共查询到19条相似文献,搜索用时 250 毫秒
1.
针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。 相似文献
2.
3.
高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。 相似文献
4.
近年来,窃密攻击成为了最严重的网络安全威胁之一.除了恶意软件,人也可以成为窃密攻击的实施主体,尤其是组织或企业的内部人员.由人实施的窃密很少留下明显的异常痕迹,给真实场景中攻击的及时发现和窃密操作的分析还原带来了挑战.提出了一个方法,将每个用户视为独立的主体,通过对比用户当前行为事件与其历史正常行为的偏差检测异常,以会话为单元的检测实现了攻击发现的及时性,采用无监督算法避免了对大量带标签数据的依赖,更能适用于真实场景.对算法检测为异常的会话,进一步提出事件链构建方法,一方面还原具体窃密操作,另一方面通过与窃密攻击模式对比,更精确地判断攻击.在卡内基梅隆大学的CERT内部威胁数据集上进行了实验,结果达到99%以上的准确率,且可以做到无漏报、低误报,证明了方法的有效性和优越性. 相似文献
5.
针对高维大样本空间中支持向量机( SVM)存在计算复杂度高、分类精度低等问题,在随机子空间方法与主成分分析方法的基础上,提出一种特征加权支持向量机的高维隐写盲检测方法。通过随机子空间对原始高维样本的特征空间进行随机采样,产生多个低维的特征子集,在特征子集中采用主成分分析法进行特征提取,并利用卡方统计计算特征权重,运用特征加权核函数训练各基SVM分类器,并用多数投票法融合各基分类器结果得到最终分类结果。对HUGO隐写算法的实验结果表明,该方法能有效降低SVM计算复杂度,与传统方法相比,具有较高的隐写检测率和更快的分类速度。 相似文献
6.
为了克服传统支持向量机中弱相关特征对分类器的分类效果的干扰及二分类SVM入侵检测算法缺乏高效率和低准确率的问题,因此需要优化SVM算法、以保证IDS能够检测出存在的入侵行为。分析了当前主流SVM算法及其发展,通过采用灰色斜率关联分析方法筛选主特征,再用增益比率法对特征进行加权,减少弱相关特征对分类的影响.提出了改进的支持向量机算法。实验证明,本文异常检测系统在检测准确率、检测精度上都有优良的性能。 相似文献
7.
现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。 相似文献
8.
高级持续性威胁(Advanced Persistent Threat, APT)是通过预先对攻击对象的业务流程和目标系统进行多维度、多阶段、多对象的持续信息采集,隐匿地实现网络空间的数据窃取。电力网络具有天然的稳定性需求,其覆盖广、涉及面大、灾后损失大。当前APT攻击预警技术存在网络节点碎片化的有限安全域以及全域特征动态检测问题。本文提出基于蚁群算法的电力数据网络APT攻击预警模型。通过设计电力网络的全域可信系统模型,采用流形进行安全边界扩散,将碎片化节点进行柔性关联,确保全域安全控制。构建APT攻击的时效模型,实现攻击对可信系统的损害分析。将APT攻击特征等效为蚁群信息素,实现对APT攻击的自动跟踪和适应。通过实际测试表明,蚁群APT监测预警算法的预警精度有效提升12.6%。 相似文献
9.
Android 系统正日益面临着恶意软件的攻击威胁。针对支持向量机等传统机器学习方法难以有效进行大样本多分类的恶意软件检测,提出一种基于深度神经网络的Android恶意软件检测与家族分类方法。该方法在全面提取应用组件、Intent Filter、权限、数据流等特征基础上,进行有效的特征选择以降低维度,基于深度神经网络进行面向恶意软件的大样本多分类检测。实验结果表明,该方法能够进行有效检测和分类,良性、恶意二分类精度为 97.73%,家族多分类精度可达到 93.54%,比其他机器学习算法有更好的分类效果。 相似文献
10.
APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。 相似文献
11.
为了提高在大流量背景下DDoS攻击检测的实时性。本文提出一种在大流量背景下基于活跃熵的DDoS攻击检测方法。在IP流层面通过分析系统活跃熵值来对整个流量进行初探,剔除正常流量。利用多特征广泛权重最小二乘孪生支持向量机算法(WWLSTSVM)对攻击威胁进行攻击确认。通过实验验证方法的可行性,实验表明在合适场景下本方法可以在保证时效性的同时减少系统误报率。大流量背景下该检测方法比一般的机器学习算法具有更好的检测性能。 相似文献
12.
近年来,针对政府机构、工业设施、大型公司网络的攻击事件层出不穷,网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体,已成为最严重的网络空间安全威胁之一,当前针对APT的研究侧重于寻找可靠的攻击特征并提高检测准确率,由于复杂且庞大的数据很容易将APT特征隐藏,使得获取可靠数据的工作难度大大增加,如何尽早发现APT攻击并对APT家族溯源分析是研究者关注的热点问题。基于此,本文提出一种APT攻击路径还原及预测方法。首先,参考软件基因思想,设计APT恶意软件基因模型和基因相似度检测算法构建恶意行为基因库,通过恶意行为基因库对样本进行基因检测,从中提取出可靠的恶意特征解决可靠数据获取问题;其次,为解决APT攻击路径还原和预测问题,采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测,利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数,进而还原和预测APT攻击路径,预测准确率可达90%以上;最后,通过HMM和基因检测两种方法对恶意软件进... 相似文献
13.
当前,以APT为代表的新型网络安全攻击事件频发并造成了巨大危害,其定制性、隐蔽性、持续性等特点使得传统攻击检测方法难以奏效。然而,随着大数据技术的日益发展,对各类安全相关事件及系统运行环境信息进行了有效关联,使得有效识别这类攻击和威胁成为可能,安全事件关联分析技术也随之应运而生。首先阐述了安全事件关联分析技术的重要性及其目标意义;然后对现有的安全事件关联分析技术进行了综述,从基于属性特征的关联分析、基于逻辑推理的关联分析、基于概率统计的关联分析、基于机器学习的关联分析等方面,分析描述了现有各种安全事件关联分析技术的机理及其优缺点;最后对现有的开源安全事件关联分析软件进行了综述,从应用场景、编程语言、用户接口以及关联方法等角度进行了综合比较。 相似文献
14.
近年来,以窃取敏感数据、破坏国家重要基础设施为主要目标的高级持续威胁(Advanced Persistent Threat,APT)已经给国家安全带来了严重的威胁。与可执行文件相比,恶意文档具有涉及领域广、影响范围大、用户防范意识不足、攻击手段灵活多样、难以检测等诸多特点,已经成为实施APT攻击的重要载体。因此有必要关注恶意文档检测已有的研究成果与发展趋势。本文首先对文档类型及其结构进行了解析,然后阐述了文档的安全隐患、攻击技术以及传播途径等。将当前恶意文档检测方法归纳为静态检测法、动态检测法、动静态结合检测法以及其他相关研究等四类,分别对各类检测方法的研究状况、进展进行了分析和总结。最后,提出了当前恶意文档检测研究的性能评价方法,综述了代表性的数据、检测工具和平台,并展望了未来的研究方向。 相似文献
15.
APT(advanced persistent threat)攻击潜伏时间长,目的性强,会通过变种木马、勒索病毒、组建僵尸网络等手段从内部瓦解企业安全堡垒.但现有攻击溯源方法都只针对单一日志或流量数据,这导致了无法追溯多阶段攻击的完整过程.并且因为日志条目间关系复杂,日志关系图中会产生严重的状态爆炸问题,导致难以对攻击进行准确的分类识别.同时,在利用日志及流量数据进行攻击溯源过程中,很少考虑到数据隐私保护问题.为解决这些问题,提出了一种具有隐私保护的基于图卷积神经网络的攻击溯源方法.通过监督学习解决了因多日志关系连接导致的状态爆炸,对Louvain社区发现算法进行优化从而提高了检测速度及准确性,利用图卷积神经网络对攻击进行有效的分类,并结合属性基加密实现了日志数据的隐私保护.通过复现4种APT攻击测试方法来检测速度和效率.实验结果表明:该方法的检测时间最多可有90%的缩减,攻击溯源准确率可达92%. 相似文献
16.
近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。 相似文献
17.
高级持续威胁(APT,advanced persistent threats)会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏,并通过复用代码攻击绕过堆栈的不可执行限制,这是网络安全的重要威胁.传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐,但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口.为此,以资... 相似文献
18.
在工业化和信息化两化深度融合的背景下,工业控制网络面临着高强度、持续性的恶意渗透和网络攻击,对国家安全和工业生产构成了巨大威胁.检测工业控制网络遭受恶意攻击,高效区分正常数据和攻击数据的研究已成为热点问题.以密西西比州立大学SCADA实验室的能源系统攻击数据集作为工业控制网络入侵检测的主要研究对象,对比不同机器学习算法的准确率、漏警率、虚警率等重要指标,得出综合性能最优的XGBoost算法.为进一步提高入侵检测效率,提出了一种针对XGBoost算法的包裹式特征选择方法,在简化数据集的同时突出不同特征在入侵检测中的重要性.研究结果表明,结合包裹式特征选择的XGBoost算法能有效解决入侵检测问题并提高入侵检测效率,验证了此方法的有效性和科学性. 相似文献
19.
活体检测技术已经成为日常生活中的重要应用,手机刷脸解锁、刷脸支付、远程身份验证等场景都会用到这一技术.但如果攻击者利用虚假视频生成技术生成逼真的换脸视频来攻击上述场景的活体检测系统,将会对这些场景的安全性产生巨大的威胁.针对这个问题使用4种先进的Deepfake技术生成大量的换脸图片和视频作为测试样本,用这些样本来对百... 相似文献