基于多源异构数据的定向网络攻击检测关键技术研究
发布时间:2021-08-02 22:47
以APT为代表的定向网络攻击具有攻击手段复杂、潜伏期长、危害性高的特点,已成为影响网络安全的最大威胁,从多源异构、存在噪声的网络空间数据中辨识出定向网络攻击行为、意图和趋势,是网络空间安全态势感知的重要研究内容,对于网络空间安全具有重要意义。本文针对多源异构网络安全数据体量巨大、格式异构、语义多样等特点,研究了面向关联分析的定向网络攻击检测方法,分析归纳目前存在的主要问题,设计基于多源异构数据的定向网络攻击检测框架,相应地提出了一整套数据关联方法,可有效支持网络安全态势感知与分析决策。具体来说,本文成果包括以下几个方面:1、针对面向关联分析的定向网络攻击检测缺乏标准框架的问题,设计了基于多源异构数据的定向网络攻击检测框架,通过分析定向网络攻击及其检测过程,给出定向网络攻击的形式化定义,在此基础上构建基于多源异构数据的定向网络攻击检测分层框架,设计了相应的数据分类模型与关联分析方法,解决了目前研究中缺乏统一规范描述框架的问题。2、针对异常检测模型缺少高质量标注数据集的现实问题,研究少标注样本环境下的流数据异常检测方法,提出了基于孤立森林和PAL的自适应异常检测算法。在基于集成学习思想的孤...
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:152 页
【学位级别】:博士
【部分图文】:
金字塔(7)攻击本体模型
战略支援部队信息工程大学博士学位论文第44页图2.5后续章节内容与检测框架对应情况通过将下层异常检测结果逐步向上层传递,可以逐渐增强数据语义信息,从而增强定向网络攻击检测的时效性和精度;在数据通路中通过分析安全事件的关联性,告警事件的置信度逐渐加深,可以将原本孤立分散的无关事件组成相对完整的攻击片断或攻击场景;伴随着对攻击场景分析程度的不断深入,跨层事件的关联性不断增强,通过建立人在回路的机制,以及安全知识的融入,可以大大减轻人工分析成本,不断提升定向网络攻击分析检测效率和准确度,从而实现对安全威胁的实时把握和全面感知。2.6小结本章首先形式化描述了定向网络攻击及其检测过程,通过分析定向网络攻击的实施流程,给出其一般定义,然后从防御方的角度研究提出了一种基于多源异构数据的定向网络攻击检测框架(HeteMSD),以帮助安全专业人员深入了解定向网络攻击,并对相应技术组件和具体研究方法进行了解释,并将现有检测技术进行分类,建立了基于多源异构数据的定向网络攻击检测框架,结合数据分类模型,从事件-事件关联、告警-告警关联、上下文-知识关联、告警-上下文关联等4个关联分析维度,总结提出了基于多源异构数据的关联分析思路。构建了基于多源异构数据的定向网络攻击检测框架和流程,从而为后续数据关联与检测方法设计提供依据与模型支撑。
第五章基于知识图谱表示学习的攻击知识关联方法第83页不同的抽象层次决定了模型的表达能力和能够覆盖的概念的粒度,较高层的概念抽象可以从宏观的角度给威胁事件进行定性,并支持对安全风险进行评级;较底层的概念则更贴近攻击细节,在实际分析过程中能够给威胁事件更确切实际的解释、指导和评估。图5.1ATT&CK框架示意图(2)CAPEC通用攻击模式枚举与分类模型CAPEC[119][120](全称CommonAttackPatternEnumerationandClassification)是MITRE托管的常见攻击模式枚举与分类集合,可以用来辅助安全专业人士理解攻击模式,可以在CAPEC在线信息库网站中搜索具体攻击模型的特征描述。CAPEC提供了一个公共可用的常见攻击模式目录,其目的在于帮助用户了解对手如何利用应用程序和其他网络功能中的弱点展开攻击活动。在2020年7月发布的CAPECVersion3.3中,共列出了524种攻击模式。这里的“攻击模式”是对攻击者利用网络能力中已知弱点的共同属性和方法的描述。攻击模式定义了对手可能面临的挑战以及如何解决这些挑战。它们源于在破坏性而非建设性的环境中应用的设计模式的概念,并从对具体的实际开发实例的深入分析中生成。与ATT&CK不同,CAPEC专注于应用程序安全,描述了对手利用网络能力中已知弱点所采用的通用属性和技术(例如SQL注入、XSS、会话固定、点击劫持等)。CAPEC与CVE本体示例如图5.2所示。(a)CAPEC本体(b)CVE本体图5.2CAPEC与CVE本体示例(3)CVE安全漏洞是指系统中软件、硬件或协议存在的错误或缺陷,攻击者可能利用这些缺陷
本文编号:3318414
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:152 页
【学位级别】:博士
【部分图文】:
金字塔(7)攻击本体模型
战略支援部队信息工程大学博士学位论文第44页图2.5后续章节内容与检测框架对应情况通过将下层异常检测结果逐步向上层传递,可以逐渐增强数据语义信息,从而增强定向网络攻击检测的时效性和精度;在数据通路中通过分析安全事件的关联性,告警事件的置信度逐渐加深,可以将原本孤立分散的无关事件组成相对完整的攻击片断或攻击场景;伴随着对攻击场景分析程度的不断深入,跨层事件的关联性不断增强,通过建立人在回路的机制,以及安全知识的融入,可以大大减轻人工分析成本,不断提升定向网络攻击分析检测效率和准确度,从而实现对安全威胁的实时把握和全面感知。2.6小结本章首先形式化描述了定向网络攻击及其检测过程,通过分析定向网络攻击的实施流程,给出其一般定义,然后从防御方的角度研究提出了一种基于多源异构数据的定向网络攻击检测框架(HeteMSD),以帮助安全专业人员深入了解定向网络攻击,并对相应技术组件和具体研究方法进行了解释,并将现有检测技术进行分类,建立了基于多源异构数据的定向网络攻击检测框架,结合数据分类模型,从事件-事件关联、告警-告警关联、上下文-知识关联、告警-上下文关联等4个关联分析维度,总结提出了基于多源异构数据的关联分析思路。构建了基于多源异构数据的定向网络攻击检测框架和流程,从而为后续数据关联与检测方法设计提供依据与模型支撑。
第五章基于知识图谱表示学习的攻击知识关联方法第83页不同的抽象层次决定了模型的表达能力和能够覆盖的概念的粒度,较高层的概念抽象可以从宏观的角度给威胁事件进行定性,并支持对安全风险进行评级;较底层的概念则更贴近攻击细节,在实际分析过程中能够给威胁事件更确切实际的解释、指导和评估。图5.1ATT&CK框架示意图(2)CAPEC通用攻击模式枚举与分类模型CAPEC[119][120](全称CommonAttackPatternEnumerationandClassification)是MITRE托管的常见攻击模式枚举与分类集合,可以用来辅助安全专业人士理解攻击模式,可以在CAPEC在线信息库网站中搜索具体攻击模型的特征描述。CAPEC提供了一个公共可用的常见攻击模式目录,其目的在于帮助用户了解对手如何利用应用程序和其他网络功能中的弱点展开攻击活动。在2020年7月发布的CAPECVersion3.3中,共列出了524种攻击模式。这里的“攻击模式”是对攻击者利用网络能力中已知弱点的共同属性和方法的描述。攻击模式定义了对手可能面临的挑战以及如何解决这些挑战。它们源于在破坏性而非建设性的环境中应用的设计模式的概念,并从对具体的实际开发实例的深入分析中生成。与ATT&CK不同,CAPEC专注于应用程序安全,描述了对手利用网络能力中已知弱点所采用的通用属性和技术(例如SQL注入、XSS、会话固定、点击劫持等)。CAPEC与CVE本体示例如图5.2所示。(a)CAPEC本体(b)CVE本体图5.2CAPEC与CVE本体示例(3)CVE安全漏洞是指系统中软件、硬件或协议存在的错误或缺陷,攻击者可能利用这些缺陷
本文编号:3318414
本文链接:https://www.wllwen.com/shoufeilunwen/xxkjbs/3318414.html
