CN113868656A - 一种基于行为模式的apt事件同源判定方法 - Google Patents

一种基于行为模式的apt事件同源判定方法 Download PDF

Info

Publication number
CN113868656A
CN113868656A CN202111164966.5A CN202111164966A CN113868656A CN 113868656 A CN113868656 A CN 113868656A CN 202111164966 A CN202111164966 A CN 202111164966A CN 113868656 A CN113868656 A CN 113868656A
Authority
CN
China
Prior art keywords
apt
event
attack
apt event
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111164966.5A
Other languages
English (en)
Other versions
CN113868656B (zh
Inventor
任传伦
郭世泽
王玥
刘晓影
乌吉斯古愣
俞赛赛
刘文瀚
谭震
王淮
张先国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cetc Cyberspace Security Research Institute Co ltd
CETC 15 Research Institute
CETC 30 Research Institute
Original Assignee
Cetc Cyberspace Security Research Institute Co ltd
CETC 15 Research Institute
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cetc Cyberspace Security Research Institute Co ltd, CETC 15 Research Institute, CETC 30 Research Institute filed Critical Cetc Cyberspace Security Research Institute Co ltd
Priority to CN202111164966.5A priority Critical patent/CN113868656B/zh
Publication of CN113868656A publication Critical patent/CN113868656A/zh
Application granted granted Critical
Publication of CN113868656B publication Critical patent/CN113868656B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/288Entity relationship models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computational Linguistics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于行为模式的APT事件同源判定方法,其步骤包括:构建基于行为模式的APT事件关联图;对APT事件关联图进行节点属性扩展;对APT事件关联图中的节点进行属性标注;对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签;对APT事件关联图进行相似性判别;对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。本发明方法解决了现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题。

Description

一种基于行为模式的APT事件同源判定方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于行为模式的APT事件同源判定方法。
背景技术
近年来,随着网络空间主权博弈的日益加剧,以高级持续性威胁(AdvancedPersistent Threat,APT)为代表的网络攻击行为日益盛行,成为最严重的网络空间安全威胁之一,各国均将APT防御提升到国家安全角度。
APT事件同源分析是APT防御中溯源分析的重要分支,其主要内涵是根据不同的APT攻击事件的攻击手法、攻击工具、攻击载荷等判定多个攻击事件是否存在相似性,是否为同一组织或黑客发动的APT攻击。目前,针对APT攻击事件的同源性分析主要基于恶意样本动静态行为分析,根据代码结构特征、回传行为、编程语言风格等判断攻击来源,但是恶意样本作为攻击工具的一种,其分析结果较为片面,再加上攻击工具或攻击武器的公开化,单纯利用恶意样本分析很难追溯到真正的攻击者。APT事件同源分析的另一种常用方法是人工研判,即根据攻击事件的攻击路径、攻击手法、攻击载荷等构建攻击证据链模型,结合领域专家知识判定攻击事件是否具有相似性,该方法虽然同源判定的可信度较高,但是其实现效率较为低下,事件同源判断的可信度局限于专家知识。
发明内容
针对现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题,本发明公开了一种基于行为模式的APT事件同源判定方法。该方法结合杀伤链模型的攻击链阶段和ATT&CK模型中丰富的攻击技战术知识库归纳总结攻击行为模式,然后根据APT事理图谱建立基于行为模式的APT事件关联图,利用事件关联图的相似性判别解决APT事件的同源判定问题。
本发明公开了一种基于行为模式的APT事件同源判定方法,其步骤包括:
S1,构建基于行为模式的APT事件关联图;
从多渠道获得的非结构化数据中抽取APT事件线索信息,从杀伤链模型提取APT事件的攻击链数据,从ATT&CK模型中的攻击技战术知识中提取本次APT事件的技战术信息,将攻击线索和攻击技战术抽象为APT事件行为模式实体,APT攻击技术手段抽象为行为模式实体属性,以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系,依据杀伤链模型的攻击链条步骤或ATT&CK模型中的攻击战术知识,利用实体抽取和关系识别方法,构建基于行为模式的APT事件关联图。多渠道包括公开网页、移动终端、公开的技术文章等。杀伤链模型包括攻击链条步骤;APT事件关联图包括APT事件关联图节点和连接边,APT事件行为模式实体为APT事件关联图节点,实体间关系为连接边;
S2,对APT事件关联图进行节点属性扩展;
利用APT事件关联图中事件的属性、行为和组织之间的关系,作为当前具体APT事件的有效知识补充,通过事件属性匹配、行为模式扩展、攻击线索拓线等手段,对APT事件关联图进行节点属性扩展;
所述的事件属性匹配,是根据APT事理图谱中APT事件节点的属性信息,作为APT事件行为模式实体节点的新增属性信息,从而增加APT事件关联图中对应节点的属性信息;APT事理图谱是包含APT事件基本属性、组织关系数据、APT事件行为特征、攻击行为关联关系在内的资源的合集,用于描述APT事件、属性、行为和组织之间的关系;
所述的行为模式扩展,是根据APT事理图谱中事件的属性和攻击行为之间的关系,对APT事件的攻击行为模式之间关系进行扩充;
所述的攻击线索拓线,是根据外部情报数据和APT事理图谱中事件的属性信息及攻击行为之间的关系,利用关联分析方法,对APT事件的攻击线索进行关联和拓展,得到包括IP地址、域名、账号、样本等在内的攻击线索和攻击线索之间的关联关系。
S3,对APT事件关联图中的节点进行属性标注;
对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签,如APT事件使用的跳板IP、隐蔽通道、虚拟身份账号、攻击工具等。行为标签或线索标签;
S4,对APT事件关联图进行相似性判别;
对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。
所述的步骤S4,其具体包括,
步骤S41,所述的两个APT事件关联图,其数据分别为图数据G和图数据H,以事件关联图的行为模式实体为中心节点,对图数据G和H分别进行子图分解,分别分解为多个子图{g1,g2,...,gi,...,gn}和{h1,h2,...,hi,...,hn},n表示表示分解得到的子图的数量,gi表示图数据G中的第i个子图,hi表示图数据H中的第i个子图;
步骤S42,根据步骤S3得到节点的属性标注结果,利用子图相似性度量函数,对不同子图结构进行相似性度量,子图g和子图h的子图相似性度量函数的计算公式为:
Figure BDA0003291389220000031
其中δ(g,h)表示子图g和子图h的子图相似性度量函数,Lij表示子图中节点Vi到节点Vj的最短路径,最短路径上包含节点属性的标签,M(k)表示子图中路径长度小于k的最短标签路径的集合,
Figure BDA0003291389220000032
是用于表示子图g中是否包含某一最短标签路径的变量,
Figure BDA0003291389220000033
是用于表示子图h中是否包含某一最短标签路径的变量,该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量,作为衡量两个图结构之间的相似性的标准。
步骤S43,计算两个图数据G和H之间的图核函数值,图核函数的表达式为:
Figure BDA0003291389220000041
其中,
Figure BDA0003291389220000042
k(G,H)表示两个图数据G和H之间的图核函数值,即为两个APT事件之间的同源性判定结果值。
本发明的有益效果为:
本发明方法充分比较了两个图结构数据的拓扑结构信息和节点属性信息,具有较好的分类效果,解决了现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题,为APT防御提升技术能力的提升提供了坚实基础。
附图说明
图1为本发明中的基于行为模式的APT事件关联图;
图2为本发明的实施流程示意图;
图3为本发明的攻击线索和行为模式示意图;
图4为本发明的APT事件同源性判别流程。
具体实施方式
为了更好的了解本发明内容,这里给出一个实施例。
图1为本发明中的基于行为模式的APT事件关联图;图2为本发明的实施流程示意图;图3为本发明的攻击线索和行为模式示意图;图4为本发明的APT事件同源性判别流程。
本发明公开了一种基于行为模式的APT事件同源判定方法,其步骤包括:
S1,构建基于行为模式的APT事件关联图;
从多渠道获得的非结构化数据中抽取APT事件线索信息,从杀伤链模型提取APT事件的攻击链数据,从ATT&CK模型中的攻击技战术知识中提取本次APT事件的技战术信息,将攻击线索和攻击技战术抽象为APT事件行为模式实体,APT攻击技术手段抽象为行为模式实体属性,以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系,依据杀伤链模型的攻击链条步骤或ATT&CK模型中的攻击战术知识,利用实体抽取和关系识别方法,构建基于行为模式的APT事件关联图。多渠道包括公开网页、移动终端、公开的技术文章等。杀伤链模型包括攻击链条步骤;APT事件关联图包括APT事件关联图节点和连接边,APT事件行为模式实体为APT事件关联图节点,实体间关系为连接边;
S2,对APT事件关联图进行节点属性扩展;
利用APT事件关联图中事件的属性、行为和组织之间的关系,作为当前具体APT事件的有效知识补充,通过事件属性匹配、行为模式扩展、攻击线索拓线等手段,对APT事件关联图进行节点属性扩展;
所述的事件属性匹配,是根据APT事理图谱中APT事件节点的属性信息,作为APT事件行为模式实体节点的新增属性信息,从而增加APT事件关联图中对应节点的属性信息,作为APT攻击行为模式属性的有效扩充;APT事理图谱能够从公开渠道获得;APT事理图谱是包含APT事件基本属性、组织关系数据、APT事件行为特征、攻击行为关联关系在内的资源的合集,用于描述APT事件、属性、行为和组织之间的关系;
所述的行为模式扩展,是根据APT事理图谱中事件的属性和攻击行为之间的关系,对APT事件的攻击行为模式之间关系进行扩充;
所述的攻击线索拓线,是根据外部情报数据和APT事理图谱中事件的属性信息及攻击行为之间的关系,利用关联分析方法,对APT事件的攻击线索进行关联和拓展,得到包括IP地址、域名、账号、样本等在内的攻击线索和攻击线索之间的关联关系,进一步丰富APT关联图的实体和实体间关系。
S3,对APT事件关联图中的节点进行属性标注;
考虑到APT事件关联图中节点属性的差异性,避免在APT事件关联图相似性判别时将结构相似,属性不同的两个图认定为同一个图,需对APT事件关联图的节点属性进行标注。对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签,如APT事件使用的跳板IP、隐蔽通道、虚拟身份账号、攻击工具等。
S4,对APT事件关联图进行相似性判别;
对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。
所述的步骤S4,其具体包括,
步骤S41,所述的两个APT事件关联图,其数据分别为图数据G和图数据H,以事件关联图的行为模式实体为中心节点,对图数据G和H分别进行子图分解,分别分解为多个子图{g1,g2,...,gi,...,gn}和{h1,h2,...,hi,...,hn},n表示表示分解得到的子图的数量,gi表示图数据G中的第i个子图,hi表示图数据H中的第i个子图;
步骤S42,根据步骤S3得到节点的属性标注结果,利用子图相似性度量函数,对不同子图结构进行相似性度量,子图g和子图h的子图相似性度量函数的计算公式为:
Figure BDA0003291389220000061
其中δ(g,h)表示子图g和子图h的子图相似性度量函数,Lij表示子图中节点Vi到节点Vj的最短路径,最短路径上包含节点属性的标签,M(k)表示子图中路径长度小于k的最短标签路径的集合,
Figure BDA0003291389220000062
是用于表示子图g中是否包含某一最短标签路径的变量,
Figure BDA0003291389220000063
是用于表示子图h中是否包含某一最短标签路径的变量,该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量,作为衡量两个图结构之间的相似性的标准。
步骤S43,计算两个图数据G和H之间的图核函数值,图核函数的表达式为:
Figure BDA0003291389220000071
其中,
Figure BDA0003291389220000072
k(G,H)表示两个图数据G和H之间的图核函数值,即为两个APT事件之间的同源性判定结果值。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (8)

1.一种基于行为模式的APT事件同源判定方法,其特征在于,其步骤包括:
S1,构建基于行为模式的APT事件关联图;
S2,对APT事件关联图进行节点属性扩展;
S3,对APT事件关联图中的节点进行属性标注;
对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签;
S4,对APT事件关联图进行相似性判别;
对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。
2.如权利要求1所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的步骤S1,其具体包括,从多渠道获得的非结构化数据中抽取APT事件线索信息,从杀伤链模型提取APT事件的攻击链数据,从ATT&CK模型中的攻击技战术知识中提取本次APT事件的技战术信息,将攻击线索和攻击技战术抽象为APT事件行为模式实体,APT攻击技术手段抽象为行为模式实体属性,以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系,依据杀伤链模型的攻击链条步骤或ATT&CK模型中的攻击战术知识,利用实体抽取和关系识别方法,构建基于行为模式的APT事件关联图。
3.如权利要求2所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的多渠道包括公开网页、移动终端、公开的技术文章。
4.如权利要求2所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的杀伤链模型包括攻击链条步骤。
5.如权利要求2所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的APT事件关联图包括APT事件关联图节点和连接边,APT事件行为模式实体为APT事件关联图节点,实体间关系为连接边。
6.如权利要求2所述的基于行为模式的APT事件同源判定方法,其特征在于,
所述的步骤S2,其具体包括,利用APT事件关联图中事件的属性、行为和组织之间的关系,作为当前具体APT事件的有效知识补充,通过事件属性匹配、行为模式扩展、攻击线索拓线手段,对APT事件关联图进行节点属性扩展;
所述的事件属性匹配,是根据APT事理图谱中APT事件节点的属性信息,作为APT事件行为模式实体节点的新增属性信息,从而增加APT事件关联图中对应节点的属性信息;
所述的行为模式扩展,是根据APT事理图谱中事件的属性和攻击行为之间的关系,对APT事件的攻击行为模式之间关系进行扩充;
所述的攻击线索拓线,是根据外部情报数据和APT事理图谱中事件的属性信息及攻击行为之间的关系,利用关联分析方法,对APT事件的攻击线索进行关联和拓展,得到包括IP地址、域名、账号、样本在内的攻击线索和攻击线索之间的关联关系。
7.如权利要求6所述的基于行为模式的APT事件同源判定方法,其特征在于,
APT事理图谱是包含APT事件基本属性、组织关系数据、APT事件行为特征、攻击行为关联关系在内的资源的合集,用于描述APT事件、属性、行为和组织之间的关系。
8.如权利要求1所述的基于行为模式的APT事件同源判定方法,其特征在于,
所述的步骤S4,其具体包括,
步骤S41,所述的两个APT事件关联图,其数据分别为图数据G和图数据H,以事件关联图的行为模式实体为中心节点,对图数据G和H分别进行子图分解,分别分解为多个子图{g1,g2,...,gi,...,gn}和{h1,h2,...,hi,...,hn},n表示表示分解得到的子图的数量,gi表示图数据G中的第i个子图,hi表示图数据H中的第i个子图;
步骤S42,根据步骤S3得到节点的属性标注结果,利用子图相似性度量函数,对不同子图结构进行相似性度量,子图g和子图h的子图相似性度量函数的计算公式为:
Figure FDA0003291389210000031
其中δ(g,h)表示子图g和子图h的子图相似性度量函数,Lij表示子图中节点Vi到节点Vj的最短路径,最短路径上包含节点属性的标签,M(k)表示子图中路径长度小于k的最短标签路径的集合,
Figure FDA0003291389210000032
Figure FDA0003291389210000033
是用于表示子图g中是否包含某一最短标签路径的变量,
Figure FDA0003291389210000034
是用于表示子图h中是否包含某一最短标签路径的变量,该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量,作为衡量两个图结构之间的相似性的标准;
步骤S43,计算两个图数据G和H之间的图核函数值,图核函数的表达式为:
Figure FDA0003291389210000035
其中,
Figure FDA0003291389210000036
k(G,H)表示两个图数据G和H之间的图核函数值,即为两个APT事件之间的同源性判定结果值。
CN202111164966.5A 2021-09-30 2021-09-30 一种基于行为模式的apt事件同源判定方法 Active CN113868656B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111164966.5A CN113868656B (zh) 2021-09-30 2021-09-30 一种基于行为模式的apt事件同源判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111164966.5A CN113868656B (zh) 2021-09-30 2021-09-30 一种基于行为模式的apt事件同源判定方法

Publications (2)

Publication Number Publication Date
CN113868656A true CN113868656A (zh) 2021-12-31
CN113868656B CN113868656B (zh) 2022-05-13

Family

ID=79001565

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111164966.5A Active CN113868656B (zh) 2021-09-30 2021-09-30 一种基于行为模式的apt事件同源判定方法

Country Status (1)

Country Link
CN (1) CN113868656B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114154019A (zh) * 2022-02-10 2022-03-08 奇安信科技集团股份有限公司 一种拓线分析方法、装置、电子设备及存储介质
CN115001868A (zh) * 2022-08-01 2022-09-02 北京微步在线科技有限公司 Apt攻击同源分析方法、装置、电子设备及存储介质
CN115801400A (zh) * 2022-11-14 2023-03-14 北京天融信网络安全技术有限公司 一种自动渗透方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721416A (zh) * 2015-11-16 2016-06-29 哈尔滨安天科技股份有限公司 一种apt事件攻击组织同源性分析方法及装置
US20160205122A1 (en) * 2013-04-10 2016-07-14 Gabriel Bassett System and Method for Cyber Security Analysis and Human Behavior Prediction
US20210112092A1 (en) * 2017-03-27 2021-04-15 New H3C Technologies Co., Ltd. Preventing advanced persistent threat attack

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160205122A1 (en) * 2013-04-10 2016-07-14 Gabriel Bassett System and Method for Cyber Security Analysis and Human Behavior Prediction
CN105721416A (zh) * 2015-11-16 2016-06-29 哈尔滨安天科技股份有限公司 一种apt事件攻击组织同源性分析方法及装置
US20210112092A1 (en) * 2017-03-27 2021-04-15 New H3C Technologies Co., Ltd. Preventing advanced persistent threat attack

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114154019A (zh) * 2022-02-10 2022-03-08 奇安信科技集团股份有限公司 一种拓线分析方法、装置、电子设备及存储介质
CN114154019B (zh) * 2022-02-10 2022-04-12 奇安信科技集团股份有限公司 一种拓线分析方法、装置、电子设备及存储介质
CN115001868A (zh) * 2022-08-01 2022-09-02 北京微步在线科技有限公司 Apt攻击同源分析方法、装置、电子设备及存储介质
CN115001868B (zh) * 2022-08-01 2022-10-11 北京微步在线科技有限公司 Apt攻击同源分析方法、装置、电子设备及存储介质
CN115801400A (zh) * 2022-11-14 2023-03-14 北京天融信网络安全技术有限公司 一种自动渗透方法及装置

Also Published As

Publication number Publication date
CN113868656B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
CN113868656B (zh) 一种基于行为模式的apt事件同源判定方法
CN111030986B (zh) 一种攻击组织溯源分析的方法、装置及存储介质
Giatsoglou et al. Retweeting activity on twitter: Signs of deception
CN107566390B (zh) 一种基于威胁情报的工业控制系统网络安全性分析系统及方法
CN110691080B (zh) 自动溯源方法、装置、设备及介质
CN114238958B (zh) 一种基于溯源聚类及图序列化的入侵检测方法及系统
CN106503558A (zh) 一种基于社团结构分析的Android恶意代码检测方法
CN104348652A (zh) 基于关联分析的系统安全评估方法和装置
CN113496033B (zh) 访问行为识别方法和装置及存储介质
CN112115183B (zh) 一种基于图的蜜罐系统威胁情报分析方法
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN105045715A (zh) 基于编程模式和模式匹配的漏洞聚类方法
CN110493235A (zh) 一种基于网络流量特征的移动终端恶意软件同步检测方法
CN108073808B (zh) 基于pdb调试信息生成攻击者画像的方法及系统
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN116319065A (zh) 一种应用于商业运维的威胁态势分析方法和系统
CN109783696B (zh) 一种面向弱结构相关性的多模式图索引构建方法及系统
CN109067778B (zh) 一种基于蜜网数据的工控扫描器指纹识别方法
CN112287339A (zh) Apt入侵检测方法、装置以及计算机设备
CN114662096A (zh) 一种基于图核聚类的威胁狩猎方法
CN103166942B (zh) 一种恶意代码的网络协议解析方法
CN114297632A (zh) 主机失陷检测方法、装置、电子设备及存储介质
CN111885011B (zh) 一种业务数据网络安全分析挖掘的方法及系统
CN112968870A (zh) 一种基于频繁项集的网络团伙发现方法
CN116938587A (zh) 基于溯源图行为语义提取的威胁检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant