CN116318929A - 一种基于安全告警数据的攻击策略抽取方法 - Google Patents

一种基于安全告警数据的攻击策略抽取方法 Download PDF

Info

Publication number
CN116318929A
CN116318929A CN202310206593.6A CN202310206593A CN116318929A CN 116318929 A CN116318929 A CN 116318929A CN 202310206593 A CN202310206593 A CN 202310206593A CN 116318929 A CN116318929 A CN 116318929A
Authority
CN
China
Prior art keywords
attack
strategy
attack strategy
attacker
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310206593.6A
Other languages
English (en)
Other versions
CN116318929B (zh
Inventor
贾焰
顾钊铨
方滨兴
魏松漩
张欢
杜磊
张志强
廖清
高翠芸
罗文坚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute Of Technology shenzhen Shenzhen Institute Of Science And Technology Innovation Harbin Institute Of Technology
Original Assignee
Harbin Institute Of Technology shenzhen Shenzhen Institute Of Science And Technology Innovation Harbin Institute Of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute Of Technology shenzhen Shenzhen Institute Of Science And Technology Innovation Harbin Institute Of Technology filed Critical Harbin Institute Of Technology shenzhen Shenzhen Institute Of Science And Technology Innovation Harbin Institute Of Technology
Priority to CN202310206593.6A priority Critical patent/CN116318929B/zh
Publication of CN116318929A publication Critical patent/CN116318929A/zh
Application granted granted Critical
Publication of CN116318929B publication Critical patent/CN116318929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全技术领域,特别涉及一种基于安全告警数据的攻击策略抽取方法。其方法包括以下步骤:S1.从告警文本中获取攻击者的单步攻击信息;S2.构建攻击活动序列集;S3.构建候选攻击策略;S4.构建攻击策略数据集;S5.预训练;S6.模型训练;S7.攻击策略抽取;S8.人工验证。本方法通过训练模型来判断攻击者的一个候选攻击策略是否为全部的有效攻击步骤,并且这些攻击步骤的组合能完成攻击者的攻击目的;通过这个模型,能够使用枚举候选攻击策略的方式关联出攻击者的全部有效攻击步骤,组成攻击者的攻击策略,而无需定义大量的关联规则;而且在过去的关联经验中未被关联的两个告警也可能被本方法所关联。

Description

一种基于安全告警数据的攻击策略抽取方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于安全告警数据的攻击策略抽取方法。
背景技术
现有的从安全告警数据中获取攻击策略的方法大都采用告警关联的方法,通过使用告警关联技术将攻击者发动的单步攻击关联起来组成攻击者的攻击策略。这些告警关联技术大致可以分为三类:基于相似度的关联方法、基于知识的关联方法和基于统计的关联方法。
基于相似度的关联方法通过计算两个告警在属性上的相似度来进行关联,如果两条告警的相似度大于一个特定的阈值,则认为它们属于同一攻击者发出的攻击。例如,Mei等人使用时间和IP地址作为特征计算告警间的相似度,Dain等人根据不同类型的告警间的转换关系、时间和IP地址作为特征计算告警间的相似度。但是,他们的方法仅仅是将同一攻击者的同一次攻击关联起来,其中还可能存在攻击者发起的无效攻击,或攻击者并未攻击成功。如果将同一攻击者发动的所有单步攻击认为是攻击策略,则会造成攻击知识的不准确。
基于知识的关联方法通过定义告警的前提条件和后果来进行关联分析,如果前一个告警的某些后果与下一个告警的前提条件相匹配,则可以将这两个告警关联起来,这种方法最初是由Templeton等人提出的。Ning等人在他们的基础之上提出了新的方法解决其中的局限性,从而开发出了一种实用的警报关联技术。但是,他们的方法都需要为每种类型的告警定义大量的规则,这需要耗费大量的人力成本。
基于统计的关联方法通过使用过去的告警的统计信息,分析不同告警事件之间的因果关系,用于关联告警事件。Kavousi等人提出使用贝叶斯因果机制从之前观察到的告警自动生成关联规则。Wang等人使用告警关联矩阵存储过去告警中观察到的两个告警类型的关联强度。但是,这些方法都是基于过去的关联经验进行关联,它们无法获取攻击者快速变化的攻击策略。
发明内容
本发明提供一种基于安全告警数据的攻击策略抽取方法,旨在解决现有告警关联方法存在的局限性。
本发明提供一种基于安全告警数据的攻击策略抽取方法,包括以下步骤:
S1.从告警文本中获取攻击者的单步攻击信息;
S2.构建攻击活动序列集:根据单步攻击中的IP地址信息,关联每个攻击者发动的单步攻击,得到每个攻击者的攻击序列;
S3.构建候选攻击策略:在每个攻击者的攻击序列中抽取若干个单步攻击进行组合,构建成候选攻击策略;
S4.构建攻击策略数据集:从攻击策略知识库中获取已知的攻击策略作为样本,构建出用于模型学习的攻击策略数据集;
S5.预训练:使用单步攻击作为预训练模型的输入,预测这个单步攻击所属的类别,归类后分别获取单步攻击的嵌入,作为步骤S6中训练模型的嵌入;
S6.模型训练:使用步骤S5中的嵌入将步骤S4中的数据集转化为向量,输入到训练模型当中进行训练,以使训练模型识别输入样本中单步攻击的分类类别,找出攻击策略在分类上的特征;
S7.攻击策略抽取:将步骤S3中所构建的候选攻击策略输入到步骤S6中训练好的模型当中,识别并获得最终的攻击策略;
S8.人工验证:人工验证步骤S6中抽取出的攻击策略,并将通过验证的攻击策略加入到步骤S4中的攻击策略知识库。
作为本发明的进一步改进,所述步骤S1包括:
给定一条告警文本S,从中抽取出攻击者的单步攻击信息
Figure SMS_1
,其中X i 是攻击者所发动的单步攻击,src是攻击的源IP地址,dst是攻击的目标IP地址,Timestamp是安全设备报告该告警的时间戳。
作为本发明的进一步改进,所述步骤S2包括:
S21.将获取到的每一条单步攻击信息按照时间戳进行排序,能够得到攻击序列
Figure SMS_2
S22.根据单步攻击中的源IP地址和目标IP地址进行关联,将同一攻击者在同一次攻击中发动的单步攻击进行关联,得到每一个攻击者发起的攻击序列
Figure SMS_3
Figure SMS_4
作为本发明的进一步改进,所述步骤S3包括:
在每个攻击者的攻击序列中抽取若干个单步攻击进行组合时,通过枚举所有可能的组合,构建成候选攻击策略,这些候选攻击策略中包含所有有效单步攻击组成的攻击策略。
作为本发明的进一步改进,所述步骤S4包括:
从攻击策略知识库中获取已知的攻击策略Y作为正例样本,通过对正例样本随机进行删除、增加和替换操作来构建负例样本
Figure SMS_5
,构建出用于模型学习的攻击策略数据集。
作为本发明的进一步改进,所述步骤S5中,归类后分别获取单步攻击的嵌入,作为步骤S6中训练模型的嵌入,具体包括:
S51.每个单步攻击按照攻击目的、技术路线、实现方法这三个分类规则分类到具体的类别当中;
S52.预训练模型包括嵌入层和全连接层,嵌入层用于获取单步攻击的嵌入,全连接层用于输出预测具体的类别;
S53.导出嵌入层中单步攻击的嵌入,作为步骤6中训练模型的嵌入。
作为本发明的进一步改进,所述步骤S6中,训练模型识别样本中候选攻击策略是否为攻击策略的判断逻辑包括:
当训练模型判断输入的样本为攻击策略时,训练模型的输出为1,表示该攻击序列是攻击策略;否则,训练模型将输出0,表示该攻击序列是非攻击策略。
作为本发明的进一步改进,所述步骤S6中,训练模型包括卷积层、池化层、LSTM层和全连接层,其中卷积层提取攻击序列中的局部特征,池化层获取攻击序列中最为显著的特征,LSTM层捕获攻击序列中的上下文信息,全连接层综合所有信息对输入的攻击序列进行类型预测输出。
作为本发明的进一步改进,所述步骤S7中,识别并获得最终的攻击策略,具体包括:
训练模型预测候选攻击策略是否为攻击策略的序列,并过滤掉候选攻击策略中训练模型识别为非攻击策略的序列,得到最终的攻击策略。
作为本发明的进一步改进,所述步骤S8中,将通过验证的攻击策略加入到步骤S4中的攻击策略知识库,具体包括:
通过验证的攻击策略加入到步骤S4的攻击策略知识库中,未能通过人工验证的攻击策略作为步骤S4中攻击策略数据集的负例样本。
本发明的有益效果是:通过训练模型来判断攻击者的一个候选攻击策略是否为全部的有效攻击步骤,并且这些攻击步骤的组合能完成攻击者的攻击目的,从而解决基于相似度的关联方法的局限性;通过这个模型,能够使用枚举候选攻击策略的方式关联出攻击者的全部有效攻击步骤,组成攻击者的攻击策略,而无需定义大量的关联规则,这解决了基于知识的关联方法的局限性;本方法基于的直觉是“两个具有相同功能的单步攻击能够在攻击者的攻击策略中相互替换”,因而在过去的关联经验中未被关联的两个告警也可能被本方法所关联,这解决了基于统计的关联方法的局限性。
附图说明
图1是本发明基于安全告警数据的攻击策略抽取方法的流程简图;
图2是本发明基于安全告警数据的攻击策略抽取方法的详细流程图;
图3是本发明中攻击活动序列集构建的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。
本发明提出一种基于安全告警数据获取攻击策略的方法,旨在获取攻击者的攻击策略以便更好地防御和响应网络攻击。整个系统将从大量安全告警数据S中获取攻击者的攻击策略Y,即
Figure SMS_6
,其中Y i 是获得的第i个攻击策略,它是单步攻击X的组合,即/>
Figure SMS_7
如图1和图2所示,本基于安全告警数据的攻击策略抽取方法包括以下步骤:
S1.从告警文本中获取单步攻击信息。
给定一条告警文本S,本方法首先从中抽取出攻击者的单步攻击信息
Figure SMS_8
,其中X i 是攻击者所发动的单步攻击,src是攻击的源IP地址,dst是攻击的目标IP地址,Timestamp是安全设备报告该告警的时间戳。源IP地址、目标IP地址和时间戳可以使用字符串匹配从告警文本中获取,触发该安全告警的单步攻击X i 可以根据安全告警数据中的ID通过人工定义映射规则的方式获取。
S2.构建攻击活动序列集。
将获取到的每一条单步攻击信息按照时间戳进行排序,能够得到攻击序列
Figure SMS_9
。然后,根据单步攻击中的源IP地址和目标IP地址进行关联,将同一攻击者在同一次攻击中发动的单步攻击进行关联,得到每一个攻击者发起的攻击序列/>
Figure SMS_10
, />
Figure SMS_11
。具体来说,如果一个单步攻击的源IP地址也是之前的一个单步攻击的IP源地址,或者是之前的单步攻击的目的IP地址,则将它们关联起来。
S3.构建候选攻击策略。
由于攻击者发动的攻击并不都是有效攻击,并且这些单步攻击的组合可能并不能完成攻击者的攻击目的,因此,本方法会在每个攻击者的攻击序列中抽取若干个单步攻击进行组合,枚举所有可能的组合方式,构建成候选攻击策略,这些候选攻击策略中就可能包含所有有效的单步攻击组成的攻击策略,例如,如图3从第一个攻击者的攻击序列中构建出的候选攻击策略有
Figure SMS_12
S4.构建攻击策略数据集。
本方法从攻击策略知识库中获取已知的攻击策略Y作为正例样本,然后通过对正例样本随机进行删除、增加和替换操作来构建负例样本
Figure SMS_13
,从而构建出可以用于模型学习的攻击策略数据集。在实现后面步骤S8中的人工验证后,还可以使用人工验证为非攻击策略的攻击序列作为负例样本。
S5.预训练。
使用预训练的方法,来获取所有单步攻击的嵌入。在预训练中,使用单步攻击X i 作为预训练模型的输入,预测这个单步攻击所属的类别。其中,类别是按照攻击的目的、技术路线和实现方法来分类的,每个单步攻击都能够按照这三个分类规则分类到具体的类别当中。而这个预训练模型包含两层:嵌入层和全连接层,嵌入层用于获取单步攻击的嵌入,全连接层用于输出预测具体的类别。通过这种方法,同种类别的单步攻击就能够具有相似的嵌入,本方法将导出嵌入层的嵌入,作为步骤S6中训练模型的嵌入。
S6.模型训练。
使用步骤S5中的嵌入将步骤S4中的数据集转化为向量,输入到训练模型当中进行训练,当训练模型判断输入的样本为攻击策略时,训练模型的输出为1,表示该攻击序列是攻击策略;否则,训练模型将输出0,表示该攻击序列是非攻击策略。该训练模型共包含四层:卷积层、池化层、LSTM层和全连接层,其中卷积层能够提取攻击序列中的局部特征,池化层获取其中最为显著的特征,LSTM层能够捕获序列中的上下文信息,而全连接层可以综合所有信息对输入的序列进行预测输出。并且,本方法在攻击序列中还使用了Dropout,使得神经元随机失活,从而一定程度上避免过拟合。
S7.攻击策略抽取。
将步骤S3中所构建的候选攻击策略输入到步骤S6中训练好的模型当中,模型能够预测候选攻击策略是否是攻击策略,过滤掉其中模型识别为非攻击策略的序列,得到攻击策略
Figure SMS_14
S8.人工验证。
使用人工的方式对抽取到的攻击策略进行验证,通过验证的攻击策略可以加入到步骤S4中攻击策略知识库中,进一步增加训练模型的数据集,而未能通过人工验证的攻击策略也可以作为步骤S4中攻击策略数据集中的负例样本,从而进一步提升模型性能。
本发明的方法具有以下优势:
本发明提出的基于安全告警数据的攻击策略抽取方法,需要一些已知的攻击策略作为数据集用于训练模型,然后从攻击者的攻击序列中识别有效攻击步骤组成的攻击策略。
本方法提出使用预训练的学习方法获得单步攻击的嵌入,从而使得模型能够对未知的候选攻击策略进行判断。
本方法提出通过对已知的攻击策略进行随机删除、替换、增加操作来构造负例样本,从而使得模型能够很好地拟合攻击策略和非攻击策略。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (10)

1.一种基于安全告警数据的攻击策略抽取方法,其特征在于,包括以下步骤:
S1.从告警文本中获取攻击者的单步攻击信息;
S2.构建攻击活动序列集:根据单步攻击中的IP地址信息,关联每个攻击者发动的单步攻击,得到每个攻击者的攻击序列;
S3.构建候选攻击策略:在每个攻击者的攻击序列中抽取若干个单步攻击进行组合,构建成候选攻击策略;
S4.构建攻击策略数据集:从攻击策略知识库中获取已知的攻击策略作为样本,构建出用于模型学习的攻击策略数据集;
S5.预训练:使用单步攻击作为预训练模型的输入,预测这个单步攻击所属的类别,归类后分别获取单步攻击的嵌入,作为步骤S6中训练模型的嵌入;
S6.模型训练:使用步骤S5中的嵌入将步骤S4中的数据集转化为向量,输入到训练模型当中进行训练,以使训练模型识别输入样本中单步攻击的分类类别,找出攻击策略在分类上的特征;
S7.攻击策略抽取:将步骤S3中所构建的候选攻击策略输入到步骤S6中训练好的模型当中,识别并获得最终的攻击策略;
S8.人工验证:人工验证步骤S6中抽取出的攻击策略,并将通过验证的攻击策略加入到步骤S4中的攻击策略知识库。
2.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S1包括:
给定一条告警文本S,从中抽取出攻击者的单步攻击信息
Figure QLYQS_1
,其中X i 是攻击者所发动的单步攻击,src是攻击的源IP地址,dst是攻击的目标IP地址,Timestamp是安全设备报告该告警的时间戳。
3.根据权利要求2所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S2包括:
S21.将获取到的每一条单步攻击信息按照时间戳进行排序,得到攻击序列
Figure QLYQS_2
S22.根据单步攻击中的源IP地址和目标IP地址进行关联,将同一攻击者在同一次攻击中发动的单步攻击进行关联,得到每一个攻击者发起的攻击序列
Figure QLYQS_3
Figure QLYQS_4
4.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S3包括:
在每个攻击者的攻击序列中抽取若干个单步攻击进行组合时,通过枚举所有可能的组合,构建成候选攻击策略,这些候选攻击策略中包含所有有效单步攻击组成的攻击策略。
5.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S4包括:
从攻击策略知识库中获取已知的攻击策略Y作为正例样本,通过对正例样本随机进行删除、增加和替换操作来构建负例样本
Figure QLYQS_5
,构建出用于模型学习的攻击策略数据集。
6.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S5中,归类后分别获取单步攻击的嵌入,作为步骤S6中训练模型的嵌入,具体包括:
S51.每个单步攻击按照攻击目的、技术路线、实现方法这三个分类规则分类到具体的类别当中;
S52.预训练模型包括嵌入层和全连接层,嵌入层用于获取单步攻击的嵌入,全连接层用于输出预测具体的类别;
S53.导出嵌入层中单步攻击的嵌入,作为步骤6中训练模型的嵌入。
7.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S6中,训练模型识别样本中候选攻击策略是否为攻击策略的判断逻辑包括:
当训练模型判断输入的样本为攻击策略时,训练模型的输出为1,表示该攻击序列是攻击策略;否则,训练模型将输出0,表示该攻击序列是非攻击策略。
8.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S6中,训练模型包括卷积层、池化层、LSTM层和全连接层,其中卷积层提取攻击序列中的局部特征,池化层获取攻击序列中最为显著的特征,LSTM层捕获攻击序列中的上下文信息,全连接层综合所有信息对输入的攻击序列进行类型预测输出。
9.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S7中,识别并获得最终的攻击策略,具体包括:
训练模型预测候选攻击策略是否为攻击策略的序列,并过滤掉候选攻击策略中训练模型识别为非攻击策略的序列,得到最终的攻击策略。
10.根据权利要求1所述基于安全告警数据的攻击策略抽取方法,其特征在于,所述步骤S8中,将通过验证的攻击策略加入到步骤S4中的攻击策略知识库,具体包括:
通过验证的攻击策略加入到步骤S4的攻击策略知识库中,未能通过人工验证的攻击策略作为步骤S4中攻击策略数据集的负例样本。
CN202310206593.6A 2023-03-07 2023-03-07 一种基于安全告警数据的攻击策略抽取方法 Active CN116318929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310206593.6A CN116318929B (zh) 2023-03-07 2023-03-07 一种基于安全告警数据的攻击策略抽取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310206593.6A CN116318929B (zh) 2023-03-07 2023-03-07 一种基于安全告警数据的攻击策略抽取方法

Publications (2)

Publication Number Publication Date
CN116318929A true CN116318929A (zh) 2023-06-23
CN116318929B CN116318929B (zh) 2023-08-29

Family

ID=86791891

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310206593.6A Active CN116318929B (zh) 2023-03-07 2023-03-07 一种基于安全告警数据的攻击策略抽取方法

Country Status (1)

Country Link
CN (1) CN116318929B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489606A (zh) * 2021-06-29 2021-10-08 哈尔滨工业大学(深圳) 一种基于图神经网络的网络应用识别方法及装置
CN115296924A (zh) * 2022-09-22 2022-11-04 中国电子科技集团公司第三十研究所 一种基于知识图谱的网络攻击预测方法及装置
CN115396169A (zh) * 2022-08-18 2022-11-25 上海交通大学 基于ttp的多步骤攻击检测与场景还原的方法及系统
CN115459965A (zh) * 2022-08-23 2022-12-09 广州大学 一种面向电力系统网络安全的多步攻击检测方法
WO2023275764A1 (en) * 2021-06-29 2023-01-05 Universite De Caen Normandie Systems and methods for generation of action strategies by an autonomous system
CN115643153A (zh) * 2022-07-15 2023-01-24 桂林电子科技大学 基于图神经网络的报警关联分析方法
US20230034910A1 (en) * 2021-07-28 2023-02-02 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489606A (zh) * 2021-06-29 2021-10-08 哈尔滨工业大学(深圳) 一种基于图神经网络的网络应用识别方法及装置
WO2023275764A1 (en) * 2021-06-29 2023-01-05 Universite De Caen Normandie Systems and methods for generation of action strategies by an autonomous system
US20230034910A1 (en) * 2021-07-28 2023-02-02 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs
CN115643153A (zh) * 2022-07-15 2023-01-24 桂林电子科技大学 基于图神经网络的报警关联分析方法
CN115396169A (zh) * 2022-08-18 2022-11-25 上海交通大学 基于ttp的多步骤攻击检测与场景还原的方法及系统
CN115459965A (zh) * 2022-08-23 2022-12-09 广州大学 一种面向电力系统网络安全的多步攻击检测方法
CN115296924A (zh) * 2022-09-22 2022-11-04 中国电子科技集团公司第三十研究所 一种基于知识图谱的网络攻击预测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
谭晓;张志强;: "知识图谱研究进展及其前沿主题分析", 图书与情报, no. 02 *

Also Published As

Publication number Publication date
CN116318929B (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
CN112491796B (zh) 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法
CN111914256B (zh) 一种机器学习训练数据受投毒攻击的防御方法
Khan et al. Malicious insider attack detection in IoTs using data analytics
Wang et al. Heterogeneous network representation learning approach for ethereum identity identification
CN109284606B (zh) 基于经验特征与卷积神经网络的数据流异常检测系统
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN104348829B (zh) 一种网络安全态势感知系统及方法
CN111475804A (zh) 一种告警预测方法及系统
CN110047506B (zh) 一种基于卷积神经网络和多核学习svm的关键音频检测方法
CN110287439A (zh) 一种基于lstm的网络行为异常检测方法
CN110166484A (zh) 一种基于LSTM-Attention网络的工业控制系统入侵检测方法
CN112910859B (zh) 基于c5.0决策树和时序分析的物联网设备监测预警方法
Adhao et al. Feature selection using principal component analysis and genetic algorithm
CN109670306A (zh) 基于人工智能的电力恶意代码检测方法、服务器及系统
CN115987615A (zh) 一种网络行为安全预警方法及系统
CN110009224A (zh) 嫌疑人违规概率预测方法、装置、计算机设备及存储介质
CN115659966A (zh) 基于动态异构图和多级注意力的谣言检测方法及系统
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN117729003A (zh) 基于机器学习的威胁情报可信分析系统及方法
CN116318929B (zh) 一种基于安全告警数据的攻击策略抽取方法
CN115767546A (zh) 量化节点风险的5g网络安全态势评估方法
CN113132414B (zh) 一种多步攻击模式挖掘方法
CN115643153A (zh) 基于图神经网络的报警关联分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant