CN115766258A - 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 - Google Patents
一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 Download PDFInfo
- Publication number
- CN115766258A CN115766258A CN202211472311.9A CN202211472311A CN115766258A CN 115766258 A CN115766258 A CN 115766258A CN 202211472311 A CN202211472311 A CN 202211472311A CN 115766258 A CN115766258 A CN 115766258A
- Authority
- CN
- China
- Prior art keywords
- attack
- graph
- causal
- event
- stage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 106
- 230000001364 causal effect Effects 0.000 title claims abstract description 48
- 230000008569 process Effects 0.000 claims abstract description 64
- 238000012550 audit Methods 0.000 claims abstract description 22
- 238000012545 processing Methods 0.000 claims abstract description 13
- 238000012163 sequencing technique Methods 0.000 claims abstract description 5
- 238000012549 training Methods 0.000 claims abstract description 4
- 238000001514 detection method Methods 0.000 claims description 9
- 230000003993 interaction Effects 0.000 claims description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000010367 cloning Methods 0.000 claims description 2
- 239000000284 extract Substances 0.000 abstract description 7
- 230000007123 defense Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 206010028980 Neoplasm Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 201000011510 cancer Diseases 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000036210 malignancy Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质,预测方法包括:对服务器审计日志信息进行处理,构建因果关系图;从已知的网络攻击事件中提取事件的主体;以攻击事件的主体为线索,从因果关系图中提取事件主体对应的攻击路径,按时间戳排序得到攻击序列;得到反映详细攻击步骤的抽象化数据序列;对已有网络攻击过程的多服务器的审计日志按上述步骤进行处理,批量构建攻击的抽象化数据序列,对基于LSTM网络的攻击趋势预测模型进行训练,基于已有攻击过程对多阶段攻击趋势的预测。本发明从大量的日志数据中提取属于某一攻击过程的序列,基于已有攻击过程实现攻击趋势的预测,预测精度高,降低了预测模型的学习难度。
Description
技术领域
本发明属于网络安全技术领域,涉及一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质。
背景技术
随着互联网、云计算、物联网等技术的发展,越来越多的设备、信息实现了联网,给网络安全、数据安全等带来了极大的挑战。
在现有技术中,倾向于直接对服务器的审计日志进行序列化处理,简单地标记每个日志条目是良性还是恶性,以及恶性的具体攻击类型,然后把这些序列输入给神经网络进行攻击趋势的预测;该类方法无差别地处理审计日志中的所有信息,对后续攻击步骤的预测能力不足。部分现有技术考虑到了要分析警报日志并关联安全事件,警报日志只能发现异常操作;且数据源自于安全设备,只能从安全设备的警报中进行攻击事件检测,所受约束较大。
发明内容
为了解决上述问题,本发明提供一种基于因果关系图的多阶段攻击趋势预测方法,从大量的日志数据中提取属于某一攻击过程的序列,基于已有攻击过程实现攻击趋势的预测,预测精度高,降低了预测模型的学习难度,解决了现有技术中存在的问题。
本发明的第二目的是,提供一种电子设备。
本发明的第三目的是,提供一种计算机存储介质。
本发明所采用的技术方案是,一种基于因果关系图的多阶段攻击趋势预测方法,包括以下步骤:
S1,对服务器审计日志信息进行处理,构建因果关系图;因果关系图的节点表征主体,主体包括IP地址、进程、文件、服务、用户账号、网络连接、会话;因果关系图的边表征主体之间的交互关系或关联关系;
S2,从已知的网络攻击事件中提取事件主体,主体的类型与S1相同;
S3,以攻击事件的主体为线索,从S1构建的因果关系图中提取事件主体对应的攻击路径,按时间戳排序得到攻击序列;
S4,对攻击序列对应的因果关系图的节点和边进行抽象化处理,得到反映详细攻击步骤的抽象化数据序列;
S5,对已有网络攻击过程的多服务器的审计日志按S1-S4的步骤进行处理,批量构建攻击的抽象化数据序列,对基于LSTM网络的攻击趋势预测模型进行训练,实现基于已有攻击过程对多阶段攻击趋势的预测。
进一步的,所述S1中,对服务器审计日志信息进行处理指:对文件读写删除执行、网络连接建立及数据传输、会话建立及完成、进程创建的日志信息进行解析,提取IP地址、进程、文件、服务、用户账号、网络连接、会话。
进一步的,所述S1中,主体之间的交互关系或关联关系包括读、写、删除、执行、克隆、请求、绑定、发送、接收、连接、解析。
进一步的,所述S2中,网络攻击事件通过已知的入侵检测方式获得。
进一步的,所述S3中,在S1构建的因果关系图中查找S2的攻击事件主体,并从攻击事件主体对应的节点出发,提取路径可达的子图,对子图中的三元组按边的时间戳排序,得到攻击序列。
进一步的,所述三元组包括源节点、边、目的节点,源节点和目的节点即S1中因果关系图中的节点,三元组的边即为因果关系图中的边。
进一步的,所述三元组的源节点为不信任的外部地址、浏览器、木马文件、被执行的木马进程、密码文件、dash进程、恶意可执行文件、被执行的恶意进程。
进一步的,所述S4中,从所有三元组组成的集合中剔除重复项,对剩余三元组按源节点的名称按首字母顺序进行排序,序号即为对应三元组的数字编码,通过数字编码替换攻击序列,得到抽象化的数据序列。
一种电子设备,采用上述方法实现多阶段攻击趋势预测。
一种计算机存储介质,所述存储介质中存储有至少一条程序指令,所述至少一条程序指令被处理器加载并执行以实现上述基于因果关系图的多阶段攻击趋势预测方法。
本发明的有益效果是:
本发明实施例基于服务器审计日志,构建表征运行过程的因果关系图,然后以检测到的攻击事件为线索从因果关系图中提取属于同一攻击事件上下文的攻击过程(攻击路径),结合已发生的攻击过程实现对多阶段攻击趋势的预测,有效应对时间上跨度较大的多阶段攻击,实现更精确的攻击趋势预测,预测精度更高,为网络防御提供指导。
本发明实施例能够在实际网络场景下实时部署,通过配合已有的入侵检测系统,实现了对实际攻击过程的实时检测以及对后续攻击趋势的预测,进而尽早部署防御措施。与现有常用的网络安全员回顾入侵检测系统的监测记录并手动部署防御措施相比,本发明实施例的方法能够对攻击过程早发现、早防御,提升了网络的安全性。
本发明实施例能够针对跨多服务器的多阶段攻击过程进行检测和预测。面对多服务器日志量巨大的问题,对每台服务器分别构建因果关系图,然后基于攻击事件的线索跨因果关系图提取攻击过程,进而实现对多阶段跨主机攻击趋势的预测,为攻击趋势预测提供了更多更有效的数据支撑,同时大大降低了预测模型的学习难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的流程图。
图2为本发明实施例多阶段攻击过程的可视化示意图。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于因果关系图的多阶段攻击趋势预测方法,如图1所示,包括以下步骤:
S1,对服务器审计日志信息进行处理,构建因果关系图。
对服务器审计日志信息进行处理是指:对文件读写删除执行、网络连接建立及数据传输、会话建立及完成、进程创建的日志信息进行解析,提取IP地址、进程、文件、服务、用户账号、网络连接、会话。因果关系图的节点表征IP地址、进程、文件、服务、用户账号、网络连接、会话等主体;因果关系图的边表征主体之间的交互关系或关联关系,包括读、写、删除、执行、克隆、请求、绑定、发送、接收、连接、解析等。
S2,通过已知的入侵检测方式获得网络攻击事件,从检测到的网络攻击事件中提取事件主体,主体类型包括IP地址、进程、文件、服务、用户账号、网络连接、会话等; S1与S2中主体类型完全相同,方便根据S2中的主体在S1构建的因果关系图中索引。
S3,以检测获取的攻击事件主体为线索,从因果关系图中提取出攻击路径,按时间戳排序得到攻击序列。具体的,在S1构建的因果关系图中查找S2得到的攻击事件主体,并从查找到的攻击事件主体节点出发,提取路径可达的子图,并对子图中<源节点、边、目的节点>模式的三元组按边的时间戳排序,得到攻击序列。
S4,对攻击序列对应的因果关系图的节点和边进行抽象化处理,得到反映详细攻击步骤的抽象化数据序列。从所有三元组组成的集合中剔除重复项,对剩余三元组按源节点的名称按首字母顺序进行排序,序号即为该三元组的数字编码,利用数字编码替换攻击序列得到抽象化的数据序列;把文本表示的三元组转化为了数字数据序列,方便输入S5中的神经网络进行处理。
S5,对已有网络攻击过程的多服务器的审计日志按S1-S4的步骤进行处理,批量构建攻击的抽象化数据序列(得到大批量的抽象化攻击数据序列),对基于LSTM网络的攻击趋势预测模型进行训练,实现基于已有攻击过程对多阶段攻击趋势的预测。通过深度学习方法,从提取的序列中自动学习预测模型,实现对下一步攻击趋势的预测,可以有效兼顾人为预设模型考虑不到的情况。
图2示例了一个使用本发明实施例的方法从服务器的审计日志中提取到的一个多阶段攻击过程的可视化结果;图2所示攻击过程的相关字段的详细解释见表1。
表1 攻击过程的相关字段
源节点和目的节点即为S1中构建的因果关系图中的节点(主体),边即为因果关系图中的边。
从图2和表1所示的攻击过程来看,本发明实施例使用因果关系图方法,结合已知的攻击事件,提取出的攻击过程,符合CKC(Cyber Kill Chain)模型或MITRE 的ATT&CK框架描述的多阶段攻击过程的攻击范式。在该攻击过程的上下文中对后续的攻击趋势进行预测,更加具备逻辑性。
根据图1所示流程及图2所示攻击过程,入侵检测系统分析出了零散的攻击事件,如Firefox下载了恶意文件、建立了立足点与不信任地址进行通信等,但是这些攻击事件并不能完整地体现出攻击过程,特别是其中的两个C2过程是与不同的外部IP地址建立连接时。但是,本发明实施例的方法可以根据S1-S3的步骤从更加细粒度分析文件操作及信息获取流程,从而可以把原本不直接关联的攻击步骤给关联起来,从而提取出已经发生的攻击过程。
图2和表1所示的攻击过程在服务器的审计日志上并不是连续发生的,服务器在运行过程中会产生大量的属于正常活动的日志信息,这些信息会把攻击过程给分离开。已有的直接基于审计日志条目进行趋势预测的方法在特殊设定的攻击场景(服务器并未在实时提供服务,因此正常活动的日志不多)尚且有效,但在正常提供服务过程中却无法有效预测,因为稀疏的攻击日志会被淹没在海量的正常日志当中。本发明实施例通过步骤S1-S3从海量的日志信息中以某个或某些攻击事件为线索提取攻击过程,再基于攻击过程进行攻击趋势的预测,更加具备可行性。
图2和表1所示的因果关系图表达的攻击过程是一个相对简洁的描述,与服务器的操作系统的类型无关。不管服务器是什么类型的操作系统以及什么格式的审计日志,经过本发明实施例的方法处理后都可以得到类似图2的因果关系图,从而使得后续的攻击趋势预测模型与服务器的操作系统类型无关,与审计日志的格式无关,有利于趋势预测模型在不同服务器间的应用。
对于本实例,其结果受输入的攻击事件以及所能读取的日志信息的限制。本发明实施例不做具体的入侵检测,而是以已经检测到的攻击事件为线索,提取攻击过程。本发明对攻击过程的提取依赖于日志信息,因此日志信息中涵盖的信息的全面性也影响本发明方法的运行结果。但是,对一个网络主机特别是服务器来说,审计日志的范围、各类型日志的记录内容是可以进行配置的。因此,在应用本发明实施例的方法时,网络安全员可以针对性地设置主机的日志系统,重点记录账号登录、网络连接、进程创建、文件访问等操作行为,以便可以完整地记录攻击过程,便于本发明方法以部分攻击事件为线索提取完整的攻击过程,进而实现对攻击趋势的高精度预测。
本发明实施例从主机的原始运行审计日志中进行因果关系图构建来表征运行过程,突破了安全设备的限制,打破了只能从安全设备的警报中进行攻击事件检测的约束。运行审计日志可以记录所有操作,为后续进一步根据攻击事件线索提取攻击路径提供数据支撑;本发明实施例挖掘主机所有操作的关联关系,进而提取某个攻击事件关联的完整操作流程,对攻击事件提供额外的详细信息,而不是只关联若干个攻击事件,是真正地在攻击过程上下文中进行的,而不是简单地基于服务器运行的完整日志上下文。主机的原始运行审计日志蕴含的信息量庞大,进行因果关系图构建后数据量更加庞大,普通方法难以这样的处理策略。本发明实施例直接处理的日志信息量远大于安全设备警报日志的信息量,通过S1的步骤对每个主机分别进行处理,然后通过S2-S3的步骤实现跨主机的攻击路径提取,进而从海量数据中提取出稀少的攻击过程,为攻击趋势预测提供有效且信息量稠密的数据序列,大大降低了后续分析的数据量(攻击路径占不到完整因果关系图的万分之一),为后续攻击趋势预测提供了有效的数据支撑,也大大降低了预测模型的学习难度。
为了验证本发明实施例的优越性,使用本发明实施例的完整步骤对ATLAS日志进行处理,并对比只使用本发明步骤S5中的LSTM网络直接对日志序列进行处理,对后续攻击趋势的预测结果如表2所示。
表2 使用本发明实施例的方法和仅使用LSTM网络的攻击预测结果对比
结果显示,在预测步长为1~5时本发明方法均取得了更加优异的预测精度。
本发明实施例所述基于因果关系图的多阶段攻击趋势预测方法如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器或者网络设备等)执行本发明实施例所述基于因果关系图的多阶段攻击趋势预测方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,包括以下步骤:
S1,对服务器审计日志信息进行处理,构建因果关系图;因果关系图的节点表征主体,主体包括IP地址、进程、文件、服务、用户账号、网络连接、会话;因果关系图的边表征主体之间的交互关系或关联关系;
S2,从已知的网络攻击事件中提取事件主体,主体的类型与S1相同;
S3,以攻击事件的主体为线索,从S1构建的因果关系图中提取事件主体对应的攻击路径,按时间戳排序得到攻击序列;
S4,对攻击序列对应的因果关系图的节点和边进行抽象化处理,得到反映详细攻击步骤的抽象化数据序列;
S5,对已有网络攻击过程的多服务器的审计日志按S1-S4的步骤进行处理,批量构建攻击的抽象化数据序列,对基于LSTM网络的攻击趋势预测模型进行训练,实现基于已有攻击过程对多阶段攻击趋势的预测。
2.根据权利要求1所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述S1中,对服务器审计日志信息进行处理指:对文件读写删除执行、网络连接建立及数据传输、会话建立及完成、进程创建的日志信息进行解析,提取IP地址、进程、文件、服务、用户账号、网络连接、会话。
3.根据权利要求1所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述S1中,主体之间的交互关系或关联关系包括读、写、删除、执行、克隆、请求、绑定、发送、接收、连接、解析。
4.根据权利要求1所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述S2中,网络攻击事件通过已知的入侵检测方式获得。
5.根据权利要求1所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述S3中,在S1构建的因果关系图中查找S2的攻击事件主体,并从攻击事件主体对应的节点出发,提取路径可达的子图,对子图中的三元组按边的时间戳排序,得到攻击序列。
6.根据权利要求5所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述三元组包括源节点、边、目的节点,源节点和目的节点即S1中因果关系图中的节点,三元组的边即为因果关系图中的边。
7.根据权利要求5所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述三元组的源节点为不信任的外部地址、浏览器、木马文件、被执行的木马进程、密码文件、dash进程、恶意可执行文件、被执行的恶意进程。
8.根据权利要求5所述一种基于因果关系图的多阶段攻击趋势预测方法,其特征在于,所述S4中,从所有三元组组成的集合中剔除重复项,对剩余三元组按源节点的名称按首字母顺序进行排序,序号即为对应三元组的数字编码,通过数字编码替换攻击序列,得到抽象化的数据序列。
9.一种电子设备,其特征在于,采用如权利要求1~8任一项所述的方法实现多阶段攻击趋势预测。
10.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条程序指令,所述至少一条程序指令被处理器加载并执行以实现如权利要求1~8任一项所述的基于因果关系图的多阶段攻击趋势预测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211472311.9A CN115766258B (zh) | 2022-11-23 | 2022-11-23 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211472311.9A CN115766258B (zh) | 2022-11-23 | 2022-11-23 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115766258A true CN115766258A (zh) | 2023-03-07 |
| CN115766258B CN115766258B (zh) | 2024-02-09 |
Family
ID=85335788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211472311.9A Active CN115766258B (zh) | 2022-11-23 | 2022-11-23 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766258B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116208514A (zh) * | 2023-03-21 | 2023-06-02 | 西安电子科技大学 | 一种多阶段攻击的防御趋势预测方法、系统、设备及介质 |
| CN117077018A (zh) * | 2023-10-12 | 2023-11-17 | 微网优联科技(成都)有限公司 | 基于机器学习的数据处理方法、装置及存储介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103748991B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 基于多级事件关联的网络攻击识别系统 |
| CN106411921A (zh) * | 2016-10-31 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于因果贝叶斯网络的多步攻击预测方法 |
| US20170230409A1 (en) * | 2016-02-09 | 2017-08-10 | International Business Machines Corporation | Detecting and predicting cyber-attack phases in adjacent data processing environment regions |
| CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| CN111915090A (zh) * | 2020-08-10 | 2020-11-10 | 哈尔滨安天科技集团股份有限公司 | 基于知识图谱的预测方法、装置、电子设备及存储介质 |
| CN111931173A (zh) * | 2020-08-14 | 2020-11-13 | 广州纬通贸易有限公司 | 一种基于apt攻击意图的操作权限控制方法 |
| US10885167B1 (en) * | 2018-08-31 | 2021-01-05 | Intuit Inc. | Intrusion detection based on anomalies in access patterns |
| CN112204578A (zh) * | 2018-03-28 | 2021-01-08 | 辉达公司 | 使用机器学习在数据接口上检测数据异常 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN112822206A (zh) * | 2021-01-29 | 2021-05-18 | 清华大学 | 网络协同攻击行为的预测方法、装置以及电子设备 |
| US20210273958A1 (en) * | 2020-02-28 | 2021-09-02 | Darktrace Limited | Multi-stage anomaly detection for process chains in multi-host environments |
| CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
| CN113486338A (zh) * | 2021-06-22 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种网络攻击预测模型调整方法及设备 |
| CN113660225A (zh) * | 2021-07-29 | 2021-11-16 | 广州大学 | 基于时序点的网络攻击事件预测方法、系统、装置及介质 |
| CN114095270A (zh) * | 2021-11-29 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种网络攻击预测方法及装置 |
| CN115296924A (zh) * | 2022-09-22 | 2022-11-04 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
| CN115361215A (zh) * | 2022-08-22 | 2022-11-18 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
| CN115378733A (zh) * | 2022-08-29 | 2022-11-22 | 北京航空航天大学 | 一种基于动态图嵌入的多步攻击场景构建方法及系统 |
-
2022
- 2022-11-23 CN CN202211472311.9A patent/CN115766258B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103748991B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 基于多级事件关联的网络攻击识别系统 |
| US20170230409A1 (en) * | 2016-02-09 | 2017-08-10 | International Business Machines Corporation | Detecting and predicting cyber-attack phases in adjacent data processing environment regions |
| CN106411921A (zh) * | 2016-10-31 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于因果贝叶斯网络的多步攻击预测方法 |
| CN112204578A (zh) * | 2018-03-28 | 2021-01-08 | 辉达公司 | 使用机器学习在数据接口上检测数据异常 |
| US10885167B1 (en) * | 2018-08-31 | 2021-01-05 | Intuit Inc. | Intrusion detection based on anomalies in access patterns |
| CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| US20210273958A1 (en) * | 2020-02-28 | 2021-09-02 | Darktrace Limited | Multi-stage anomaly detection for process chains in multi-host environments |
| CN111915090A (zh) * | 2020-08-10 | 2020-11-10 | 哈尔滨安天科技集团股份有限公司 | 基于知识图谱的预测方法、装置、电子设备及存储介质 |
| CN111931173A (zh) * | 2020-08-14 | 2020-11-13 | 广州纬通贸易有限公司 | 一种基于apt攻击意图的操作权限控制方法 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN112822206A (zh) * | 2021-01-29 | 2021-05-18 | 清华大学 | 网络协同攻击行为的预测方法、装置以及电子设备 |
| CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
| CN113486338A (zh) * | 2021-06-22 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种网络攻击预测模型调整方法及设备 |
| CN113660225A (zh) * | 2021-07-29 | 2021-11-16 | 广州大学 | 基于时序点的网络攻击事件预测方法、系统、装置及介质 |
| CN114095270A (zh) * | 2021-11-29 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种网络攻击预测方法及装置 |
| CN115361215A (zh) * | 2022-08-22 | 2022-11-18 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
| CN115378733A (zh) * | 2022-08-29 | 2022-11-22 | 北京航空航天大学 | 一种基于动态图嵌入的多步攻击场景构建方法及系统 |
| CN115296924A (zh) * | 2022-09-22 | 2022-11-04 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
Non-Patent Citations (5)
| Title |
|---|
| I. PERRY ET AL: ""Differentiating and Predicting Cyberattack Behaviors Using LSTM"", 《2018 IEEE CONFERENCE ON DEPENDABLE AND SECURE COMPUTING (DSC)》 * |
| T. LI等: ""DeepAG: Attack Graph Construction and Threats Prediction With Bi-Directional Deep Learning"", 《 IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING》 * |
| 杨瑞朋;屈丹;朱少卫;黄浩;: "日志异常检测技术研究", 信息工程大学学报, no. 05 * |
| 郭晶晶;马建峰;李琦;万涛;高聪;张亮;: "基于博弈论的移动自组织网络的信任管理方法", 通信学报, no. 11 * |
| 黎佳?;赵波;李想;刘会;刘一凡;邹建文;: "基于深度学习的网络流量异常预测方法", 计算机工程与应用, no. 06 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116208514A (zh) * | 2023-03-21 | 2023-06-02 | 西安电子科技大学 | 一种多阶段攻击的防御趋势预测方法、系统、设备及介质 |
| CN117077018A (zh) * | 2023-10-12 | 2023-11-17 | 微网优联科技(成都)有限公司 | 基于机器学习的数据处理方法、装置及存储介质 |
| CN117077018B (zh) * | 2023-10-12 | 2023-12-19 | 微网优联科技(成都)有限公司 | 基于机器学习的数据处理方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115766258B (zh) | 2024-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114143020B (zh) | 一种基于规则的网络安全事件关联分析方法和系统 | |
| US7685637B2 (en) | System security approaches using sub-expression automata | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| US7216364B2 (en) | System security approaches using state tables | |
| US11989161B2 (en) | Generating readable, compressed event trace logs from raw event trace logs | |
| JP7531816B2 (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| EP1607823A2 (en) | Method and system for virus detection based on finite automata | |
| Dweikat et al. | Digital Forensic Tools Used in Analyzing Cybercrime | |
| CN110442582B (zh) | 场景检测方法、装置、设备和介质 | |
| Ben Jaballah et al. | A grey-box approach for detecting malicious user interactions in web applications | |
| CN114357445A (zh) | 一种终端侧攻击路径识别的方法、装置及存储介质 | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| Sharma et al. | A Graph Database-Based Method for Network Log File Analysis | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN108540471A (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
| KR102212664B1 (ko) | 로그 데이터의 무결성을 보장하는 장치 및 방법 | |
| Nguyen et al. | An efficient log management system | |
| Walls | Inference-based forensics for extracting information from diverse sources | |
| CN115455475B (zh) | 一种漏洞库建立方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |