-
题名基于网络通信异常识别的多步攻击检测方法
被引量:19
- 1
-
-
作者
琚安康
郭渊博
李涛
叶子维
-
机构
战略支援部队信息工程大学密码工程学院
-
出处
《通信学报》
EI
CSCD
北大核心
2019年第7期57-66,共10页
-
基金
国家自然科学基金资助项目(No.61501515)~~
-
文摘
针对企业内部业务逻辑固定、进出网络访问行为受控等特点,首先定义了 2 类共 4 种异常行为,然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边 2 类异常,分别采用基于图的异常分析和小波分析方法识别网络通信过程中的异常行为,并通过异常关联分析检测多步攻击。分别在 DARPA 2000数据集和 LANL 数据集上进行实验验证,实验结果表明,所提方法可以有效检测并重构出多步攻击场景。所提方法可有效监测包括未知特征攻击类型在内的多步攻击,为检测 APT 等复杂的多步攻击提供了一种可行思路,并且由于网络通信图大大减小了数据规模,因此适用于大规模企业网络环境。
-
关键词
多步攻击
网络异常
通信子图
小波变换
-
Keywords
multi-step attack
network anomaly
communication graph
wavelet analysis
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-