谁知道怎么解析DARPA2000数据集，重构攻击场景

Will-kkc 2019-02-17 06:46:27

谁知道怎么解析DARPA2000数据集，重构攻击场景，需要详细步骤！谢谢各位大佬

...全文

328 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

qq_33919830 2019-03-28

打赏
举报

回复

大家都是哪个方向的哟，我也想知道如何重放，获取警报，互相联系一下吧1060264392

Will-kkc 2019-03-01

打赏
举报

回复

在线等支援

Will-kkc 2019-03-01

打赏
举报

回复

对呀，我看论文，都在对实验数据进行重放，但是我还没有思路，你们谁能给点建议？

分析了现有的各种安全事件关联算法，提出了一种基于状态机的攻击场景重构技术。基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理，为每一种可能发生的攻击场景构建一个状态机，利用状态机来跟踪、记录攻击活动的发展过程，以此来提高关联过程的实时性和准确性。最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证。

针对企业内部业务逻辑固定、进出网络访问行为受控等特点，首先定义了2类共4种异常行为，然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边2类异常，分别采用基于图的异常分析和小波分析方法识别网络通信过程中的异常行为，并通过异常关联分析检测多步攻击。分别在DARPA 2000数据集和LANL数据集上进行实验验证，实验结果表明，所提方法可以有效检测并重构出多步攻击场景。所提方法可有效监测包括未知特征攻击类型在内的多步攻击，为检测 APT 等复杂的多步攻击提供了一种可行思路，并且由于网络通信图大大减小了数据规模，因此适用于大规模企业网络环境。

通过关联告警事件所涉及的基础设施状态，结合攻击设备的漏洞威胁和设备在系统中的重要性来衡量前后攻击步骤的关联度，从而将攻击意图识别转化为多步攻击步骤的关联度，解决了攻击意图定义受限于攻击场景有限的问题。考虑到同一类型的攻击行为的攻击序列具有一定的相似性，因此，将候选攻击序列进行聚类，并将同一类型的攻击序列进行合并，形成攻击序列数据库。如果每一个前后攻击步骤的关联度Relevancyr的阈值大于设定的阈值，那么说明最大攻击行为序列模式的提取是可信的，否则，排除不满足设定阈值的攻击步骤，实现攻击者意图的探测。

基于攻击图的方法是发现攻击的一种很有前途的方法，近年来人们提出了各种各样的技术。然而，一个关键的限制是，到目前为止开发的方法在其**体系结构上是单一**的，在其**内部模型上是异构**的。现有原型的不灵活的自定义数据模型和用代码而不是声明性语言实现规则，一方面使**技术的组合、扩展和重用**变得困难，另一方面也**妨碍了安全知识的重用**——包括检测规则和威胁情报。

原文标题：SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data 原文作者：Md Nahid Hossain, Stony Brook University; Sadegh M. Milajerdi, University of Illinois at Chicago; Junao Wang, Stony Broo...

256

社区成员

6,542

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章