[發(fā)明專利]一種基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法在審
| 申請(qǐng)?zhí)枺?/td> | 201711385025.8 | 申請(qǐng)日: | 2017-12-20 |
| 公開(公告)號(hào): | CN109951419A | 公開(公告)日: | 2019-06-28 |
| 發(fā)明(設(shè)計(jì))人: | 姜文婷;王婉婷;亢中苗;蘇卓;趙瑞鋒;周安;羅崇立;劉健峰 | 申請(qǐng)(專利權(quán))人: | 廣東電網(wǎng)有限責(zé)任公司電力調(diào)度控制中心 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 廣州粵高專利商標(biāo)代理有限公司 44102 | 代理人: | 林麗明 |
| 地址: | 510000 廣*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 攻擊 樣本數(shù)據(jù) 規(guī)則挖掘 入侵檢測(cè) 規(guī)則庫(kù) 合并 預(yù)處理 關(guān)聯(lián)規(guī)則算法 入侵檢測(cè)系統(tǒng) 分類算法 關(guān)聯(lián)規(guī)則 實(shí)時(shí)監(jiān)測(cè) 應(yīng)用類型 分類 挖掘 事務(wù) 部署 分析 | ||
1.一種基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:包括以下步驟:
S1.對(duì)樣本數(shù)據(jù)進(jìn)行預(yù)處理;
S2.采用分類算法對(duì)樣本數(shù)據(jù)進(jìn)行分類,識(shí)別出樣本數(shù)據(jù)的應(yīng)用類型;
S3.將分類后的數(shù)據(jù)進(jìn)行合并,并將合并后的數(shù)據(jù)作為關(guān)聯(lián)規(guī)則處理的事務(wù);
S4.采用關(guān)聯(lián)規(guī)則算法對(duì)合并后的數(shù)據(jù)進(jìn)行攻擊規(guī)則的挖掘,建立攻擊規(guī)則庫(kù);
S5.對(duì)攻擊規(guī)則進(jìn)行分析,建立相應(yīng)的解決方案集;
S6.將攻擊規(guī)則庫(kù)和解決方案集部署在入侵檢測(cè)系統(tǒng)中,用于實(shí)時(shí)監(jiān)測(cè)攻擊。
2.根據(jù)權(quán)利要求1所述的基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:所述的步驟S1具體步驟如下:
S11.手機(jī)網(wǎng)絡(luò)中告警設(shè)備識(shí)別的異常流量的樣本信息;
S12.對(duì)樣本信息進(jìn)行去除錯(cuò)誤、冗余的流量數(shù)據(jù)操作;
S13.將數(shù)據(jù)格式進(jìn)行規(guī)范化處理;
S14.處理后的數(shù)據(jù)存入數(shù)據(jù)庫(kù)中。
3.根據(jù)權(quán)利要求1所述的基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:所述的步驟S2具體步驟如下:
S21.采用決策樹C4.5算法對(duì)規(guī)范化的流量數(shù)據(jù)進(jìn)行分類;
S22.建立分類器、識(shí)別應(yīng)用類型;
S23.測(cè)試分類器的性能,若分類器性能較差,則重復(fù)操作步驟S21~S23,提高分類器性能。
4.根據(jù)權(quán)利要求1所述的基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:所述的步驟S3的具體如下:
將分類后的數(shù)據(jù)根據(jù)IP地址進(jìn)行合并,并將合并后的數(shù)據(jù)存入數(shù)據(jù)庫(kù);所述的合并方式有三類,分別是:
(1)目的地址和源地址都是相同的數(shù)據(jù)流量;
(2)目的地址相同的流量數(shù)據(jù);
(3)流量的源地址與另一流量目的地址相同的流量數(shù)據(jù)。
5.根據(jù)權(quán)利要求1所述的基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:所述的步驟S4具體如下:
將合并后的數(shù)據(jù)作為棺咧規(guī)則算法處理的事務(wù),使用Apriori算法對(duì)合并后的數(shù)據(jù)進(jìn)行APT攻擊規(guī)則的挖掘,并建立攻擊規(guī)則庫(kù),工實(shí)時(shí)在線入侵檢測(cè)系統(tǒng)使用。
6.根據(jù)權(quán)利要求1所述的基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:所述的步驟S5具體如下:
基于步驟S4,對(duì)攻擊規(guī)則進(jìn)行分析,根據(jù)以下的情況進(jìn)行分析:
(1)專家知識(shí)、歷史經(jīng)驗(yàn)等判斷攻擊規(guī)則涉及的攻擊鏈階段;
(2)根據(jù)攻擊鏈各個(gè)階段的特征分析攻擊的破壞程度;
(3)攻擊者下一步采取的措施以及上一階段的攻擊行為并進(jìn)行溯源;
依據(jù)以上的分析,為每條攻擊規(guī)則提供解決方案,建立解決方案集,供實(shí)時(shí)在線檢測(cè)系統(tǒng)使用。
7.根據(jù)權(quán)利要求1所述的基于攻擊鏈攻擊規(guī)則挖掘的APT入侵檢測(cè)方法,其特征在于:所述的步驟S6具體如下:
將攻擊規(guī)則庫(kù)和解決方案集部署在實(shí)時(shí)在線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中,實(shí)時(shí)監(jiān)測(cè)APT攻擊;若本攻擊規(guī)則庫(kù)未能匹配到可疑的攻擊流量,則將可疑的攻擊流量進(jìn)行收集,返回步驟S1繼續(xù)進(jìn)行攻擊規(guī)則的挖掘,保證攻擊規(guī)則庫(kù)的定時(shí)更新。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于廣東電網(wǎng)有限責(zé)任公司電力調(diào)度控制中心,未經(jīng)廣東電網(wǎng)有限責(zé)任公司電力調(diào)度控制中心許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711385025.8/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 一種基于FPGA的網(wǎng)絡(luò)行為攻擊方法與裝置
- 一種網(wǎng)絡(luò)攻擊防御方法與裝置
- 一種防火墻攻擊防御方法
- 一種網(wǎng)絡(luò)行為攻擊裝置
- 一種網(wǎng)絡(luò)行為攻擊方法
- 一種網(wǎng)絡(luò)攻擊路線還原方法及系統(tǒng)
- 滲透攻擊評(píng)價(jià)方法和裝置、以及電子設(shè)備和可讀存儲(chǔ)介質(zhì)
- 一種攻擊檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)
- 一種基于攻擊者特性指標(biāo)的網(wǎng)絡(luò)攻擊路徑預(yù)測(cè)方法
- APT攻擊事件溯源分析方法、裝置和計(jì)算機(jī)可讀介質(zhì)
- 生物樣本庫(kù)應(yīng)用管理系統(tǒng)
- 一種模型訓(xùn)練方法及裝置
- 一種評(píng)價(jià)尺度穩(wěn)定的數(shù)據(jù)標(biāo)記分配、統(tǒng)計(jì)的方法及系統(tǒng)
- 情報(bào)數(shù)據(jù)處理的方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 數(shù)據(jù)處理方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)
- 一種數(shù)據(jù)融合方法及裝置
- 一種數(shù)據(jù)標(biāo)注方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備
- 樣本數(shù)據(jù)預(yù)測(cè)方法、裝置和計(jì)算機(jī)可讀介質(zhì)
- 分層抽樣方法、裝置和用于分層抽樣的裝置
- 數(shù)據(jù)樣本擴(kuò)充的方法、裝置和電子設(shè)備
- 一種基于目標(biāo)條件關(guān)聯(lián)規(guī)則數(shù)據(jù)庫(kù)異常查詢監(jiān)測(cè)方法
- 一種用于評(píng)估垃圾信息挖掘規(guī)則的方法與設(shè)備
- 一種基于粗糙集關(guān)聯(lián)規(guī)則的超高壓電網(wǎng)故障規(guī)則挖掘方法
- 基于布爾矩陣的診療規(guī)則挖掘方法
- 一種基于事務(wù)項(xiàng)約束擴(kuò)展的多層關(guān)聯(lián)規(guī)則挖掘方法
- 一種基于隱私保護(hù)的關(guān)聯(lián)規(guī)則挖掘方法、系統(tǒng)及電子設(shè)備
- 一種基于物理數(shù)據(jù)庫(kù)的核電工程業(yè)務(wù)數(shù)據(jù)挖掘系統(tǒng)及方法
- 低資源條件下的關(guān)聯(lián)規(guī)則挖掘方法、系統(tǒng)、裝置
- 保序序列規(guī)則挖掘方法
- 一種基于異常樣本的關(guān)聯(lián)規(guī)則挖掘方法、系統(tǒng)、終端及存儲(chǔ)介質(zhì)
- web入侵檢測(cè)方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 漏洞攻擊的入侵檢測(cè)方法及相關(guān)設(shè)備
- 基于靶場(chǎng)的入侵內(nèi)核檢測(cè)方法及裝置、計(jì)算設(shè)備
- 一種網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng)
- 一種網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測(cè)方法及裝置
- 一種周界入侵檢測(cè)識(shí)別方法
- 入侵檢測(cè)方法及裝置
- 入侵檢測(cè)設(shè)備、服務(wù)器及系統(tǒng)
- 一種基于物聯(lián)網(wǎng)的入侵檢測(cè)方法及系統(tǒng)
- 基于云計(jì)算的信息防護(hù)方法、服務(wù)器及存儲(chǔ)介質(zhì)
