-
公开(公告)号:CN117473492A
公开(公告)日:2024-01-30
申请号:CN202311662018.3
申请日:2023-12-06
Applicant: 北京理工大学
Abstract: 本发明涉及利用进程行为模式和置信关联度的APT溯源方法,属于计算机与信息科学技术领域。本发明首先将审计日志文件构建为有向依赖子图和进程图,合并行为模式相同的进程以提高依赖子图约简率;然后计算事件置信度分数和关联度分数,分析事件内部可靠程度,衡量事件与告警事件之间的相关程度,排除良性事件并突出关联度高的攻击事件;最后计算事件异常分数,判断告警子图并还原攻击场景图。本发明针对现有方法约简率低、因事件关联导致告警信息扩散至良性事件从而影响攻击事件精确定位的问题,提出利用进程行为模式和置信关联度的APT溯源方法,缩小依赖图规模,深度挖掘事件隐藏信息,有效降低攻击事件缺失率和良性事件误报率,还原攻击场景图。
Search Results
1
records
(took 0.014 seconds)
筛选
AND
AND
过滤
NOT
NOT
Scan to Join
