CN115396169A - 基于ttp的多步骤攻击检测与场景还原的方法及系统 - Google Patents

基于ttp的多步骤攻击检测与场景还原的方法及系统 Download PDF

Info

Publication number
CN115396169A
CN115396169A CN202210994619.3A CN202210994619A CN115396169A CN 115396169 A CN115396169 A CN 115396169A CN 202210994619 A CN202210994619 A CN 202210994619A CN 115396169 A CN115396169 A CN 115396169A
Authority
CN
China
Prior art keywords
attack
sequence
technology
tactics
candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210994619.3A
Other languages
English (en)
Other versions
CN115396169B (zh
Inventor
赖柏希
陈秀真
马颖华
马进
周志洪
裘炜程
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN202210994619.3A priority Critical patent/CN115396169B/zh
Publication of CN115396169A publication Critical patent/CN115396169A/zh
Application granted granted Critical
Publication of CN115396169B publication Critical patent/CN115396169B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于TTP的多步骤攻击检测与场景还原的方法及系统,包括如下步骤:离线训练步骤:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型;在线运行步骤:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。本发明通过对原始攻击技术进行子串抽取,达到了降低EDR工具产生的原始告警中误报数目的效果。

Description

基于TTP的多步骤攻击检测与场景还原的方法及系统
技术领域
本发明涉及计算机网络安全的技术领域,具体地,涉及一种基于TTP的多步骤攻击检测与场景还原的方法及系统。
背景技术
现代的网络攻击已经达到了高度的复杂性,一个试图攻陷计算机系统的攻击者需要进行多个攻击步骤才能达到其目标,这些步骤包括但不限于:侦察(如寻找目标主机的脆弱点)、恶意代码执行、持久化、权限提升等。针对多步骤攻击的检测与场景还原是困难的,目前业内常用的终端检测与响应系统(Endpoint Detection and Response,EDR)通过设计硬性规则,将计算机系统底层事件匹配至常见的攻击技术,以实现单个事件的告警,这样的方法存在以下问题:1):正常的用户行为也可能触发防御者设计的规则,EDR工具会产生大量的误警,将真实告警从含噪的告警序列中甄别出来需要安全专家人工处理;2):EDR工具针对单个事件设计,欲从海量的单个告警中还原出多步骤攻击的场景费时费力,是一个“大海捞针的问题;3)针对单个事件设计的规则缺乏从日志中检测多步骤攻击存在与否的能力。
针对多步骤攻击的检测与场景还原问题,仅使用针对单个告警而设计的EDR的告警是不充分的,检测系统应具有告警关联的能力:即从包含误报的原始告警中判断是否存在多步骤网络攻击并且还原出多步骤攻击对应的场景。尽管多步骤攻击在底层使用的漏洞、工具、源码各不相同,但是它们在高层级上总是符合一定的战术次序。
公开号为CN114615063A的中国发明专利文献公开了一种基于日志关联分析的攻击溯源方法及装置,方法包括:收集系统内各个层次的日志,根据各个层次的日志之间的关联关系,构建日志连接图,并利用日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接,得到融合溯源图,进而在融合溯源图中执行攻击溯源算法,并基于短路机制挖掘融合溯源图中围绕依赖爆炸节点周围形成的连通路径,使用搜索路径包含所述连通路径作为路径评估因素之一,计算攻击溯源算法搜索到各个路径的评估分数,选取评估分数最高的路径作为攻击溯源算法输出的攻击链。针对污点分析和二进制插桩技术难以在企业环境下应用的问题,提出了基于日志关联分析的攻击溯源装置,通过在融合溯源图中使用基于短路机制的攻击溯源算法,解决了现有场景还原系统中依赖爆炸的问题。
公开号为CN114357445A的中国发明专利文献公开了一种终端侧攻击路径识别的方法、装置及存储介质,该方法包括:构建终端侧的第一攻击溯源图;其中,所述第一攻击溯源图用于表征所述终端侧中不同实体间的关联关系;对所述第一攻击溯源图中每对节点间的冗余连线进行优化,获得第二攻击溯源图;其中,所述冗余连线为所述每对节点间表征同种关联关系的连线中起始时刻之外对应的连线,所述第一攻击溯源图中一个节点对应所述终端侧中的一个实体;从所述第二攻击溯源图中确定实际存在攻击行为的实际攻击路径。通过解析系统日志,生成由文件、进程、域名等节点组成的溯源图,在对溯源图进行去冗余操作后使用RNN模型判定真实攻击路径。
公开号为CN114117432A的中国发明专利文献公开了一种基于数据溯源图的APT攻击链还原系统,包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块;数据溯源图记录模块监控目标主机内的系统活动,并以数据溯源图格式进行记录;输入模块获取数据溯源图格式或系统日志格式的输入数据;数据溯源图压缩模块对数据溯源图进行压缩;感染点定位模块标定攻击事件在数据溯源图中的位置;攻击链映射模块通过映射规则将数据溯源图中的节点和边映射到APT攻击链的各个阶段,构造出完整的APT攻击链。以系统日志和SPADE工具记录的数据溯源图为原始输入,通过公开威胁情报对溯源图中感染点进行标定,最终通过将底层告警事件匹配至杀伤链而获得多步骤攻击的攻击场景。
公开号CN114172709A的中国发明专利文献公开了一种网络多步攻击检测方法、装置、设备及存储介质,包括获取目标网络中的攻击数据流;从所述攻击数据流中抽取与预设时间窗口对应的多条攻击数据;获取多种预设多步攻击模式各自对应的多步攻击数据和所述多步攻击数据间的时空关系信息;基于多步攻击数据和所述时空关系信息,对所述多条攻击数据进行多步攻击识别,得到初始多步攻击数据;将所述初始多步攻击数据中多个攻击数据按照攻击时间顺序进行组合,得到目标多步攻击数据。
针对上述中的相关技术,发明人认为已有的专利文献针对底层系统日志进行直接处理,无法对EDR工具产生的告警内容进行甄别,无法识别EDR工具产生的告警是否为真实告警;此外,已有专利文献亦无法基于EDR工具告警还原多步骤攻击场景,与本发明的应用场景不同。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于TTP的多步骤攻击检测与场景还原的方法及系统。
根据本发明提供的一种基于TTP的多步骤攻击检测与场景还原的方法,包括如下步骤:
离线训练步骤:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型;
在线运行步骤:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。
优选的,所述离线训练步骤包括如下步骤:
攻击技术提取步骤:通过审阅处理网络威胁情报报告,提取出网络威胁情报报告中的所有攻击技术;
攻击战术查找步骤:查找每一个攻击技术所对应的攻击战术;
攻击技术序列获取步骤:按照攻击战术预定义逻辑次序关系将攻击技术进行排列,得到网络威胁情报报告对应的攻击技术序列,攻击技术序列作为正样本存储于数据库中;
负样本获取步骤:通过对正样本进行负采样获得负样本;
分类模型获取步骤:获取预定数量的正样本和负样本后,通过编码技术将攻击技术映射至向量空间,此后将正样本和负样本输入基于序列的分类模型中进行训练,得到多步骤攻击分类模型。
优选的,所述在线运行步骤包括如下步骤:
原始攻击技术序列获取步骤:EDR工具在运行过程中产生日志记录,其中日志根据预定义规则被映射到攻击技术上,即为原始攻击技术,周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列;
攻击技术合并步骤:若原始攻击序列中存在相邻的相同的攻击技术,则合并为一个攻击技术;
候选攻击序列确定步骤:多步骤攻击从攻击技术序列中的任意攻击技术开始,遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列,若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻击序列,则将候选攻击序列加入到候选攻击序列集合中;
评分步骤:将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类模型中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到预定评分的候选攻击技术序列;
警报发出步骤:若预定评分的分值大于预设阈值τ2,则存在多步骤攻击,发出警报。
优选的,该方法还包括呈现步骤:将构成多步骤网络攻击的攻击技术序列呈现至安全专家,做进一步分析。
优选的,在所述攻击战术查找步骤中,在进行攻击技术序列生成时,存在某些攻击技术对应多种攻击战术,攻击技术映射至攻击战术的规则为:
当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在第i个攻击战术TAi包含唯一的攻击技术T,那么将攻击技术T映射至TAi;若存在多种攻击战术均包含唯一的攻击技术T,那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1;其中,TAn表示第n个攻击战术。
根据本发明提供的一种基于TTP的多步骤攻击检测与场景还原的系统,包括如下模块:
离线训练模块:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型;
在线运行模块:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。
优选的,所述离线训练模块包括如下模块:
攻击技术提取模块:通过审阅处理网络威胁情报报告,提取出网络威胁情报报告中的所有攻击技术;
攻击战术查找模块:查找每一个攻击技术所对应的攻击战术;
攻击技术序列获取模块:按照攻击战术预定义逻辑次序关系将攻击技术进行排列,得到网络威胁情报报告对应的攻击技术序列,攻击技术序列作为正样本存储于数据库中;
负样本获取模块:通过对正样本进行负采样获得负样本;
分类模型获取模块:获取预定数量的正样本和负样本后,通过编码技术将攻击技术映射至向量空间,此后将正样本和负样本输入基于序列的分类模型中进行训练,得到多步骤攻击分类模型。
优选的,所述在线运行模块包括如下模块:
原始攻击技术序列获取模块:EDR工具在运行过程中产生日志记录,其中日志根据预定义规则被映射到攻击技术上,即为原始攻击技术,周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列;
攻击技术合并模块:若原始攻击序列中存在相邻的相同的攻击技术,则合并为一个攻击技术;
候选攻击序列确定模块:多步骤攻击从攻击技术序列中的任意攻击技术开始,遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列,若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻击序列,则将候选攻击序列加入到候选攻击序列集合中;
评分模块:将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类模型中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到预定评分的候选攻击技术序列;
警报发出模块:若预定评分的分值大于预设阈值τ2,则存在多步骤攻击,发出警报。
优选的,该系统还包括呈现模块:将构成多步骤网络攻击的攻击技术序列呈现至安全专家,做进一步分析。
优选的,在所述攻击战术查找模块中,在进行攻击技术序列生成时,存在某些攻击技术对应多种攻击战术,攻击技术映射至攻击战术的规则为:
当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在第i个攻击战术TAi包含唯一的攻击技术T,那么将攻击技术T映射至TAi;若存在多种攻击战术均包含唯一的攻击技术T,那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1;其中,TAn表示第n个攻击战术。
与现有技术相比,本发明具有如下的有益效果:
1、本发明通过对原始攻击技术进行子串抽取,达到了降低EDR工具产生的原始告警中误报数目的效果;
2、本发明通过应用基于序列的机器学习模型,达到了判定告警日志中是否存在多步骤攻击的效果;
3、本发明通过使用TTP对告警进行序列化建模,达到了还原多步骤攻击场景的效果。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明总体结构图;
图2为实施例二中离线训练阶段的工作流程图;
图3为实施例二中双向长短期记忆网络结构图;
图4为实施例二中的多步骤攻击实施流程图;
图5为实施例二中在线运行阶段的工作流程图;
图6为实施例二中抽取候选子串并评分的示意图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明实施例一公开了一种基于TTP的多步骤攻击检测与场景还原的方法,如图1所示,基于TTP的多步骤攻击检测和场景还原系统可以分解为两个阶段:离线训练阶段和在线运行阶段,在离线训练完成后,即可将本发明所述系统部署至待保护的计算机系统中。下面分别阐述两个阶段中的详细步骤。该方包括离线训练步骤和在线运行步骤。TTP的英文全称为Tactics,Tchniques and Procedures)中文译文为战术,技术和过程。Tactics中文译文为战术;Techniques中文译文为技术;Procedures中文译文为过程。
离线训练步骤:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型。
离线训练阶段使用已知攻击序列训练分类模型,离线训练阶段的工作流程可总结如下:离线训练步骤包括如下步骤:
攻击技术提取步骤(步骤101):通过审阅处理网络威胁情报报告,提取出网络威胁情报报告中的所有攻击技术。
具体为,网络威胁情报(Cyber Threat Intelligence,CTI)报告是网络专家人工整理的已知网络攻击,报告包含攻击技术(Technique)以及多步骤网络攻击的攻击流程等信息,通过自动化工具或人工审阅,可提取出攻击报告中的所有攻击技术。
攻击战术查找步骤(步骤102):查找每一个攻击技术所对应的攻击战术(Tactic)。
在进行攻击技术序列生成时,存在某些攻击技术对应多种攻击战术,攻击技术映射至攻击战术的规则为:
当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在第i个攻击战术TAi包含唯一的攻击技术T,那么将攻击技术T映射至TAi;若存在多种攻击战术均包含唯一的攻击技术T,那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1;其中,TAn表示第n个攻击战术。
即当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在某攻击战术TAi仅包含唯一的攻击技术T,那么将该技术T映射至TAi,若存在多种攻击战术均只包含唯一的攻击技术T,那么将该技术映射至这些战术里逻辑次序最靠前的战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1
攻击技术序列获取步骤(步骤103):按照攻击战术预定义逻辑次序关系将攻击技术进行排列,得到网络威胁情报报告对应的攻击技术序列,攻击技术序列作为正样本存储于数据库中。
具体为,按照攻击战术预定义逻辑次序关系将攻击技术进行排列,即可得到该攻击报告所对应的攻击技术序列。
经上述方法处理后,每一个CTI报告均可提取出一个攻击技术序列,该序列可作为一例正样本存储于数据库中。
负样本获取步骤(步骤104):通过对正样本进行负采样获得负样本。
具体为,本发明中通过对正样本进行负采样获得负样本,负采样可以采用多种方法实现:如随机生成攻击技术序列、将正样本进行倒序处理生成攻击技术序列、从计算机系统日志中提取正常运行时的EDR产生的告警序列等。
分类模型获取步骤(步骤105):获取预定数量的正样本和负样本后,通过编码技术将攻击技术映射至向量空间,此后将正样本和负样本输入基于序列的分类模型中进行训练,得到多步骤攻击分类模型。在攻击技术输入至Bi-LSTM模型之前,首先将由字符串表示的攻击技术映射为一个向量,然后输入到模型里,映射方法包括但不限于one-hot(独热)编码、词向量编码、图嵌入编码等。在实施例中,每一个提取出的攻击技术在被输入Bi-LSTM模型前,都会经过编码步骤。
具体为,获取数量足够多的正负样本后,将样本中的攻击技术通过独热编码、词向量编码、图嵌入编码技术中的一种映射至向量空间,此后即可将正负样本输入基于序列的分类器中进行训练,得到多步骤攻击分类器。
在完成离线训练后,本发明的系统即可部署至待保护的计算机系统中。本发明在线运行需要在待保护的计算机系统中安装EDR工具。在线运行阶段工作的逻辑步骤可总结如下:在线运行步骤:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。
在线运行步骤包括如下步骤:
原始攻击技术序列获取步骤(步骤201):EDR工具在运行过程中产生日志记录,其中日志根据预定义规则被映射到攻击技术上,即为原始攻击技术,周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列。
具体为,EDR工具在运行过程中会产生大量的日志记录,其中部分日志将会根据预定义规则被映射到攻击技术上,即为原始告警,本发明周期性地将这些攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列。
攻击技术合并步骤(步骤202):若原始攻击序列中存在相邻的相同的攻击技术,则合并为一个攻击技术。
候选攻击序列确定步骤(步骤203):多步骤攻击从攻击技术序列中的任意攻击技术开始,遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列,若预定子序列中攻击技术数目大于预设阈值τ1,则预定子序列为候选攻击序列,则将候选攻击序列加入到候选攻击序列集合中。
即多步骤攻击可能从攻击技术序列中的任何一个技术开始,本发明遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的最长子序列,若序列中攻击技术数目大于预设阈值τ1,则将该攻击序列加入到候选攻击序列集合中。
评分步骤(步骤204):将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类模型中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到预定评分的候选攻击技术序列。
即将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类器中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到评分最高的候选攻击技术序列。
警报发出步骤(步骤205):若预定评分的分值大于预设阈值τ2,则存在多步骤攻击,发出警报。
即若最高的分值大于预设阈值τ2,则发出警报,并将评分最高的攻击技术序列及其对应底层日志送至安全专家进一步分析。
呈现步骤:将构成多步骤网络攻击的攻击技术序列呈现至安全专家,做进一步分析。
本发明涉及基于TTP(Tactics,Techniques and Procedures)的,面向多步骤网络攻击的检测与场景还原。本发明在离线训练阶段,本发明接收真实的多步骤攻击报告中提取出的攻击技术序列以训练基于序列的分类模型;在在线运行阶段,本发明接收来自EDR系统的安全告警事件,整理出其中的攻击技术序列,在进行过滤处理并向量化后输入基于序列的分类模型以判断是否存在多步骤网络攻击,最后将构成多步骤攻击的攻击技术序列呈现至安全专家,提升多步骤攻击检测与场景还原的自动化水平。
本发明将处理序列化信息的神经网络分类模型引入多步骤攻击的检测中,使用真实世界的多步骤攻击报告中提取出的攻击技术序列用以训练基于序列的分类模型,并使用训练完成的模型对EDR系统产生的告警进行关联,从而进行多步骤攻击的检测并还原多步骤攻击场景。
本发明实施例一还公开了一种基于TTP的多步骤攻击检测与场景还原的系统,如图1所示,包括离线训练模块和在线运行模块。
离线训练模块:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型。
离线训练模块包括如下模块:
攻击技术提取模块:通过审阅处理网络威胁情报报告,提取出网络威胁情报报告中的所有攻击技术。
攻击战术查找模块:查找每一个攻击技术所对应的攻击战术。
在进行攻击技术序列生成时,存在某些攻击技术对应多种攻击战术,攻击技术映射至攻击战术的规则为:
当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在第i个攻击战术TAi包含唯一的攻击技术T,那么将攻击技术T映射至TAi;若存在多种攻击战术均包含唯一的攻击技术T,那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1;其中,TAn表示第n个攻击战术。
攻击技术序列获取模块:按照攻击战术预定义逻辑次序关系将攻击技术进行排列,得到网络威胁情报报告对应的攻击技术序列,攻击技术序列作为正样本存储于数据库中。
负样本获取模块:通过对正样本进行负采样获得负样本。
分类模型获取模块:获取预定数量的正样本和负样本后,通过编码技术将攻击技术映射至向量空间,此后将正样本和负样本输入基于序列的分类模型中进行训练,得到多步骤攻击分类模型。
在线运行模块:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。
在线运行模块包括如下模块:
原始攻击技术序列获取模块:EDR工具在运行过程中产生日志记录,其中日志根据预定义规则被映射到攻击技术上,即为原始攻击技术,周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列。
攻击技术合并模块:若原始攻击序列中存在相邻的相同的攻击技术,则合并为一个攻击技术。
候选攻击序列确定模块:多步骤攻击从攻击技术序列中的任意攻击技术开始,遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列,若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻击序列,则将候选攻击序列加入到候选攻击序列集合中。
评分模块:将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类模型中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到预定评分的候选攻击技术序列。
警报发出模块:若预定评分的分值大于预设阈值τ2,则存在多步骤攻击,发出警报。
呈现模块:将构成多步骤网络攻击的攻击技术序列呈现至安全专家,做进一步分析。
本发明实施例二公开了一种基于TTP的多步骤攻击检测与场景还原方法及系统,本实施例二的系统结构如图1所示,由两个阶段组成,分别为离线训练阶段和在线运行阶段。在离线训练完成后,本发明所述系统即可部署至需要保护的计算机系统中在线运行,下面分别介绍两个子阶段的实施方法。
本实施例二从MITRE ATT&CK网站上获取并解析数据,在经过预处理后将攻击技术及其所属战术储存至数据库中;预处理过程包含两方面:第一,原始的MITRE ATT&CK攻击战术中包含与攻击过程无关的攻击战术,如“IMPACT(后果)”,本实施例二将其舍弃:MITREATT&CK是一种网络空间安全知识库,ATT&CK的全称为Adversarial Tactics,Techniques,and Common Knowledge,文献里一般用MITRE ATT&CK指代该知识库。第二,原始数据中部分攻击技术包含子技术,如攻击技术Phishing(T1566)包含三个子技术,分别为Spearphishing Attachment(T1566.001),Spearphishing Link(T1566.002)和Spearphishing via Service(T1566.003);Phishing中文译文为网络钓鱼;SpearphishingAttachment的中文译文为通过附件进行网络钓鱼;Spearphishing Link的中文译文为通过链接进行网络钓鱼;Spearphishing via Service的中文译文为通过服务进行网络钓鱼;本实施例二将所有子技术统一映射到其对应原始技术,经处理后,数据库中包含的战术以及战术中下属的技术数目可总结至下表1:
表1数据库中包含的战术以及战术中下属的技术数目表
编号 攻击战术名称 下属攻击技术数目
1 Reconnaissance(侦察) 10
2 Resource Development(资源收集) 7
3 Initial Access(初始访问) 9
4 Execution(执行) 12
5 Persistence(持久化) 19
6 Privilege Escalation(权限提升) 13
7 Defense Evasion(防御绕过) 42
8 Credential Access(凭据访问) 16
9 Discovery(披露) 30
10 Lateral Movement(横向移动) 9
11 Collection(收集) 17
12 Command and Control(命令与控制) 16
13 Exfiltration(数据渗漏) 9
本实施例二进一步从网络上收集现实发生过的多步骤攻击报告,并使用自动化工具从中提取该攻击中所使用的攻击技术,如,在本实施例二中的离线训练阶段,使用自动化工具从某攻击报告中提取出如下攻击技术,如表2所示。
表2从攻击报告中提取出的攻击技术表
Figure BDA0003805059960000121
上表中的攻击技术T1072同时属于Execution和Lateral Movement两种攻击战术。注意到Lateral Movement战术有且仅有一个攻击技术:T1072,Execution战术中覆盖了T1059和T1204两种攻击技术,因此为了覆盖足够多的攻击战术,将T1072归为LateralMovement战术下,并按Lateral Movement在战术次序中的位置对T1072进行排序。按照图2所示步骤,可将上表中的攻击技术按其攻击战术顺序整理为攻击技术序列:[T1566,T1195,T1059,T1204,T1480,T1201,T1072,T1213],也即为一条正样本;
在本实施例二中,将每一条正样本进行倒序处理,即可得到相应的负样本。
本实施例二中共从所有可获得的CTI报告中提取攻击技术序列,每篇报告中提取正负样本各一条,共计提取1120条数据。参照图3所示,记一个攻击技术序列为Techi={T1,T2,...,Tj,...,Tm},其中Techi表示第i条攻击技术序列,集合中的Tj表示攻击序列中的第j个攻击技术。
本实施例二将攻击技术序列中的每一个攻击技术Tj进行独热编码,并使用双向长短期记忆网络(Bidirectional Long short-term Memory,Bi-LSTM)将独热编码后的攻击序列转换为一组隐状态向量{h1,h2,...,hm}。本实施例二中,双向长短期记忆网络从正向和反向对输入序列进行编码,相比于一般的循环神经网络(Recurrent Neural Network,RNN)和长短期记忆网络(Long short-term Memory,LSTM),Bi-LSTM在处理较长的序列信息时可以记忆更多的历史信息。在单向LSTM网络中,一般只使用最后一个隐状态,在双向LSTM网络中,每一个隐状态都包含所有时间点的信息,使用任意一个都可以,本实施例二中使用最后一个,仅为一种可行方案,使用其它的隐状态亦可。
如图3所示,在模型输出的阶段,Bi-LSTM分类器会将隐状态序列转换为一个浮点数分值。本实施例二中,Bi-LSTM分类器取隐状态序列中的最后一个向量hm,输入一个由全连接层和激活函数构成的神经网络中,使用公式ym=σ(W×hm+b)将隐状态向量转换为评分ym,其中:W和b是需要由训练得到的网络参数;σ为激活函数,在本实施例二中选用sigmoid函数,即S(x)=1/(1+e-x),使用sigmoid函数一方面可以为模型引入非线性,提高模型的分类能力,另一方面可以将输出值的值域限定在0~1,便于后续处理。隐状态(即hm)经过神经网络后变为一浮点数(即ym),ym为公式中的x,公式中的输出S(x)为模型的最终输出,在0~1之间,e表示自然常数,为自然对数函数的底数。本实施例二中多步骤攻击判定的阈值τ2选择为0.5,即若输出值高于0.5,判定输入的攻击技术序列可对应至多步骤攻击,否则判定不存在多步骤攻击。
在在线运行阶段,本发明周期性地读取并处理底层EDR工具的日志,从中解析出原始的攻击技术序列。本实施例二中,考虑一个如图4所示的多步骤攻击场景:攻击者利用漏洞CVE-2021-40444生成含有恶意代码的word文件,然后使用钓鱼邮件的方式将该恶意文档以附件的方式发送至受害人邮箱;受害人在不知情的情况下阅读邮件并下载该恶意文档;在打开文档时,文档中的恶意代码被执行,此时攻击者获取到受害人主机的控制权限,读取受害人主机数据后并将数据传至攻击者主机。
在上述过程中,本实施例二从部署于受害人主机的EDR系统中解析出共计45条告警,它们构成原始告警序列,如下:['T1222','T1222','T1222','T1078','T1078','T1098','T1098','T1566','T1566','T1566','T1078','T1078','T1078','T1078','T1204','T1548','T1548','T1098','T1098','T1098','T1078','T1078','T1078','T1078','T1078','T1078','T1078','T1548','T1548','T1547','T1547','T1547','T1547','T1547','T1547','T1547','T1547','T1566','T1566','T1078','T1059','T1557','T1222','T1222','T1078'];按照如图5所示的步骤进行处理:根据步骤202,首先若存在相邻的、相同的攻击技术,则合并为一个,如原始攻击序列中开始存在3个相同的攻击技术'T1222',按本实施例二所述方法应合并为一个,经步骤202处理后的攻击序列仅包含17个攻击技术告警:['T1222','T1547','T1098','T1566','T1547','T1204','T1548','T1098','T1547','T1548','T1078','T1566','T1547','T1059','T1557','T1222','T1547'],接下来按照步骤203所述方法,遍历上述17个攻击技术作为子序列的起始攻击技术,并以该攻击技术为起点抽取上述攻击序列中符合战术次序的最长子攻击序列,并保留含序列长度大于等于5(即本实施例二中,τ1=5)的候选攻击序列加入到候选攻击技术序列集合中,得到的候选攻击技术序列集合如表3以及图6所示:
表3候选攻击技术序列内容表
编号 候选攻击技术序列内容
1 ['T1547','T1098','T1548','T1078','T1557']
2 ['T1098','T1547','T1548','T1078','T1557']
3 ['T1566','T1204','T1098','T1547','T1548','T1078','T1557']
4 ['T1547','T1098','T1548','T1078','T1557']
5 ['T1204','T1098','T1547','T1548','T1078','T1557']
6 ['T1098','T1547','T1548','T1078','T1557']
得到以上候选攻击技术序列后,参考图5中步骤204所述,将所有候选攻击技术序列使用独热编码向量化后输入Bi-LSTM分类器中,可为每一个候选攻击技术序列得到一个多步骤攻击可能性评分,整理如下表4所示:
表4多步骤攻击可能性评分表
编号 1 2 3 4 5 6
分值 0.3179 0.3601 0.9475 0.3890 0.3373 0.3163
由上表以及图6可见,编号为3的攻击技术序列得到的评分分值最高,为0.9475,同时,该评分大于本实施例二中的预设阈值τ2(0.5),模型发出存在多步骤攻击的警报,并将如表5所示的攻击技术序列及其对应的EDR底层日志作为还原后的攻击场景,发送至安全专家,进行进一步的分析。
表5攻击技术及攻击技术所属战术表
Figure BDA0003805059960000151
在仿真测试环境下,本实施例二所述分类模型可以达到93.43%的查准率和100%的查全率,即本实施例二对应模型可以检测出待部署系统中所发生的多步骤攻击,同时误报在可接受范围内,表明本实施例二所述系统具有面向多步骤网络的攻击的检测与场景还原能力。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、模块、单元以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以,本发明提供的系统及其各项装置、模块、单元可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构;也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
在本申请的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
以上对本发明的具体实施例二进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例二和实施例二中的特征可以任意相互组合。

Claims (10)

1.一种基于TTP的多步骤攻击检测与场景还原的方法,其特征在于,包括如下步骤:
离线训练步骤:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型;
在线运行步骤:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。
2.根据权利要求1所述的基于TTP的多步骤攻击检测与场景还原的方法,其特征在于,所述离线训练步骤包括如下步骤:
攻击技术提取步骤:通过审阅处理网络威胁情报报告,提取出网络威胁情报报告中的所有攻击技术;
攻击战术查找步骤:查找每一个攻击技术所对应的攻击战术;
攻击技术序列获取步骤:按照攻击战术预定义逻辑次序关系将攻击技术进行排列,得到网络威胁情报报告对应的攻击技术序列,攻击技术序列作为正样本存储于数据库中;
负样本获取步骤:通过对正样本进行负采样获得负样本;
分类模型获取步骤:获取预定数量的正样本和负样本后,通过编码技术将攻击技术映射至向量空间,此后将正样本和负样本输入基于序列的分类模型中进行训练,得到多步骤攻击分类模型。
3.根据权利要求1所述的基于TTP的多步骤攻击检测与场景还原的方法,其特征在于,所述在线运行步骤包括如下步骤:
原始攻击技术序列获取步骤:EDR工具在运行过程中产生日志记录,其中日志根据预定义规则被映射到攻击技术上,即为原始攻击技术,周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列;
攻击技术合并步骤:若原始攻击序列中存在相邻的相同的攻击技术,则合并为一个攻击技术;
候选攻击序列确定步骤:多步骤攻击从攻击技术序列中的任意攻击技术开始,遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列,若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻击序列,则将候选攻击序列加入到候选攻击序列集合中;
评分步骤:将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类模型中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到预定评分的候选攻击技术序列;
警报发出步骤:若预定评分的分值大于预设阈值τ2,则存在多步骤攻击,发出警报。
4.根据权利要求1所述的基于TTP的多步骤攻击检测与场景还原的方法,其特征在于,该方法还包括呈现步骤:将构成多步骤网络攻击的攻击技术序列呈现至安全专家,做进一步分析。
5.根据权利要求2所述的基于TTP的多步骤攻击检测与场景还原的方法,其特征在于,在所述攻击战术查找步骤中,在进行攻击技术序列生成时,存在某些攻击技术对应多种攻击战术,攻击技术映射至攻击战术的规则为:
当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在第i个攻击战术TAi包含唯一的攻击技术T,那么将攻击技术T映射至TAi;若存在多种攻击战术均包含唯一的攻击技术T,那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1;其中,TAn表示第n个攻击战术。
6.一种基于TTP的多步骤攻击检测与场景还原的系统,其特征在于,包括如下模块:
离线训练模块:在离线训练阶段,接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型;
在线运行模块:在在线运行阶段,接收来自终端检测和响应系统的安全告警事件,整理出安全告警事件中的攻击技术序列;将整理出的攻击技术序列进行处理后,输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。
7.根据权利要求6所述的基于TTP的多步骤攻击检测与场景还原的系统,其特征在于,所述离线训练模块包括如下模块:
攻击技术提取模块:通过审阅处理网络威胁情报报告,提取出网络威胁情报报告中的所有攻击技术;
攻击战术查找模块:查找每一个攻击技术所对应的攻击战术;
攻击技术序列获取模块:按照攻击战术预定义逻辑次序关系将攻击技术进行排列,得到网络威胁情报报告对应的攻击技术序列,攻击技术序列作为正样本存储于数据库中;
负样本获取模块:通过对正样本进行负采样获得负样本;
分类模型获取模块:获取预定数量的正样本和负样本后,通过编码技术将攻击技术映射至向量空间,此后将正样本和负样本输入基于序列的分类模型中进行训练,得到多步骤攻击分类模型。
8.根据权利要求6所述的基于TTP的多步骤攻击检测与场景还原的系统,其特征在于,所述在线运行模块包括如下模块:
原始攻击技术序列获取模块:EDR工具在运行过程中产生日志记录,其中日志根据预定义规则被映射到攻击技术上,即为原始攻击技术,周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来,形成原始攻击技术序列;
攻击技术合并模块:若原始攻击序列中存在相邻的相同的攻击技术,则合并为一个攻击技术;
候选攻击序列确定模块:多步骤攻击从攻击技术序列中的任意攻击技术开始,遍历原始攻击序列中所有攻击技术,并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列,若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻击序列,则将候选攻击序列加入到候选攻击序列集合中;
评分模块:将候选攻击序列集合中的所有候选攻击序列向量化,并输入基于序列的分类模型中,为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分;并找到预定评分的候选攻击技术序列;
警报发出模块:若预定评分的分值大于预设阈值τ2,则存在多步骤攻击,发出警报。
9.根据权利要求6所述的基于TTP的多步骤攻击检测与场景还原的系统,其特征在于,该系统还包括呈现模块:将构成多步骤网络攻击的攻击技术序列呈现至安全专家,做进一步分析。
10.根据权利要求7所述的基于TTP的多步骤攻击检测与场景还原的系统,其特征在于,在所述攻击战术查找模块中,在进行攻击技术序列生成时,存在某些攻击技术对应多种攻击战术,攻击技术映射至攻击战术的规则为:
当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时,若存在第i个攻击战术TAi包含唯一的攻击技术T,那么将攻击技术T映射至TAi;若存在多种攻击战术均包含唯一的攻击技术T,那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战术;若所有的攻击战术均包含不止一种攻击技术,将攻击技术T映射至在逻辑次序中最靠前的攻击战术,即TA1;其中,TAn表示第n个攻击战术。
CN202210994619.3A 2022-08-18 2022-08-18 基于ttp的多步骤攻击检测与场景还原的方法及系统 Active CN115396169B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210994619.3A CN115396169B (zh) 2022-08-18 2022-08-18 基于ttp的多步骤攻击检测与场景还原的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210994619.3A CN115396169B (zh) 2022-08-18 2022-08-18 基于ttp的多步骤攻击检测与场景还原的方法及系统

Publications (2)

Publication Number Publication Date
CN115396169A true CN115396169A (zh) 2022-11-25
CN115396169B CN115396169B (zh) 2024-06-25

Family

ID=84120111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210994619.3A Active CN115396169B (zh) 2022-08-18 2022-08-18 基于ttp的多步骤攻击检测与场景还原的方法及系统

Country Status (1)

Country Link
CN (1) CN115396169B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801458A (zh) * 2023-02-02 2023-03-14 南京赛宁信息技术有限公司 一种针对多步攻击的实时攻击场景重构方法、系统与设备
CN116318929A (zh) * 2023-03-07 2023-06-23 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种基于安全告警数据的攻击策略抽取方法

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN101282332A (zh) * 2008-05-22 2008-10-08 上海交通大学 面向网络安全告警关联的攻击图生成系统
CN102546638A (zh) * 2012-01-12 2012-07-04 冶金自动化研究设计院 一种基于场景的混合入侵检测方法及系统
US20130291108A1 (en) * 2012-04-26 2013-10-31 Electronics And Telecommunications Research Institute Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining
CN104885427A (zh) * 2012-12-06 2015-09-02 波音公司 用于威胁检测的情景感知型网络安全监控
CN106899435A (zh) * 2017-02-21 2017-06-27 浙江大学城市学院 一种面向无线入侵检测系统的复杂攻击识别技术
US20180069876A1 (en) * 2016-09-06 2018-03-08 Radware, Ltd. System and method for predictive attack sequence detection
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN109327480A (zh) * 2018-12-14 2019-02-12 北京邮电大学 一种基于神经网络和贝叶斯网络攻击图的多步攻击场景挖掘方法
US20190182274A1 (en) * 2017-12-11 2019-06-13 Radware, Ltd. Techniques for predicting subsequent attacks in attack campaigns
CN111627044A (zh) * 2020-04-26 2020-09-04 上海交通大学 基于深度网络的目标追踪攻击与防御方法
CN113591962A (zh) * 2021-07-22 2021-11-02 国网山西省电力公司营销服务中心 一种网络攻击样本生成方法及装置
US11290483B1 (en) * 2020-04-07 2022-03-29 Anvilogic, Inc. Platform for developing high efficacy detection content
CN114915478A (zh) * 2022-05-19 2022-08-16 东南大学溧阳研究院 基于多Agent的分布式关联分析的智慧园区工控系统网络攻击场景识别方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN101282332A (zh) * 2008-05-22 2008-10-08 上海交通大学 面向网络安全告警关联的攻击图生成系统
CN102546638A (zh) * 2012-01-12 2012-07-04 冶金自动化研究设计院 一种基于场景的混合入侵检测方法及系统
US20130291108A1 (en) * 2012-04-26 2013-10-31 Electronics And Telecommunications Research Institute Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining
CN104885427A (zh) * 2012-12-06 2015-09-02 波音公司 用于威胁检测的情景感知型网络安全监控
US20180069876A1 (en) * 2016-09-06 2018-03-08 Radware, Ltd. System and method for predictive attack sequence detection
CN106899435A (zh) * 2017-02-21 2017-06-27 浙江大学城市学院 一种面向无线入侵检测系统的复杂攻击识别技术
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
US20190182274A1 (en) * 2017-12-11 2019-06-13 Radware, Ltd. Techniques for predicting subsequent attacks in attack campaigns
CN109327480A (zh) * 2018-12-14 2019-02-12 北京邮电大学 一种基于神经网络和贝叶斯网络攻击图的多步攻击场景挖掘方法
US11290483B1 (en) * 2020-04-07 2022-03-29 Anvilogic, Inc. Platform for developing high efficacy detection content
CN111627044A (zh) * 2020-04-26 2020-09-04 上海交通大学 基于深度网络的目标追踪攻击与防御方法
CN113591962A (zh) * 2021-07-22 2021-11-02 国网山西省电力公司营销服务中心 一种网络攻击样本生成方法及装置
CN114915478A (zh) * 2022-05-19 2022-08-16 东南大学溧阳研究院 基于多Agent的分布式关联分析的智慧园区工控系统网络攻击场景识别方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Y. S. TAKEY等: ""Real Time early Multi Stage Attack Detection"", 《2021 7TH INTERNATIONAL CONFERENCE ON ADVANCED COMPUTING AND COMMUNICATION SYSTEMS (ICACCS)》, 3 June 2021 (2021-06-03) *
武斌;杨义先;郑康锋;: "入侵检测中基于序列模式的告警关联分析", 电子科技大学学报, no. 03, 31 May 2009 (2009-05-31) *
马进;金茂菁;杨永丽;张健: "基于序列模式挖掘的隐私保护多步攻击关联算法", 清华大学学报(自然科学版), no. 010, 31 December 2012 (2012-12-31) *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801458A (zh) * 2023-02-02 2023-03-14 南京赛宁信息技术有限公司 一种针对多步攻击的实时攻击场景重构方法、系统与设备
CN116318929A (zh) * 2023-03-07 2023-06-23 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种基于安全告警数据的攻击策略抽取方法
CN116318929B (zh) * 2023-03-07 2023-08-29 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种基于安全告警数据的攻击策略抽取方法

Also Published As

Publication number Publication date
CN115396169B (zh) 2024-06-25

Similar Documents

Publication Publication Date Title
CN112069485B (zh) 基于用户行为的安全处理方法、装置及设备
Ourston et al. Applications of hidden markov models to detecting multi-stage network attacks
Sun et al. Detecting anomalous user behavior using an extended isolation forest algorithm: an enterprise case study
CN107154950B (zh) 一种日志流异常检测的方法及系统
CN115396169B (zh) 基于ttp的多步骤攻击检测与场景还原的方法及系统
CN110909348B (zh) 一种内部威胁检测方法及装置
CN111953697B (zh) 一种apt攻击识别及防御方法
CN111259219B (zh) 恶意网页识别模型建立方法、识别方法及系统
CN105376193B (zh) 安全事件的智能关联分析方法与装置
CN112839014B (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN115643035A (zh) 基于多源日志的网络安全态势评估方法
GB2583892A (en) Adaptive computer security
Teoh et al. Analyst intuition based Hidden Markov Model on high speed, temporal cyber security big data
CN110598397A (zh) 一种基于深度学习的Unix系统用户恶意操作检测方法
CN118316723A (zh) 一种基于网络风险检测的网络安全评估方法及系统
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
Ourston et al. Coordinated internet attacks: responding to attack complexity
CN112287345B (zh) 基于智能风险检测的可信边缘计算系统
CN112073396A (zh) 一种内网横向移动攻击行为的检测方法及装置
CN111970272A (zh) 一种apt攻击操作识别方法
CN112052453A (zh) 基于Relief算法的webshell检测方法及装置
CN110808947A (zh) 一种自动化的脆弱性量化评估方法及系统
CN115664931A (zh) 一种告警数据的关联方法、装置、存储介质及设备
CN112073362B (zh) 一种基于流量特征的apt组织流量识别方法
CN114860903A (zh) 一种面向网络安全领域的事件抽取、分类和融合方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant