CN114389857A - 基于核心攻击资源的网络攻击团伙融合方法 - Google Patents
基于核心攻击资源的网络攻击团伙融合方法 Download PDFInfo
- Publication number
- CN114389857A CN114389857A CN202111597781.3A CN202111597781A CN114389857A CN 114389857 A CN114389857 A CN 114389857A CN 202111597781 A CN202111597781 A CN 202111597781A CN 114389857 A CN114389857 A CN 114389857A
- Authority
- CN
- China
- Prior art keywords
- group
- attack
- resources
- groups
- fusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007500 overflow downdraw method Methods 0.000 title claims abstract description 17
- 230000004927 fusion Effects 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 20
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 abstract description 31
- 238000007418 data mining Methods 0.000 abstract description 8
- 230000000750 progressive effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 8
- 241000287828 Gallus gallus Species 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 230000006854 communication Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000007499 fusion processing Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明是有关于一种基于核心攻击资源的网络攻击团伙融合方法,其基于核心攻击资源的相似程度来进行关联,基于安全知识定义关联分组以及计算基于关联分组的团伙间的相似度。针对N类拥有不同行为的团伙进行融合,本发明采用的是递进式的融合方式,先对两类网络攻击团伙进行融合,两类网络攻击团伙融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。本发明有效的解决常规数据挖掘方法团伙发现不全面的问题,使其能挖掘出团伙所拥有的更多攻击资源和攻击行为,提高了网络攻击团伙发现的完整性和准确性。
Description
技术领域
本发明涉及一种网络安全技术领域,特别是涉及一种基于核心攻击资源的网络攻击团伙融合方法。
背景技术
当前,通过常规数据挖掘方法发现的网络攻击团伙通常会包含一种或多种攻击行为。例如针对僵尸网络团伙进行检测或挖掘时,通常会基于已有的通信数据利用k-means、社区发现等常规的数据挖掘的聚类方法来找到具有僵尸网络行为的团伙。例如李晓桢等人总结了僵尸网络的三要素(恶意、可控、主机群)和C&C的三种机制(集中式、P2P、随机)。首先检测网络流量中的通信过程和恶意行为,采用一种改进的k-均值聚类算法—x-均值算法对检测结果进行聚类得出僵尸主机。同样地,对于一个webshell团伙,也是会基于攻击者使用的攻击工具或者攻击动作等来找到攻击者之间的关联关系,从而通过聚类方法来挖掘webshell团伙。
而在真实的网络世界中,网络攻击行为常常以规模且分布式的呈现,这种呈现是因为攻击者通常是以团伙的方式来进行网络攻击。网络团伙攻击通常会基于一定的攻击手法,利用团伙所拥有的大规模攻击资源对攻击目标发起攻击,其中往往带有一定获取情报以及利益等目标,具有极高的威胁。当前绝大多数基于上述数据挖掘方法挖掘到的网络攻击团伙通常会包含一种或多种攻击行为。但这些攻击行为是否为该团伙的全部攻击行为,或通过其他方法发现的具有不同攻击行为的网络攻击团伙与该团伙是否存在某种关系,均无法直接得到证实。
有鉴于上述现有的技术存在的缺陷,本发明人经过不断的研究、设计,并经反复试作及改进后,终于创设出确具实用价值的本发明。
发明内容
本发明的主要目的在于,克服现有的技术存在的缺陷,而提供一种新的基于核心攻击资源的网络攻击团伙融合方法,所要解决的是基于常规数据挖掘方法团伙发现不够全面的技术问题,使其通过团伙间的融合可以有效的挖掘出团伙所拥有的更多攻击资源和攻击行为,非常适于实用。
本发明的另一目的在于,提供一种新的基于核心攻击资源的网络攻击团伙融合方法,所要解决的技术问题是使其发掘出团伙更多的攻击资源和攻击行为,提高团伙发现的完整性和准确性,从而更加适于实用。
本发明的构思是:不同类型的网络攻击团伙之间可能因为拥有相同的攻击资源而具有一定的关联性,基于这种关联性可以使得团伙之间进行融合。通过团伙间的融合可以有效的解决常规数据挖掘方法团伙发现不够全面的问题,并挖掘出团伙所拥有的更多攻击资源和攻击行为。例如,一个僵尸网络(Botnet)团伙和一个利用webshell操控网站的网站攻击团伙,分别拥有木马控制行为和利用webshell的网站攻击行为。两个团伙可能会因为拥有同样的攻击资源而具有一定的关联性。基于两团伙的这种关联性对团伙进行融合,若融合成功,则可以证明两个具有不同攻击行为的团伙本质上是一个团伙,从而发掘出团伙更多的攻击资源和攻击行为,提高团伙发现的完整性和准确性。
本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种基于核心攻击资源的网络攻击团伙融合方法,其具体步骤如下:
步骤1:获取所有团伙的核心攻击资源的相关数据,并将其作为参与关联的实体:
步骤2:对不同类型的网络攻击团伙进行编号,并对每类网络攻击团伙的核心攻击资源进行分组关联;
步骤3:分析步骤2中的多种关联分组,判断团伙之间是否关联成功;
步骤4:团伙关联成功后,统计关联实体对应的团伙资源的集合,评估基础团伙间的关联程度;
步骤5:基于步骤3和步骤4的计算结果,利用相似度算法计算团伙两两间的相似度;
步骤6:通过加权融合得到最终相似度,并基于设定阈值筛选出团伙对进行融合,得到融合结果。
进一步,所述的核心攻击资源是基于安全知识,预先定义不同类别团伙能进行关联的核心资源。
进一步,所述的统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团伙资源集合,是从对应的团伙的数据中得到的所有该关联实体组成的集合。
进一步,步骤5中所述的相似度算法使用Jaccard相似度原理对两团伙间的相似度进行计算,具体计算公式如下:
其中:A为团伙1的关联实体集合,
B为团伙2的关联实体集合。
进一步,所述的阀值是基于实际的团伙数据和安全知识来确定阈值。
进一步,还包括:当前两类网络攻击团伙的融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,其至少具有下列优点:
本发明提出的基于核心攻击资源的网络攻击团伙融合方法,能够对不同攻击行为及看似相对独立的团伙,基于核心攻击资源的关联性进行融合,可以有效的解决常规数据挖掘方法团伙发现不够全面的问题,并挖掘出团伙所拥有的更多攻击资源和攻击行为,以降低团伙攻击资源的发现成本,提高网络攻击团伙发现的完整性和准确性。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明流程框架示意图。
图2A是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组1图。
图2B是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组2图。
图2C是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组3图。
图2D是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组4图。
图3A是本发明实施例两团伙融合前为两个独立团伙示意图。
图3B是本发明实施例两团伙融合后为一个完整团伙示意图。
图4是本发明多类团伙融合过程图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的基于核心攻击资源的网络攻击团伙融合方法,其具体实施方式、方法、步骤、特征及其功效,详细说明如后。
本发明提出的基于核心攻击资源的网络攻击团伙融合方法的较佳实施例,具体步骤如下:
步骤1:获取所有团伙的核心攻击资源的相关数据,并将其作为参与关联的实体;通常情况下,一个网络攻击团伙涉及多个网络实体,这些实体包括团伙掌握的网络攻击资源及其指定的网络攻击目标。其中,由网络攻击团伙直接控制的实体为该团伙的核心攻击资源。
核心攻击资源是指网络攻击团伙直接拥有或控制的攻击资源,区别与其他的攻击资源,现实中的人类团伙成员对核心攻击资源有直接操作的权力,而非通过某些手段实施远程控制。核心攻击资源是基于安全知识,预先定义不同类别团伙能进行关联的核心资源。
例如,一个僵尸网络团伙中,C&C为其现实中的人类团伙成员直接操作的网络设备,故C&C为核心攻击资源;而“肉鸡”(被感染的主机)为其通过bot程序远程控制的网络设备,所以“肉鸡”不属于核心攻击资源,因此,一个僵尸网络团伙的核心攻击资源包含由网络攻击团伙直接掌控的控制端C&C(例如对应的IP值),以及对“肉鸡”发起网络攻击的跳板主机(Bot攻击者,例如对应的IP值)和提供“肉鸡”下载bot程序的放马服务器(例如对应的IP值)等。
一个webshell团伙的核心资源主要包含使用webshell操控网站的网络主机(webshell使用者)和利用安全漏洞将webshell植入受害主机的网络设备(webshell植入者,例如对应的IP值)。
步骤2:对不同类型的网络攻击团伙进行编号,如记为A、B、……*类,并对每类网络攻击团伙的核心攻击资源进行分组关联;
已知每类团伙所拥有的核心攻击资源,基于安全知识,预先定义不同类别团伙可以进行关联的核心资源。以一个僵尸网络团伙和一个webshell团伙为例,C&C为僵尸网络团伙所拥有的核心资源之一,webshell使用者是webshell团伙所拥有的核心资源之一,那么基于安全知识,可以将C&C和webshell使用者作为两个团伙的其中一组关联,如果C&C和webshell使用者对应的指纹信息(例如对应的IP值)相同,则说明关联成功,即该C&C既拥有控制“肉鸡”对网络目标发起攻击的行为,也拥有使用webshell操控目标主机的行为。根据不同类别团伙所拥有的不同核心资源,来定义多组可以进行关联的核心资源分组。
分组方案如下表1所示:
表1:
表1中*为通配符号,表示第n个网络攻击团伙,区别于前面的字母编号。
具体地,以一个僵尸网络团伙和一个webshell团伙为例,两个网络攻击团伙的核心攻击资源的关联分组如下表2所示。
表2
步骤3:分析步骤2中的多种关联分组,判断团伙之间是否关联成功;具体地,以一个僵尸网络团伙和一个webshell团伙为例,两个网络攻击团伙的核心攻击资源的关联分组的关联关系如图2A、图2B、图2C和图2D所示:其中,
图中2A中部分对应的关联分组1中的两侧实体有箭头连接,则意味着僵尸网络团伙存在Bot攻击者和webshell团伙中的webshell植入者的指纹信息相同。也就是说,僵尸网络团伙中Bot攻击者可能还具有对某一网站植入webshell的行为。
图中2B中部分对应的关联分组2中的两侧实体有箭头连接,则意味着僵尸网络团伙的Bot攻击者和webshell的使用者的指纹信息相同。也就是说,僵尸网络团伙中Bot攻击者可能同时具有使用webshell操控受害主机网站的行为。
图2C中部分对应的关联分组3中的两侧实体有箭头连接,则意味着僵尸网络团伙的C&C和webshell团伙中webshell植入者的指纹信息相同。也就是说僵尸网络团伙中C&C不仅对“肉鸡”存在攻击行为,且在webshell团伙中有利用漏洞向网站植入webshell的行为。
图中2D中部分对应的关联分组4中的两侧实体有箭头连接,则意味着僵尸网络团伙的C&C和webshell团伙中webshell使用者的指纹信息相同。僵尸网络团伙中的C&C也是webshell团伙中的webshell使用者,即该C&C既拥有控制“肉鸡”对网络目标发起攻击的行为,也拥有使用webshell操控目标主机的行为。
步骤4:团伙关联成功后,将统计其关联实体对应的团伙资源的集合,用于评估基础团伙间的关联程度;其中关联实体对应的团伙资源的数量即是指团伙间关联实体的集合。其中统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团伙资源集合,是从对应的团伙的数据中得到的所有该关联实体组成的集合。
具体地,在步骤3中关于僵尸网络团伙和webshell团伙例子中,对于关联分组1,关联成功后,则分别统计僵尸网络团伙和webshell团伙中C&C和webshell植入者的集合。
针对每一组关联分组中关联实体对应的团伙资源集合是从对应的团伙的数据中直接得到的所有该关联实体组成的集合(例如C&C的IP列表)。例如僵尸网络团伙和webshell团伙例子中,对于C&C和webshell使用者这一组关联分组,关联成功后,则分别统计僵尸网络团伙和webshell团伙中C&C集合(例如从数据中汇总得到IP列表)和webshell植入者集合(例如从数据中汇总得到IP列表)。
步骤5:基于步骤3和步骤4的计算结果,可以利用相似度算法计算出团伙两两间的相似度,本发明使用Jaccard相似度原理对两团伙间的相似度进行计算,具体计算公式如下:
其中,A为团伙1(例如僵尸网络团伙)的关联实体集合,B为团伙2(例如webshell团伙)的关联实体集合。
步骤6通过加权融合得到最终相似度,并基于设定阈值筛选出团伙对进行融合,得到融合结果。
基于多种不同的关联分组,可以得到多组不同的相似度,将进行加权融合得到最终的相似度。基于实际的同伙数据设定的阈值,筛选出相似度大于该阈值的团伙对,从中选择相似度最大的团伙对进行融合。其中阀值是基于实际的团伙数据和安全知识来确定阈值。
两个独立网络攻击团伙经融合后成为一个完整团伙的前后对比如图3A和图3B所示。
步骤7:当前两类网络攻击团伙的融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。
具体的流程如图4所示,A类别团伙同B类别团伙融合完成后,形成AB类别团伙,AB类别团伙将继续与C类别团伙进行融合,形成ABC类别团伙并继续如此往复,直至最后ABC~*-1类别团伙与*类别团伙完成融合。
一般情况下,团伙之间所关联的核心资源对数越多,则团伙之间的关系越紧密,其拥有共同攻击资源的种类也越多,从而更能说明两个或多个团伙具有同一性。在实际的数据环境与计算过程中,可能存在部分团伙无法关联成功的情况。若无法完成团伙关联,则认为这些团伙之间缺乏明确的关联证据,依然保持其为独立的网络攻击团伙。
本发明是对已知拥有不同行为团伙进行融合,以及如何对N类拥有不同行为的团伙进行融合。针对已知拥有不同行为的团伙进行融合的问题提出了基于核心攻击资源的相似程度来进行关联,基于安全知识定义关联分组以及计算基于关联分组的团伙间的相似度。针对N类拥有不同行为的团伙进行融合,本方案采用的是递进式的融合方式,先对两类网络攻击团伙进行融合,两类网络攻击团伙融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。通过上述方法有效的解决常规数据挖掘方法团伙发现不全面的问题,能挖掘出团伙所拥有的更多攻击资源和攻击行为,提高了网络攻击团伙发现的完整性和准确性。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (6)
1.一种基于核心攻击资源的网络攻击团伙融合方法,其特征在于:其具体步骤如下:
步骤1:获取所有团伙的核心攻击资源的相关数据,并将其作为参与关联的实体;
步骤2:对不同类型的网络攻击团伙进行编号,并对每类网络攻击团伙的核心攻击资源进行分组关联;
步骤3:分析步骤2中的多种关联分组,判断团伙之间是否关联成功;
步骤4:团伙关联成功后,统计关联实体对应的团伙资源的集合,评估基础团伙间的关联程度;
步骤5:基于步骤3和步骤4的计算结果,利用相似度算法计算团伙两两间的相似度;
步骤6:通过加权融合得到最终相似度,并基于设定阈值筛选出团伙对进行融合,得到融合结果。
2.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法,其特征在于:所述的核心攻击资源是基于安全知识,预先定义不同类别团伙能进行关联的核心资源。
3.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法,其特征在于:所述的统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团伙资源集合,是从对应的团伙的数据中得到的所有该关联实体组成的集合。
5.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法,其特征在于:所述的阀值是基于实际的团伙数据和安全知识来确定阈值。
6.根据权利要求1-5中任意一项所述的基于核心攻击资源的网络攻击团伙融合方法,其特征在于:还包括:当前两类网络攻击团伙的融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111597781.3A CN114389857B (zh) | 2021-12-24 | 2021-12-24 | 基于核心攻击资源的网络攻击团伙融合方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111597781.3A CN114389857B (zh) | 2021-12-24 | 2021-12-24 | 基于核心攻击资源的网络攻击团伙融合方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114389857A true CN114389857A (zh) | 2022-04-22 |
CN114389857B CN114389857B (zh) | 2024-04-05 |
Family
ID=81198698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111597781.3A Active CN114389857B (zh) | 2021-12-24 | 2021-12-24 | 基于核心攻击资源的网络攻击团伙融合方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114389857B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150052A (zh) * | 2022-06-08 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 攻击团伙的跟踪识别方法、装置、设备及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201522345D0 (en) * | 2015-12-18 | 2016-02-03 | F Secure Corp | Detection of coordinated cyber-attacks |
US20170359360A1 (en) * | 2016-06-14 | 2017-12-14 | Nucleon Ltd. | System and method for gathering botnet cyber intelligence |
CN110912861A (zh) * | 2018-09-18 | 2020-03-24 | 北京数安鑫云信息技术有限公司 | 一种深度追踪团伙攻击行为的ai检测方法和装置 |
CN110995714A (zh) * | 2019-12-06 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
CN111182533A (zh) * | 2019-12-06 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及系统 |
CN111371778A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 攻击团伙的识别方法、装置、计算设备以及介质 |
CN111800430A (zh) * | 2020-07-10 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
CN111988339A (zh) * | 2020-09-07 | 2020-11-24 | 珠海市一知安全科技有限公司 | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 |
CN112822194A (zh) * | 2021-01-07 | 2021-05-18 | 国家计算机网络与信息安全管理中心 | 一种识别判定DDoS攻击团伙行为的方法 |
CN112968870A (zh) * | 2021-01-29 | 2021-06-15 | 国家计算机网络与信息安全管理中心 | 一种基于频繁项集的网络团伙发现方法 |
-
2021
- 2021-12-24 CN CN202111597781.3A patent/CN114389857B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201522345D0 (en) * | 2015-12-18 | 2016-02-03 | F Secure Corp | Detection of coordinated cyber-attacks |
US20170359360A1 (en) * | 2016-06-14 | 2017-12-14 | Nucleon Ltd. | System and method for gathering botnet cyber intelligence |
CN110912861A (zh) * | 2018-09-18 | 2020-03-24 | 北京数安鑫云信息技术有限公司 | 一种深度追踪团伙攻击行为的ai检测方法和装置 |
CN110995714A (zh) * | 2019-12-06 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
CN111182533A (zh) * | 2019-12-06 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及系统 |
CN111371778A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 攻击团伙的识别方法、装置、计算设备以及介质 |
CN111800430A (zh) * | 2020-07-10 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
CN111988339A (zh) * | 2020-09-07 | 2020-11-24 | 珠海市一知安全科技有限公司 | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 |
CN112822194A (zh) * | 2021-01-07 | 2021-05-18 | 国家计算机网络与信息安全管理中心 | 一种识别判定DDoS攻击团伙行为的方法 |
CN112968870A (zh) * | 2021-01-29 | 2021-06-15 | 国家计算机网络与信息安全管理中心 | 一种基于频繁项集的网络团伙发现方法 |
Non-Patent Citations (2)
Title |
---|
GANG LIU;WEI QUAN;NAN CHENG;HONGKE ZHANG;SHUI YU: "Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things", 《JOURNAL OF NETWORK AND COMPUTER APPLICATIONS》, vol. 130, pages 1 - 13 * |
赵子鹏; 张奇: "解读重大勒索攻击事件下的网络安全态势及应对", 《中国信息安全》, pages 64 - 67 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150052A (zh) * | 2022-06-08 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 攻击团伙的跟踪识别方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114389857B (zh) | 2024-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Garcia et al. | An empirical comparison of botnet detection methods | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN104836702B (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
Lu et al. | Clustering botnet communication traffic based on n-gram feature selection | |
CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
CN109644184A (zh) | 用于从ipfix数据检测云上的ddos僵尸网络的聚类方法 | |
CN103457909B (zh) | 一种僵尸网络检测方法及装置 | |
Huang et al. | Automatic identification of honeypot server using machine learning techniques | |
US10764311B2 (en) | Unsupervised classification of web traffic users | |
Garasia et al. | HTTP botnet detection using frequent patternset mining | |
CN112507336A (zh) | 基于代码特征和流量行为的服务端恶意程序检测方法 | |
KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
CN114389857A (zh) | 基于核心攻击资源的网络攻击团伙融合方法 | |
CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
JPWO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
Cambiaso et al. | A network traffic representation model for detecting application layer attacks | |
Stevanovic et al. | Detecting bots using multi-level traffic analysis. | |
Miller et al. | The impact of different botnet flow feature subsets on prediction accuracy using supervised and unsupervised learning methods | |
Facchini et al. | Multi-level Distributed Intrusion Detection System for an IoT based Smart Home Environment. | |
Grill | Combining network anomaly detectors | |
EP3790260B1 (en) | Device and method for identifying network devices in a nat based communication network | |
Bhuyan et al. | Towards an unsupervised method for network anomaly detection in large datasets | |
Catak | Two-layer malicious network flow detection system with sparse linear model based feature selection | |
CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
Niu et al. | Using XGBoost to discover infected hosts based on HTTP traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |