【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于标签传递的实时流数据攻击检测方法。
技术介绍
1、高级持续威胁(advanced persistent threat,apt)常常针对核心基础设施(如能源、交通、通信)和关键行业(如金融、医疗)发起攻击。近年来,apt攻击频繁发生,apt攻击检测已成为学术界和行业广泛关注的重要研究课题。及时的攻击检测能够帮助组织及时发现和阻止恶意活动,防止数据泄露、资产损失或系统瘫痪等安全事件的发生。
2、另一方面,基于规则的检测技术是一种常见的安全检测方法,它通过预定义的规则集合来识别和响应特定的安全威胁或异常行为。这些规则可以基于特定的攻击模式、恶意软件特征、异常网络流量或系统行为等进行定义。例如,规则可以包括特定的字符串匹配、文件哈希值、异常端口使用、特定的命令执行序列等。基于规则的检测技术通常快速高效,可以提供较低的误警率,适合于检测已知的攻击模式和已知的恶意行为。然而,其局限性在于需要准确定义和维护大量的规则,并且对于未知的、新型的攻击模式表现出较差的适应性,因此在面对复杂和变化多端的威胁时...
【技术保护点】
1.一种基于标签传递的实时流数据攻击检测方法,其特征在于,所述基于标签传递的实时流数据攻击检测方法,包括:
2.根据权利要求1所述的基于标签传递的实时流数据攻击检测方法,其特征在于,所述实时对内核日志数据进行内核缓存级数据压缩,包括以下操作:
3.根据权利要求1所述的基于标签传递的实时流数据攻击检测方法,其特征在于,所述系统调用事件中的系统调用函数由EventType字段表征,所述系统调用事件类型由事件类型描述符WDM字段表征,则所述将系统调用事件中的系统调用函数转换为对应的系统调用事件类型,包括:
4.根据权利要求3所述的基于标签...
【技术特征摘要】
1.一种基于标签传递的实时流数据攻击检测方法,其特征在于,所述基于标签传递的实时流数据攻击检测方法,包括:
2.根据权利要求1所述的基于标签传递的实时流数据攻击检测方法,其特征在于,所述实时对内核日志数据进行内核缓存级数据压缩,包括以下操作:
3.根据权利要求1所述的基于标签传递的实时流数据攻击检测方法,其特征在于,所述系统调用事件中的系统调用函数由eventtype字段表征,所述系统调用事件类型由事件类型描述符wdm字段表征,则所述将系统调用事件中的系统调用函数转换为对应的系统调用事件类型,包括:<...
【专利技术属性】
技术研发人员:陈铁明,何文雅,朱添田,王新宇,宋琪杰,王刚,吕明琪,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。