基于溯源图的网络攻击调查研究综述OA北大核心CSTPCD
网络攻击调查是实现主动防御、溯源反制的重要手段.面向高隐蔽、强对抗的现代网络攻击,研究高效率、自动化攻击调查方法,提升己方快速响应复杂网络攻击能力,是智能网络攻防关键技术之一.现有研究通过将系统审计日志建模成可表达攻击事件因果依赖关系的溯源图,利用溯源图强大的关联分析和语义表达能力,对复杂隐蔽网络攻击进行调查,相较传统方法效果提升显著.在全面收集分析基于溯源图的攻击调查研究工作的基础上,根据溯源图利用方式及特征挖掘维度的差异,将基于溯源图的攻击调查方法划分为基于因果分析、基于深度表示学习和基于异常检测三类,总结凝练每类方法具体工作流程和通用框架.梳理溯源图优化方法,剖析相关技术从理论向产业落地的能力演变历程.归纳攻击调查常用数据集,对比分析基于溯源图的攻击调查代表性技术和性能指标,最后展望了该领域未来发展方向.
仇晶;陈荣融;朱浩瑾;肖岩军;殷丽华;田志宏
广州大学网络空间安全学院,广东广州510555 鹏城实验室,广东深圳518000广州大学网络空间安全学院,广东广州510555上海交通大学计算机科学与工程系,上海200240绿盟科技集团股份有限公司,北京100089广州大学网络空间安全学院,广东广州510555广州大学网络空间安全学院,广东广州510555
电子信息工程
攻击调查溯源图高级持续性威胁深度学习异常检测
《电子学报》 2024 (7)
P.2529-2556,28
国家重点研发计划(No.2022ZD0119602)国家自然科学基金(No.62272114)鹏城实验室重大项目(No.PCL2022A03)CCF-绿盟科技“鲲鹏”科研基金(No.CCF-NSFOCUS2023003)~~。
评论