-
公开(公告)号:CN106790186B
公开(公告)日:2020-04-24
申请号:CN201611257755.5
申请日:2016-12-30
Applicant: 中国人民解放军信息工程大学
IPC: H04L29/06
Abstract: 本发明涉及一种基于多源异常事件关联分析的多步攻击检测方法。包含:首先通过特征检测和异常事件定义与识别;计算基于攻击链的安全事件评分,识别出异常主机,并以受害主机为线索聚合各类事件;然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进行关联重组;最后重构出多步攻击场景,输出预测攻击事件。本发明通过对分散孤立的安全事件进行关联聚合,生成相对完整的多步攻击场景,可提高安全管理人员的安全分析能力,拓展安全视角,帮助有效应对分布零散的多步攻击威胁,缩短攻击行为的发现时间,为应对APT等高级攻击手段提供一种有效的预测防御解决方案,降低系统安全风险,有效保网络信息安全。
-
公开(公告)号:CN106790186A
公开(公告)日:2017-05-31
申请号:CN201611257755.5
申请日:2016-12-30
Applicant: 中国人民解放军信息工程大学
IPC: H04L29/06
Abstract: 本发明涉及一种基于多源异常事件关联分析的多步攻击检测方法。包含:首先通过特征检测和异常事件定义与识别;计算基于攻击链的安全事件评分,识别出异常主机,并以受害主机为线索聚合各类事件;然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进行关联重组;最后重构出多步攻击场景,输出预测攻击事件。本发明通过对分散孤立的安全事件进行关联聚合,生成相对完整的多步攻击场景,可提高安全管理人员的安全分析能力,拓展安全视角,帮助有效应对分布零散的多步攻击威胁,缩短攻击行为的发现时间,为应对APT等高级攻击手段提供一种有效的预测防御解决方案,降低系统安全风险,有效保网络信息安全。
-
公开(公告)号:CN106209893B
公开(公告)日:2019-03-19
申请号:CN201610595380.7
申请日:2016-07-27
Applicant: 中国人民解放军信息工程大学
Abstract: 本发明涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法,该检测系统包含模型挖掘模块、异常检测模块及异常分析模块,其中,模型挖掘模块根据业务系统中各业务事件的事件日志进行模型挖掘,获取业务控制流模型、业务性能模型及执行者行为模型;异常检测模块依据模型挖掘模块,检测业务活动实时运行过程产生的事件日志的逻辑异常、性能异常及行为异常;异常分析模块针对异常检测模块的检测结果进行解析,识别实施内部威胁的执行信息并输出。本发明构建一种基于业务过程模型挖掘的内部威胁检测方法,有效地检测业务执行过程中存在的内部威胁行为,为公司及各类组织机构防范内部威胁提供有力支撑,有效保证公司及机构的信息安全。
-
Patent Agency Ranking
公开(公告)号:CN103955539B
公开(公告)日:2017-03-22
申请号:CN201410211768.3
申请日:2014-05-19
Applicant: 中国人民解放军信息工程大学
Abstract: 本发明提供一种获取二进制协议数据中控制字段划分点的方法和装置,利用设置的每个词组宽度对各个待处理帧进行遍历扫描,分别得到比特位数与每个词组宽度的比特位数相同的词组;然后计算每个词组内容集合中每个词组重复出现的频率,从每个词组内容集合中选取重复出现频率大于预设频率的词组为关键词组;最后通过计算每个关键词组在待处理帧中的起始比特位和结束比特位的匹配计数值,由此可得待处理帧上每一比特位上的匹配计数值,选取待处理帧上符合划分条件的匹配计数值对应的比特位置作为字段的可能性划分点,实现以比特为单位获取二进制协议数据的控制字段划分点,以适用于基于二进制类型的协议数据控制字段划分。
-
公开(公告)号:CN105262726A
公开(公告)日:2016-01-20
申请号:CN201510570740.3
申请日:2015-09-10
Applicant: 中国人民解放军信息工程大学
IPC: H04L29/06
CPC classification number: H04L63/1416
Abstract: 本发明公开了一种基于大数据行为序列分析的APT攻击检测方法,包括:探测用户的操作行为,构建用户操作行为序列库;优化用户操作行为序列库;基于大数据方法提取用户操作行为序列;将提取的所述用户操作行为序列与所述用户操作行为序列库中的行为序列进行匹配分析,输出匹配结果;分析所述匹配结果,输出威胁行为。本发明能够提高检测威胁的准确率,进而构建安全高效的网络主动防御体系,有效克服APT攻击对网络安全造成的威胁。
-
公开(公告)号:CN103955539A
公开(公告)日:2014-07-30
申请号:CN201410211768.3
申请日:2014-05-19
Applicant: 中国人民解放军信息工程大学
CPC classification number: G06F17/3061 , H04L69/06
Abstract: 本发明提供一种获取二进制协议数据中控制字段划分点的方法和装置,利用设置的每个词组宽度对各个待处理帧进行遍历扫描,分别得到比特位数与每个词组宽度的比特位数相同的词组;然后计算每个词组内容集合中每个词组重复出现的频率,从每个词组内容集合中选取重复出现频率大于预设频率的词组为关键词组;最后通过计算每个关键词组在待处理帧中的起始比特位和结束比特位的匹配计数值,由此可得待处理帧上每一比特位上的匹配计数值,选取待处理帧上符合划分条件的匹配计数值对应的比特位置作为字段的可能性划分点,实现以比特为单位获取二进制协议数据的控制字段划分点,以适用于基于二进制类型的协议数据控制字段划分。
-
公开(公告)号:CN105262726B
公开(公告)日:2018-10-19
申请号:CN201510570740.3
申请日:2015-09-10
Applicant: 中国人民解放军信息工程大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于大数据行为序列分析的APT攻击检测方法,包括:探测用户的操作行为,构建用户操作行为序列库;优化用户操作行为序列库;基于大数据方法提取用户操作行为序列;将提取的所述用户操作行为序列与所述用户操作行为序列库中的行为序列进行匹配分析,输出匹配结果;分析所述匹配结果,输出威胁行为。本发明能够提高检测威胁的准确率,进而构建安全高效的网络主动防御体系,有效克服APT攻击对网络安全造成的威胁。
-
公开(公告)号:CN106209893A
公开(公告)日:2016-12-07
申请号:CN201610595380.7
申请日:2016-07-27
Applicant: 中国人民解放军信息工程大学
CPC classification number: H04L63/1416 , G06F17/30705 , H04L63/1425
Abstract: 本发明涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法,该检测系统包含模型挖掘模块、异常检测模块及异常分析模块,其中,模型挖掘模块根据业务系统中各业务事件的事件日志进行模型挖掘,获取业务控制流模型、业务性能模型及执行者行为模型;异常检测模块依据模型挖掘模块,检测业务活动实时运行过程产生的事件日志的逻辑异常、性能异常及行为异常;异常分析模块针对异常检测模块的检测结果进行解析,识别实施内部威胁的执行信息并输出。本发明构建一种基于业务过程模型挖掘的内部威胁检测方法,有效地检测业务执行过程中存在的内部威胁行为,为公司及各类组织机构防范内部威胁提供有力支撑,有效保证公司及机构的信息安全。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.031 seconds)
