基于腦皮質計算的多步攻擊檢測與預測研究
發(fā)布時間:2023-02-12 17:22
近年來,隨著多步攻擊向精細化、智能化方向發(fā)展,網絡安全形勢越發(fā)嚴峻,傳統(tǒng)的多步攻擊檢測和防御體系正面臨著新的挑戰(zhàn)。隨著大數據技術的應用,數據價值不斷增長,數據泄露事件呈上升態(tài)勢,因此,研究能夠適應新形勢的多步攻擊檢測和防御技術具有重要意義。本文針對現有技術在多步攻擊檢測各個階段的不足展開研究,分別從告警預處理階段、入侵會話驗證階段、入侵場景構建階段提出一系列解決方法,使多步攻擊檢測技術更加適應流數據的分析要求,實現新一代輕量級、智能化的多步攻擊檢測系統(tǒng)。本文的主要工作和創(chuàng)新點包括以下幾個方面:1、在告警預處理階段,提出數據歸并、刪除冗余和噪聲的新方法。本文針對現有告警處理技術因為過早使用聚類或數據挖掘等方法而導致入侵邏輯遭到嚴重破壞的問題,提出了一系列新的告警預處理方法:基于告警“強關聯(lián)性”的入侵動作抽取方法、基于時間約束的入侵會話重建及修剪方法,這些方法在告警預處理階段,有效保證了入侵邏輯的完整性,同時,大大降低了噪聲和冗余數據對后續(xù)各階段的影響。比如,所提出的入侵動作抽取方法,充分利用告警的“強關聯(lián)性”,按指定策略將原始告警分組,從而抽取入侵動作,避免打亂入侵動作的時間順序;所提出...
【文章頁數】:128 頁
【學位級別】:博士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 課題研究背景和意義
1.2 多步攻擊及檢測方法概述
1.2.1 多步攻擊相關的術語解釋
1.2.2 多步攻擊過程
1.2.3 多步攻擊檢測過程
1.2.4 多步攻擊檢測與關聯(lián)分析技術
1.2.5 多步攻擊檢測模型分類
1.2.6 多步攻擊帶來的挑戰(zhàn)
1.3 論文主要工作
1.4 論文的組織結構
第二章 多步攻擊檢測相關技術
2.1 多步攻擊檢測研究現狀
2.1.1 基于相似度的檢測方法
2.1.2 基于時間規(guī)則的檢測方法
2.1.3 基于因果關系的檢測方法
2.1.4 基于圖模型的檢測方法
2.1.5 基于數據挖掘技術的檢測方法
2.1.6 基于案例的檢測方法
2.2 關于腦皮質學習算法的研究現狀
2.3 HTM學習算法的工作原理
2.4 HTM算法用于序列學習的可行性分析
2.5 原型系統(tǒng)架構
2.6 本章小結
第三章 HTM算法數據預處理方法
3.1 引言
3.2 入侵動作抽取方法
3.2.1 告警的強關聯(lián)性
3.2.2 入侵動作抽取方法
3.2.3 入侵動作的比較
3.3 入侵會話生成方法
3.3.1 入侵會話的時間特征
3.3.2 基于時間約束的入侵會話生成算法
3.4 入侵會話修剪算法
3.5 實驗評估與分析
3.5.1 實驗環(huán)境和數據準備
3.5.2 基于DARPA 2000數據集的實驗結果和分析
3.5.3 基于CICIDS2017數據集的實驗結果和分析
3.5.4 實驗總結
3.6 本章小結
第四章 基于影響力模型的會話模式挖掘方法
4.1 引言
4.2 基于信息熵的入侵會話篩選方法
4.3 入侵會話挖掘與驗證
4.3.1 針對序列問題的典型解決方法總結
4.3.2 基于“影響力”的入侵會話建模
4.3.3 入侵會話驗證和修正過程
4.4 實驗結果和分析
4.4.1 測試數據準備
4.4.2 基于基線數據集的評估
4.4.3 基于隨機噪聲數據集的評估
4.4.4 基于錯亂數據的評估
4.4.5 基于不完整數據集的評估
4.4.6 基于多種數據缺陷的綜合評估
4.4.7 入侵會話修正評估
4.4.8 與現有方法的對比分析
4.5 本章小結
第五章 基于HTM算法的多步攻擊檢測方法
5.1 引言
5.2 基于HTM算法的入侵場景構建方法
5.2.1 改進的入侵動作編碼方法
5.2.2 基于HTM算法的多步攻擊建模
5.2.3 基于多種搜索策略的多步攻擊場景構建方法
5.3 多步攻擊預測
5.3.1 多步攻擊預測基本思路和面臨的挑戰(zhàn)
5.3.2 多步攻擊預測常用方法
5.3.3 基于多步攻擊場景的預測方法
5.3.4 基于ATT&CK框架的多步攻擊預測方法的思考
5.4 實驗和評估
5.4.1 基于自動生成數據集的評估
5.4.2 基于CICIDS2017入侵檢測數據集的評估
5.4.3 基于DARPA 2000數據集的評估
5.5 本章小結
第六章 結論和展望
6.1 論文工作總結
6.2 下一步工作展望
參考文獻
附錄Ⅰ
致謝
攻讀學位期間發(fā)表的學術論文目錄
本文編號:3741507
【文章頁數】:128 頁
【學位級別】:博士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 課題研究背景和意義
1.2 多步攻擊及檢測方法概述
1.2.1 多步攻擊相關的術語解釋
1.2.2 多步攻擊過程
1.2.3 多步攻擊檢測過程
1.2.4 多步攻擊檢測與關聯(lián)分析技術
1.2.5 多步攻擊檢測模型分類
1.2.6 多步攻擊帶來的挑戰(zhàn)
1.3 論文主要工作
1.4 論文的組織結構
第二章 多步攻擊檢測相關技術
2.1 多步攻擊檢測研究現狀
2.1.1 基于相似度的檢測方法
2.1.2 基于時間規(guī)則的檢測方法
2.1.3 基于因果關系的檢測方法
2.1.4 基于圖模型的檢測方法
2.1.5 基于數據挖掘技術的檢測方法
2.1.6 基于案例的檢測方法
2.2 關于腦皮質學習算法的研究現狀
2.3 HTM學習算法的工作原理
2.4 HTM算法用于序列學習的可行性分析
2.5 原型系統(tǒng)架構
2.6 本章小結
第三章 HTM算法數據預處理方法
3.1 引言
3.2 入侵動作抽取方法
3.2.1 告警的強關聯(lián)性
3.2.2 入侵動作抽取方法
3.2.3 入侵動作的比較
3.3 入侵會話生成方法
3.3.1 入侵會話的時間特征
3.3.2 基于時間約束的入侵會話生成算法
3.4 入侵會話修剪算法
3.5 實驗評估與分析
3.5.1 實驗環(huán)境和數據準備
3.5.2 基于DARPA 2000數據集的實驗結果和分析
3.5.3 基于CICIDS2017數據集的實驗結果和分析
3.5.4 實驗總結
3.6 本章小結
第四章 基于影響力模型的會話模式挖掘方法
4.1 引言
4.2 基于信息熵的入侵會話篩選方法
4.3 入侵會話挖掘與驗證
4.3.1 針對序列問題的典型解決方法總結
4.3.2 基于“影響力”的入侵會話建模
4.3.3 入侵會話驗證和修正過程
4.4 實驗結果和分析
4.4.1 測試數據準備
4.4.2 基于基線數據集的評估
4.4.3 基于隨機噪聲數據集的評估
4.4.4 基于錯亂數據的評估
4.4.5 基于不完整數據集的評估
4.4.6 基于多種數據缺陷的綜合評估
4.4.7 入侵會話修正評估
4.4.8 與現有方法的對比分析
4.5 本章小結
第五章 基于HTM算法的多步攻擊檢測方法
5.1 引言
5.2 基于HTM算法的入侵場景構建方法
5.2.1 改進的入侵動作編碼方法
5.2.2 基于HTM算法的多步攻擊建模
5.2.3 基于多種搜索策略的多步攻擊場景構建方法
5.3 多步攻擊預測
5.3.1 多步攻擊預測基本思路和面臨的挑戰(zhàn)
5.3.2 多步攻擊預測常用方法
5.3.3 基于多步攻擊場景的預測方法
5.3.4 基于ATT&CK框架的多步攻擊預測方法的思考
5.4 實驗和評估
5.4.1 基于自動生成數據集的評估
5.4.2 基于CICIDS2017入侵檢測數據集的評估
5.4.3 基于DARPA 2000數據集的評估
5.5 本章小結
第六章 結論和展望
6.1 論文工作總結
6.2 下一步工作展望
參考文獻
附錄Ⅰ
致謝
攻讀學位期間發(fā)表的學術論文目錄
本文編號:3741507
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3741507.html
最近更新
教材專著
