-
公开(公告)号:CN108090354B
公开(公告)日:2021-12-10
申请号:CN201711121116.0
申请日:2017-11-14
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明提供一种基于文件访问图的非监督伪装者检测方法,其步骤包括:将全部文件访问记录按时间顺序分割成多个文件块,每个文件块均包含多条文件访问记录;利用相似度评分函数计算所述文件块之间的相似度;构建无向边权重图,将所述文件块作为图中相互连接的各顶点,任意两顶点间的边权重为对应的两文件块间的相似度;利用聚类算法挖掘图中的聚类簇,并得到图中每个顶点与其所属聚类簇的相关度;将相关度低于一特定的阈值的异常顶点判定为伪装者。本发明还提供一种基于文件访问图的非监督伪装者检测系统。
-
公开(公告)号:CN111064604B
公开(公告)日:2021-05-25
申请号:CN201911247335.2
申请日:2019-12-09
Applicant: 中国科学院信息工程研究所
IPC: H04L12/24 , G06F16/901
Abstract: 本发明涉及一种基于多视角motif融合的网络表示系统及方法,包括:生成网络模块、motif的挖掘和选择模块、图级嵌入模块和节点级嵌入模块;本发明实现更加准确的图级嵌入和节点级嵌入,最终通过更好的网络表示高质量的完成网络分析任务。
-
公开(公告)号:CN111049680B
公开(公告)日:2021-05-25
申请号:CN201911233202.X
申请日:2019-12-05
Applicant: 中国科学院信息工程研究所
IPC: H04L12/24 , H04L12/26 , H04L29/06 , G06F16/215 , G06F16/901 , G06K9/62
Abstract: 本发明涉及一种基于图表示学习的内网横向移动检测系统及方法,包括图处理单元和异常检测单元;图处理单元将结构化的日志数据转换为多种图结构,使用图表示学习的手段将图中的节点转化为低维向量;另一方面,在正常的连通图中搜索正常的横向移动路径以及注入生成异常的横向移动路径,并提取多种路径相似性特征进行后续的分类任务;异常检测单元,基于历史的横向移动路径数据训练出正常的行为模型,对后续实时的横向移动路径进行分类任务,输出可疑的路径并通知管理员。本发明能有效的检测内网中存在的异常横向移动。
-
公开(公告)号:CN112685729A
公开(公告)日:2021-04-20
申请号:CN202011563015.0
申请日:2020-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
Abstract: 本发明提供了一种专用强制访问控制方法、系统、电子设备及存储介质,该方法包括:导入专用访问控制的判定依据和根据用户、软件、资源三层联动协同的专用访问控制逻辑对访问请求进行判定;其中,根据专用访问控制逻辑对访问请求进行判定包括:接收访问请求;获取访问请求处理过程中主体和客体的安全上下文信息;从用户执行软件层面、软件访问资源层面以及用户访问资源层面,分别对访问请求进行判定,得到各个层面判定结果;根据各个层面的判定结果,得到专用访问控制的判定结果。本发明通过制定专用访问控制的判定依据和用户、软件、资源三层联动协同的专用访问控制逻辑,为操作系统提供了一个更完善的安全防护层,提高了系统的便捷性与安全性。
-
公开(公告)号:CN112613032A
公开(公告)日:2021-04-06
申请号:CN202011484244.3
申请日:2020-12-15
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置,包括:对各系统调用序列进行深度嵌入,构建各系统调用的词嵌入向量;基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对;基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对,确定各系统调用之间的依赖关系;基于各系统调用之间的依赖关系确定各短序列的概率值;将各短序列的概率值确定的共现概率作为异常因子,采用阈值判断法确定各系统调用序列的检测结果;所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征,把系统调用序列看作是系统与进程之间交互的语言,对系统调用进行处理,具有很好是泛化性能,降低入侵检测误报率。
-
Patent Agency Ranking
公开(公告)号:CN111163057B
公开(公告)日:2021-04-02
申请号:CN201911246787.9
申请日:2019-12-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异构信息网络嵌入算法的用户识别系统及方法,包括:数据处理模块、联合嵌入模块、评估分析模块;本发明基于行为分析的思路,利用多源异构的用户行为数据构建正常行为模型,当新时间周期的行为数据到来后,通过对比当前行为与正常行为模型的相似性执行用户识别,针对识别错误的情况,本发明还将基于点积相似性运算给出可疑行为排序。本发明可应用于企业内网中检测潜在的内部威胁,结合两种异构信息网络嵌入算法可以得到更加全面精确的行为模型,用户识别准确率得以提升10%左右,此外,本发明还将提供事件级别的溯源线索,可供安全监测人员进一步分析。
-
公开(公告)号:CN112269316A
公开(公告)日:2021-01-26
申请号:CN202011168793.X
申请日:2020-10-28
Applicant: 中国科学院信息工程研究所
IPC: G05B13/04
Abstract: 本发明提出一种基于图神经网络的高鲁棒性威胁狩猎系统及方法,所述方法包括如下步骤:步骤1、将主机的系统行为数据收集并保存到系统行为数据库中;步骤2、溯源图构建步骤,使用不同粒度的系统行为构建溯源图,所述系统行为包括内核层,操作系统层,应用层的行为;步骤3、利用Locating算法初步筛选溯源图,得出可疑子图;步骤4、查询图生成,根据威胁情报描述的攻击行为生成查询图,使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数,分数超过阈值则发出告警。
-
公开(公告)号:CN110808971B
公开(公告)日:2021-01-01
申请号:CN201911040786.9
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 一种基于深度嵌入的未知恶意流量主动检测系统及方法,包括:预处理模块、深度嵌入模块、最优边界搜索模块和检测模块;预处理模块将长度不一的各个应用中的网络流表示为固定大小的流矩阵;深度嵌入模块:在训练阶段,以预处理模块输出的流矩阵作为输入,通过训练孪生卷积神经网络学习一种非线性映射,使得在非线性映射后的嵌入空间下,同一个应用产生的网络流分布更加紧凑,不同应用产生的网络流分布更加离散;在测试阶段,使用训练好的卷积神经网络将待识别的流矩阵映射到嵌入空间下;最优边界搜索模块:在嵌入空间下,为各个已知类别应用的网络流寻找最优分类超平面,最后构建分类器;检测模块基于最优边界搜索模块得到的分类器,判断待识别的网络流是否来自未知的恶意应用。
-
公开(公告)号:CN111107072A
公开(公告)日:2020-05-05
申请号:CN201911263694.7
申请日:2019-12-11
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种基于认证图嵌入的异常登录行为检测方法及系统,在训练阶段,认证图生成模块将内网网络中的认证事件表示为认证图的形式,利用认证图嵌入模块得到图中节点的低维向量表示;基于所得的认证图向量表示,用户正常登陆行为画像生成模块生成用户的登陆行为画像,使用该画像训练模型作为异常检测器;在检测阶段,按照与训练阶段相同的方法生成认证图,然后利用训练阶段所得的认证图节点低维向量表示生成测试阶段的用户登陆行为画像,最后将偏离模型的用户登陆行为标记为异常并产生告警。
-
公开(公告)号:CN110138763A
公开(公告)日:2019-08-16
申请号:CN201910384493.6
申请日:2019-05-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于动态web浏览行为的内部威胁检测系统及方法,由5个模块组成:组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块、个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。该系统通过对组织或者企业内用户web浏览数据的收集、数据的过滤和去噪、个人用户web浏览行为动态性建模和异常检测、用户组行为相对一致性建模和异常检测、信息融合和检测结果输出5个过程实现,使该系统具有较高的内部威胁检测率和较低的误报率。此外,该系统通过图聚类算法自动发现组织或者企业内的用户组关系,提高了系统的智能性,减少了人工标注用户组的工作量。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.032 seconds)
