多步攻击检测关键技术研究展望 被引量：1

1

作者 谢国杰 张旭 +5 位作者 于洋 赵程遥 胡佳 王浩铭 蒋沐辰 胡程楠 《信息安全研究》 CSCD 北大核心 2024年第5期396-402,共7页

多步攻击检测技术通过分析告警日志数据,挖掘攻击场景,辅助实现高威胁攻击路径的早期发现,从而降低安全威胁风险,提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术:基于告警相似性、基于告警因果知识和基于模型的多步... 多步攻击检测技术通过分析告警日志数据,挖掘攻击场景,辅助实现高威胁攻击路径的早期发现,从而降低安全威胁风险,提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术:基于告警相似性、基于告警因果知识和基于模型的多步攻击检测技术.通过比较分析,剖析了3种技术的差异.同时,还探讨了多步攻击检测技术的未来发展方向,包括与隐私计算、溯源图和因果推断等技术的融合.这些技术的融合将为网络安全提供新思路和方法,以应对不断复杂化的安全威胁. 展开更多

关键词 多步攻击检测 告警相似度 因果知识 隐私计算 溯源图 因果推断

在线阅读 下载PDF 职称材料

基于链路特征的无线传感网络数据多步攻击识别方法 被引量：2

2

作者 徐欢 李洁珊 +1 位作者 零颖俏 杨春 《传感技术学报》 CAS CSCD 北大核心 2024年第11期1958-1963,共6页

无线传感网络因其自身的拓扑结构具有不确定性,易受到恶意攻击,常规方法没有考虑的链路特征,导致网络的安全性较低。为此,提出一种基于链路特征的无线传感网络数据多步攻击识别方法。通过支持向量分类机对无线传感网络展开链路安全评估... 无线传感网络因其自身的拓扑结构具有不确定性,易受到恶意攻击,常规方法没有考虑的链路特征,导致网络的安全性较低。为此,提出一种基于链路特征的无线传感网络数据多步攻击识别方法。通过支持向量分类机对无线传感网络展开链路安全评估,得到链路安全等级,提取链路特征,获取传感器网络内部链路特征分布情况。引入自组织映射神经网络提取无线传感网络数据多步攻击特征,建立无线传感网络数据多步攻击特征组合,结合链路特征分布情况,通过特征组合识别无线传感网络数据多步攻击。仿真结果表明,采用所提方法的无线传感网络数据多步攻击识别率高于96%,误报率低于0.22%,识别时间在24 ms以内,具有良好的识别效果。 展开更多

关键词 无线传感网络数据 多步攻击识别 链路特征 支持向量分类机 自组织映射神经网络

在线阅读 下载PDF 职称材料

基于警报序列聚类的多步攻击模式发现研究 被引量：18

3

作者 梅海彬 龚俭 张明华 《通信学报》 EI CSCD 北大核心 2011年第5期63-69,共7页

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。... 研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。 展开更多

关键词 入侵检测 警报关联 多步攻击 聚类

在线阅读 下载PDF 职称材料

基于智能规划的多步攻击场景识别算法 被引量：5

4

作者 胡亮 解男男 +2 位作者 努尔布力 刘志宇 柴胜 《电子学报》 EI CAS CSCD 北大核心 2013年第9期1753-1759,共7页

多步攻击的识别过程与智能规划的求解过程具有一定的对应性.提出了一种基于智能规划的多步攻击识别模型,将智能规划的方法应用于多步攻击识别的领域,并以此为基础实现相应的识别算法.采用DARPA数据集进行实验,这种算法在多步攻击识别领... 多步攻击的识别过程与智能规划的求解过程具有一定的对应性.提出了一种基于智能规划的多步攻击识别模型,将智能规划的方法应用于多步攻击识别的领域,并以此为基础实现相应的识别算法.采用DARPA数据集进行实验,这种算法在多步攻击识别领域,具有较好的有效性和可行性,能够达到可接受的准确率和完备率. 展开更多

关键词 多步攻击 智能规划 攻击场景识别

在线阅读 下载PDF 职称材料

一种基于知识表示的多步攻击规划问题描述模型 被引量：4

5

作者 努尔布力 解男男 +2 位作者 刘志宇 胡亮 柴胜 《电子学报》 EI CAS CSCD 北大核心 2013年第6期1101-1107,共7页

网络入侵检测中,攻击的形式越来越多样化和复杂化,网络多步攻击成为当前攻击的主要形式.智能规划最早用于人工智能领域,将一个领域内的知识形成规划推理时的规划域,将待求解的问题对应于规划问题.将智能规划应用于多步攻击领域,用以对... 网络入侵检测中,攻击的形式越来越多样化和复杂化,网络多步攻击成为当前攻击的主要形式.智能规划最早用于人工智能领域,将一个领域内的知识形成规划推理时的规划域,将待求解的问题对应于规划问题.将智能规划应用于多步攻击领域,用以对多步攻击进行识别,并以此为基础,提出一种基于知识表示的多步攻击规划问题描述模型,用以提供解决复杂网络攻击数据的形式化描述问题的一种探索.实验中规划问题采用PDDL语言进行描述,对所提模型进行可用性验证. 展开更多

关键词 多步攻击 智能规划 安全规划问题 PDDL

在线阅读 下载PDF 职称材料

基于序列模式的多步攻击挖掘算法的研究 被引量：2

6

作者 李洪敏 张建平 +1 位作者 黄晓芳 卢敏 《兵工自动化》 2017年第9期35-38,共4页

为解决多源、异构网络告警融合中蕴含的多步攻击难以被发现的问题,提出一种基于频繁告警序列模式的挖掘模型。利用动态时间窗口对报警数据进行划分,将IDS、防火墙报警数据转化为报警序列;根据报警序列的相似度构造攻击序列集,从而利用... 为解决多源、异构网络告警融合中蕴含的多步攻击难以被发现的问题,提出一种基于频繁告警序列模式的挖掘模型。利用动态时间窗口对报警数据进行划分,将IDS、防火墙报警数据转化为报警序列;根据报警序列的相似度构造攻击序列集,从而利用两条攻击序列的属性信息判断同一个攻击场景的攻击前后步骤的关联性。实验结果证明:在不需要制定复杂关联规则和储备先验知识的基础上,该模型能自动地向用户提供最小支持度范围,提高关联算法的准确性,为成功发现多步攻击。 展开更多

关键词 告警关联 频繁项集 多步攻击 聚类

在线阅读 下载PDF 职称材料

面向WLAN的分布式无线多步攻击模式挖掘方法研究 被引量：2

7

作者 陈观林 王泽兵 张泳 《电信科学》 北大核心 2013年第11期38-44,共7页

入侵检测和防御技术作为网络安全防护的重要手段,在传统有线网络环境中已有较为成熟的应用。但由于无线网络的特殊性,仍很少看到WLAN领域无线多步攻击规划识别的研究。提出了一种融合IEEE802.11协议帧主要属性进行关联分析的分布式无线... 入侵检测和防御技术作为网络安全防护的重要手段,在传统有线网络环境中已有较为成熟的应用。但由于无线网络的特殊性,仍很少看到WLAN领域无线多步攻击规划识别的研究。提出了一种融合IEEE802.11协议帧主要属性进行关联分析的分布式无线多步攻击模式挖掘(DWMAPM)方法。该方法包括构造全局攻击库、建立候选攻击链、筛选候选攻击链、关联多步攻击行为和识别多步攻击模式5个步骤。实验结果表明,DWMAPM方法能够适用于WLAN的真实攻击场景,有效挖掘出多种常见的无线多步攻击模式,可以为多步攻击意图预先识别提供基础。 展开更多

关键词 多步攻击模式 无线局域网 规划识别 关联分析 网络安全

在线阅读 下载PDF 职称材料

多步攻击告警关联模型构建与实现 被引量：1

8

作者 翟光群 周双银 《计算机应用》 CSCD 北大核心 2011年第5期1276-1279,共4页

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进... 为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。 展开更多

关键词 入侵检测 报警信息 多步攻击 事件关联 超报警

在线阅读 下载PDF 职称材料

面向无线入侵检测系统的复杂多步攻击识别方法 被引量：3

9

作者 陈观林 吴颖 周坤泷 《计算机应用与软件》 北大核心 2019年第3期313-319,325,共8页

随着移动互联网的快速普及,无线网络的安全问题也接踵而至。现有的入侵防御体系大多针对有线网络,而无线网络存在较大的差异性,很多无线通信协议本身也存在缺陷。提出一种面向无线入侵检测系统的复杂攻击识别方法,包含告警精简、逻辑攻... 随着移动互联网的快速普及,无线网络的安全问题也接踵而至。现有的入侵防御体系大多针对有线网络,而无线网络存在较大的差异性,很多无线通信协议本身也存在缺陷。提出一种面向无线入侵检测系统的复杂攻击识别方法,包含告警精简、逻辑攻击图生成器、攻击流量拓扑图生成器、攻击路径解析器、复杂攻击评估等模块,层层挖掘出攻击者的最终意图。实验结果表明,该识别方法能够应对无线入侵领域的复杂攻击场景,对无线多步攻击意图的识别具有一定的意义。 展开更多

关键词 复杂多步攻击 无线网络 攻击意图 无线入侵 网络安全

在线阅读 下载PDF 职称材料

基于网络通信异常识别的多步攻击检测方法 被引量：20

10

作者 琚安康 郭渊博 +1 位作者 李涛 叶子维 《通信学报》 EI CSCD 北大核心 2019年第7期57-66,共10页

针对企业内部业务逻辑固定、进出网络访问行为受控等特点,首先定义了 2 类共 4 种异常行为,然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边 2 类异常,分别采用基于图的异常分析和小波分析方法识别网络通... 针对企业内部业务逻辑固定、进出网络访问行为受控等特点,首先定义了 2 类共 4 种异常行为,然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边 2 类异常,分别采用基于图的异常分析和小波分析方法识别网络通信过程中的异常行为,并通过异常关联分析检测多步攻击。分别在 DARPA 2000数据集和 LANL 数据集上进行实验验证,实验结果表明,所提方法可以有效检测并重构出多步攻击场景。所提方法可有效监测包括未知特征攻击类型在内的多步攻击,为检测 APT 等复杂的多步攻击提供了一种可行思路,并且由于网络通信图大大减小了数据规模,因此适用于大规模企业网络环境。 展开更多

关键词 多步攻击 网络异常 通信子图 小波变换

在线阅读 下载PDF 职称材料

基于多步攻击场景的攻击预测方法 被引量：4

11

作者 胡倩 《计算机科学》 CSCD 北大核心 2019年第B06期365-369,共5页

多步攻击预测是入侵检测的补充,能在一定程度上预防、减少或阻断安全威胁。文中提出了一种基于多步攻击场景的攻击预测方法。该方法采用贝叶斯网络模型来描述攻击场景图,通过挖掘多步攻击间存在的因果关联规则构建因果贝叶斯攻击场景图... 多步攻击预测是入侵检测的补充,能在一定程度上预防、减少或阻断安全威胁。文中提出了一种基于多步攻击场景的攻击预测方法。该方法采用贝叶斯网络模型来描述攻击场景图,通过挖掘多步攻击间存在的因果关联规则构建因果贝叶斯攻击场景图,在此网络结构的基础上通过攻击证据来推理计算未知攻击发生的概率,对下一步的攻击行为以及攻击者的攻击意图进行预测。最后,通过实验验证了所提方法能够准确地预测下一步的攻击以及攻击者的攻击意图。 展开更多

关键词 攻击预测 多步攻击 攻击场景

在线阅读 下载PDF 职称材料

一种可扩展的实时多步攻击场景重构方法 被引量：1

12

作者 谢峥 路广平 付安民 《信息安全研究》 CSCD 2023年第12期1173-1179,共7页

入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击... 入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击行为进行实时分析方面变得力不从心.设计了基于专家知识的可扩展攻击匹配模板,用以实现对多步攻击场景的还原与重构,从攻击者视角还原攻击事件,帮助安全人员定位安全威胁.以实时警报信息为输入,通过挖掘出语义知识和预先构建的攻击匹配模板,利用匹配关联算法对警报进行聚合和关联,还原攻击场景,展示攻击脉络。实验结果显示,该方法可以实现对IDS的实时警报处理和关联,形成的攻击事件和攻击场景可为安全人员对漏洞的修复和下一步攻击的预防提供极大帮助,同时,设计构建的攻击匹配模板具有可扩展性及应对未来更多攻击的能力. 展开更多

关键词 攻击场景重构 多步攻击 攻击匹配模板 警报关联 入侵检测系统

在线阅读 下载PDF 职称材料

面向多步攻击的网络安全态势评估方法 被引量：40

13

作者 杨豪璞 邱辉 王坤 《通信学报》 EI CSCD 北大核心 2017年第1期187-198,共12页

为了分析多步攻击对网络系统的影响,准确、全面地反映系统的安全态势,提出一种面向多步攻击的网络安全态势评估方法。首先对网络中的安全事件进行场景聚类以识别攻击者;对每个攻击场景因果关联,识别出相应的攻击轨迹与攻击阶段;建立态... 为了分析多步攻击对网络系统的影响,准确、全面地反映系统的安全态势,提出一种面向多步攻击的网络安全态势评估方法。首先对网络中的安全事件进行场景聚类以识别攻击者;对每个攻击场景因果关联,识别出相应的攻击轨迹与攻击阶段;建立态势量化标准,结合攻击阶段及其威胁指数,实现对网络安全态势的评估。通过对2个网络攻防实验的测评分析表明,所提出的多步攻击分析方法符合实际应用,评估结果准确、有效。 展开更多

关键词 场景聚类 多步攻击 安全态势 量化分析

在线阅读 下载PDF 职称材料

面向间隔告警的多步网络攻击定量关联方法 被引量：2

14

作者 李洪成 王成 +1 位作者 王春雷 袁峰 《计算机工程与设计》 北大核心 2019年第11期3073-3078,共6页

为准确判断复杂多步攻击的意图和下一步攻击行为,需要对入侵告警进行定量关联分析。针对复杂多步攻击产生的告警在序列中经常间隔出现的实际,提出一种间隔告警定量关联方法。利用一阶马尔可夫性质建立告警关联模型,定量地表示攻击者选... 为准确判断复杂多步攻击的意图和下一步攻击行为,需要对入侵告警进行定量关联分析。针对复杂多步攻击产生的告警在序列中经常间隔出现的实际,提出一种间隔告警定量关联方法。利用一阶马尔可夫性质建立告警关联模型,定量地表示攻击者选择不同攻击路径的可能性,利用Apriori频繁序列挖掘算法得出频繁告警2-序列的支持度,将归一化的序列支持度作为马尔可夫链的一步转移概率。利用DARPA2000真实网络数据集进行实验,实验结果表明,该方法对复杂多步攻击告警的关联准确率优于传统方法。 展开更多

关键词 多步攻击关联 间隔告警 频繁序列挖掘 马尔可夫性质 转移概率矩阵

在线阅读 下载PDF 职称材料

一个改进的离散对数问题攻击算法 被引量：2

15

作者 张海波 王小非 +1 位作者 夏学知 黄友澎 《计算机应用》 CSCD 北大核心 2007年第4期843-845,共3页

小步—大步攻击算法是一个求解离散对数问题通用且高效的算法,但较大的存贮开销是它的一个明显不足。提出的改进算法使得存贮开销减少一半,并取消了求逆元操作,通过引入抗冲突的哈希函数,省略了表排序过程,并使查表时间降到常数级。性... 小步—大步攻击算法是一个求解离散对数问题通用且高效的算法,但较大的存贮开销是它的一个明显不足。提出的改进算法使得存贮开销减少一半,并取消了求逆元操作,通过引入抗冲突的哈希函数,省略了表排序过程,并使查表时间降到常数级。性能分析表明,改进算法的时间和空间耗费明显降低,性能优于原算法。另外,还探讨了如何通过降低问题的规模来进一步缩短攻击算法的计算过程,并给出了一个简单易行的对离散对数进行奇偶筛选的方法。 展开更多

关键词 离散对数问题 小步一大步攻击算法 成功停机 平方乘算法

在线阅读 下载PDF 职称材料

比喻在体育教学中的作用

16

作者 朱勇平 《首都体育学院学报》 1993年第4期20-20,共1页

所谓比喻,就是打比方,即用相似的事物来说明需要论述的事物。比喻在体育领域内也得到了广泛的运用,一些比喻词语如“关门”、“盖帽”、“鱼跃”,“鞭打”等俗语频频地得到使用和传播。在对语言有较高要求的体育教学中,比喻的作用也不... 所谓比喻,就是打比方,即用相似的事物来说明需要论述的事物。比喻在体育领域内也得到了广泛的运用,一些比喻词语如“关门”、“盖帽”、“鱼跃”,“鞭打”等俗语频频地得到使用和传播。在对语言有较高要求的体育教学中,比喻的作用也不应低估。 展开更多

关键词 体育教学 走步式跳远 踏跳 攻击步 屈伸上 技术要领 平淡无味 握笔 冬化 猫捉老鼠

在线阅读 下载PDF 职称材料

ATT&CK框架下基于事件序列关联的网络高级威胁检测系统 被引量：11

17

作者 张宇翔 韩久江 +4 位作者 刘建 鲜明 张洪江 陈宇 李子源 《计算机科学》 CSCD 北大核心 2023年第S01期700-706,共7页

随着网络技术的快速发展,网络世界攻防对垒愈发激烈,高级网络威胁行为层出不穷,但目前网安分析人员在实际运维中对多步攻击行为的过程描述仍存在一定差异,造成了巨大的语义沟通成本。为了解决在网络高级威胁检测中的这一痛点问题,采用AT... 随着网络技术的快速发展,网络世界攻防对垒愈发激烈,高级网络威胁行为层出不穷,但目前网安分析人员在实际运维中对多步攻击行为的过程描述仍存在一定差异,造成了巨大的语义沟通成本。为了解决在网络高级威胁检测中的这一痛点问题,采用ATT&CK网络对抗行为框架作为多步攻击行为的统一描述语言,设计实现了一套基于事件序列关联的网络高级威胁检测系统,通过事件序列关联模型可以实现对多步攻击行为的有效检测,并通过ATT&CK攻击矩阵可视化呈现,有助于分析人员明晰恶意攻击的手段、策略及目的,分析人员通过检测系统呈现出的技术和战术,采取相应的防御措施,能够降低攻击者的攻击效果。实验结果表明,检测系统检出率可达96.43%,对网络攻击事件中的分析人员解决“防守困境”具有极大的现实意义。 展开更多

关键词 对抗性战术 技术和常识 多步攻击检测 事件序列关联 高级持续威胁

在线阅读 下载PDF 职称材料