-
公开(公告)号:CN107846389A
公开(公告)日:2018-03-27
申请号:CN201610839816.2
申请日:2016-09-21
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种基于用户主客观数据融合的内部威胁检测方法及系统,在原先仅审计用户系统与网络行为数据的基础上,提出了反映用户工作态度、生活压力等个体特征的主观要素数据,再从用户的主客观要素数据出发,提出了融合模式、预示模式两类数据融合模式,通过融合反映用户攻击动机强度的主观要素数据与反映用户系统与网络行为的客观要素数据,全面分析、检测内部威胁,有效降低单纯异常检测的高误报与漏报问题,同时基于内部威胁攻击链特征提出了建立各个攻击环节异常的内部威胁特征方法,提高内部威胁检测系统的实时更新能力。
-
公开(公告)号:CN103684793B
公开(公告)日:2017-12-05
申请号:CN201310728106.9
申请日:2013-12-25
Applicant: 国家电网公司 , 中国电力科学研究院 , 中国科学院信息工程研究所 , 国网辽宁省电力有限公司 , 全球能源互联网研究院 , 国网浙江省电力公司
Abstract: 本发明涉及一种基于可信计算增强配电网络通信安全的方法,所述方法包括(1)建立基于可信计算安全增强的通信协议模型;(2)设置模型中电力可信计算芯片ETM;(3)构建基于可信计算安全增强的配电网络通信协议。本发明不需要芯片属主管理功能,复杂的授权协议等管理得以简化,更着重实用性。同时,其密钥的公钥操作、完整性验证等操作都是在ETM内部完成;不仅能保证通信数据传输的安全,还能在通信前对终端身份和状态进行认证,有效避免恶意终端获取通信数据。
-
公开(公告)号:CN104133670A
公开(公告)日:2014-11-05
申请号:CN201410305234.7
申请日:2014-06-30
Applicant: 中国科学院信息工程研究所
IPC: G06F9/44
Abstract: 本发明公开了一种基于虚拟隔离技术的智能终端安全GUI生成方法。本方法为:1)虚拟机监控器将系统划分为多个隔离的虚拟机,包括一设有安全标记模块的系统虚拟机和不同安全级别的应用虚拟机;2)将包管理器分为运行于应用虚拟机中的前端包安装器和位于系统虚拟机中的安全等级管理器;3)当安装一应用程序时,包管理器将该应用程序的解析信息发送给安全标记模块,增加安全级别信息,将其扩展为安全解析信息(sLevel、sSign);4)安全等级管理器根据该sLevel值将安装指令发送给对应安全级别应用虚拟机中的前端包安装器进行安装;5)系统虚拟机根据该sSign在系统虚拟机的GUI上对该应用程序进行界面绘制。
-
公开(公告)号:CN103902915A
公开(公告)日:2014-07-02
申请号:CN201410154970.7
申请日:2014-04-17
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
CPC classification number: G06F21/57 , G05B19/4185
Abstract: 本发明涉及一种可信工控终端及其构建方法。在工控终端建立信任根,信任根作为终端的信任源,保证启动代码和系统内核可信,将信任扩展到启动代码、系统内核;系统内核保证中间件和应用可信,进一步将信任扩展到中间件、应用。通过两级信任扩展,即构建工控终端从信任根到应用的信任。本发明充分结合工控终端的实际运行及应用情况,在不影响工控终端正常运转的前提下,设计了信任根功能模块,从信任根建立到终端应用安全,可以有效保证工控终端的安全,为增强工控系统安全提供技术支撑。
-
公开(公告)号:CN103647651A
公开(公告)日:2014-03-19
申请号:CN201310712807.3
申请日:2013-12-20
Applicant: 国家电网公司 , 中国电力科学研究院 , 中国科学院信息工程研究所 , 国网四川省电力公司
Abstract: 本发明提供一种基于安全芯片的配电终端管理方法,所述配电终端和安全芯片通过物理方式进行绑定,构成了配电终端设备;包括以下步骤:生成背书密钥EK;配电终端身份建立;配电终端身份认证;更新背书密钥EK。本发明提供一种基于安全芯片的配电终端管理方法,针对身份的建立、认证、撤销方面,都设置了安全验证检查,提高了系统的安全性与可信性,具有很强的通用性。
-
Patent Agency Ranking
公开(公告)号:CN118520469A
公开(公告)日:2024-08-20
申请号:CN202410700691.X
申请日:2024-05-31
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
Abstract: 本发明提出一种推荐指导的勒索软件主动诱捕方法及系统,属于勒索软件诱捕领域,包括:S1:根据勒索软件与其偏好文件之间的交互记录,以及偏好文件的属性集合,利用GNN学习勒索软件对偏好文件属性的偏好,选择诱饵文件;S2:利用GNN学习勒索软件对偏好文件的路径属性的偏好,获取勒索软件中流行路径属性,选择与流行路径属性一致的关键路径部署诱饵文件;S3:利用诱饵文件监视器持续监控部署于文件系统中的诱饵文件的变化,并采取相应行动。本发明方法通过学习勒索软件的文件加密偏好和路径访问偏好来指导设计诱饵文件的生成和部署方案。
-
公开(公告)号:CN118368138A
公开(公告)日:2024-07-19
申请号:CN202410730354.5
申请日:2024-06-06
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明提出一种基于信息流追踪的攻击检测方法,属于基于主机的入侵检测领域,包括:S1:抽取系统审计日志中实体和事件,初始化实体标签,按照事件发生的先后顺序,构建溯源图;S2:定义实体标签的检测策略,检测当前事件所包含进程是否违反检测策略,如果是则发出警报;基于事件稀有度计算警报事件的威胁分数并进行降序排序;S3:将警报事件按照排序,根据其依赖关系在溯源图中沿着边向后传播到所有入口节点,同时记录在后向传播时遇到的所有节点及其关联节点;根据节点及其关联节点和涉及的所有依赖关系,形成攻击子图。本发明方法通过监控审计日志中恶意行为的上下文信息,从溯源图中更准确地挖掘审计日志包含的攻击信息。
-
公开(公告)号:CN117909973A
公开(公告)日:2024-04-19
申请号:CN202410024154.8
申请日:2024-01-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于内核级行为分析的勒索软件提前检测方法及系统,其方法包括:S1:分别从良性软件和勒索软件样本内核级日志中提取执行命令,构建良性和恶意命令集合;S2:从勒索软件样本的内核级日志中提取与文件操作相关的事件,通过序列提取、嵌入、聚类和模式生成,将一个文件所有相关事件进行关联,得到勒索软件攻击阶段的行为模式;S3:实时监控内核级事件流,提取其中包含进程执行命令的属性,判断是否属于恶意命令集合,如果是,则终止该事件的执行进程;如果否,则执行步骤S2,判断是否存在勒索软件攻击阶段的行为模式,如果是,则终止该事件的执行进程。本发明提供的方法可在攻击前或攻击早期阶段检测到是否存在勒索软件。
-
公开(公告)号:CN115134160A
公开(公告)日:2022-09-30
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
公开(公告)号:CN112269316B
公开(公告)日:2022-06-07
申请号:CN202011168793.X
申请日:2020-10-28
Applicant: 中国科学院信息工程研究所
IPC: G05B13/04
Abstract: 本发明提出一种基于图神经网络的高鲁棒性威胁狩猎系统及方法,所述方法包括如下步骤:步骤1、将主机的系统行为数据收集并保存到系统行为数据库中;步骤2、溯源图构建步骤,使用不同粒度的系统行为构建溯源图,所述系统行为包括内核层,操作系统层,应用层的行为;步骤3、利用Locating算法初步筛选溯源图,得出可疑子图;步骤4、查询图生成,根据威胁情报描述的攻击行为生成查询图,使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数,分数超过阈值则发出告警。
-
-
-
-
-
-
-
-
-
Search Results
93
records
(took 0.035 seconds)
