信息安全研究 ›› 2024, Vol. 10 ›› Issue (5): 396-.

• 学术论文 • 上一篇    下一篇

多步攻击检测关键技术研究展望

谢国杰1张旭2于洋2赵程遥1胡佳1王浩铭2蒋沐辰2胡程楠2   

  1. 1(浙江省数据开放融合关键技术研究重点实验室杭州310052)
    2(北京航空航天大学杭州创新研究院杭州310051)

  • 出版日期:2024-05-20 发布日期:2024-05-20
  • 通讯作者: 谢国杰 工程师.主要研究方向为数字化转型、数据价值发掘、数据安全、数字政府建设和工业互联网建设. xieguojie1698@dingtalk.com
  • 作者简介:谢国杰 工程师.主要研究方向为数字化转型、数据价值发掘、数据安全、数字政府建设和工业互联网建设. xieguojie1698@dingtalk.com 张旭 硕士,助理研究员.主要研究方向为入侵检测、多步攻击检测. zhangxu_bhhyy@buaa.edu.cn 于洋 硕士,高级工程师.主要研究方向为数据标准、数据安全. bhhz_cybersecurity@163.com 赵程遥 硕士,高级工程师.主要研究方向为数据治理、数据共享和数据安全. zhaocy@zj.gov.cn 胡佳 主要研究方向为数字化转型、数字政府建设、数据开发利用. jia.huj@dtzhejiang.com 王浩铭 硕士,高级工程师.主要研究方向为网络安全、数据安全. wanghaoming1006@163.com 蒋沐辰 博士.主要研究方向为物联网数据采集、数能协作技术、无线网络协议、网络空间安全. 824344715@qq.com 胡程楠 硕士,助理研究员.主要研究方向为拟态安全、工控安全. hcnhcn012@126.com

Key Technologies and Research Prospects in Multi-step Attack Detection

Xie Guojie1, Zhang Xu2, Yu Yang2, Zhao Chengyao1, Hu Jia1, Wang Haoming2, Jiang Muchen2, and Hu Chengnan2#br#

#br#
  

  1. 1(Key Laboratory of Open Data of Zhejiang Province, Hangzhou 310052)
    2(Hangzhou Innovation Institute of Beihang University, Hangzhou 310051)

  • Online:2024-05-20 Published:2024-05-20

摘要: 多步攻击检测技术通过分析告警日志数据,挖掘攻击场景,辅助实现高威胁攻击路径的早期发现,从而降低安全威胁风险,提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术:基于告警相似性、基于告警因果知识和基于模型的多步攻击检测技术.通过比较分析,剖析了3种技术的差异.同时,还探讨了多步攻击检测技术的未来发展方向,包括与隐私计算、溯源图和因果推断等技术的融合.这些技术的融合将为网络安全提供新思路和方法,以应对不断复杂化的安全威胁.

关键词: 多步攻击检测, 告警相似度, 因果知识, 隐私计算, 溯源图, 因果推断

Abstract: Multistep attack detection technology leveragesalert log data analysis to uncover attack scenarios, aiding in the early detection of highthreat attack paths. This ultimately reduces security  risks and enhances the safety of networks and information systems. This paper introduces three key technologies of multistep attack detection: alert similaritybased, alert causalitybased, and modelbased approaches. Through comparative analysis, the differences between these techniques are examined. Furthermore, this paper explores the future  directions for multistep attack detection technology, including integration with privacy computation, provenance graph, and causality inference techniques. These integrations promise to offer novel approaches and methodologies for network security in the face of increasingly complex threats.

Key words: multi-step attack detection, alert similarity, causality knowledge, privacy computation, provenance graph, causality inference

中图分类号: