【技术实现步骤摘要】
本专利技术属于网络安全基础设施领域,具体涉及一种网络级攻击行径审计方法、装置和可读存储介质。
技术介绍
1、近年来,网络攻击不断增加,给政府、关键基础设施和企业带来了巨大损失。特别是,高级持续威胁(apt)组织通过利用多种漏洞,采取多种att&ck战术,对目标组织进行秘密攻击。例如,wannacry是最为广泛传播的apt攻击之一,感染了150多个国家的组织和基础设施,造成了高达40亿美元的损失,隐匿的apt攻击的检测已成为学术界和工业界的研究热点。
2、基于溯源图的检测被认为是apt检测领域中一种有前途的分支,该方法收集细粒度的操作信息以便于系统内核审计。收集的信息包括进程之间的调用、文件的读写以及网络连接,最终形成一个有向无环图。因此,溯源图增强了对系统内攻击者操作复杂且动态流程的可见性和可追溯性。然而,面临以下三个问题:1)apt攻击的组织性和复杂性使得通过主机级别的溯源图审计难以还原完整的攻击路径,存在网络级别可追溯性的挑战;2)利用对抗性攻防的分布式攻击技术,如内存级木马和隐藏隧道,难以被检测,主机级别溯源图...
【技术保护点】
1.一种网络级攻击行径审计方法,其特征在于,包括:
2.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析,包括:
3.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述时间相关性分析模型为:
4.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述文件相关性分析模型为:
5.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述出入度相关性分析模型为:
6.根据权利要求1所述的一种网络级攻击...
【技术特征摘要】
1.一种网络级攻击行径审计方法,其特征在于,包括:
2.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析,包括:
3.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述时间相关性分析模型为:
4.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述文件相关性分析模型为:
5.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述出入度相关性分析模型为:
6.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述利用高斯混合模型对相关性分析结...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。