【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种基于攻击活动相似性实现跨主机攻击检测的方法。
技术介绍
1、随着数字化时代的到来,计算机网络和互联网的广泛应用已经成为现代社会的核心。然而,这种高度互联的环境也带来了严峻的安全挑战,信息安全不断受到恶意攻击、数据泄露的威胁。这种形势下,网络安全技术的发展变得至关重要,以保护个人、企业和政府的敏感信息和关键基础设施。
2、传统的网络安全解决方案主要集中在防火墙、入侵检测系统、入侵防御系统等针对单个主机或有限网络范围内的安全防护。例如单主机行为检测技术和基于病毒特征识别。然而,随着攻击手段的不断演进,这些传统方法逐渐显示出其局限性。具体而言,在一个大型网络中,黑客入侵一个主机后,会继续向其他主机进行渗透;由于企业网络规模庞大,利用单主机行为检测技术基于行为特征和机器学习方法在单个主机上检测到的安全警报很难判断出整个攻击活动的范围。而基于病毒特征识别则一般是基于先前已知的攻击特征和规则来识别和阻止威胁,面对变种和0day攻击失效。
3、此外,现代恶意攻击更倾向于以多主机协作的方式展开...
【技术保护点】
1.基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,包括:
2.根据权利要求1所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,步骤1中,根据所述审计日志生成对应目标主机的操作图,具体包括:
3.根据权利要求2所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,所述系统实体包括进程、文件、注册表项和套接字中的一种或多种。
4.根据权利要求2所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,步骤2中,计算任意两个目标主机的操作图之间的相似度,具体包括:
5.根据权利要求4所述的基于...
【技术特征摘要】
1.基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,包括:
2.根据权利要求1所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,步骤1中,根据所述审计日志生成对应目标主机的操作图,具体包括:
3.根据权利要求2所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,所述系统实体包括进程、文件、注册表项和套接字中的一种或多种。
4.根据权利要求2所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,步骤2中,...
【专利技术属性】
技术研发人员:陆丽,陈艺丹,魏泰阁,吴博,宋玉柱,谷晶中,王超,
申请(专利权)人:山谷网安科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。