超级会员免费看
本文提出一种基于告警关联的多步攻击意图识别方法,通过挖掘告警数据的关联性还原攻击序列,结合基础设施重要性和漏洞威胁评估攻击者意图。实验表明,该方法在DARPA2000数据集上验证了对特定网络攻击的识别能力,提高了识别准确性,尤其在解决虚假攻击问题上表现突出。
【摘 要】针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题,提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列,围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意图,从而实现还原攻击场景、刻画攻击行为的目的。实验表明,与传统算法进行对比分析,在DARPA2000上验证了该算法对特定网络攻击场景的识别能力,且百分误差绝对值和均方误差绝对值均低于传统算法。由此可知,文中所述的结合漏洞威胁和基础设施重要性来关联攻击步骤能够有效解决攻击过程出现的虚假攻击问题,提升了网络多步攻击意图识别的准确性。
【关键词】告警关联;多步攻击;基础设施重要性;漏洞威胁评估
0 引言
对告警数据进行关联的手段可分为聚合关联(同类、相似的告警数据之间的关联)和多步关联(根据告警数据的序列实现不同攻击步骤之间的关联)。而多步关联能够实现攻击场景重建和发现攻击者的多步攻击意图,有利于网络管理者对网络攻击进行事前预防。所谓攻击意图识别是通过对现有的告警数据进行关联后预测攻击者的后续行动,从而为制定正确的安全防御措施提供决策支持。当前有很多研究者对告警数据关联进行了相关的研究,包括:Hata等人[1]提出了一种基于贝叶斯网络的电信网络告警关联方法,该方法通过使用基于警报生成时间、生成地点和警报类
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
