安全性和通信网络

PDF
安全性和通信网络/2019年/文章
特殊的问题

大数据分析的网络安全

把这个特殊的问题

研究文章|开放获取

体积 2019年 |文章的ID 5483918 | https://doi.org/10.1155/2019/5483918

安康Ju,华盈元博大郭,紫薇你们道Li Jing马, HeteMSD:大数据分析有针对性的网络攻击检测框架使用异构多源数据”,安全性和通信网络, 卷。2019年, 文章的ID5483918, 9 页面, 2019年 https://doi.org/10.1155/2019/5483918

HeteMSD:大数据分析有针对性的网络攻击检测框架使用异构多源数据

客座编辑:Pelin一圈
收到了 2019年1月25日
接受 2019年4月10
发表 2019年5月02

文摘

在当前的企业网络环境中,多步有针对性的网络攻击隐蔽和先进特色已经成为主要的威胁。多源安全数据是有针对性的网络攻击检测的先决条件。然而,这些数据异质性特征和语义多样性,和现有的攻击检测方法不考虑全面的数据源。识别和预测攻击意图来自异构嘈杂的数据可以有意义的工作。在本文中,我们首先回顾相关的异构多源数据的不同的数据融合机制。在此基础上,我们提出一个大数据分析框架有针对性的网络攻击检测和相关分析的基本思想。我们的方法将提供相关的能力多源异构安全数据和分析有效的攻击意图。

1。介绍

在当前的网络环境中,网络攻击更隐蔽的和系统性的。先进的持续威胁(APT)带来了巨大的经济损失和安全风险,政府,企业,和其他机构(1]。网络安全管理员没有意识到他们的网络已经妥协,直到几周,几个月,甚至几年。传统的检测技术不能理想地处理与特征的复杂性和定制有针对性的网络攻击。多步有针对性的网络攻击已经成为影响网络安全最重要的因素(2]。

及时有针对性的网络攻击的检测和分析的意义在于两个方面(3]。首先,及时发现入侵行为:非法系统服务可以清理和恢复的时间后,系统被攻击。可以减少损失造成的不正常服务时间。第二,实现有针对性的网络攻击通常在多个阶段,异常行为检测目前可能不会重建整个攻击序列。及时发现preattack步骤可以帮助我们理解攻击的意图。及时检测和预测后续攻击可以帮助我们采取保护措施,防止进一步损害引起的后续攻击。

在当前的入侵检测技术的研究,它可以分为主机检测和网络检测(4]。基于主机的入侵检测方法分析过程行为找到有效载荷所代表的恶意代码。基于网络的入侵检测主要是分析网络流量识别未知的网络攻击。威胁情报,结合大数据分析方法的大规模日志和交通数据,提供了一种更全面的安全角度。

然而,基于单一源数据的入侵检测方法不能反映的关系看似不相关的事件。此外,传统安全解决方案(如入侵检测系统、杀毒软件等)生成大量的入侵警报。这些警报仍然需要检查和交叉检查与其他可用数据(如主机日志和网络通信数据)为了消除误报和识别任何合法的攻击5]。

非法事件影响攻击行为隐藏在色散日志。现有检测方法在识别异常事件不足以支持复杂的攻击检测。有针对性的网络攻击检测基于异构多源数据已成为共识。目前,有针对性的网络攻击检测的局限性如下三大类。

(1)异构多源安全数据是复杂的和更丰富的语义表达式。有各种各样的攻击检测方法对不同的数据源。但研究问题之间的组合关系不够明确。缺乏系统的学术研究中讨论。

(2)现有方法无法快速有效地定位异常相关的网络攻击。数据相关的问题还没有得到很好的解决。在异构多源数据关联方法仍然限制发展的有针对性的网络攻击检测。

(3)现有检测技术的智能和自动化并不令人满意。语义信息安全的数据不是有效的表达。手动分析仍然是攻击识别的主要方法。

为了解决上面讨论的局限性,我们提出一个新颖的分层框架有针对性的网络攻击检测基于异构多源数据的集成。拟议的框架利用攻击调查通过相关分析,可以有效地应对大数据环境中有针对性的网络攻击检测。基于这个框架,内层和跨层分析方法提出了有针对性的网络攻击。后续研究可以在此基础上进行进一步的研究。

本文集中在这个问题上有针对性的网络攻击检测从实用的角度来看。我们提出一个新的框架,使用大数据相关分析技术来分析网络事件对企业网络以提高攻击检测能力。命名为拟议的框架HeteMSD:大数据分析有针对性的网络攻击检测的框架使用异构多源数据。我们的目标是开发一个有效的框架,可以帮助安全分析程序来减少来自异构数据源的数据分析的失明而不降低数字安全保障水平。

目前,实验和理论工作的有针对性的网络攻击检测一直处于摸索阶段,还有一些重大差异的研究中有针对性的网络攻击检测基于异构多源数据。我们建议的框架具有重要意义,因为它打算解决先进的网络攻击保护之间的冲突和大异构数据的负担。我们工作的主要贡献如下。

(1)本文全面总结了现有数据源并指出存在的问题从表达的角度不同。然后我们总结和分类的多源异构安全检测数据从三个方面:nonsemantic数据,数据语义数据和安全知识。因此,我们可以有一个更直观的了解异构多源安全数据。

(2)提出了一种新颖的框架设计用于消除数据冗余,提高数据的相关性。我们将研究问题划分为五层:传感层、活动层,警报层,上下文层和方案层。我们已经取得了分类和集成的数据源并提供一个数据流图数据的过程。

(3)本文结合网络攻击与大数据相关的技术分析方法,提高安全水平,实现全面的网络安全态势感知。相关领域的研究问题从不同的角度研究水平。

本文的其余部分组织如下。部分2给出了有针对性的网络攻击的定义和分析现有的有针对性的网络攻击检测技术。部分3总结了异构数据源,给小说分类视角。然后我们提出的基于异构多源数据的集成框架和解释实际应用的简单的数据流。部分4讨论了相关分析有针对性的网络攻击检测的应用。最后一个部分总结了论文并描述了未来工作的方向。

有针对性的网络攻击是一类专门攻击瞄准特定用户、公司或组织实现特定的目的,如窃取敏感数据从后端数据库或瘫痪系统服务。有针对性的网络攻击有歧视和在本质上不是随机的特征。这意味着攻击者参与区分目标有针对性的攻击,等待合适的机会实现攻击计划。有针对性的网络攻击通常需要几个阶段来实现我们的目标。成功的生活方式实现有针对性的网络攻击过程通常包括收集、感染目标,系统开发、数据漏出,并保持控制。(6]。每一个步骤的关键因素有针对性的网络攻击。成功实施有针对性的网络攻击,上述所有阶段必须成功。

之间的区别的有针对性的网络攻击和传统的攻击是有针对性的网络攻击是更复杂的,通常有很强的入侵动机。攻击者花更多的时间选择目标,找到漏洞,恶意软件和定制。有针对性的网络攻击通常是由专业人员而不是简单地实现使用攻击工具。

图中描述的示例的攻击场景1如下。(我)步骤1:攻击者利用社会工程工具,如网络钓鱼邮件绕过防火墙和浸润应用服务器(Server1)。(2)步骤2:攻击者需要Server1作为跳板来识别和渗透在内部网络主机。(3)步骤3:攻击者攻击者和主机之间建立中华商务渠道控制主机的内部网进一步内部网渗透。(iv)步骤4:攻击者使用控制主机登录内部数据服务器Server2收集敏感数据。(v)第五步:将收集到的敏感数据发送到网络实现数据失窃的目的。

在谈到有针对性的网络攻击时,另一个概念必须包括先进的持续威胁。恰当的可以被看作是有针对性的网络攻击的一个子集7]。一般来说,进行了有针对性的网络攻击有更高级别的攻击手段。恰当的实现通过各种不同的攻击路径。它存在了很长一段时间没有被发现在一个真实的网络环境。一般来说,在谈到先进复杂的和有针对性的网络攻击时,有针对性的网络攻击和摘要是可互换的。很少有差异有针对性的网络攻击和摘要6]。

有针对性的网络攻击的实现过程可以被描述为杀伤链模型(8]。如图2杀伤链模型,总结了攻击过程目标侦察、武器定制,交货,开发、安装、中华商务渠道建立,操作实现,和其他攻击步骤。杀伤链攻击模型如下。

有针对性的网络攻击对企业网络安全带来了巨大威胁。近年来,有针对性的网络攻击检测由进行了检测已经从学术研究人员和安全行业引起了极大关注。各种检测方案被提出来。一般来说,它可以分为基于主机和基于网络的检测检测。目前,越来越多的检测方法结合大数据分析方法和机器学习技术。研究人员还提出审计日志和网络数据的相关分析方法基于威胁信息(9]。

基于主机的检测方法:代表是杀毒软件和hid灯。恶意软件检测的主要思想是通过监控系统调用检测恶意程序,网络访问、文件操作、进程创建,内存修改。通过静态分析和动态分析,可以检测到恶意程序和恰当的攻击是可以预防的10]。基于模式匹配的hid灯方法可以有效地识别已知的攻击。但无法检测未知攻击和规则库需要定期更新。然后提出了基于行为的检测方法。近年来,随着数据挖掘和机器学习技术的兴起,研究者们11)提出了一个基于异常行为识别的各种检测技术。

基于网络的检测方法:命令与控制信道的恶意软件的模式有一定的规律(如攻击负载签名,连续的网络通信的特点,以及生成的域名)。网络流量产生的有针对性的网络攻击不同于那些在正常的业务环境。因此,它是可行的发现网络攻击的攻击过程的检测方法。

由于增加了许多复杂的威胁和安全数据的体积增加,景观分析异构安全数据情况已经发生了翻天覆地的变化,现在处理安全数据已进入大数据问题的类别(4]。

Parth Bhatt [12)提出了一个研究框架来处理复杂的攻击和它与模拟攻击测试数据。框架由一个入侵的中央基础管理体系和多级攻击模型。多级攻击模型是用来确定预防和检测控制提供入侵管理系统所使用的日志,也用作指导日志相关的活动。

Mirco马(13)设计和评估一个小说的框架,根据支持检测进行了安全分析。拟议的框架使用多因素方法,大数据分析方法应用于内部和外部的信息来支持人类专家的专家可以专注于他们的安全和情报分析的子集主机上最有可能已遭泄露。该方法代表了一种进步对艺术和铺平了道路的状态为早期检测新方法,缓解了

目前,传统的检测方案专注于一个或多个阶段。他们不能实现全面攻击检测和假阴性率高和假阳性。虽然已经有很多研究和伟大的进展,有针对性的网络攻击仍不断发生。缺点是,现有的方法还取决于人工分析。它不能识别和快速响应。这里我们想减少人工参与,使检测过程尽可能的智能。类似的攻击应该是根据检测到的攻击模式。数据解析应该尽可能自动检测以自适应的方式。攻击检测的智能主要是体现在几个研究点。

(1)精度。大量的假警报在入侵检测构成巨大的挑战。即使假警报率仅为1%,大量的数据可以带来很多警告,这将带来巨大的负担安全经理。减少假阳性和假阴性的入侵检测中是一个重要内容。

(2)效率。快速识别攻击行为的实际应用中也很重要。缩短攻击检测时间会降低攻击造成的损害。因此,可以减少系统的安全风险和处理安全事故。

(3)智能。自动攻击推理过程。减少体力劳动成本无关的信息可以帮助人类分析师把人工判断的关键部分。

交叉联系事件或警报的能力从网络中的各种来源是检测的关键复杂的多级攻击在早期阶段,这将使一个合理的时间来停止攻击或减轻伤害。

总之,现有的有针对性的网络攻击检测技术用于网络安全威胁识别还没有完全适应。这些方法不能满足网络安全态势感知的需求。当前利用多源异构数据是不够的。本文的目的是为了更好地关联安全数据从不同的来源和提高态势感知能力。相关研究问题和未来研究方向进行了以下内容。

3所示。概念和拟议的框架

3.1。异构多源数据

数据的前提下攻击检测和威胁分析。然而,来自不同来源的安全数据,如IDS警报,防火墙警报、NetFlow数据,Linux syslog,异构数据格式为Windows事件跟踪等。从各种来源有不同的语义含义。难以识别在实际应用的关系。首先,我们调查和总结异构多源安全威胁打猎方面的数据。安全数据具有以下特点。

(1)异构格式。全面的安全数据来自本地主机、服务器、路由器、防火墙、ids,和其他安全设备。来自不同来源的数据采集和存储有很大的不同。数据格式包括结构化、半结构式和非结构化。

(2)不同的语义。不同类型的数据代表不同级别的安全知识。例如,网络数据和主机日志表示在不同领域的信息。IDS警报,防火墙日志,和其他安全日志代表信息在不同语义水平从主机日志和网络数据。不同的安全数据在实际应用要求不同的治疗。

(3)跨数据源的关联。一个复杂的有针对性的网络攻击隐藏了多源异构数据的行为。一个攻击将来自多个来源的数据记录。这些数据可以与主机相连,用户、位置等相关的元素。和所有这些数据作为一个整体可以恢复到一个完整的攻击场景。

这是一个重要的研究问题对安全来自各种数据源的数据进行分类。本文总结和分析了多源异构安全数据有针对性的网络攻击检测。首先,我们根据不同分类成三个类别语义级别的安全性数据的表达式。

(1)Nonsemantic数据。Nonsemantic数据包括运行过程的详细描述和日志反映了攻击,但它不包含语义信息安全。Nonsemantic数据包括操作日志、系统调用、NetFlow数据,分析师可以分析用户行为日志等恶意行为数据并生成语义数据。

(2)语义数据。基于模式匹配和其他技术,我们可以从nonsemantic数据得到安全警报。这种数据安全语义信息,这表明违反安全规则或系统的异常操作如IDS警报,防火墙日志,操作系统安全日志,等等。有许多不同的安全系统部署在当前的网络环境,包括防火墙、杀毒软件、入侵检测系统和流量分析系统。这些安全系统相对应的关键技术在过去的几十年中取得了很大的进步。但是这些独立系统只能解决当地问题但不能反映网络安全的大局。传统的安全系统的局限性越来越明显。

(3)数据安全知识。目前,大多数网络攻击依赖于特定的漏洞和服务,如操作系统漏洞,软件漏洞,或协议漏洞。如果漏洞信息集成到攻击检测的过程中,可以提高攻击检测的准确性。此外,随着安全技术的发展,威胁情报技术检测已经成为一个重要的数据来源14]。安全知识数据包括漏洞数据库,攻击模式数据库,和另一个外部威胁的情报。

3.2。框架设计

在前一节中,我们分析和总结三种安全数据。但是如何进行有针对性的网络攻击检测基于多源异构数据?在本节中,我们提出一个新颖的有针对性的网络攻击检测框架后,有针对性的网络攻击检测技术的深入研究,根据不同的分析角度来看,我们将检测划分为五个层次:传感层、活动层,警报层,上下文层和方案层。图3显示了我们的高级体系结构框架。

(1)传感层:传感层包括初始数据的来源有针对性的网络攻击检测。在这一层,异构多源安全数据采集和数据遥感基础研究是一个重要的问题。全面、系统地总结各种数据源和数据收集和传输安全有效地从许多收藏家对当前安全研究仍然是一个挑战。此外,作为一个感知数据的重要来源,如何快速和及时应对新安全威胁结合安全知识也是一个需要考虑的问题。在传感层的主要研究领域包括数据采集、数据汇总、数据分析和预处理,数据融合,特征提取和特征选择。

(2)事件层:事件与nonsemantic数据层处理。如前所述,nonsemantic数据网络安全的各种和属性有很大的不同(例如,时间序列数据、空间数据、轨迹数据,和NetFlow数据)。如何从这些数据中提取特定的功能和表达大规模异构数据将是一个巨大的挑战。特别是在有针对性的网络攻击检测,只有通过建立不同的数据之间的关系后来的分析过程可以有效地进行。在这一层,主要的研究领域包括事件聚合、内容安全事件关联,异常检测等。

(3)提醒层:数据输入的警报层包括异常检测结果和语义数据。语义数据包括警报来自事件层数据分析和检测和警报后生成的防火墙、入侵检测系统、杀毒软件、和其他安全设备。从事件层的不同之处在于,警报层包含各种与安全警报数据语义,如异常分数、报警级别,等等。在这一层,主要的研究领域包括警报表达式,警报聚类,警报融合、安全信息和事件管理。

(4)上下文层:由于广泛的警报数据来源,警报相关的结果是只攻击碎片或初步的攻击步骤。从安全数据如何获得强化知识仍然是一个具有挑战性的问题。传统的机器学习技术专注于单一数据源而不是异构多源数据。这仍然是一个挑战性的问题有针对性的网络攻击检测提取攻击上下文和攻击碎片从不同来源的安全数据。人类的参与是这一层的一个重要因素。减少人工分析要解决的问题,在这个层次上。在这一层,主要的研究领域包括攻击造型,攻击模式挖掘,攻击场景重建、攻击推理等。

(5)场景层:这一层的攻击场景重建是基于攻击建模和攻击场景重建。攻击场景表达的方式与人类认知一致。在这一层,主要的研究领域包括威胁情报表达式,攻击因果关系分析,视觉分析和攻击计划。

其他现有的研究问题可以引入我们的框架。每一层的研究内容和跨层分别进行了分析。在这个领域当前研究问题在图所示4

发现有针对性的网络攻击来自异构多源数据系统分析过程。的问题更加复杂,因为安全数据的多样性。作为数据继续添加,数据处理将提供一个深入了解的攻击场景。如图4跨层,有数据依赖关系。较低的层为上层提供输入数据,而上层分析输入数据进行进一步分析。更具体地说,数据流过程部分所示3.3

3.3。数据流图

在当前的研究中,入侵检测技术需要进一步细化和修改。关键的问题是要分析不同安全级别的数据之间的关系。然而,即使检测框架,很难找到攻击的痕迹从异构数据的行为。本文提出一种一般的攻击检测方法。数据流图在图讨论5给出了描述的过程从最初的安全数据生成的攻击场景。

三种数据总结部分3不同阶段的输入数据流图。最初的输入数据是nonsemantic数据。原始数据预处理与安全语义生成安全事件。预处理的安全事件,结合语义数据,数据分析模块的输入。经过数据融合分析,分析这些数据并生成安全警报与更高的信心。此外,安全数据辅以安全知识将生成攻击与更多的认知信息片段。最后,这些碎片填充到攻击推理模型,形成一个更完整的攻击场景。攻击场景重建实现攻击相关性和攻击的调查。具体来说,数据分析过程如图5

每个模块的主要功能5如下。

数据预处理模块:数据预处理模块的输入是nonsemantic数据。主要处理原始数据为后续安全事件分析、安全事件与某些安全语义。这个模块的关键是找到异常的有针对性的网络攻击的痕迹。这个模块的主要方法是特征提取,特征选择和异常检测。

数据分析模块:此模块的功能是提取与安全语义数据安全警报从低级警报等基本安全事故和异常。这可以消除假警报警报在很大程度上由安全设备。结合产生的警报和异常检测结果分析安全设备,得到更可靠的结果。排名算法是常用的在这个模块。

数据关联模块:此模块生成支离破碎的信息,表达了攻击模式基于多个相关分析方法。可以建立不同级别的数据之间的关系,提高安全形势意识。这个模块设计为总提醒代表人类认知和安全知识。攻击场景最终将通过从原始数据中提取知识。

总之,我们介绍了框架和解释的数据流处理应用程序中。以下部分将这个框架中使用的主要相关分析方法。

4所示。相关分析

有针对性的网络攻击检测的关键在于如何整合,建立多源异构安全数据之间的相关性。在前一节中我们已经讨论了框架设计。此外,需要相关的安全措施与攻击阶段更好的理解。在本节中讨论技术方面的相关分析和防御措施,更具体地说,主要在以下几方面。

4.1。Event-Event相关性

事件和事件之间的关系可以通过多源数据融合。为原始输入数据异常检测结果表示事件相关。数据融合可以减少数据冗余和协作信息采集通过互补15]。原始异构数据的特点需要提取原始数据的格式不一致。全球异常结果是通过利用多源数据的全面性协会。目前,事件异构融合的主要方法是提取特征从不同的安全数据,形成一个全球的特征向量。不同来源的数据之间的关系可以更好地反映全球异常,无法表达的一个数据源。

多源异构数据的异常检测方法是不同于单一的源数据。现有的基于数据融合的多源异构数据异常检测技术可以分为三类(如图6)。首先,异常检测算法应用于不同数据源,以及全球获得异常后聚合分析的异常检测结果。第二,不同的数据集是用相同的数据合并到一个统一的数据源模式。通过这种方式,传统的单一源数据异常检测转化为数据异常检测问题。第三,更多的数据源添加异常检测的过程中补充和加强异常检测的结果。

在这个领域,从多源异构数据中提取特征向量是一个关键因素。和多源异构数据的异常检测基于集成学习需要进一步的研究。

4.2。Alert-Alert相关性

攻击行为可能会引发许多不同的警报事件,所以有必要把原来的安全事件更高级的警报。警报关联是一个重要的技术来应对大量的入侵检测系统产生的警报。,已经成为一个新的研究趋势领域的攻击检测。在当前攻击分析方法,手动分析仍然是一个关键因素识别攻击的场景。自动警报来简化方法是建立一个联系安全专家的分析。目前,主要有三种类型的警报相关分析方法。

(1)相似性的方法。警报是由计算属性值之间的相似性聚类警报。

(2)状态的方法。警报相关的基于的前提和postresult攻击。攻击建立相关匹配的前提和结果不同的攻击类型。

(3)基于场景的方法。相匹配的攻击场景建立了报警与已知的攻击模式。

通过警报关联,冗余信息提醒的事件可以被删除。另一方面,报警事件的高级语义信息可以提取和提高攻击最终检测结果的准确性。它减少了大量的入侵检测系统产生的警报和可以帮助分析师更好的把握和分析攻击者的动机。建立报警相关性模型通过调整概率推理结果与优化算法需要进一步的研究。

4.3。Pattern-Knowledge相关性

近年来,表示学习技术已经引起了人们广泛的关注领域的语音识别,图像分析和自然语言处理。表示学习旨在代表对象的语义信息作为一个密集的低维实值向量。在这个低维向量空间,两个向量是越近,他们的语义相似度就越高。面向知识表示学习是学习方法表示的实体和关系的知识库。最近,一系列重要进展已经在这个领域(16]。它可以有效地计算之间的语义关系在低维空间实体和关系。该方法可以有效地解决数据稀疏的问题,显著提高知识推理的性能。

向量表示学习算法可以找到学习的描述性文本数据之间的相似性计算文档或标记的距离更远。他们通常使用情感领域的分析。在网络安全领域,学习算法的结果表示是用来表达的相似性和漏洞攻击模式。通过匹配评价结果与攻击检测结果,我们可以找到最近的攻击模式和降低人工成本的分析。

4.4。Alert-Context相关性

在发现攻击步骤或片段通过相关性分析,攻击场景的重建通常依赖于手动安全专家的分析。然而,人工分析无法应对变化的、有针对性的网络攻击和大安全数据的大幅增加。因此,有必要删除无关的因素从分散攻击的攻击数据建模方法。关联警报和攻击模式可以通过使用智能简化判断过程的方法。将从结果中提取更多的认知攻击场景,让他们分析师判断,以提高检测效率,缩短攻击检测时间。

攻击建模是一个重要的技术来分析网络攻击和指导有针对性的网络攻击的检测和调查。攻击建模可以进一步帮助安全分析人士在处理有针对性的网络攻击。研究者提出不同的有针对性的网络攻击分析模型,如攻击图,攻击链,钻石模型,金字塔模型,等等。有针对性的网络攻击场景可以重建基于认知分析模型。

5。结论和观点

从攻击者的角度论述了网络攻击检测帮助安全专家深入的理解有针对性的网络攻击。在本文中,我们提出了一个新颖的框架,HeteMSD,为了提高数据使用异构多源数据的相关性。该研究工作在有针对性的网络攻击检测领域是一种新的尝试,为未来的研究提供了理论基础。HeteMSD与技术组件和相应的解释方法。此外,相关分析对攻击与有效实施调查探讨了利用现有的解决方案。缓解、预防各种技术,检测在不同层也详细讨论帮助后卫在实施有效的防御。

这个工作代表一个全面的定义框架的第一步的调查有针对性的网络攻击。HeteMSD仍然需要补充更多的功能为一体的人类专家,除了简单的观察者,也有丰富的初步分析所需的知识提出的框架。进一步的工作必须完成异常检测基于多源数据融合。将做更多的研究提出相关的扩展方法。最后,安全知识推理可能会成为一个主要的主题感兴趣的安全调查在不久的将来。

数据可用性

本文在相关的相关数据https://github.com/kbandla/APTnotes

的利益冲突

作者宣称没有利益冲突。

确认

作者感谢中国国家自然科学基金的支持。61501615也没有。61602515。本文还支持从科学和技术的基础信息保障实验室(没有:。614211203010417)。

引用

  1. x y, w•戴j .呗,甘,j . Wang和x王”的实施安全性敏感的防御机制先进的持续威胁,”IEEE取证和安全信息,14卷,不。3、646 - 661年,2019页。视图:出版商的网站|谷歌学术搜索
  2. j·纳瓦罗、A . Deruyver和p . Parrend“系统的多步攻击检测,调查”电脑与安全卷,76年,第249 - 214页,2018年。视图:出版商的网站|谷歌学术搜索
  3. 李张m . y . Liu, d . et al .,“对企业安全、及时的因果关系分析”《网络和分布式系统安全座谈会, 2018年。视图:出版商的网站|谷歌学术搜索
  4. r . Zuech t . m . Khoshgoftaar, r·瓦尔德”入侵检测和大型异构数据:一项调查,“《大数据,卷2,不。1,1-41,2015页。视图:出版商的网站|谷歌学术搜索
  5. 即Herwono和f . A . El-Moussa”使用攻击模式,有针对性的网络攻击检测系统”学报》国际会议信息系统安全和隐私在计算机和信息科学、通信,20 - 34页,施普林格,2017年。视图:出版商的网站|谷歌学术搜索
  6. a . Sood和r . Enbody有针对性的网络攻击:多级攻击的攻击和恶意软件,2014年Syngress。
  7. a . k . Sood和r . j . Enbody”有针对性的网络攻击:超集先进的持续威胁,”IEEE安全与隐私,11卷,不。1,54 - 61年,2013页。视图:出版商的网站|谷歌学术搜索
  8. m . s .汗,s·西迪基,k . Ferens”链模型认知和并发网络杀人。”计算机和网络安全的必需品,第602 - 585页,2017年。视图:谷歌学术搜索
  9. l .羌族y Zeming, l . Baoxu j . (y剑,“框架基于威胁情报网络攻击归因,”《国际会议在物联网的互操作性施普林格,页92 - 103年,2016年。视图:出版商的网站|谷歌学术搜索
  10. 李p高,x, z . et al .,“AIQL:启用有效的攻击从系统监控数据调查,“USENIX安全,第126 - 113页,2018年。视图:谷歌学术搜索
  11. s . r . Snapp j .布·g·迪亚斯et al .,“做(分布式入侵检测系统)的动机,”体系结构和早期的原型,第176 - 167页,2017年。视图:出版商的网站|谷歌学术搜索
  12. p . Bhatt, e . t .矢野,p . Gustavsson”对一个框架来检测多级先进的持续威胁攻击,”学报》第八届IEEE国际研讨会面向服务的系统工程,SOSE 2014IEEE,页390 - 395年,英国,2014年4月。视图:谷歌学术搜索
  13. m·马a圭多,f . Pierazzi和m . Colajanni”对抗先进的持续威胁通过安全情报和大数据分析,”《第八届国际网络会议冲突,CyCon 2016爱沙尼亚,页243 - 261年,2016年6月。视图:谷歌学术搜索
  14. z Syed, a . Padia t . Finin m·l·马修斯和a . Joshi UCO:一个统一的网络安全本体,“AAAI车间:人工智能网络安全,2016年。视图:谷歌学术搜索
  15. 郑y”,跨域数据融合的方法:概述”,IEEE大数据,1卷,不。1,16-34,2015页。视图:出版商的网站|谷歌学术搜索
  16. j·纳瓦罗诉罗格朗,s Lagraa et al .,“呼玛:多层框架的威胁分析在异构日志环境中,“课堂讲稿在计算机科学(包括子系列讲义在人工智能和课堂讲稿在生物信息学):前言卷,10723年,第159 - 144页,2018年。视图:谷歌学术搜索

版权©2019年安康榉等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。


更多相关文章

PDF 下载引用 引用
下载其他格式更多的
订单打印副本订单
的观点2120年
下载1154年
引用

相关文章

文章奖:2020年杰出的研究贡献,选择由我们的首席编辑。获奖的文章阅读