基于脑皮质计算的多步攻击检测与预测研究
发布时间:2023-02-12 17:22
近年来,随着多步攻击向精细化、智能化方向发展,网络安全形势越发严峻,传统的多步攻击检测和防御体系正面临着新的挑战。随着大数据技术的应用,数据价值不断增长,数据泄露事件呈上升态势,因此,研究能够适应新形势的多步攻击检测和防御技术具有重要意义。本文针对现有技术在多步攻击检测各个阶段的不足展开研究,分别从告警预处理阶段、入侵会话验证阶段、入侵场景构建阶段提出一系列解决方法,使多步攻击检测技术更加适应流数据的分析要求,实现新一代轻量级、智能化的多步攻击检测系统。本文的主要工作和创新点包括以下几个方面:1、在告警预处理阶段,提出数据归并、删除冗余和噪声的新方法。本文针对现有告警处理技术因为过早使用聚类或数据挖掘等方法而导致入侵逻辑遭到严重破坏的问题,提出了一系列新的告警预处理方法:基于告警“强关联性”的入侵动作抽取方法、基于时间约束的入侵会话重建及修剪方法,这些方法在告警预处理阶段,有效保证了入侵逻辑的完整性,同时,大大降低了噪声和冗余数据对后续各阶段的影响。比如,所提出的入侵动作抽取方法,充分利用告警的“强关联性”,按指定策略将原始告警分组,从而抽取入侵动作,避免打乱入侵动作的时间顺序;所提出...
【文章页数】:128 页
【学位级别】:博士
【文章目录】:
摘要
abstract
第一章 绪论
1.1 课题研究背景和意义
1.2 多步攻击及检测方法概述
1.2.1 多步攻击相关的术语解释
1.2.2 多步攻击过程
1.2.3 多步攻击检测过程
1.2.4 多步攻击检测与关联分析技术
1.2.5 多步攻击检测模型分类
1.2.6 多步攻击带来的挑战
1.3 论文主要工作
1.4 论文的组织结构
第二章 多步攻击检测相关技术
2.1 多步攻击检测研究现状
2.1.1 基于相似度的检测方法
2.1.2 基于时间规则的检测方法
2.1.3 基于因果关系的检测方法
2.1.4 基于图模型的检测方法
2.1.5 基于数据挖掘技术的检测方法
2.1.6 基于案例的检测方法
2.2 关于脑皮质学习算法的研究现状
2.3 HTM学习算法的工作原理
2.4 HTM算法用于序列学习的可行性分析
2.5 原型系统架构
2.6 本章小结
第三章 HTM算法数据预处理方法
3.1 引言
3.2 入侵动作抽取方法
3.2.1 告警的强关联性
3.2.2 入侵动作抽取方法
3.2.3 入侵动作的比较
3.3 入侵会话生成方法
3.3.1 入侵会话的时间特征
3.3.2 基于时间约束的入侵会话生成算法
3.4 入侵会话修剪算法
3.5 实验评估与分析
3.5.1 实验环境和数据准备
3.5.2 基于DARPA 2000数据集的实验结果和分析
3.5.3 基于CICIDS2017数据集的实验结果和分析
3.5.4 实验总结
3.6 本章小结
第四章 基于影响力模型的会话模式挖掘方法
4.1 引言
4.2 基于信息熵的入侵会话筛选方法
4.3 入侵会话挖掘与验证
4.3.1 针对序列问题的典型解决方法总结
4.3.2 基于“影响力”的入侵会话建模
4.3.3 入侵会话验证和修正过程
4.4 实验结果和分析
4.4.1 测试数据准备
4.4.2 基于基线数据集的评估
4.4.3 基于随机噪声数据集的评估
4.4.4 基于错乱数据的评估
4.4.5 基于不完整数据集的评估
4.4.6 基于多种数据缺陷的综合评估
4.4.7 入侵会话修正评估
4.4.8 与现有方法的对比分析
4.5 本章小结
第五章 基于HTM算法的多步攻击检测方法
5.1 引言
5.2 基于HTM算法的入侵场景构建方法
5.2.1 改进的入侵动作编码方法
5.2.2 基于HTM算法的多步攻击建模
5.2.3 基于多种搜索策略的多步攻击场景构建方法
5.3 多步攻击预测
5.3.1 多步攻击预测基本思路和面临的挑战
5.3.2 多步攻击预测常用方法
5.3.3 基于多步攻击场景的预测方法
5.3.4 基于ATT&CK框架的多步攻击预测方法的思考
5.4 实验和评估
5.4.1 基于自动生成数据集的评估
5.4.2 基于CICIDS2017入侵检测数据集的评估
5.4.3 基于DARPA 2000数据集的评估
5.5 本章小结
第六章 结论和展望
6.1 论文工作总结
6.2 下一步工作展望
参考文献
附录Ⅰ
致谢
攻读学位期间发表的学术论文目录
本文编号:3741507
【文章页数】:128 页
【学位级别】:博士
【文章目录】:
摘要
abstract
第一章 绪论
1.1 课题研究背景和意义
1.2 多步攻击及检测方法概述
1.2.1 多步攻击相关的术语解释
1.2.2 多步攻击过程
1.2.3 多步攻击检测过程
1.2.4 多步攻击检测与关联分析技术
1.2.5 多步攻击检测模型分类
1.2.6 多步攻击带来的挑战
1.3 论文主要工作
1.4 论文的组织结构
第二章 多步攻击检测相关技术
2.1 多步攻击检测研究现状
2.1.1 基于相似度的检测方法
2.1.2 基于时间规则的检测方法
2.1.3 基于因果关系的检测方法
2.1.4 基于图模型的检测方法
2.1.5 基于数据挖掘技术的检测方法
2.1.6 基于案例的检测方法
2.2 关于脑皮质学习算法的研究现状
2.3 HTM学习算法的工作原理
2.4 HTM算法用于序列学习的可行性分析
2.5 原型系统架构
2.6 本章小结
第三章 HTM算法数据预处理方法
3.1 引言
3.2 入侵动作抽取方法
3.2.1 告警的强关联性
3.2.2 入侵动作抽取方法
3.2.3 入侵动作的比较
3.3 入侵会话生成方法
3.3.1 入侵会话的时间特征
3.3.2 基于时间约束的入侵会话生成算法
3.4 入侵会话修剪算法
3.5 实验评估与分析
3.5.1 实验环境和数据准备
3.5.2 基于DARPA 2000数据集的实验结果和分析
3.5.3 基于CICIDS2017数据集的实验结果和分析
3.5.4 实验总结
3.6 本章小结
第四章 基于影响力模型的会话模式挖掘方法
4.1 引言
4.2 基于信息熵的入侵会话筛选方法
4.3 入侵会话挖掘与验证
4.3.1 针对序列问题的典型解决方法总结
4.3.2 基于“影响力”的入侵会话建模
4.3.3 入侵会话验证和修正过程
4.4 实验结果和分析
4.4.1 测试数据准备
4.4.2 基于基线数据集的评估
4.4.3 基于随机噪声数据集的评估
4.4.4 基于错乱数据的评估
4.4.5 基于不完整数据集的评估
4.4.6 基于多种数据缺陷的综合评估
4.4.7 入侵会话修正评估
4.4.8 与现有方法的对比分析
4.5 本章小结
第五章 基于HTM算法的多步攻击检测方法
5.1 引言
5.2 基于HTM算法的入侵场景构建方法
5.2.1 改进的入侵动作编码方法
5.2.2 基于HTM算法的多步攻击建模
5.2.3 基于多种搜索策略的多步攻击场景构建方法
5.3 多步攻击预测
5.3.1 多步攻击预测基本思路和面临的挑战
5.3.2 多步攻击预测常用方法
5.3.3 基于多步攻击场景的预测方法
5.3.4 基于ATT&CK框架的多步攻击预测方法的思考
5.4 实验和评估
5.4.1 基于自动生成数据集的评估
5.4.2 基于CICIDS2017入侵检测数据集的评估
5.4.3 基于DARPA 2000数据集的评估
5.5 本章小结
第六章 结论和展望
6.1 论文工作总结
6.2 下一步工作展望
参考文献
附录Ⅰ
致谢
攻读学位期间发表的学术论文目录
本文编号:3741507
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3741507.html
