-
题名一种可扩展的实时多步攻击场景重构方法
被引量:1
- 1
-
-
作者
谢峥
路广平
付安民
-
机构
南京赛宁信息技术有限公司
复旦大学计算机学院
南京理工大学计算机科学与工程学院
-
出处
《信息安全研究》
CSCD
2023年第12期1173-1179,共7页
-
基金
国家自然科学基金项目(62072239)
未来网络科研基金项目(FNSRFP-2021-ZD-05)。
-
文摘
入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击行为进行实时分析方面变得力不从心.设计了基于专家知识的可扩展攻击匹配模板,用以实现对多步攻击场景的还原与重构,从攻击者视角还原攻击事件,帮助安全人员定位安全威胁.以实时警报信息为输入,通过挖掘出语义知识和预先构建的攻击匹配模板,利用匹配关联算法对警报进行聚合和关联,还原攻击场景,展示攻击脉络。实验结果显示,该方法可以实现对IDS的实时警报处理和关联,形成的攻击事件和攻击场景可为安全人员对漏洞的修复和下一步攻击的预防提供极大帮助,同时,设计构建的攻击匹配模板具有可扩展性及应对未来更多攻击的能力.
-
关键词
攻击场景重构
多步攻击
攻击匹配模板
警报关联
入侵检测系统
-
Keywords
reconstruction of attack scene
multi-step attack
attack matching templates
alert correlation
intrusion detection system
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
