共查询到19条相似文献,搜索用时 203 毫秒
1.
高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。 相似文献
2.
高级持续性攻击(advanced persistent threat,APT)作为一种新型攻击,已成为SCADA(supervisory control and data acquisition)系统安全面临的主要威胁,而现有的入侵检测技术无法有效应对这一类攻击,因此研究有效的APT检测模型具有重要的意义。提出了一种新的APT攻击检测方法,该方法在正常日志行为建模阶段改进了对行为模式的表示方式,采用多种长度不同的特征子串表示行为模式,通过基于序列模式支持度来建立正常日志行为轮廓;在充分考虑日志事件时序特征的基础上,针对APT攻击行为复杂多变的特点,提出了基于矩阵相似匹配和判决阈值联合的检测模型。通过对比研究,该检测方法表现出了良好的检测性能。 相似文献
3.
针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。 相似文献
4.
近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。 相似文献
5.
6.
近年来, 针对政府机构、工业设施、大型公司网络的攻击事件层出不穷, 网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体, 已成为最严重的网络空间安全威胁之一, 当前针对 APT 的研究侧重于寻找可靠的攻击特征并提高检测准确率, 由于复杂且庞大的数据很容易将 APT 特征隐藏, 使得获取可靠数据的工作难度大大增加, 如何尽早发现 APT 攻击并对 APT 家族溯源分析是研究者关注的热点问题。基于此, 本文提出一种 APT 攻击路径还原及预测方法。首先, 参考软件基因思想, 设计 APT 恶意软件基因模型和基因相似度检测算法构建恶意行为基因库, 通过恶意行为基因库对样本进行基因检测, 从中提取出可靠的恶意特征解决可靠数据获取问题; 其次, 为解决APT攻击路径还原和预测问题, 采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测, 利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数, 进而还原和预测 APT 攻击路径, 预测准确率可达 90%以上; 最后, 通过 HMM 和基因检测两种方法对恶意软件进行家族识别, 实验结果表明, 基因特征和 HMM 参数特征可在一定程度上指导入侵检测系统对恶意软件进行识别和分类。 相似文献
7.
高级持续性威胁(APT)给企业、政府等组织带来沉重的损失。然而大多数检测方法没有同时考虑到APT攻击本质上的两个特性,即时间性和空间性。被入侵主机的行为模式与被入侵之前相比会产生一系列时序性的异常。在空间性方面,受损主机往往会继续渗透其他主机。因此,提出一种基于时空特性检测APT受损主机的方法。该方法针对APT攻击中必不可少的身份验证行为进行检测,构建主机认证图,从图中提取特征,利用LSTM学习主机的时序性特征,建立主机关联图,利用GAT提取主机间的空间特征。该方法利用神经网络提取特征,无须人工的特征选择。该方法在公共数据LANL上进行实验,F1得分达到了0.979。 相似文献
8.
陈泽红 《网络安全技术与应用》2023,(7):45-47
针对现有基于机器学习的APT攻击检测方法大多需要大量标注攻击样本的问题,提出了一种基于自适应模糊聚类的无监督APT攻击检测方法。该方法在模糊C均值聚类基础上引入自适应机制,使其能够有效适应复杂多变的APT检测数据,并可有效减缓噪声对聚类性能的影响。为验证所提出方法有效性,将之应用于KDDCup99数据集,以实现对未知攻击的检测。实验结果表明,该方法具有较高检测准确率,对无监督模式下APT攻击检测研究具有一定指导意义。 相似文献
9.
APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。 相似文献
10.
高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。 相似文献
11.
在智能视频监控领域,行人检测正受到广泛关注。为了提高检测率,将基于局部特征的Adaboost级联分类器和模板匹配相结合。首先通过分析和比较提出了一种行人局部特征的选取方法,然后对人体局部进行建模,将模板匹配的思想融入行人检测。最后通过实验证明,该方法在行人检测上可以取得较好的效果。 相似文献
12.
在研究APT攻击的防御方案过程中,针对提取APT样本网络特征的维数过高问题,提出一种基于[k]-means++聚类的APT样本有效网络特征筛选算法。该算法的思路是首先基于聚类的思想将提取的原特征集划分成APT流量特征集与背景流量特征集,然后计算去掉某一维特征向量后聚类性能的变化程度,最后根据该结果评价该特征向量的区分度。其中,有效特征向量即为区分度超过设定阈值的特征向量。目的就是从提取的原特征集中筛选出有效特征,达成对特征的降维,从而降低后续威胁情报形成和部署检测工作的时空开销。实验结果表明,该算法具有一定可行性,针对此问题相比于其他筛选算法具有一定的优势。 相似文献
13.
针对传统图像匹配算法特征点检测稳定性和准确性差的问题,提出一种尺度不变性的基于中心环绕滤波器检测(SCFD)的图像特征点匹配算法。首先,构建多尺度空间,利用中心环绕滤波器检测图像在不同尺度下的特征点,采用Harris方法和亚像素插值获得稳定的特征点;其次,联合快速定向旋转二进制稳健基元独立特征(BRIEF)(ORB)算法确定特征点的主方向,构建特征点描述算子;最后,采用汉明距离完成匹配,通过最小平方中值(LMedS)定理和最大似然(ML)估计剔除误匹配点。实验结果表明,在尺度变化时,所提算法的匹配精度达到96.6%,是ORB算法的2倍;其运行时间是尺度不变特征变换(SIFT)的19.8%,加速鲁棒性特征(SURF)的28.3%。所提算法能够有效提高特征点检测的稳定性和准确性,在视角、尺度缩放、旋转、亮度等变化的情况下具有较好的匹配效果。 相似文献
14.
针对传统点特征匹配方法计算量大、匹配速度慢的问题,给出了一种基于CenSurE-star和LDB的图像匹配算法,以用于在视觉检测中对被测目标图像进行快速匹配;该算法首先通过调整滤波器尺寸从而快速检测被测目标图像中不同尺度的CenSurE-star特征点,然后采用LDB方法对特征点结合其邻域进行描述,以描述符汉明距离为标准衡量图像特征点间的相似度并进行对应筛选,最终结合RANSAC剔除剩余的误匹配点对,实现了图像间准确匹配;实验研究表明,在关于光照、噪声和模糊变化的三组被测目标图像匹配中相较SIFT、SURF等常见算法,该算法不仅显著提升匹配速度,而且保证了较高的匹配准确率。 相似文献
15.
快速、鲁棒的图像配准是运动视频处理的基础,也是制约后继应用稳定性及可靠性的关键。针对运动视频中存在的图像平移、旋转、尺度及光照变化,提出一种基于不变特征的快速图像配准算法,包括特征点检测、描述和匹配。首先通过多层箱式滤波器构建图像多尺度空间,并同时考虑质量与空间分布检测特征点;然后用主成分分析法对SIFT(scale invariant feature transform)特征进行降维,用于特征描述;最后根据描述子主成分的差异设计层叠分类器,加速特征匹配。定量分析实验和对视觉监视系统中球形摄像机和无人机航拍视频的实验结果表明,该算法具有良好的匹配性能,为后继运动载台上的运动目标检测、跟踪、分类等处理提供了坚实基础。 相似文献
16.
在车辆实时跟踪中,基于Kalman滤波的方法是常用的有效方法,但因车辆检测时常将靠近的物体检测成一个目标引起误检现象,这会使在目标匹配时产生错误。为此,首先考察运动区域的长宽比和占空比,进行误检判断;然后提出了一种基于轮廓特征拐点的车辆分割方法;最后引入基于扩展Kalman滤波的跟踪模型。实验结果表明,采用的误检判断准则对多车辆的检测区域有较高的识别率,提出的基于轮廓特征拐点的车辆分割方法可实现重叠遮挡车辆的准确完整分割,用基于扩展Kalman滤波的跟踪模型实现了车辆的实时跟踪。 相似文献
17.
18.
目前流行的社会网络为媒体分发带来极大便利,但同时带来一系列的安全隐患,例如隐私、盗版、敏感内容泄露等等。为追踪非法拷贝,针对版权保护的多媒体内容拷贝检测技术是一个研究热点。传统的拷贝检测方法难以做到分块结构和几何鲁棒性的统一,提出了一种基于熵矩阵的特征值特征和变换矩阵特征的融合方法,用于拷贝的特征匹配,利用SVM技术对融合效果进行了验证。实验证明,除改善了检测率外,对噪声、压缩、旋转、缩放等处理有一定的鲁棒性。 相似文献
19.
提出了一种干涉合成孔径雷达复图像对的自动配准算法,利用Harris特征点检测算子,完成了特征点检测;根据匹配点对之间最大相关和距离相近的结论设计了匹配算法,进行了特征点对的匹配;首先通过Harris特征点检测算子提取特征点;其次根据提出的匹配算法建立点的对应关系;最后利用两步法完成复图像的亚像元级配准;实验结果表明,该算法具有较高的配准精度。 相似文献