一种基于攻击图的高级持续威胁检测方法北大核心CSCD |
| |
引用本文: | 高庆官,张博,付安民.一种基于攻击图的高级持续威胁检测方法北大核心CSCD[J].信息网络安全,2023(12):59-68. |
| |
作者姓名: | 高庆官 张博 付安民 |
| |
作者单位: | 1.东南大学计算机科学与工程学院211189;2.南京赛宁信息技术有限公司211100;3.南京理工大学计算机科学与工程学院210094; |
| |
基金项目: | 国家自然科学基金[62072239];江苏省自然科学基金[BK20211192];江苏省未来网络科研基金[FNSRFP-2021-ZD-05]。 |
| |
摘 要: | 针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。
|
关 键 词: | 入侵检测 威胁检测 APT攻击 攻击图 |
本文献已被 维普 等数据库收录! |
|