ATT&CK框架下基于事件序列关联的网络高级威胁检测系统
随着网络技术的快速发展,网络世界攻防对垒愈发激烈,高级网络威胁行为层出不穷,但目前网安分析人员在实际运维中对多步攻击行为的过程描述仍存在一定差异,造成了巨大的语义沟通成本.为了解决在网络高级威胁检测中的这一痛点问题,采用ATT &CK网络对抗行为框架作为多步攻击行为的统一描述语言,设计实现了一套基于事件序列关联的网络高级威胁检测系统,通过事件序列关联模型可以实现对多步攻击行为的有效检测,并通过ATT &CK攻击矩阵可视化呈现,有助于分析人员明晰恶意攻击的手段、策略及目的,分析人员通过检测系统呈现出的技术和战术,采取相应的防御措施,能够降低攻击者的攻击效果.实验结果表明,检测系统检出率可达96.43%,对网络攻击事件中的分析人员解决"防守困境"具有极大的现实意义.
对抗性战术、技术和常识、多步攻击检测、事件序列关联、高级持续威胁
50
TP393.0(计算技术、计算机技术)
2023-09-06(万方平台首次上网日期,不代表论文的发表时间)
共7页
700-706
