多步攻击检测关键技术研究展望 被引量：1

1

作者 谢国杰 张旭 +5 位作者 于洋 赵程遥 胡佳 王浩铭 蒋沐辰 胡程楠 《信息安全研究》 CSCD 北大核心 2024年第5期396-402,共7页

多步攻击检测技术通过分析告警日志数据,挖掘攻击场景,辅助实现高威胁攻击路径的早期发现,从而降低安全威胁风险,提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术:基于告警相似性、基于告警因果知识和基于模型的多步... 多步攻击检测技术通过分析告警日志数据,挖掘攻击场景,辅助实现高威胁攻击路径的早期发现,从而降低安全威胁风险,提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术:基于告警相似性、基于告警因果知识和基于模型的多步攻击检测技术.通过比较分析,剖析了3种技术的差异.同时,还探讨了多步攻击检测技术的未来发展方向,包括与隐私计算、溯源图和因果推断等技术的融合.这些技术的融合将为网络安全提供新思路和方法,以应对不断复杂化的安全威胁. 展开更多

关键词 多步攻击检测 告警相似度 因果知识 隐私计算 溯源图 因果推断

在线阅读 下载PDF 职称材料

基于警报序列聚类的多步攻击模式发现研究 被引量：18

2

作者 梅海彬 龚俭 张明华 《通信学报》 EI CSCD 北大核心 2011年第5期63-69,共7页

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。... 研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。 展开更多

关键词 入侵检测 警报关联 多步攻击 聚类

在线阅读 下载PDF 职称材料

基于智能规划的多步攻击场景识别算法 被引量：5

3

作者 胡亮 解男男 +2 位作者 努尔布力 刘志宇 柴胜 《电子学报》 EI CAS CSCD 北大核心 2013年第9期1753-1759,共7页

多步攻击的识别过程与智能规划的求解过程具有一定的对应性.提出了一种基于智能规划的多步攻击识别模型,将智能规划的方法应用于多步攻击识别的领域,并以此为基础实现相应的识别算法.采用DARPA数据集进行实验,这种算法在多步攻击识别领... 多步攻击的识别过程与智能规划的求解过程具有一定的对应性.提出了一种基于智能规划的多步攻击识别模型,将智能规划的方法应用于多步攻击识别的领域,并以此为基础实现相应的识别算法.采用DARPA数据集进行实验,这种算法在多步攻击识别领域,具有较好的有效性和可行性,能够达到可接受的准确率和完备率. 展开更多

关键词 多步攻击 智能规划 攻击场景识别

在线阅读 下载PDF 职称材料

一种基于知识表示的多步攻击规划问题描述模型 被引量：4

4

作者 努尔布力 解男男 +2 位作者 刘志宇 胡亮 柴胜 《电子学报》 EI CAS CSCD 北大核心 2013年第6期1101-1107,共7页

网络入侵检测中,攻击的形式越来越多样化和复杂化,网络多步攻击成为当前攻击的主要形式.智能规划最早用于人工智能领域,将一个领域内的知识形成规划推理时的规划域,将待求解的问题对应于规划问题.将智能规划应用于多步攻击领域,用以对... 网络入侵检测中,攻击的形式越来越多样化和复杂化,网络多步攻击成为当前攻击的主要形式.智能规划最早用于人工智能领域,将一个领域内的知识形成规划推理时的规划域,将待求解的问题对应于规划问题.将智能规划应用于多步攻击领域,用以对多步攻击进行识别,并以此为基础,提出一种基于知识表示的多步攻击规划问题描述模型,用以提供解决复杂网络攻击数据的形式化描述问题的一种探索.实验中规划问题采用PDDL语言进行描述,对所提模型进行可用性验证. 展开更多

关键词 多步攻击 智能规划 安全规划问题 PDDL

在线阅读 下载PDF 职称材料

面向WLAN的分布式无线多步攻击模式挖掘方法研究 被引量：2

5

作者 陈观林 王泽兵 张泳 《电信科学》 北大核心 2013年第11期38-44,共7页

入侵检测和防御技术作为网络安全防护的重要手段,在传统有线网络环境中已有较为成熟的应用。但由于无线网络的特殊性,仍很少看到WLAN领域无线多步攻击规划识别的研究。提出了一种融合IEEE802.11协议帧主要属性进行关联分析的分布式无线... 入侵检测和防御技术作为网络安全防护的重要手段,在传统有线网络环境中已有较为成熟的应用。但由于无线网络的特殊性,仍很少看到WLAN领域无线多步攻击规划识别的研究。提出了一种融合IEEE802.11协议帧主要属性进行关联分析的分布式无线多步攻击模式挖掘(DWMAPM)方法。该方法包括构造全局攻击库、建立候选攻击链、筛选候选攻击链、关联多步攻击行为和识别多步攻击模式5个步骤。实验结果表明,DWMAPM方法能够适用于WLAN的真实攻击场景,有效挖掘出多种常见的无线多步攻击模式,可以为多步攻击意图预先识别提供基础。 展开更多

关键词 多步攻击模式 无线局域网 规划识别 关联分析 网络安全

在线阅读 下载PDF 职称材料

基于序列模式的多步攻击挖掘算法的研究 被引量：2

6

作者 李洪敏 张建平 +1 位作者 黄晓芳 卢敏 《兵工自动化》 2017年第9期35-38,共4页

为解决多源、异构网络告警融合中蕴含的多步攻击难以被发现的问题,提出一种基于频繁告警序列模式的挖掘模型。利用动态时间窗口对报警数据进行划分,将IDS、防火墙报警数据转化为报警序列;根据报警序列的相似度构造攻击序列集,从而利用... 为解决多源、异构网络告警融合中蕴含的多步攻击难以被发现的问题,提出一种基于频繁告警序列模式的挖掘模型。利用动态时间窗口对报警数据进行划分,将IDS、防火墙报警数据转化为报警序列;根据报警序列的相似度构造攻击序列集,从而利用两条攻击序列的属性信息判断同一个攻击场景的攻击前后步骤的关联性。实验结果证明:在不需要制定复杂关联规则和储备先验知识的基础上,该模型能自动地向用户提供最小支持度范围,提高关联算法的准确性,为成功发现多步攻击。 展开更多

关键词 告警关联 频繁项集 多步攻击 聚类

在线阅读 下载PDF 职称材料

基于网络通信异常识别的多步攻击检测方法 被引量：19

7

作者 琚安康 郭渊博 +1 位作者 李涛 叶子维 《通信学报》 EI CSCD 北大核心 2019年第7期57-66,共10页

针对企业内部业务逻辑固定、进出网络访问行为受控等特点,首先定义了 2 类共 4 种异常行为,然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边 2 类异常,分别采用基于图的异常分析和小波分析方法识别网络通... 针对企业内部业务逻辑固定、进出网络访问行为受控等特点,首先定义了 2 类共 4 种异常行为,然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边 2 类异常,分别采用基于图的异常分析和小波分析方法识别网络通信过程中的异常行为,并通过异常关联分析检测多步攻击。分别在 DARPA 2000数据集和 LANL 数据集上进行实验验证,实验结果表明,所提方法可以有效检测并重构出多步攻击场景。所提方法可有效监测包括未知特征攻击类型在内的多步攻击,为检测 APT 等复杂的多步攻击提供了一种可行思路,并且由于网络通信图大大减小了数据规模,因此适用于大规模企业网络环境。 展开更多

关键词 多步攻击 网络异常 通信子图 小波变换

在线阅读 下载PDF 职称材料

加载隐私保护的多步攻击关联方法

8

作者 张健 马进 逯畅 《数字技术与应用》 2011年第12期51-53,共3页

随着越来越多的安全威胁,各个组织机构之间互相展开合作、共同抵抗攻击。来自各个组织的安全报警数据常常包含一些与数据拥有者隐私相关的敏感信息,这就需要在共享这些报警数据之前对其敏感信息进行保护,然而,经过隐私保护的报警数据又... 随着越来越多的安全威胁,各个组织机构之间互相展开合作、共同抵抗攻击。来自各个组织的安全报警数据常常包含一些与数据拥有者隐私相关的敏感信息,这就需要在共享这些报警数据之前对其敏感信息进行保护,然而,经过隐私保护的报警数据又会对后续的入侵分析产生负面影响。为了平衡报警数据的隐私性和可用性,本文基于k-匿名模型对报警数据进行隐私保护,在已有序列模式挖掘算法的基础上提出ESPM序列模式挖掘算法对报警数据进行多步攻击关联。实验结果表明,该方法可以有效地挖掘出多步攻击行为模式。 展开更多

关键词 隐私保护 K-匿名 多步攻击关联 序列模式挖掘

在线阅读 下载PDF 职称材料

一种可扩展的实时多步攻击场景重构方法 被引量：1

9

作者 谢峥 路广平 付安民 《信息安全研究》 CSCD 2023年第12期1173-1179,共7页

入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击... 入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击行为进行实时分析方面变得力不从心.设计了基于专家知识的可扩展攻击匹配模板,用以实现对多步攻击场景的还原与重构,从攻击者视角还原攻击事件,帮助安全人员定位安全威胁.以实时警报信息为输入,通过挖掘出语义知识和预先构建的攻击匹配模板,利用匹配关联算法对警报进行聚合和关联,还原攻击场景,展示攻击脉络。实验结果显示,该方法可以实现对IDS的实时警报处理和关联,形成的攻击事件和攻击场景可为安全人员对漏洞的修复和下一步攻击的预防提供极大帮助,同时,设计构建的攻击匹配模板具有可扩展性及应对未来更多攻击的能力. 展开更多

关键词 攻击场景重构 多步攻击 攻击匹配模板 警报关联 入侵检测系统

在线阅读 下载PDF 职称材料

面向多步攻击的网络安全态势评估方法 被引量：40

10

作者 杨豪璞 邱辉 王坤 《通信学报》 EI CSCD 北大核心 2017年第1期187-198,共12页

为了分析多步攻击对网络系统的影响,准确、全面地反映系统的安全态势,提出一种面向多步攻击的网络安全态势评估方法。首先对网络中的安全事件进行场景聚类以识别攻击者;对每个攻击场景因果关联,识别出相应的攻击轨迹与攻击阶段;建立态... 为了分析多步攻击对网络系统的影响,准确、全面地反映系统的安全态势,提出一种面向多步攻击的网络安全态势评估方法。首先对网络中的安全事件进行场景聚类以识别攻击者;对每个攻击场景因果关联,识别出相应的攻击轨迹与攻击阶段;建立态势量化标准,结合攻击阶段及其威胁指数,实现对网络安全态势的评估。通过对2个网络攻防实验的测评分析表明,所提出的多步攻击分析方法符合实际应用,评估结果准确、有效。 展开更多

关键词 场景聚类 多步攻击 安全态势 量化分析

在线阅读 下载PDF 职称材料

基于告警关联的“互联网”多步攻击意图识别方法

11

作者 汤旭 贾智存 尤扬 《移动通信》 2023年第4期92-97,共6页

针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题,提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列,围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意... 针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题,提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列,围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意图,从而实现还原攻击场景、刻画攻击行为的目的。实验表明,与传统算法进行对比分析,在DARPA2000上验证了该算法对特定网络攻击场景的识别能力,且百分误差绝对值和均方误差绝对值均低于传统算法。由此可知,文中所述的结合漏洞威胁和基础设施重要性来关联攻击步骤能够有效解决攻击过程出现的虚假攻击问题,提升了网络多步攻击意图识别的准确性。 展开更多

关键词 告警关联 多步攻击 基础设施重要性 漏洞威胁评估

在线阅读 下载PDF 职称材料

基于频繁模式挖掘的网络安全防护 被引量：2

12

作者 刘懿 《移动通信》 2022年第12期114-119,共6页

针对现有网络攻击手段复杂多样,传统的网络安全防护设备无法应对变化多样的网络攻击手段的问题,提出一种基于频繁模式挖掘的网络安全防护方法。该方法在融合多源报警数据源的基础上,采用频繁模式挖掘多步攻击模式,获得高层次的攻击语义... 针对现有网络攻击手段复杂多样,传统的网络安全防护设备无法应对变化多样的网络攻击手段的问题,提出一种基于频繁模式挖掘的网络安全防护方法。该方法在融合多源报警数据源的基础上,采用频繁模式挖掘多步攻击模式,获得高层次的攻击语义和攻击证据;最后,采用DS证据理论融合多条证据,结合网络各主机的威胁态势及重要程度衡量整个网络态势风险值,实现网络安全态势评估。 展开更多

关键词 频繁模式 网络安全 多步攻击序列 DS证据理论

在线阅读 下载PDF 职称材料