-
公开(公告)号:CN115134160A
公开(公告)日:2022-09-30
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
公开(公告)号:CN112269316B
公开(公告)日:2022-06-07
申请号:CN202011168793.X
申请日:2020-10-28
Applicant: 中国科学院信息工程研究所
IPC: G05B13/04
Abstract: 本发明提出一种基于图神经网络的高鲁棒性威胁狩猎系统及方法,所述方法包括如下步骤:步骤1、将主机的系统行为数据收集并保存到系统行为数据库中;步骤2、溯源图构建步骤,使用不同粒度的系统行为构建溯源图,所述系统行为包括内核层,操作系统层,应用层的行为;步骤3、利用Locating算法初步筛选溯源图,得出可疑子图;步骤4、查询图生成,根据威胁情报描述的攻击行为生成查询图,使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数,分数超过阈值则发出告警。
-
公开(公告)号:CN109033845B
公开(公告)日:2021-05-07
申请号:CN201810533871.8
申请日:2018-05-29
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种基于文件访问记录时空分析的伪装者检测方法及系统,本方法步骤包括:通过用户主机收集用户的文件访问记录;基于文件访问记录得到一文件访问子活动,基于文件访问子活动映射得到文件访问网络,根据两顶点中的文件路径之间的关系计算文件访问网络的边权重,对文件访问网络进行聚类得到用户活动类,进而得到关于文件路径和用户活动类的紧密度;将文件操作类型和文件操作方向结合为文件操作,按照时间顺序得到文件操作序列,将文件操作序列的测试序列和特征子序列的相似度的平均值作为测试序列的发生概率;基于所述紧密度和发生概率得到异常评分,将异常评分高于一阈值的文件访问子活动判定为伪装者。
-
公开(公告)号:CN111107072B
公开(公告)日:2021-01-12
申请号:CN201911263694.7
申请日:2019-12-11
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种基于认证图嵌入的异常登录行为检测方法及系统,在训练阶段,认证图生成模块将内网网络中的认证事件表示为认证图的形式,利用认证图嵌入模块得到图中节点的低维向量表示;基于所得的认证图向量表示,用户正常登陆行为画像生成模块生成用户的登陆行为画像,使用该画像训练模型作为异常检测器;在检测阶段,按照与训练阶段相同的方法生成认证图,然后利用训练阶段所得的认证图节点低维向量表示生成测试阶段的用户登陆行为画像,最后将偏离模型的用户登陆行为标记为异常并产生告警。
-
公开(公告)号:CN109951462B
公开(公告)日:2020-08-25
申请号:CN201910170833.5
申请日:2019-03-07
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 一种基于全息建模的应用软件流量异常检测系统及方法,包括:应用软件识别模块、特征空间设计模块、全息建模模块和异常检测模块;应用软件识别模块,实现流量识别功能;根据获取的原始流量数据包中的端口进行应用软件的识别,得到已知软件类别的流量数据集;特征空间设计模块,实现特征提取功能,根据不同的TCP流进行基于流的特征提取,得到流量特征数据集;全息建模模块,实现模型的建立与动态更新功能;根据聚类算法对应用软件的流特征进行多角度建模,再根据更新条件,基于新的流量数据更新已建立的多个模式,得到应用软件流量的正常模型;异常检测模块,实现应用软件的流量异常判断功能,根据模型容量和离散度综合得到的异常分数来识别异常,得到流量是否异常的判定结果。
-
Patent Agency Ranking
公开(公告)号:CN111163057A
公开(公告)日:2020-05-15
申请号:CN201911246787.9
申请日:2019-12-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异构信息网络嵌入算法的用户识别系统及方法,包括:数据处理模块、联合嵌入模块、评估分析模块;本发明基于行为分析的思路,利用多源异构的用户行为数据构建正常行为模型,当新时间周期的行为数据到来后,通过对比当前行为与正常行为模型的相似性执行用户识别,针对识别错误的情况,本发明还将基于点积相似性运算给出可疑行为排序。本发明可应用于企业内网中检测潜在的内部威胁,结合两种异构信息网络嵌入算法可以得到更加全面精确的行为模型,用户识别准确率得以提升10%左右,此外,本发明还将提供事件级别的溯源线索,可供安全监测人员进一步分析。
-
公开(公告)号:CN111049680A
公开(公告)日:2020-04-21
申请号:CN201911233202.X
申请日:2019-12-05
Applicant: 中国科学院信息工程研究所
IPC: H04L12/24 , H04L12/26 , H04L29/06 , G06F16/215 , G06F16/901 , G06K9/62
Abstract: 本发明涉及一种基于图表示学习的内网横向移动检测系统及方法,包括图处理单元和异常检测单元;图处理单元将结构化的日志数据转换为多种图结构,使用图表示学习的手段将图中的节点转化为低维向量;另一方面,在正常的连通图中搜索正常的横向移动路径以及注入生成异常的横向移动路径,并提取多种路径相似性特征进行后续的分类任务;异常检测单元,基于历史的横向移动路径数据训练出正常的行为模型,对后续实时的横向移动路径进行分类任务,输出可疑的路径并通知管理员。本发明能有效的检测内网中存在的异常横向移动。
-
公开(公告)号:CN118199998A
公开(公告)日:2024-06-14
申请号:CN202410392645.8
申请日:2024-04-02
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06N5/01 , G06N5/047 , G06F16/903
Abstract: 本发明涉及一种基于有限自动机的行为识别与采集方法及系统,其方法包括:S1:执行预设的脚本文件,生成对应的行为模式集合;S2:利用最长公共前后缀的特性在O(n)时间复杂度内,求得每个行为模式中多文件操作;S3:定义改进的有限自动机;根据有向带环图模型,将行为模式集合中的每个行为模式,按照步骤S2获取重复操作并构造为环,添加到有向带环图中;步骤S4:使用DFA算法,将进程中文件操作相关的系统调以序列形式按照自动机规则进行匹配,得到进程行为;同时,监控文件系统相关的内核函数,根据进程的执行状态获取详细的文件信息,对进程行为的信息进行补充丰富。本发明提供的方法可高效地产生富含行为语义的高质量日志。
-
公开(公告)号:CN112613032B
公开(公告)日:2024-03-26
申请号:CN202011484244.3
申请日:2020-12-15
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置,包括:对各系统调用序列进行深度嵌入,构建各系统调用的词嵌入向量;基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对;基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对,确定各系统调用之间的依赖关系;基于各系统调用之间的依赖关系确定各短序列的概率值;将各短序列的概率值确定的共现概率作为异常因子,采用阈值判断法确定各系统调用序列的检测结果;所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征,把系统调用序列看作是系统与进程之间交互的语言,对系统调用进行处理,具有很好是泛化性能,降低入侵检测误报率。
-
公开(公告)号:CN115134160B
公开(公告)日:2024-03-22
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.029 seconds)
