICS TECHNOLOGY Group Corp. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |