公开(公告)号：CN111901137A

公开(公告)日：2020-11-06

申请号：CN201910374167.7

申请日：2019-05-06

申请人： 北京明信安有限公司

发明人： 张茹

IPC分类号： H04L12/24 ,  H04L12/26 ,  H04L29/06

摘要： 本发明提出了一种利用蜜罐告警日志进行多步攻击场景挖掘的方法。通过蜜罐吸引攻击，产生告警日志，并利用攻击图特征进行攻击挖掘生成攻击图，再利用基于密度的局部离散群因子算法对攻击图进行优先级判定，体现多步攻击的威胁程度。与现有技术相比，本发明的有益效果是：利用蜜罐吸引攻击，可以得到真实攻击密度更高的报警日志，利用攻击图可以更好体现每步攻击之间的联系，定义的特征属性更好的将同一类攻击聚为一类，通过计算攻击图的异常值可以判定多步攻击的威胁程度。

公开(公告)号：CN111901286A

公开(公告)日：2020-11-06

申请号：CN201910374169.6

申请日：2019-05-06

申请人： 北京明信安有限公司 ,  北京邮电大学

发明人： 张茹

IPC分类号： H04L29/06

摘要： 本发明首先提出了一种对于DNS流量日志和网络流量日志的特征提取和计算方法，其次提出了基于IForest的异常检测算法，通过对DNS和网络流量的日志分析对获取数据进行异常评估。本发明包括：对DNS流量日志的特征提取及计算方法；对网络流日志的特征提取及计算方法；基于IForest算法对DNS流量日志和网络流量日志对数据进行异常分析的异常检测算法。与现有技术相比，本发明的有益效果是：从多角度对网络流量日志进行分析，选取的特征包含方面较为全面，同时针对在攻防对抗中出现新的攻击方式和特点，针对性提取了特征值用于分析；使用IForest算法对日志特征进行检测，对比其他算法拥有更好的性能且训练过程几乎不与训练数据规模相关，具有更高的全面性和可操作性。