《表1 模拟攻击实验环境》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于事件流数据世系的恶意网络行为检测方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

通过实验，攻击人员成功渗透用户A的主机。而运维人员也收到了用户A主机杀软检测到下载恶意程序的报警事件。运维人员针对该报警事件，在用户A的事件流数据世系中找到对应的系统和用户交互网络行为事件，采用3.3节的恶意网络行为事件检测及追溯方法进行排查，发现用户A与系统交互的网络行为事件流数据世系中存在三项可疑事件。这三项事件在相同inputData.v（即系统访问URL）的情况下出现不同outputData.v（即该系统页面的MD5值），如表1所示。