面向云数据中心的多步攻击检测与弱点加固方法研究
这是一篇关于云数据中心,告警关联,多步攻击检测,安全知识图谱,弱点信息补全的论文, 主要内容为随着云数据中心相关技术和应用的不断发展,云数据中心面临新的安全检测问题和安全加固挑战。一方面,集成化防护平台产生的大量告警使得安全人员陷入告警疲劳,安全人员难以有效分析和管理告警数据来发现复杂多步攻击。现有多步攻击检测方法通过关联和分析告警数据来发现多步攻击场景,但忽视了误报告警对多步攻击检测的影响,导致准确率较低。另一方面,云数据中心发生复杂多步攻击的根本原因是弱点没有及时加固。然而,当安全人员搜索网络安全知识库获取弱点加固信息时,面临异构信息协同难、弱点信息缺失等问题,这使得获取到的弱点信息不够准确。现有研究通过知识图谱推理来补全缺失的弱点信息,但缺乏对云数据中心弱点信息的逆向邻域特征的充分学习,导致补全的弱点信息准确率低,难以应用于加固云数据中心的弱点。针对现有多步攻击检测研究忽视云数据中心下误报告警的问题,提出一种基于告警因果关联图的多步攻击检测方法(Multi-step Attack Detection Based on Alert Causality Graph,MAD-ACG)。通过分析云数据中心下多步攻击场景的告警和误报告警的区别,MAD-ACG从时间、空间、因果关联强度和攻击行为四个维度定义了四种告警因果关联关系:同步C1、渐进多阶段C2、响应C3和跨域多步C5,并在此基础上构建告警因果关联图(Alert Causality Graph,ACG)。为提高多步攻击检测准确率,MAD-ACG通过可疑多步攻击路径提取算法实现多步攻击检测,利用卷积神经网络训练路径判别模型来区分多步攻击路径和误报路径。在两个公开数据集和一个真实云数据中心数据集上的实验结果显示MAD-ACG能有效减少至少95.6%的误报告警,且多步攻击路径检测准确率达96.24%。针对在云数据中心下检测到的多步攻击路径存在未经加固弱点的问题,为了补全加固弱点的信息,现有的弱点信息补全研究缺乏对云数据中心弱点信息的逆向邻域特征的充分学习,提出了一种基于安全知识图谱的融合逆向特征的弱点信息补全方法(A Vulnerability Information Completing Method Based on Security Knowledge Graph with Fusing Reverse Neighborhood Information,Vul KGC-RN)。该方法构建了关联CVE、CWE、CAPEC和ATT&CK四类开源网络安全知识库的弱点安全知识图谱(Vulnerability Security Knowledge Graph,Vul KG)以获取弱点信息的邻域信息。为充分学习弱点信息的邻域特征,Vul KGC-RN分析了Vul KG中安全实体的网络结构,并通过图注意力网络学习安全实体正向邻域和逆向邻域的角色特征,进而融合正向邻域特征和逆向邻域特征以补全云数据中心的弱点加固信息。在开源网络安全数据集上的实验结果表明Vul KGC-RN能补全云数据中心下的弱点加固信息,且Mean Ranking达到179,Mean Reciprocal Ranking达到0.6714。
基于多阶段情报关联的APT攻击检测研究与实现
这是一篇关于APT,告警关联,场景重构,攻击链提取的论文, 主要内容为近年来,高级持续性威胁(Advanced Persistent Threat,APT)事件频频发生。目前大多数入侵检测系统只负责检测APT攻击链上的某一环节,APT检测应该覆盖整个攻击链路,还要发掘单步攻击事件之间的联系。因此本文设计了一种基于APT攻击中多个阶段进行检测,并关联各阶段检测情报重构APT攻击场景的检测模型。本文工作内容包含三个部分:(1)研究APT攻击生命周期中的关键检测阶段和检测点检测方法。本文将网络侧检测对象分为协议流和域名,从协议流特征检测侦察阶段、初始攻击阶段、横向移动阶段、行动阶段的攻击行为,从域名生成算法的恶意域名检测初始攻击阶段和命令与控制阶段的命令与控制服务器访问行为。使用机器学习在相关阶段上进行细粒度检测,同时引入外部开源威胁情报作为黑名单精准匹配流量中特定目标,形成本地阶段检测情报。(2)研究告警的融合关联模型。使用MAC地址进行内网主机长历史告警关联,使用网络告警交互图进行场景重构,结合网络侧告警和主机侧日志发现隐蔽的横向移动过程。提出基于标签进行攻击链合并与重叠攻击链拆分的攻击链提取方法。(3)基于分布式微服务架构设计实现了基于多阶段情报关联的APT攻击检测系统,以微服务方式实现采集、存储、解析、检测、关联模块的系统解耦,达到充分利用单机性能、采集解析能力可调整、保存历史数据、方便维护更新等目的。最后对本文实现的系统进行了功能测试。
面向接入层网管的故障诊断系统
这是一篇关于故障诊断,EPON,告警关联,规则,MSTP的论文, 主要内容为网管平台上呈现的告警信息及时向网管人员报告了网络及网络中设备的异常状态,然而接入层客户端设备量大,故障告警信息规模与频度相应很大,使得引发设备告警的故障原因判断更加复杂。网管人员往往很难快速准确地定位网络故障,因为并不是每条告警信息都能真实反映网络故障的根源。以EPON网络为例,树结构上游设备上的故障,例如OLT上PON口异常,不仅导致来自于该PON口的PONAbnormal告警,众多下游告警,例如下挂ONU和交换机设备的离线告警信息,也会同时产生,相对于PON Abnormal告警这样的根源告警,这些被称为衍生告警。大量的衍生告警造成了告警信息的冗余,增加了故障定位的难度。这正是研究产生的背景。本文将告警关联技术与EPON网络结合起来,探讨基于规则的诊断系统应用于告警分析和故障处理。 本文针对接入网告警信息管理的问题开展研究,研究工作和主要内容包括以下几个方面: 首先,对目前告警分析方法进行比较,从算法实现、适用网络类型、自学习能力等角度衡量优缺点。 其次,研究分析EPON网络的拓扑特征和典型的故障类型,根据对告警分析方法的对比结果设计并实现了基于规则的故障诊断系统。该系统选取格林伟迪(GWD)公司的现场数据库,围绕一个告警规则表进行关联设计;系统采用Spring框架;数据库采用了MySQL技术;通信层用javaRMI技术实现。文章给出了系统运行的硬件和软件环境,并对测试结果进行了分析和总结。根据实验结果总结了面向接入网网管的故障诊断系统的优点以及将来的改进方向。 最后,将基于规则的故障诊断系统应用于MSTP网络,分析其告警关联特征,建立合理规则库,进一步证明系统设计的完备性。 研究结果表明,故障诊断系统能够对接入网中的故障告警进行有效分析和诊断,并能够对故障告警进行快速准确定位。
面向云数据中心的多步攻击检测与弱点加固方法研究
这是一篇关于云数据中心,告警关联,多步攻击检测,安全知识图谱,弱点信息补全的论文, 主要内容为随着云数据中心相关技术和应用的不断发展,云数据中心面临新的安全检测问题和安全加固挑战。一方面,集成化防护平台产生的大量告警使得安全人员陷入告警疲劳,安全人员难以有效分析和管理告警数据来发现复杂多步攻击。现有多步攻击检测方法通过关联和分析告警数据来发现多步攻击场景,但忽视了误报告警对多步攻击检测的影响,导致准确率较低。另一方面,云数据中心发生复杂多步攻击的根本原因是弱点没有及时加固。然而,当安全人员搜索网络安全知识库获取弱点加固信息时,面临异构信息协同难、弱点信息缺失等问题,这使得获取到的弱点信息不够准确。现有研究通过知识图谱推理来补全缺失的弱点信息,但缺乏对云数据中心弱点信息的逆向邻域特征的充分学习,导致补全的弱点信息准确率低,难以应用于加固云数据中心的弱点。针对现有多步攻击检测研究忽视云数据中心下误报告警的问题,提出一种基于告警因果关联图的多步攻击检测方法(Multi-step Attack Detection Based on Alert Causality Graph,MAD-ACG)。通过分析云数据中心下多步攻击场景的告警和误报告警的区别,MAD-ACG从时间、空间、因果关联强度和攻击行为四个维度定义了四种告警因果关联关系:同步C1、渐进多阶段C2、响应C3和跨域多步C5,并在此基础上构建告警因果关联图(Alert Causality Graph,ACG)。为提高多步攻击检测准确率,MAD-ACG通过可疑多步攻击路径提取算法实现多步攻击检测,利用卷积神经网络训练路径判别模型来区分多步攻击路径和误报路径。在两个公开数据集和一个真实云数据中心数据集上的实验结果显示MAD-ACG能有效减少至少95.6%的误报告警,且多步攻击路径检测准确率达96.24%。针对在云数据中心下检测到的多步攻击路径存在未经加固弱点的问题,为了补全加固弱点的信息,现有的弱点信息补全研究缺乏对云数据中心弱点信息的逆向邻域特征的充分学习,提出了一种基于安全知识图谱的融合逆向特征的弱点信息补全方法(A Vulnerability Information Completing Method Based on Security Knowledge Graph with Fusing Reverse Neighborhood Information,Vul KGC-RN)。该方法构建了关联CVE、CWE、CAPEC和ATT&CK四类开源网络安全知识库的弱点安全知识图谱(Vulnerability Security Knowledge Graph,Vul KG)以获取弱点信息的邻域信息。为充分学习弱点信息的邻域特征,Vul KGC-RN分析了Vul KG中安全实体的网络结构,并通过图注意力网络学习安全实体正向邻域和逆向邻域的角色特征,进而融合正向邻域特征和逆向邻域特征以补全云数据中心的弱点加固信息。在开源网络安全数据集上的实验结果表明Vul KGC-RN能补全云数据中心下的弱点加固信息,且Mean Ranking达到179,Mean Reciprocal Ranking达到0.6714。
面向接入层网管的故障诊断系统
这是一篇关于故障诊断,EPON,告警关联,规则,MSTP的论文, 主要内容为网管平台上呈现的告警信息及时向网管人员报告了网络及网络中设备的异常状态,然而接入层客户端设备量大,故障告警信息规模与频度相应很大,使得引发设备告警的故障原因判断更加复杂。网管人员往往很难快速准确地定位网络故障,因为并不是每条告警信息都能真实反映网络故障的根源。以EPON网络为例,树结构上游设备上的故障,例如OLT上PON口异常,不仅导致来自于该PON口的PONAbnormal告警,众多下游告警,例如下挂ONU和交换机设备的离线告警信息,也会同时产生,相对于PON Abnormal告警这样的根源告警,这些被称为衍生告警。大量的衍生告警造成了告警信息的冗余,增加了故障定位的难度。这正是研究产生的背景。本文将告警关联技术与EPON网络结合起来,探讨基于规则的诊断系统应用于告警分析和故障处理。 本文针对接入网告警信息管理的问题开展研究,研究工作和主要内容包括以下几个方面: 首先,对目前告警分析方法进行比较,从算法实现、适用网络类型、自学习能力等角度衡量优缺点。 其次,研究分析EPON网络的拓扑特征和典型的故障类型,根据对告警分析方法的对比结果设计并实现了基于规则的故障诊断系统。该系统选取格林伟迪(GWD)公司的现场数据库,围绕一个告警规则表进行关联设计;系统采用Spring框架;数据库采用了MySQL技术;通信层用javaRMI技术实现。文章给出了系统运行的硬件和软件环境,并对测试结果进行了分析和总结。根据实验结果总结了面向接入网网管的故障诊断系统的优点以及将来的改进方向。 最后,将基于规则的故障诊断系统应用于MSTP网络,分析其告警关联特征,建立合理规则库,进一步证明系统设计的完备性。 研究结果表明,故障诊断系统能够对接入网中的故障告警进行有效分析和诊断,并能够对故障告警进行快速准确定位。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:毕设驿站 ,原文地址:https://m.bishedaima.com/lunwen/49860.html
