关系 & 抽象
Point -> Line -> Surface
时间event1 event2 。。。stage阶段
具体行为对应的日志,都会呈现某种共同的特征。(找特征)
特征组合得到的是更加完善、具体化的点(Point)
Log1 = 特征1 +特征3 +xxxx
xxx.xxx.xxx.xxx [port] GET 200 (我访问成功了√) 向量化
共同特征的日志集合,成为了一个完整的攻击步骤。(聚类)
xxx.xxx.xxx.xxx [port] GET 404 (我访问失败了)
xxx.xxx.xxx.xxx [port] GET 404(我访问失败了)
xxx.xxx.xxx.xxx [port] GET 404(我访问失败了)
xxx.xxx.xxx.xxx [port] GET 404(我访问失败了)
xxx.xxx.xxx.xxx [port] GET 404(我访问失败了)
(可能是扫描)
- 准则:从一般的实际攻击角度来看,攻击步骤是有先后顺序的。(比如说上传后门大概率在搜集信息的后面)
- 具体行为之间的关联?
阶段细化
算法指导 LCS ELK(软件)(参考论文)
Longest Common Sub-sequence 最长公共子序列 (需要有先验 训练样本)
String1: aaaaaaaaaabbbbbbbbbbbbbcccccccccccccccccccddddddddddd
String2: blablalba
社区发现 Community Discovery (聚类)(改进算法)
路径回溯 tracing
两篇文章