CN113486338A - 一种网络攻击预测模型调整方法及设备 - Google Patents

一种网络攻击预测模型调整方法及设备 Download PDF

Info

Publication number
CN113486338A
CN113486338A CN202110690908.XA CN202110690908A CN113486338A CN 113486338 A CN113486338 A CN 113486338A CN 202110690908 A CN202110690908 A CN 202110690908A CN 113486338 A CN113486338 A CN 113486338A
Authority
CN
China
Prior art keywords
attack
attacked
event
lstm
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110690908.XA
Other languages
English (en)
Inventor
金兆岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202110690908.XA priority Critical patent/CN113486338A/zh
Publication of CN113486338A publication Critical patent/CN113486338A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种网络攻击预测模型调整方法及设备。该方法包括,基于安全事件日志生成各被攻击设备的被攻击事件序列;使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间;将所有被攻击事件序列在多维向量空间内的点进行聚类,得到N个簇;使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型,得到每个簇的调整后LSTM模型
Figure DDA0003126135780000011
其中(1≤i≤M),以使网络防攻击设备基于每个簇的调整后LSTM模型,对网络中实时攻击序列的后续攻击事件进行预测。

Description

一种网络攻击预测模型调整方法及设备
技术领域
本申请涉及通信技术,一种网络攻击预测模型调整方法及设备。
背景技术
在互联网环境下,Web服务器、VPN(Virtual Private Network,虚拟专用网络)服务器、邮件服务器等互联网业务服务器都是黑客攻击的重点目标。企业往往采用防火墙、IDS(Intrusion Detection System,入侵检测系统)、WAF(Web Application Firewall,Web应用防护系统)等网络安全设备对互联网业务服务器进行防护,并记录发生在各个业务服务器上的网络攻击行为。
随着网络技术的发展,网络攻击发生的频率越来越高,造成的危害也越来越大。网络攻击的及时检测与快速响应虽然能缓解网络攻击造成的危害,但是却不能避免或者消除这种危害。如果能在网络攻击发生前进行准确的预测,并实施有效的防御措施,可以最大程度地降低网络攻击造成的危害。
建立防攻击预测模型预测网络内可能发生的攻击,可以有助提前实施有效网络安全防御措施。然而,攻击者的网络攻击具有针对性,会对不同类型的主机采用不同模式的网络攻击,如果采用一种防攻击预测模型预测不同类型网络设备的网络攻击这会导致网络攻击预测的准确性降低。
发明内容
本申请的目的在于提供一种网络攻击预测模型调整方法及设备,将基于所有被攻击设备的攻击事件训练的网络攻击预测模型,按照被攻击设备类型被调整为多个预测模型,使网络防攻击设备根据每个预测模型不同类型的被攻击设备进行网络攻击预测。
为实现上述目的,本申请提供给了一种网络攻击预测模型调整方法,该方法包括,基于安全事件日志生成每个被攻击设备的被攻击事件序列;使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间;将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇;使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型,得到每个簇的调整后LSTM模型LSTM(W1
Figure BDA0003126135760000021
),其中(1≤i≤N),以使网络防攻击设备基于每个簇的调整后LSTM模型,对网络中出现的实时攻击序列的后续攻击事件进行预测。
为实现上述发明目的,本申请还提供了一种网络攻击预测模型调整设备,设备包括处理器以及存储器;存储器用于存储处理器可执行指令;其中,处理器通过运行存储器中的处理器可执行指令用以执行以下操作,基于安全事件日志生成每个被攻击设备的被攻击事件序列;使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间;将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇;使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型,得到每个簇的调整后LSTM模型LSTM(W1
Figure BDA0003126135760000022
),其中(1≤i≤N),以使网络防攻击设备基于每个簇的调整后LSTM模型,对网络中出现的实时攻击序列的后续攻击事件进行预测。
本申请的有益效果在于,为不同类型的设备建立不同的网络攻击预测模型,提高了网络攻击预测模型的精细度,使得网络防攻击设备根据调整后的不同类型设备的网络攻击预测模型进行网络攻击预测,提高了网络防攻击设备预测网络攻击的准确性。
附图说明
图1为本申请提供的网络攻击预测模型调整方法实施例的流程图;
图2为本申请提供的网络防攻击实施例的流程图;
图3为本申请提供的网络攻击预测模型调整设备实施例的示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。
使用的术语中,术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图1中,本申请提供的网络攻击预测模型调整方法实施例的流程包括:
步骤101,基于安全事件日志生成每个被攻击设备的被攻击事件序列;
步骤102,使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);
步骤103,使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间;
步骤104,将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇;
步骤105,使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型,得到每个簇的调整后LSTM模型LSTM(W1
Figure BDA0003126135760000031
),其中(1≤i≤N)。
网络防攻击设备可以基于调整后的每个簇的LSTM模型,对网络中出现的实时攻击序列的后续攻击事件进行预测。
图1有益效果在于,为不同类型的设备建立不同的网络攻击预测模型,提高了网络攻击预测模型的精细度,使得网络防攻击设备根据调整后的不同类型设备的网络攻击预测模型进行网络攻击预测,提高了网络防攻击设备预测网络攻击的准确性。
图2为本申请提供的网络防攻击实施例的流程图;
步骤201,根据安全事件日志记录的每个攻击事件的攻击事件目的IP地址,将安全事件日志记录的所有攻击事件划分为多个组。
防火墙、IDS、WAF等网络安全设备的安全事件日志记录的攻击事件表示记录了安全事件的目的IP地址(即被攻击的设备)、攻击类型、攻击时间。
假设安全事件日志记录了:攻击事件1(目的IP1,攻击类型1,T1)、攻击时间2(目的IP1,攻击类型2,T2)、攻击事件3(目的IP1,攻击类型1,T3)、攻击事件4(目的IP2,攻击类型3,T4)、攻击事件5(目的IP1,攻击类型3,T5)、攻击事件6(目的IP3,攻击类型3,T6)、攻击事件7(目的IP2,攻击类型3,T7)…,则将上述攻击事件按照目的IP地址划分为三个组,三个组中“目的IP地址”分别是目的IP1、目的IP2、目的IP3。
步骤202,依据每个组的攻击事件包含的攻击时间对每个组中的所有攻击事件的攻击类型进行排序,生成每个被攻击设备的被攻击事件序列。
譬如,在目的IP1的分组中,按照攻击时间排序生成攻击事件序列:(目的IP1,攻击类型1,T1),(目的IP1,攻击类型2,T2),(目的IP1,攻击类型1,T3),(目的IP1,攻击类型3,T5)。
在目的IP2的分组中,按照攻击时间排序生成攻击事件序列:(目的IP2,攻击类型3,T4),(目的IP2,攻击类型3,T7)。
在目的IP3的分组中,按照攻击时间排序生成攻击事件序列:(目的IP3,攻击类型3,T6)。
本申请通过步骤101和102举例说明被攻击事件序列生成方式,本领域技术人员可以根据上述实例对序列中元素的组织形式进行变换,譬如序列包含了目的IP地址对应的各攻击时间和攻击类型;或者,序列按照攻击时间排序后,每个元素不包含攻击时间。
步骤203,使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2)。
使用被攻击设备IP1、IP2、IP3…的被攻击事件序列集合训练得到LSTM。模型的输入为“被攻击事件序列”,输出是左移一位的相同序列,h是多维向量空间中的点(又叫隐藏层向量),W1是LSTM模型的参数,W2是全连接层的参数。对于一个被攻击设备的“被攻击事件序列”,当LSTM模型的输入为“事件k”时,当LSTM模型的输入为“事件k”时,输入和输出之间的计算公式为:hk=f(W1·[hk-1,事件k]),事件k+1=Softmax(W2·hk);k=1时,h0可以根据经验值进行设置。上述公式中函数f通常是tanh或者ReLU等非线性函数。采用梯度下降法对上述模型的参数进行训练,得到LSTM模型。
步骤204,使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间。
使用上述所得LSTM模型对每个被攻击设备的“目的IP地址”的“被攻击事件序列”进行计算,将其映射到多维向量空间中的一个点(即隐藏层向量h),于是得到(目的IP,被攻击事件序列,隐藏层向量)三元组。
步骤205,将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,对多维向量空间内的点进行K-means聚类,得到K个簇。
在实际网络中,遭受网络攻击的主机设备属于不同的类型,例如Web服务器、VPN服务器、邮件服务器等。此外,即使是同一种服务器,也可能是不同的操作系统,不同的应用服务软件,不同的版本,等等。攻击者对不同类型的主机进行攻击时往往采用不同的攻击模式。
本申请基于攻击者的攻击模式将不同类型的设备区分开,从而为每一种类型的主机设备建立一个攻击模型。
本申请,使用K-means聚类算法对上述所得的多维向量空间中的所有点进行聚类,得到K个簇,每个簇i(1≤i≤K)对应的质心为Ci,逐个计算每个被攻击事件序列在多维向量空间内的点与K个质心的距离,选择每个被攻击事件序列在多维向量空间内的点的最短距离的质心及其所属的簇,将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类。
于是,每个“目的IP”对应的被攻击事件序列”,“隐藏层向量”和所属的“簇”,记为(目的IP,被攻击事件序列,隐藏层向量,簇)。
步骤206,使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型,得到每个簇的调整后新的LSTM模型LSTM(W1
Figure BDA0003126135760000061
),其中(1≤i≤N)。
对于每个簇i(1≤i≤N),使用该簇中包含的所有“被攻击事件序列”对步骤203中训练得到的LSTM模型进行微调。在微调中,参数W1保持不变,调整参数W2的取值。以簇1为例,将该簇1中包含的所有“被攻击事件序列”作为训练数据,输入到原LSTM(W1,W2)模型,调整参数W2,得到LSTM(W1
Figure BDA0003126135760000062
),其中(1≤i≤N)。簇1为例,将该簇1中包含的所有“被攻击事件序列”作为训练数据,输入到原LSTM(W1,W2)模型,调整参数W2,得到LSTM(W1
Figure BDA0003126135760000063
),其中(1≤i≤N)。
通过上述步骤201至步骤206,利用安全设备的攻击行为日志将一个网络攻击预测模型调整调整为每种类型设备对应于一个网络攻击预测模型,实现更加精细的网络攻击预测模型。
步骤207,使用K个新的LSTM模型进行攻击预测
将k个新得LSTM模型提供给网络防攻击设备,网络防攻击设备根据调每个新的LSTM模型,对网络中出现的实时攻击序列的后续攻击事件进行预测。网络防攻击设备预测网络攻击大致流程是:对实时攻击事件序列采用LSTM(W1,W2)进行量化。判断量化后的点属于哪个簇,例如在k-means中计算该点与每个簇的质心距离,对比取距离短的簇,采用该簇对应的LSTM(W1
Figure BDA0003126135760000064
)对该序列的后续攻击进行预测。
图3为本申请提供的网络攻击预测模型调整设备实施例的示意图。该设备30包括处理器31以及存储器32。存储器用于存储处理器可执行指令;其中,处理器通过运行存储器中的处理器可执行指令用以执行以下操作,基于安全事件日志生成每个被攻击设备的被攻击事件序列;使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间;将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇;使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型,得到每个簇的调整后LSTM模型LSTM(W1
Figure BDA0003126135760000071
),其中(1≤i≤N),以使网络防攻击设备基于每个簇的调整后LSTM模型对网络中出现的实时攻击序列的后续攻击事件进行预测。
处理器31通过运行存储器32中的指令执行基于安全事件日志生成每个被攻击设备的被攻击事件序列包括以下操作,根据安全事件日志记录的每个攻击事件的攻击事件目的IP地址,将安全事件日志记录的所有攻击事件划分为多个组;其中,每个攻击事件至少包含攻击事件目的IP地址、攻击类型、攻击时间;依据每个组的攻击事件包含的攻击时间对每个组中的所有攻击事件的攻击类型进行排序。
聚类算法包括K-means聚类算法、层次聚类法,密度聚类法。
聚类算法为K-means聚类算法;处理器31通过运行存储器32中的指令执行将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇包括执行以下操作,逐个计算每个被攻击事件序列在多维向量空间内的点与K个质心的距离,选择每个被攻击事件序列在多维向量空间内的点的最短距离的质心及其所属的簇;将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到K个簇。
处理器31通过运行存储器32中的指令执行使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型进行微调包括以下操作,将每个簇中每个点对应的被攻击事件序列作为训练数据输入到LSTM模型的LSTM(W1,W2);其中,LSTM模型的LSTM(W1,W2)的LSTM模型参数W1不变;调整全连接层的参数W2,得到每个簇的调整后LSTM模型LSTM(W1
Figure BDA0003126135760000072
),其中(1≤i≤K)。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种网络攻击预测模型调整方法,其特征在于,所述方法包括,
基于安全事件日志生成每个被攻击设备的被攻击事件序列;
使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);
使用所述训练得到的模型将所有所述被攻击事件序列嵌入到多维向量空间;
将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇;
使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型,得到每个簇的调整后LSTM模型LSTM
Figure FDA0003126135750000011
其中(1≤i≤N),以使网络防攻击设备基于每个所述簇的调整后LSTM模型,对网络中出现的实时攻击序列的后续攻击事件进行预测。
2.根据权利要求1所述的方法,其特征在于,所述基于安全事件日志生成每个被攻击设备的被攻击事件序列包括,
根据所述安全事件日志记录的每个攻击事件的攻击事件目的IP地址,将所述安全事件日志记录的所有攻击事件划分为多个组;其中,每个攻击事件至少包含攻击事件目的IP地址、攻击类型、攻击时间;
依据每个组的攻击事件包含的攻击时间对每个组中的所有攻击事件的攻击类型进行排序。
3.根据权利要求1所述的方法,其特征在于,所述聚类算法包括K-means聚类算法、层次聚类法,密度聚类法。
4.根据权利要求3所述的方法,其特征在于,使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型进行微调包括,
将每个所述簇中每个点对应的被攻击事件序列作为训练数据输入到所述LSTM模型的LSTM(W1,W2);其中,所述LSTM模型的LSTM(W1,W2)的LSTM模型参数W1不变;
调整全连接层的参数W2,得到每个所述簇的调整后LSTM模型LSTM
Figure FDA0003126135750000021
其中(1≤i≤N)。
5.根据权利要求3所述的方法,其特征在于,所述聚类算法为K-means聚类算法,所述将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇包括,
逐个计算每个被攻击事件序列在多维向量空间内的点与K个质心的距离,选择每个被攻击事件序列在多维向量空间内的点的最短距离的质心及其所属的簇,
将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到K个簇。
6.一种网络攻击预测模型调整设备,其特征在于,所述设备包括处理器以及存储器;所述存储器用于存储处理器可执行指令;其中,所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作,
基于安全事件日志生成每个被攻击设备的被攻击事件序列;
使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W1,W2);
使用所述训练得到的模型将所有所述被攻击事件序列嵌入到多维向量空间;
将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇;
使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型,得到每个簇的调整后LSTM模型LSTM
Figure FDA0003126135750000022
其中(1≤i≤N),以使网络防攻击设备基于每个所述簇的调整后LSTM模型,对网络中出现的实时攻击序列的后续攻击事件进行预测。
7.根据权利要求6所述的设备,其特征在于,所述处理器通过运行所述存储器中的指令执行所述基于安全事件日志生成每个被攻击设备的被攻击事件序列包括以下操作,
根据所述安全事件日志记录的每个攻击事件的攻击事件目的IP地址,将所述安全事件日志记录的所有攻击事件划分为多个组;其中,每个攻击事件至少包含攻击事件目的IP地址、攻击类型、攻击时间;
依据每个组的攻击事件包含的攻击时间对每个组中的所有攻击事件的攻击类型进行排序。
8.根据权利要求6所述的设备,其特征在于,所述聚类算法包括K-means聚类算法、层次聚类法,密度聚类法。
9.根据权利要求8所述的设备,其特征在于,所述处理器通过运行所述存储器中的指令执行使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型包括以下操作,
将每个所述簇中每个点对应的被攻击事件序列作为训练数据输入到所述LSTM模型的LSTM(W1,W2);其中,所述LSTM模型的LSTM(W1,W2)的LSTM模型参数W1不变;
调整全连接层的参数W2,得到每个所述簇的调整后LSTM模型LSTM
Figure FDA0003126135750000031
其中(1≤i≤N)。
10.根据权利要求8所述的设备,其特征在于,所述聚类算法为K-means聚类算法;所述处理器通过运行所述存储器中的指令执行所述将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到N个簇包括执行以下操作,
逐个计算每个被攻击事件序列在多维向量空间内的点与K个质心的距离,选择每个被攻击事件序列在多维向量空间内的点的最短距离的质心及其所属的簇;
将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类,得到K个簇。
CN202110690908.XA 2021-06-22 2021-06-22 一种网络攻击预测模型调整方法及设备 Pending CN113486338A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110690908.XA CN113486338A (zh) 2021-06-22 2021-06-22 一种网络攻击预测模型调整方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110690908.XA CN113486338A (zh) 2021-06-22 2021-06-22 一种网络攻击预测模型调整方法及设备

Publications (1)

Publication Number Publication Date
CN113486338A true CN113486338A (zh) 2021-10-08

Family

ID=77935739

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110690908.XA Pending CN113486338A (zh) 2021-06-22 2021-06-22 一种网络攻击预测模型调整方法及设备

Country Status (1)

Country Link
CN (1) CN113486338A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115766258A (zh) * 2022-11-23 2023-03-07 西安电子科技大学 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115766258A (zh) * 2022-11-23 2023-03-07 西安电子科技大学 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质
CN115766258B (zh) * 2022-11-23 2024-02-09 西安电子科技大学 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质

Similar Documents

Publication Publication Date Title
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
EP3487144A1 (en) Malicious domain scoping recommendation system
US20170257339A1 (en) Logical / physical address state lifecycle management
Nadeem et al. Intercept the cloud network from brute force and DDoS attacks via intrusion detection and prevention system
JP3448254B2 (ja) アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
Chen et al. A model-based validated autonomic approach to self-protect computing systems
Mcdaniel et al. Enterprise Security: A Community of Interest Based Approach.
US8566936B2 (en) Multi dimensional attack decision system and method thereof
US12081569B2 (en) Graph-based analysis of security incidents
Charlier et al. SynGAN: Towards generating synthetic network attacks using GANs
CN106302450A (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
CN112422513B (zh) 一种基于网络流量报文的异常检测和攻击发起者分析系统
CN113486338A (zh) 一种网络攻击预测模型调整方法及设备
Eldos et al. On the KDD'99 Dataset: Statistical Analysis for Feature Selection
Bahrololum et al. Anomaly intrusion detection system using Gaussian mixture model
Cui et al. CBSeq: A Channel-level Behavior Sequence For Encrypted Malware Traffic Detection
KR100656348B1 (ko) 토큰 버켓을 이용한 대역폭 제어 방법 및 대역폭 제어 장치
Dayanandam et al. Regression algorithms for efficient detection and prediction of DDoS attacks
CN112968891B (zh) 网络攻击防御方法、装置及计算机可读存储介质
Chejara et al. Vulnerability analysis in attack graphs using conditional probability
Kim et al. Adaptive pattern mining model for early detection of botnet‐propagation scale
Green et al. Analysis of active intrusion prevention data for predicting hostile activity in computer networks
Lan et al. A Quantitative Logarithmic Transformation-Based Intrusion Detection System
Dong et al. Bedim: lateral movement detection in enterprise network through behavior deviation measurement
CN116074022A (zh) 基于过程管控和人工智能的自动识别横向移动的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination