CN115499169A - 一种基于因果图的多阶段攻击过程重构方法 - Google Patents
一种基于因果图的多阶段攻击过程重构方法 Download PDFInfo
- Publication number
- CN115499169A CN115499169A CN202211008675.1A CN202211008675A CN115499169A CN 115499169 A CN115499169 A CN 115499169A CN 202211008675 A CN202211008675 A CN 202211008675A CN 115499169 A CN115499169 A CN 115499169A
- Authority
- CN
- China
- Prior art keywords
- nodes
- attack
- causal graph
- edges
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 114
- 230000008569 process Effects 0.000 title claims abstract description 83
- 230000001364 causal effect Effects 0.000 title claims abstract description 46
- 230000003211 malignant effect Effects 0.000 claims abstract description 27
- 230000003993 interaction Effects 0.000 claims abstract description 8
- 238000007781 pre-processing Methods 0.000 claims abstract description 7
- 238000012550 audit Methods 0.000 claims abstract description 6
- 230000000694 effects Effects 0.000 claims abstract description 4
- 238000005206 flow analysis Methods 0.000 claims abstract description 4
- 238000001514 detection method Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 3
- 230000002349 favourable effect Effects 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000012800 visualization Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010367 cloning Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于因果图的多阶段攻击过程重构方法,包括:从检测到的网络攻击事件中提取事件主体,主体类型包括IP地址、进程、文件、服务;从主机的审计日志、网络流分析日志以及进程和服务的日志信息中抽取事件主体相关的日志信息;对提取到的日志信息进行预处理,从中提取更细粒度的主体作为因果图的节点;从日志信息中提取节点间的交互及时间戳信息,作为因果图的边;根据攻击事件主体和因果图的节点之间的关系,把攻击事件涉及的因果图的节点标记为恶性节点;把因果图恶性节点涉及的边按时间戳排序,构成反映整个攻击过程的详细步骤<源节点、边、目的节点、时间戳>序列,实现对整个多阶段攻击过程的细粒度重构;本发明基于检测到的零散攻击事件,从日志信息中重构出多阶段的攻击过程,更加细粒度地复盘了攻击链,更加有利于网络安全员对网络安全状况做出综合评判并进行针对性防御部署。
Description
技术领域
本发明涉及网络安全领域入侵检测技术,特别涉及一种基于因果图的多阶段攻击过程重构方法。
背景技术
随着互联网、云计算、物联网等技术的发展,越来越多的设备、信息实现了联网,给网络安全、数据安全等带来了极大的挑战。利用深度学习和图方法实现入侵检测,对网络安全的研究及应用具有重大的意义。
在现有技术中,倾向于针对特定的攻击行为设定检测规则实现对已知攻击行为的检测,或者直接利用深度学习方法对网络流进行良性和恶性二分类。基于特定规则的方法只能检测特定的攻击行为,简单地利用深度学习方法进行二分类忽略了网络拓扑连接和攻击过程的上下文特征。上述检测方式只孤立地检测各个攻击步骤,并未把各个攻击行为重构出一个完整的攻击过程。
发明内容
为了克服上述现有技术存在的缺陷,本发明提出了一种基于因果图的多阶段攻击过程重构方法,基于已经检测到的若干个攻击事件,对主机审计日志、网络流日志及其它日志信息进行分析,构建因果图,根据攻击事件对因果图进行分析,在细粒度上重构出详细的多阶段攻击过程;本发明更加细粒度地复盘了攻击链,更加有利于网络安全员对网络安全状况做出综合评判并进行针对性防御部署。
为实现上述目的,本发明提供如下技术方案:
一种基于因果图的多阶段攻击过程重构方法,具体包括以下步骤:
1)从检测到的网络攻击事件中提取事件主体,主体类型包括IP地址、进程、文件、服务;
2)从主机的审计日志、网络流分析日志以及进程和服务的日志信息中抽取事件主体相关的日志信息;
3)对步骤2)提取到的日志信息进行预处理,从中提取更细粒度的主体作为因果图的节点;
4)从步骤3)日志信息中提取节点间的交互及时间戳信息,作为因果图的边;
5)根据步骤1)的攻击事件主体和步骤3)的因果图的节点之间的关系,把攻击事件涉及的因果图的节点标记为恶性节点;
6)把因果图恶性节点涉及的边按时间戳排序,构成反映整个攻击过程的详细步骤<源节点、边、目的节点、时间戳>序列,实现对整个多阶段攻击过程的细粒度重构。
所述步骤1)中,网络攻击事件是通过已知的入侵检测方式获得的。
所述步骤2)中不同类型的日志中提取出与攻击事件主体相关的日志信息,相关日志信息涉及步骤1中提取的IP地址、进程、文件、服务等攻击事件主体。
所述步骤3)中,预处理指对如文件读写删除执行、网络连接建立及数据传输、会话建立及完成等日志信息进行解析,提取IP地址、网络连接、会话、文件与进程的关系。
所述步骤3)中,细粒度的主体类型包括IP地址、进程、文件、网络连接、会话。
所步骤4)中,因果图节点间的边,表征了节点之间的交互关系,边类型包括读、写、删除、执行、克隆、请求、绑定、发送、接收、连接、解析。
所述步骤5)中,一个攻击事件主体通常关联多个因果图节点,包括一个IP 地址涉及多个网络连接和会话、一个进程读写文件并网络传输数据等;把这些与攻击事件主体关联的所有因果图的节点都标记成恶性节点。
所述步骤6)中,所述因果图恶性节点涉及的边既包括两个恶性节点之间的边,也包括恶性节点与非恶性节点之间的边;如果两个节点之间存在时间戳不同的多条边,那么这些边都要包括进来;把上述边按时间戳排序,节点、边、时间戳的序列即表征了多阶段攻击过程的细粒度重构结果。
与现有技术相比,本发明的有益效果是:
本发明采用因果图方法,以检测到的攻击事件为依据,从日志信息中重构出细粒度的攻击过程。重构的攻击过程不是简单地把检测到的攻击事件按时间顺序和攻击链逻辑串起来,而是深入到攻击事件的详细步骤,更加细粒度地重构出详细的攻击过程,更加有利于网络安全员对网络安全状况做出综合评判并进行针对性防御部署。
附图说明
为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1为本发明的工作流程图。
图2为本发明重构出的多阶段攻击过程的可视化。
图3为本发明图2示例的字段解释列表。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
一种基于因果图的多阶段攻击过程重构方法,具体包括以下步骤:
1)从检测到的网络攻击事件中提取事件主体,主体类型包括IP地址、进程、文件、服务;
2)从主机的审计日志、网络流分析日志以及进程和服务的日志信息中抽取事件主体相关的日志信息;
3)对步骤2)提取到的日志信息进行预处理,从中提取更细粒度的主体作为因果图的节点;
4)从步骤3)日志信息中提取节点间的交互及时间戳信息,作为因果图的边;
5)根据步骤1)的攻击事件主体和步骤3)的因果图的节点之间的关系,把攻击事件涉及的因果图的节点标记为恶性节点;
6)把因果图恶性节点涉及的边按时间戳排序,构成反映整个攻击过程的详细步骤<源节点、边、目的节点、时间戳>序列,实现对整个多阶段攻击过程的细粒度重构。
所述步骤1)中,网络攻击事件是通过已知的入侵检测方式获得的。
所述步骤2)中不同类型的日志中提取出与攻击事件主体相关的日志信息,相关日志信息涉及步骤1中提取的IP地址、进程、文件、服务等攻击事件主体。
所述步骤3)中,预处理指对如文件读写删除执行、网络连接建立及数据传输、会话建立及完成等日志信息进行解析,提取IP地址、网络连接、会话、文件与进程的关系。
所述步骤3)中,细粒度的主体类型包括IP地址、进程、文件、网络连接、会话。
所步骤4)中,因果图节点间的边,表征了节点之间的交互关系,边类型包括读、写、删除、执行、克隆、请求、绑定、发送、接收、连接、解析。
所述步骤5)中,一个攻击事件主体通常关联多个因果图节点,包括一个IP 地址涉及多个网络连接和会话、一个进程读写文件并网络传输数据等;把这些与攻击事件主体关联的所有因果图的节点都标记成恶性节点。
所述步骤6)中,所述因果图恶性节点涉及的边既包括两个恶性节点之间的边,也包括恶性节点与非恶性节点之间的边;如果两个节点之间存在时间戳不同的多条边,那么这些边都要包括进来;把上述边按时间戳排序,节点、边、时间戳的序列即表征了多阶段攻击过程的细粒度重构结果。
实施例1
图2示例了一个使用本发明方法重构出的一个多阶段攻击过程的可视化结果,图3列表中给出了图2所示攻击过程的相关字段的详细解释。
从图2和图3列表所示的攻击过程来看,重构出的攻击过程是细粒度的攻击过程,其粒度已经不仅仅局限在图3列表中“APT战术”列所示的杀伤链的各个阶段,而是深入到了具体使用的什么“APT技术”以及具体使用了什么系统调用来具体执行该技术。节点信息也更加细粒度,详细到了具体执行的什么指令。不管是CKC(Cyber Kill Chain)模型还是MITRE的ATT&CK框架,都最多分析到技术级,而本发明则更加细粒度地重构攻击过程。
根据图1所示流程及图2所示重构结果,入侵检测系统可能分析出了零散的攻击事件,如Firefox下载了恶意文件、建立了立足点与不信任地址进行通信等,但是这些攻击事件并不能完整地体现出攻击过程,特别是其中的两个C2过程是与不同的外部IP地址建立连接时。但是,本方法可以从更加细粒度分析文件操作及信息获取流程,从而可以把原本不直接关联的攻击步骤给关联起来,从而重构出完整攻击过程。
如图2所示的重构结果,在步骤3的实施流程中,提取了细粒度的主体信息,这些主体不局限在某个外部域名或IP、某个恶意文件等,而且更加细粒度地分析到了具体执行的系统调用或指令。当然,图2并未展示全部的详细步骤,像 Firefox浏览器的会话等也完全可以从浏览器日志中分析出来。本发明方法具备一定的伸缩性,针对不同级别的日志信息输入,可以分析出不同层次、不同方面的攻击过程。
如图2所示的重构结果,在步骤4的实施流程中,以细粒度的主体节点分析了主体间的交互关系,这种分析进一步把不同类型的主体给关联起来。例如,恶意文件TrojanFile(tedit)和恶意进程Executed Trojan Process有效地关联了起来,这种关联可以促使对恶意进程的恶意推定,假设该进程的相关操作都是恶意操作,从而以此为线索关联出更加详细的攻击过程。在恶意进程的相关操作中,如果不是建立在该进程就是恶意进程的前提下,很多操作都和正常操作完全相同,现有的一些入侵检测手段完全无法应对这种情况。例如,该恶意进程创建了Shell执行whoami、ifconfig指令,这孤立来看完全就是合法操作,但一旦和恶意进程关联起来,就构成了内部侦察的攻击步骤。
如图2所示的重构结果,在步骤5的实施流程中,会根据检测到的攻击事件为线索标记涉及的因果图节点为恶性节点。例如,当入侵检测系统识别出恶意软件“Trojan File(tedit)”时,那恶意软件执行后的进程也要被标记成恶性节点。通过这种方式,可以实现攻击链的聚合和扩展。
如图2所示的重构结果,在步骤6的实施流程中,会根据恶性节点涉及的边根据时间戳进行排序,梳理出完整的详细的多阶段攻击流程。在图2所示的重构结果可视化中,圆圈表征的是节点,圆圈间的直线表示节点间的边即攻击过程。图2示例中,在边的命名上涵盖了具体步骤排序(s1~s16)、每步攻击所用的战术(IC/EF/IR/Ex/Cl等缩写)和技术(UR/UW/UFE/SE/SR/SC/C2/SL/UFR等缩写)、以及具体操作,详情及缩写的解释如图3列表所示。这类重构结果既在APT的战术和技术层次进行梳理,又详细给出了每步技术的具体操作流程,方便网络安全员进行分析研判。
对于本实例,其结果受输入的攻击事件以及所能读取的日志信息的限制。本发明不做具体的入侵检测,而是以已经检测到的攻击事件为线索,重构出攻击过程。本发明对攻击过程的重构依赖于日志信息,因此日志信息中涵盖的信息的全面性也影响本发明方法的运行结果。但是,对一个网络主机特别是服务器来说,审计日志的范围、各类型日志的记录内容是可以进行配置的。因此,在应用本发明方法时,网络安全员可以针对性地设置主机的日志系统,以便可以完整地记录攻击过程,便于本发明方法以部分攻击事件为线索梳理重构完整的攻击过程。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (8)
1.一种基于因果图的多阶段攻击过程重构方法,其特征在于,具体包括以下步骤:
1)从检测到的网络攻击事件中提取事件主体,主体类型包括IP地址、进程、文件、服务;
2)从主机的审计日志、网络流分析日志以及进程和服务的日志信息中抽取事件主体相关的日志信息;
3)对步骤2)提取到的日志信息进行预处理,从中提取更细粒度的主体作为因果图的节点;
4)从步骤3)日志信息中提取节点间的交互及时间戳信息,作为因果图的边;
5)根据步骤1)的攻击事件主体和步骤3)的因果图的节点之间的关系,把攻击事件涉及的因果图的节点标记为恶性节点;
6)把因果图恶性节点涉及的边按时间戳排序,构成反映整个攻击过程的详细步骤<源节点、边、目的节点、时间戳>序列,实现对整个多阶段攻击过程的细粒度重构。
2.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法,其特征在于,所述步骤1)中,网络攻击事件是通过已知的入侵检测方式获得的。
3.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法,其特征在于,从所述步骤2中不同类型的日志中提取出攻击事件主体相关的日志信息,所述的相关日志条目涉及步骤1中提取的IP地址、进程、文件、服务等攻击事件主体。
4.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法,其特征在于,所述步骤3中,预处理指对如文件读写删除执行、网络连接建立及数据传输、会话建立及完成等日志信息进行解析,提取IP地址、网络连接、会话、文件与进程的关系。
5.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法,其特征在于,所述步骤3)中,细粒度的主体类型包括IP地址、进程、文件、网络连接、会话。
6.根据权利要求4所述的基于因果图的多阶段攻击过程重构方法,其特征在于,所步骤4)中,因果图节点间的边,表征了节点之间的交互关系,边类型包括读、写、删除、执行、克隆、请求、绑定、发送、接收、连接、解析。
7.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法,其特征在于,所述步骤5)中,一个攻击事件主体通常关联多个因果图节点,包括一个IP地址涉及多个网络连接和会话、一个进程读写文件并网络传输数据等;把这些与攻击事件主体关联的所有因果图的节点都标记成恶性节点。
8.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法,其特征在于,所述步骤6)中,所述因果图恶性节点涉及的边既包括两个恶性节点之间的边,也包括恶性节点与非恶性节点之间的边;如果两个节点之间存在时间戳不同的多条边,那么这些边都要包括进来;把上述边按时间戳排序,节点、边、时间戳的序列即表征了多阶段攻击过程的细粒度重构结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211008675.1A CN115499169A (zh) | 2022-08-22 | 2022-08-22 | 一种基于因果图的多阶段攻击过程重构方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211008675.1A CN115499169A (zh) | 2022-08-22 | 2022-08-22 | 一种基于因果图的多阶段攻击过程重构方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115499169A true CN115499169A (zh) | 2022-12-20 |
Family
ID=84465753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211008675.1A Pending CN115499169A (zh) | 2022-08-22 | 2022-08-22 | 一种基于因果图的多阶段攻击过程重构方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115499169A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
| US20190227860A1 (en) * | 2018-01-21 | 2019-07-25 | EMC IP Holding Company LLC | Root cause analysis for protection storage devices using causal graphs |
| CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
| CN113779574A (zh) * | 2021-08-09 | 2021-12-10 | 浙江工业大学 | 一种基于上下文行为分析的apt检测方法 |
| CN114117432A (zh) * | 2021-12-07 | 2022-03-01 | 上海交通大学 | 一种基于数据溯源图的apt攻击链还原系统 |
| CN114915479A (zh) * | 2022-05-18 | 2022-08-16 | 中国科学院信息工程研究所 | 一种基于Web日志的Web攻击阶段分析方法及系统 |
-
2022
- 2022-08-22 CN CN202211008675.1A patent/CN115499169A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
| US20190227860A1 (en) * | 2018-01-21 | 2019-07-25 | EMC IP Holding Company LLC | Root cause analysis for protection storage devices using causal graphs |
| CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
| CN113779574A (zh) * | 2021-08-09 | 2021-12-10 | 浙江工业大学 | 一种基于上下文行为分析的apt检测方法 |
| CN114117432A (zh) * | 2021-12-07 | 2022-03-01 | 上海交通大学 | 一种基于数据溯源图的apt攻击链还原系统 |
| CN114915479A (zh) * | 2022-05-18 | 2022-08-16 | 中国科学院信息工程研究所 | 一种基于Web日志的Web攻击阶段分析方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ma et al. | Protracer: Towards Practical Provenance Tracing by Alternating Between Logging and Tainting. | |
| Talukder et al. | A survey on malware detection and analysis tools | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US11138095B2 (en) | Identity propagation through application layers using contextual mapping and planted values | |
| Kälber et al. | Forensic application-fingerprinting based on file system metadata | |
| CN108351941B (zh) | 分析装置、分析方法、以及计算机可读存储介质 | |
| CN113139192A (zh) | 基于知识图谱的第三方库安全风险分析方法及系统 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN114117432A (zh) | 一种基于数据溯源图的apt攻击链还原系统 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| Yang et al. | Ratscope: Recording and reconstructing missing rat semantic behaviors for forensic analysis on windows | |
| Riadi et al. | Forensic analysis of Docker Swarm cluster using GRR Rapid Response framework | |
| Fatemi et al. | Threat hunting in windows using big security log data | |
| Resende et al. | Breaking MPC implementations through compression | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
| Mei et al. | CTScopy: hunting cyber threats within enterprise via provenance graph-based analysis | |
| CN115499169A (zh) | 一种基于因果图的多阶段攻击过程重构方法 | |
| CN115987638A (zh) | 一种网页漏洞检测方法、装置、设备及存储介质 | |
| Badawi et al. | Automatic detection and analysis of the “Game Hack” Scam | |
| Urbanska et al. | Structuring a vulnerability description for comprehensive single system security analysis | |
| TW201947441A (zh) | 資訊安全防護方法 | |
| Jin et al. | Dynamic cohesion measurement for distributed system | |
| CN115964713A (zh) | 大型企业内部自开发信息系统代码的安全测评方法及系统 | |
| Chen | Intrusion Response via Graph-Based Low-Level System Event Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |