-
公开(公告)号:CN115102743B
公开(公告)日:2023-08-22
申请号:CN202210683320.6
申请日:2022-06-17
Applicant: 电子科技大学
IPC: H04L9/40 , G06F16/901 , G06F16/903 , G06F16/906
Abstract: 本发明公开了一种面向网络安全的多层攻击图生成方法,属于计算机网络与安全技术领域。将攻击图分为三个层次进行建模表示:第一层为抽象攻击目标和抽象攻击模式全图,包含主机信息与主机可达性信息;第二层为具体攻击目标和攻击动作子图,包含被攻击主机信息与协议信息,第三层为网络资源和攻击条件子图,包含多跳抽象边与多跳抽象节点。采用本方法面对网络攻防中随时出现可达性变化的情况,能很好地快速动态更新攻击图,攻击图生成过程时间复杂度低,展示度更好,有利于显示和检索分析,同时还具有动态更新的灵活度。
-
公开(公告)号:CN115766258A
公开(公告)日:2023-03-07
申请号:CN202211472311.9
申请日:2022-11-23
Applicant: 西安电子科技大学
IPC: H04L9/40 , G06N3/0442 , G06N3/08
Abstract: 本发明公开了一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质,预测方法包括:对服务器审计日志信息进行处理,构建因果关系图;从已知的网络攻击事件中提取事件的主体;以攻击事件的主体为线索,从因果关系图中提取事件主体对应的攻击路径,按时间戳排序得到攻击序列;得到反映详细攻击步骤的抽象化数据序列;对已有网络攻击过程的多服务器的审计日志按上述步骤进行处理,批量构建攻击的抽象化数据序列,对基于LSTM网络的攻击趋势预测模型进行训练,基于已有攻击过程对多阶段攻击趋势的预测。本发明从大量的日志数据中提取属于某一攻击过程的序列,基于已有攻击过程实现攻击趋势的预测,预测精度高,降低了预测模型的学习难度。
-
公开(公告)号:CN117834170A
公开(公告)日:2024-04-05
申请号:CN202311341514.9
申请日:2023-10-17
Applicant: 电子科技大学
IPC: H04L9/40 , G06F18/15 , G06F18/213 , G06F18/22 , G06F123/02
Abstract: 本发明公开了一种基于行为特征时间序列自相似性的主机身份识别方法,涉及网络通信安全领域,包括行为特征采集;构建行为特征时间序列;行为特征时间序列距离度量,利用改良的马氏距离方法对行为特征时间序列进行距离度量,先从行为特征时间序列中删除信息熵过低的主机行为特征,再基于经验模态分解的平滑机制对特征值时间序列进行平滑处理,获得新行为特征时间序列,再对任意两台主机的不同时间窗口的新行为特征时间序列进行距离度量,获得距离矩阵;最后基于距离度量结果进行主机身份匹配。本发明能够通过网络主机的行为统计特征采集和时间序列相似性度量对主机身份进行识别,能够提高主机身份识别的准确率的识别准确率,并保护用户的隐私。
-
公开(公告)号:CN115766258B
公开(公告)日:2024-02-09
申请号:CN202211472311.9
申请日:2022-11-23
Applicant: 西安电子科技大学
IPC: H04L9/40 , G06N3/0442 , G06N3/08
Abstract: 本发明公开了一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质,预测方法包括:对服务器审计日志信息进行处理,构建因果关系图;从已知的网络攻击事件中提取事件的主体;以攻击事件的主体为线索,从因果关系图中提取事件主体对应的攻击路径,按时间戳排序得到攻击序列;得到反映详细攻击步骤的抽象化数据序列;对已有网络攻击过程的多服务器的审计日志按上述步骤进行处理,批量构建攻击的抽象化数据序列,对基于LSTM网络的攻击趋势预测模型进行训练,基于已有攻击过程对多阶段攻击趋势的预测。本发明从大量的日志数据中提取属于某一攻击过程的序列,基于已有攻击过程实现攻击趋势的预测,预测精度高,降低了预测模(56)对比文件US 10885167 B1,2021.01.05黎佳玥;赵波;李想;刘会;刘一凡;邹建文.基于深度学习的网络流量异常预测方法.计算机工程与应用.(06),全文.杨瑞朋;屈丹;朱少卫;黄浩.日志异常检测技术研究.信息工程大学学报.2019,(05),全文.郭晶晶;马建峰;李琦;万涛;高聪;张亮.基于博弈论的移动自组织网络的信任管理方法.通信学报.2014,(11),全文.T. Li等“.DeepAG: Attack GraphConstruction and Threats Prediction WithBi-Directional Deep Learning”《. IEEETransactions on Dependable and SecureComputing》 .2022,全文.I. Perry et al.“Differentiating andPredicting Cyberattack Behaviors UsingLSTM”《.2018 IEEE Conference on Dependableand Secure Computing (DSC)》.2019,全文.
-
公开(公告)号:CN115102746B
公开(公告)日:2023-04-14
申请号:CN202210686965.5
申请日:2022-06-16
Applicant: 电子科技大学
IPC: H04L9/40
Abstract: 本申请属于网络空间安全领域,具体是一种基于行为体积的主机行为在线异常检测方法。本发明分为两个阶段,在学习阶段,首先从流量中采集主机的多维行为特征,得到多组特征出入比,其次以特征出入比集合为参数计算每个网络主机的行为体积,通过连续周期内的流量采集以及多次行为体积计算得到主机行为体积集合,以此确定每个主机的行为体积的阈值;在异常检测阶段,首先对某个时间窗口内的主机行为体积进行实时计算,其次将主机行为体积与学习阶段获得的阈值进行对比,超过或低于阈值则输出该主机行为异常告警记录。针对每个主机计算行为体积,并以体积阈值为条件进行异常检测,能够一次性检测多个特征的异常,而不需要针对每个特征进行单独检测。
-
Patent Agency Ranking
公开(公告)号:CN115102743A
公开(公告)日:2022-09-23
申请号:CN202210683320.6
申请日:2022-06-17
Applicant: 电子科技大学
IPC: H04L9/40 , G06F16/901 , G06F16/903 , G06F16/906
Abstract: 本发明公开了一种面向网络安全的多层攻击图生成方法,属于计算机网络与安全技术领域。将攻击图分为三个层次进行建模表示:第一层为抽象攻击目标和抽象攻击模式全图,包含主机信息与主机可达性信息;第二层为具体攻击目标和攻击动作子图,包含被攻击主机信息与协议信息,第三层为网络资源和攻击条件子图,包含多跳抽象边与多跳抽象节点。采用本方法面对网络攻防中随时出现可达性变化的情况,能很好地快速动态更新攻击图,攻击图生成过程时间复杂度低,展示度更好,有利于显示和检索分析,同时还具有动态更新的灵活度。
-
公开(公告)号:CN116208514B
公开(公告)日:2024-07-16
申请号:CN202310281970.2
申请日:2023-03-21
Applicant: 西安电子科技大学
IPC: H04L41/147 , H04L9/40
Abstract: 一种多阶段攻击的防御趋势预测方法、系统、设备及介质,方法包括:根据当前云环境资产信息,在其包含的漏洞和脆弱性信息的基础上,构建针对当前云环境的攻击图;结合ATT&CK知识图谱,针对攻击图中每一个攻击步骤达成的必要条件所对应的漏洞及脆弱性信息,构建相对应的防御措施集合;以入侵检测系统得到的攻击事件为线索,在审计日志实时构建的溯源图上挖掘出已发生攻击的具体执行过程及后续实时攻击操作;把溯源和挖掘出的攻击操作与攻击图上的各个攻击步骤相关联,得出攻击图上的攻击路径;基于当前攻击路径,对后续的攻击趋势进行预测,并对应的防御趋势的预测;其系统、设备及介质用于实现多阶段攻击的防御趋势预测为攻防对抗智能博弈提供依据。
-
公开(公告)号:CN115361215B
公开(公告)日:2024-07-02
申请号:CN202211007702.3
申请日:2022-08-22
Applicant: 西安电子科技大学
IPC: H04L9/40 , H04L43/045 , H04L43/0876
Abstract: 一种基于因果图的网络攻击行为检测方法,包括:对抓取到的网络流数据包进行预处理,以缩减数据包规模;对预处理后的数据包序列,构建表征网络流的因果关系图;以某个或某些节点为种子节点,把种子节点在某时段内的边按时间戳排序,构成一个该节点相关的网络交互序列;大规模构建网络交互序列,如果交互序列中都是网络攻击过程的数据包则被标记为攻击序列,否则被标记为非攻击序列,并训练基于LSTM的攻击序列识别模型;以某个或某些检测到的属于攻击过程的数据包的源IP和目的IP为种子节点,构建网络交互序列,使用攻击序列识别模型进行识别,识别出未被检测到的攻击过程数据包,实现网络攻击行为检测;本发明与已知的网络攻击行为检测方法相比,是在更大的网络交互上下文中进行网络攻击行为检测,可以检测出伪装成正常网络交互的攻击行为。
-
公开(公告)号:CN115499169A
公开(公告)日:2022-12-20
申请号:CN202211008675.1
申请日:2022-08-22
Applicant: 西安电子科技大学
IPC: H04L9/40 , H04L43/045 , H04L43/0876
Abstract: 一种基于因果图的多阶段攻击过程重构方法,包括:从检测到的网络攻击事件中提取事件主体,主体类型包括IP地址、进程、文件、服务;从主机的审计日志、网络流分析日志以及进程和服务的日志信息中抽取事件主体相关的日志信息;对提取到的日志信息进行预处理,从中提取更细粒度的主体作为因果图的节点;从日志信息中提取节点间的交互及时间戳信息,作为因果图的边;根据攻击事件主体和因果图的节点之间的关系,把攻击事件涉及的因果图的节点标记为恶性节点;把因果图恶性节点涉及的边按时间戳排序,构成反映整个攻击过程的详细步骤 序列,实现对整个多阶段攻击过程的细粒度重构;本发明基于检测到的零散攻击事件,从日志信息中重构出多阶段的攻击过程,更加细粒度地复盘了攻击链,更加有利于网络安全员对网络安全状况做出综合评判并进行针对性防御部署。
-
公开(公告)号:CN113627517A
公开(公告)日:2021-11-09
申请号:CN202110904130.8
申请日:2021-08-06
Applicant: 西安电子科技大学
Abstract: 本发明公开一种基于碎片化数据的图分类方法,所述方法包括:根据节点碎片化数据图的轨迹信息和通信链路信息判断节点间是否可以进行通信,并提取碎片化数据图中的元结构模型;从提取的元结构模型中提取子图结构,并判断元结构能否合并;最终只保留原图中拥有能合并的节点和元结构;没有合并的节点和元结构即为孤立节点和孤立元结构,在原始图数据集合上将孤立节点和孤立元结构删除,保留后的图数据为构建的新图数据;构建的新图数据利用基于时空信息的自适应进行图分类。有效地利用碎片化数据信息属性和时空属性,减少了冗余信息和噪声的干扰。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.026 seconds)
