10.3969/j.issn.1007-757X.2022.09.038
基于日志的Windows系统安全威胁识别技术
网络安全对于大型企业十分重要,每年都会发生很多网络安全事件.针对大型企业的网络入侵通常由资深攻击者发起,通常称为高级持续威胁(APT).APT运用了多种渗透技术,内网漫游就是其中的关键渗透步骤.内网漫游是指攻击者从一个内网主机渗透到其他内网主机,从而不断逼近关键主机或服务器.如果不能及时检测到攻击者的内网漫游,企业内网就会暴露在大规模数据泄漏的风险之下.作者在由众多Windows主机组成的企业内网中研究内网漫游检测,实现了 2种基于日志的Windows系统安全威胁识别方法.为了评估实现的威胁识别方法,在企业内网中收集Windows日志构造真实数据集,利用HDBSCAN聚类技术和基于主成分分类(PCC)的统计技术实现了威胁识别.结果表明,这两种方法都能够从Win-dows安全日志中识别的异常登录行为.HDBSCAN识别的真阳性率(TPR)为85.63%,假阳性率(FPR)为8.29%.PCC检测异常登录的能力较低,TPR为59.81%,FPR为4.70%.本文的研究表明,基于日志的Windows系统安全威胁识别能有效检测入侵者内网横向漫游,提高Windows系统安全威胁识别能力.
APT高级持续性威胁、Windows威胁识别、内网漫游检测、内网安全
38
TN915.08
2022-11-02(万方平台首次上网日期,不代表论文的发表时间)
共5页
133-137
