CN114793164B - 一种基于多特征的apt攻击事件关联方法 - Google Patents
一种基于多特征的apt攻击事件关联方法 Download PDFInfo
- Publication number
- CN114793164B CN114793164B CN202111578783.8A CN202111578783A CN114793164B CN 114793164 B CN114793164 B CN 114793164B CN 202111578783 A CN202111578783 A CN 202111578783A CN 114793164 B CN114793164 B CN 114793164B
- Authority
- CN
- China
- Prior art keywords
- attack
- similarity
- link
- malicious
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004364 calculation method Methods 0.000 claims abstract description 30
- 244000035744 Hura crepitans Species 0.000 claims abstract description 12
- 238000005516 engineering process Methods 0.000 claims abstract description 4
- 238000004458 analytical method Methods 0.000 claims description 19
- 238000000605 extraction Methods 0.000 claims description 10
- 230000011218 segmentation Effects 0.000 claims description 10
- 230000014509 gene expression Effects 0.000 claims description 4
- 238000005336 cracking Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 2
- 230000004044 response Effects 0.000 abstract description 6
- 230000007123 defense Effects 0.000 abstract description 3
- 230000008520 organization Effects 0.000 description 14
- 230000009286 beneficial effect Effects 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- YHVACWACSOJLSJ-UHFFFAOYSA-N n-methyl-n-(1-oxo-1-phenylpropan-2-yl)nitrous amide Chemical compound O=NN(C)C(C)C(=O)C1=CC=CC=C1 YHVACWACSOJLSJ-UHFFFAOYSA-N 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了威胁情报共享平台技术领域的一种基于多特征的APT攻击事件关联方法,包括获取攻击事件报告特征;通过计算TF‑IDF的值得出报告文本相似度;通过计算得出攻击事件TTP相似度;调用在线沙箱技术对恶意IOC进行行为分析,提取攻击链路;设计链路相似度计算方法得到攻击链路相似度;将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度,本发明针对攻击事件报告的不同特征,采用不同的相似度计算方法,进而能够从多方面关联攻击事件,便于整合攻击情报、溯源攻击手段、反馈应对方案,大大提高了主动防御能力,在第一时间对恶意攻击事件提出响应参考措施。
Description
技术领域
本发明涉及威胁情报共享平台技术领域,具体为一种基于多特征的APT攻击事件关联方法。
背景技术
高级可持续性威胁(Advanced Persistent Threat,APT),威胁企业网络数据安全。这种攻击活动具有极强的隐蔽性和针对性,通常是以窃取用户资料为目的,利用受感染的各种介质、供应链和社会工程学等多种手段绕过传统的安全防护系统,实施先进的、持久的且有效的威胁和攻击。目前主流的关联方法主要如下:
1.基于关键词匹配的方法:一些总结性的报告中会提到组织名称,同时也会带出组织别名,只需要构建APT组织库,接着利用关键词匹配的方法将相似攻击的APT组织相关联。
2.利用TF-IDF算法提取报告中的关键词,通过对比一种基于多特征的APT 攻击事件关联方法词汇库,得出关联事件。第一个(TF)值是单个出现的次数在所有恶意软件中总数中的比。第二个值(IDF)是这些术语在所有组中出现的频率的对数。
对于第一种关联方法,有很大的局限性,单单利用报告中的关联组织名称无法准确、全面地将攻击事件关联起来;对于第二种关联方法,只有两篇报告中所用到文本内容相差无几,才能够通过TF-IDF准确识别,简而言之就是能判断出两篇相似文章,但是很多攻击事件地报告并不完整,攻击手段分析也并不完善,因而无法建立可靠地关联关系。
基于此,本发明设计了一种基于多特征的APT攻击事件关联方法,以解决上述问题。
发明内容
本发明的目的在于提供一种基于多特征的APT攻击事件关联方法,以解决上述背景技术中提出的单单利用报告中的关联组织名称无法准确、全面地将攻击事件关联起来;很多攻击事件地报告并不完整,攻击手段分析也并不完善,因而无法建立可靠地关联关系的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于多特征的APT攻击事件关联方法,包括以下步骤:
S1:获取攻击事件报告特征,事件报告特征包括攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器、TF-IDF值和恶意IOC;
S2:通过计算TF-IDF的值得出报告文本相似度;
S3:通过计算攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器的jaccard系数得出攻击事件TTP相似度;
S4:调用在线沙箱技术对恶意IOC进行行为分析,提取攻击链路;
S5:设计链路相似度计算方法得到攻击链路相似度;
S6:将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度。
优选的,S2中,所述文本相似度的计算步骤具体如下:
S21:设置分词器;
S22:设置词频统计装置;
S23:设置相似度计算方法,相似系数为词汇列表交集个数除以词汇列表总个数。
优选的,S21中,所述设置分词器具体为针对中文使用jieba分词算法,英文则使用nltk.tokenize模块进行分词,同时设置停用词汇和专有词汇生成词汇列表。
优选的,S22中,所述设置词频统计装置具体为利用TF-IDF算法得到步骤一中生成的词汇列表中TF值和IDF值。
优选的,S3中,所述TTP相似度计算步骤具体如下:
S31:设置专有标签提取装置,通过关键词匹配的方法,从报告文本中提取攻击手段和恶意工具;
S32:设置漏洞匹配装置,通过正则匹配的方法提取利用的漏洞信息;
S33:设置实体提取装置,对提取出来的句子进一步地用关键词匹配的方法提取攻击目标和使用语言;
S34:设置相似度计算方法,将上述步骤得到的特征的值合并成一个集合,计算jaccard系数,根据jaccard系数判断相似度。
优选的,S31中,所述攻击手段词汇为主要从ATT&CK官网获取攻击方法专业词汇,所述恶意工具包括漏洞攻击工具、信息收集工具、密码破解工具、远程访问工具、漏洞扫描工具等,恶意工具的词汇分别从安全网站公开整理的工具列表中获取,以及平时在威胁分析时整理得到。
优选的,S5中,所述攻击链路相似度计算步骤如下:
S51:设置IOC匹配装置;
S52:设置攻击链路分析装置;
S53:针对攻击链路设置相似度计算方法,通过jaccard系数或莱文斯坦(Levenshtein)距离做攻击链路相似度计算。
优选的,S51中,所述设置IOC匹配装置具体为采用正则匹配和html解析的方法提取IOC,分别对应文本中随机引用和固定位置罗列,利用正则表达式对不同类型IOC:ip、域名、hash、url等进行正则提取,同时针对固定位置的 IOC则采用html解析筛选获取。
优选的,S52中,所述攻击链路分析主要是针对恶意的PE(Portable Executable)文件,搭建沙箱环境,将恶意文件在沙箱环境中执行,然后得出该文件的执行日志。
优选的,S53中,所述攻击链路为通过沙箱得到运行日志,进一步地对日志进行解析得出关键链路,提取shell文件的文件名、访问链接的链接地址、下载文件的文件名、配置目录等信息而生成。
与现有技术相比,本发明的有益效果是:
本发明针对攻击事件报告的不同特征,采用不同的相似度计算方法,进而能够从多方面关联攻击事件,便于整合攻击情报、溯源攻击手段、反馈应对方案,大大提高了主动防御能力,在第一时间对恶意攻击事件能够提出响应参考措施。同时,正因为与历史攻击组织施行的攻击事件相关联也有助于对整个攻击组织的生命周期进行全面的监控,真正做到知己知彼。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明APT攻击事件报告特征图;
图2为本发明总体关联模型流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供一种技术方案:
一种基于多特征的APT攻击事件关联方法,包括S1:获取攻击事件报告特征,事件报告特征包括攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器、TF-IDF值和恶意IOC;
S2:通过计算TF-IDF的值得出报告文本相似度;
S3:通过计算攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器的jaccard系数得出攻击事件TTP相似度;
S4:调用在线沙箱技术对恶意IOC进行行为分析,提取攻击链路;
S5:设计链路相似度计算方法得到攻击链路相似度。
S6:将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度。
本发明主要是针对APT组织的攻击事件进行分析,挖掘攻击事件报告中的多种特征,将相似的攻击事件关联起来,完善整个攻击事件响应机制。
本发明提出的基于多特征的APT报告聚类方法是通过挖掘攻击事件的特征,建立APT组织的聚类模型,将APT组织的攻击事件关联起来。
攻击事件报告的特征主要如图1所示,包括
1.攻击手段:该攻击事件主要使用的攻击手段,如:勒索、恶意邮件、远控、木马等手段;
2.恶意工具:该攻击事件使用到的恶意工具,如:BX RAT、GHOST RAT、ExploitKit、NMAP等工具;
3.漏洞利用:该攻击事件使用的漏洞编号,如:CVE-2021-1732、 CVE-2021-25296、CVE-2021-26411等;
4.攻击目标:攻击事件针对的国家地区、目标资产、目标行业等,如:针对中国高校的考试系统等;
5.恶意IOC:攻击事件使用到的恶意指示器,包括指示器名称和恶意行为分析结果;
6.使用语言:恶意代码中使用的语言特征,主要用于区分汉语和中东国家的 APT组织;
7.TF-IDF值:攻击事件报告的TF-IDF值,对于两篇相似度较高的报告可以采用TF-IDF作为特征,包括中英文转译报告、转载报告等。
文本相似度计算步骤如下:
步骤一:设置分词器:针对中英文报告分别设置不同的分词算法,中文使用的是jieba分词算法,英文则使用nltk.tokenize模块进行分词,同时设置停用词汇和专有词汇生成词汇列表。
步骤二:设置词频统计装置:利用TF-IDF算法得到步骤一中生成的词汇列表中TF值和IDF值。
步骤三:设置相似度计算方法:首先对比两篇报告TF-IDF值排名前15的词汇,相似度计算方法为:
其中,报告文本的相似度计算方法并不只是针对APT攻击事件的报告,还可以是其他文本内容。
TTP相似度计算步骤如下:
步骤一:设置专有标签提取装置:攻击手段和恶意工具的提取主要是基于关键词匹配的方法,攻击手段词汇主要从ATT&CK官网获取攻击方法专业词汇,恶意工具包括漏洞攻击工具、信息收集工具、密码破解工具、远程访问工具、漏洞扫描工具等,恶意工具的词汇分别从安全网站公开整理的工具列表中获取,以及平时在威胁分析时整理得到。然后通过关键词匹配的方法,从报告文本中提取攻击手段和恶意工具。
步骤二:设置漏洞匹配装置:提取利用的漏洞信息主要通过正则匹配的方法,根据漏洞的命名规则可以设置规则为“CVE-[0-9]{4}-[0-9]{4,6}”,CVE是 (CommonVulnerabilities&Exposures)首字母,中间四位是发现年份,后面4/6 位是漏洞的编号。
步骤三:设置实体提取装置:攻击目标和使用语言的提取方法首先基于正则表达式进行断句,攻击目标的正则断句可以写为“.*?攻击了.*?[国家]?.*?[行业]?”或者“(.*?)受到了*?的攻击”,而使用语言则可以写成“该组织代码中使用了(.*?)语言”,对提取出来的句子进一步地用关键词匹配的方法提取攻击目标和使用语言。
步骤四:设置相似度计算方法:对于前面得到的一系列特征的值合并成一个集合,例如:[木马,ghost_rat,CVE-2021-1984,印度,银行],然后计算jaccard系数:
根据jaccard系数来判断A事件和B事件的相似度,经过研究,该系数大于 0.6时相似度较高。
TTP相似度计算方法实际上是提取关键实体,然后进行相似度计算的方法,并不只是局限于TTP的相似度计算,数据源可以是多种文本数据。
攻击链路相似度计算步骤如下:
步骤一:设置IOC匹配装置:提取IOC的方法主要采用正则匹配和html 解析的方法,分别对应文本中随机引用和固定位置罗列。利用正则表达式对不同类型IOC:ip、域名、hash、url等进行正则提取,同时针对固定位置的IOC 则采用html解析筛选获取。
步骤二:设置攻击链路分析装置:攻击链路分析主要是针对恶意的PE (PortableExecutable)文件,搭建沙箱环境,将恶意文件在沙箱环境中执行,然后得出该文件的执行日志。
步骤三:设置相似度计算方法:IOC的相似度计算方法主要有两种,一种是针对IOC集合的相似度,同TTP相似度计算中的步骤四基于jaccard系数的相似度计算方法,这里主要介绍另一种的针对攻击链路的相似度计算方法,由于文件hash非常容易发生变化,只要稍微修改或者移动了文件的某个字符,hash 就会变得面目全非,但是其攻击链路是大致相同的,通过沙箱得到运行日志。进一步地对日志进行解析得出关键链路,例如:执行shell语句、访问链接、下载文件、设置后门、访问配置目录等,然后提取shell文件的文件名(**.sh)、访问链接的链接地址、下载文件的文件名、配置目录等信息,生成攻击链路。本发明使用莱文斯坦(Levenshtein)距离来做攻击链路相似度计算:
其中A事件和B事件是两个数组(攻击链路),i/j是数组下标。莱文斯坦距离的含义,是求将A事件的攻击链路变成B事件的攻击链路(或将B事件的攻击链路变成A事件的攻击链路),所需要做的最少次数的变换。这个次数越少代表攻击链路越相似。攻击链路的相似度计算方法也可用于各种流程相似度计算。
前面三种相似度判定方法得到的结果都具有一定的片面性,而且每个特征对结果的影响程度也不相同,因此需要进行权重的分配得到综合相似度判定方法。数据来源是Google整理的APT组织在线文档,其中比较权威地将当前的关联事件的报告进行罗列,将其作为训练集进行线性回归训练得到合适的权重分配。
由于攻击事件的来源繁杂,包含了传统安全厂商、安全防护组织、安全研究员等,因而攻击事件之间的关联也不能偏于一隅。本发明针对攻击事件报告的不同特征,采用不同的相似度计算方法,进而能够从多方面关联攻击事件,便于整合攻击情报、溯源攻击手段、反馈应对方案,大大提高了主动防御能力,在第一时间对恶意攻击事件能够提出响应参考措施。同时,正因为与历史攻击组织施行的攻击事件相关联也有助于对整个攻击组织的生命周期进行全面的监控,真正做到知己知彼。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (10)
1.一种基于多特征的APT攻击事件关联方法,其特征在于,包括以下步骤:
S1:获取攻击事件报告特征,事件报告特征包括攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器、TF-IDF值和恶意IOC;
S2:通过计算TF-IDF的值得出报告文本相似度;
S3:通过计算攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器的jaccard系数得出攻击事件TTP相似度;
S4:调用在线沙箱技术对恶意IOC进行行为分析,提取攻击链路;
S5:设计链路相似度计算方法得到攻击链路相似度;
S6:将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度。
2.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S2中报告文本相似度的计算步骤具体如下:
S21:设置分词器;
S22:设置词频统计装置;
S23:设置相似度计算方法,相似度的判定依据相似系数,相似系数为词汇列表交集个数除以词汇列表总个数。
3.根据权利要求2所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S21中设置的分词器针对中文使用jieba分词算法,英文则使用nltk.tokenize模块进行分词,同时设置停用词汇和专有词汇生成词汇列表。
4.根据权利要求2所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S22中设置的词频统计装置利用TF-IDF算法得到S1中生成的词汇列表中TF-IDF值。
5.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S3中TTP相似度计算步骤具体如下:
S31:设置专有标签提取装置,通过关键词匹配的方法,从报告文本中提取攻击手段和恶意工具;
S32:设置漏洞匹配装置,通过正则匹配的方法提取利用的漏洞信息;
S33:设置实体提取装置,对提取出来的句子进一步地用关键词匹配的方法提取攻击目标和使用语言;
S34:设置相似度计算方法,将S31、S32和S33中得到的特征的值合并成一个集合,计算jaccard系数,根据jaccard系数判断相似度。
6.根据权利要求5所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S31中攻击手段词汇为主要从ATT&CK官网获取攻击方法专业词汇,所述恶意工具包括漏洞攻击工具、信息收集工具、密码破解工具、远程访问工具、漏洞扫描工具等,恶意工具的词汇分别从安全网站公开整理的工具列表中获取,以及平时在威胁分析时整理得到。
7.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S5中攻击链路相似度计算步骤如下:
S51:设置IOC匹配装置;
S52:设置攻击链路分析装置;
S53:针对攻击链路设置相似度计算方法,通过jaccard系数或莱文斯坦(Levenshtein)距离做攻击链路相似度计算。
8.根据权利要求7所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S51中设置IOC匹配装置具体为采用正则匹配和html解析的方法提取IOC,分别对应文本中随机引用和固定位置罗列,利用正则表达式对不同类型IOC:ip、域名、hash、url等进行正则提取,同时针对固定位置的IOC则采用html解析筛选获取。
9.根据权利要求8所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S52中攻击链路分析主要是针对恶意的PE(Portable Executable)文件,搭建沙箱环境,将恶意文件在沙箱环境中执行,然后得出该文件的执行日志。
10.根据权利要求9所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S53中攻击链路为通过沙箱得到运行日志,进一步地对日志进行解析得出关键链路,提取shell文件的文件名、访问链接的链接地址、下载文件的文件名、配置目录等信息而生成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111578783.8A CN114793164B (zh) | 2021-12-22 | 2021-12-22 | 一种基于多特征的apt攻击事件关联方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111578783.8A CN114793164B (zh) | 2021-12-22 | 2021-12-22 | 一种基于多特征的apt攻击事件关联方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114793164A CN114793164A (zh) | 2022-07-26 |
CN114793164B true CN114793164B (zh) | 2024-03-15 |
Family
ID=82460343
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111578783.8A Active CN114793164B (zh) | 2021-12-22 | 2021-12-22 | 一种基于多特征的apt攻击事件关联方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114793164B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116304117B (zh) * | 2023-05-15 | 2023-09-08 | 北京睿企信息科技有限公司 | 一种获取文本信息的数据处理方法、系统和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
-
2021
- 2021-12-22 CN CN202111578783.8A patent/CN114793164B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114793164A (zh) | 2022-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rao et al. | Detection of phishing websites using an efficient feature-based machine learning framework | |
Jain et al. | A machine learning based approach for phishing detection using hyperlinks information | |
Han et al. | Learning to predict severity of software vulnerability using only vulnerability description | |
Jain et al. | Towards detection of phishing websites on client-side using machine learning based approach | |
Liang et al. | Cracking classifiers for evasion: a case study on the google's phishing pages filter | |
US10135863B2 (en) | Malicious software detection in a computing system | |
Jain et al. | Two-level authentication approach to protect from phishing attacks in real time | |
Niakanlahiji et al. | A natural language processing based trend analysis of advanced persistent threat techniques | |
Das et al. | Defeating SQL injection attack in authentication security: an experimental study | |
Mukherjee et al. | SQL Injection: A sample review | |
Kar et al. | SQLiDDS: SQL injection detection using query transformation and document similarity | |
Madhubala et al. | Survey on malicious URL detection techniques | |
Sworna et al. | NLP methods in host-based intrusion detection Systems: A systematic review and future directions | |
Nowroozi et al. | An adversarial attack analysis on malicious advertisement URL detection framework | |
EP4024252A1 (en) | A system and method for identifying exploited cves using honeypots | |
CN114793164B (zh) | 一种基于多特征的apt攻击事件关联方法 | |
Bandi et al. | Ontology-driven framework for trend analysis of vulnerabilities and impacts in IOT hardware | |
Mvula et al. | COVID-19 malicious domain names classification | |
Gupta et al. | GeneMiner: a classification approach for detection of XSS attacks on web services | |
Purba et al. | Extracting Actionable Cyber Threat Intelligence from Twitter Stream | |
Hamroun et al. | A review on lexical based malicious domain name detection methods | |
Liu et al. | Owleye: An advanced detection system of web attacks based on hmm | |
Tyagi et al. | Next Generation Phishing Detection and Prevention System using Machine Learning | |
Kar et al. | SQLiDDS: SQL injection detection using document similarity measure | |
Sharma et al. | Explorative study of SQL injection attacks and mechanisms to secure web application database-A |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |