-
公开(公告)号:CN113887642B
公开(公告)日:2024-06-21
申请号:CN202111183417.2
申请日:2021-10-11
Applicant: 中国科学院信息工程研究所
IPC: G06F18/2411 , G06F18/2415 , G06F18/214 , G06N3/045
Abstract: 本发明涉及一种基于开放世界的网络流量分类方法及系统,其方法包括:步骤S1:构建基于孪生神经网络的SHE‑Net模型,以开放世界网络流量作为样本集,获取样本集的低维特征向量,低维特征向量中含有序列特征向量和空间特征向量;同时,构建互补损失函数训练困难样本;其中,SHE‑Net模型包括:字节编码器、包编码器和流编码器;步骤S2:根据低维特征向量,利用基于阈值和支持向量机的检测器,对开放世界网络流量进行分类和预测。本发明提供的方法构建了双分支三级编码器的SHE‑Net模型,增强网络流量识别的鲁棒性和泛化性,并构建互补损失函数,解决了孪生神经网络的对比损失函数的收敛不稳定的问题。
-
公开(公告)号:CN110912933B
公开(公告)日:2021-04-02
申请号:CN201911299344.6
申请日:2019-12-17
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06 , H04L12/801 , H04L12/851 , H04L29/12
Abstract: 本发明提出一种基于被动测量的设备识别方法,包括如下步骤:步骤1:不同设备之间通信产生的流量数据转化成图结构,将设备作为节点,刻画每个节点在图中的重要程度,以此进行聚类分析,找出服务器设备;步骤2:针对上述服务器设备,分别得到与其通联的终端列表,并使用明确数字刻画终端与服务器通联的流量级别,以此进行聚类分析,分离同属于终端的主机和网络地址转换设备,即NAT设备;步骤3:对已经确定的NAT设备运行验证分析方法,判断其后面是否存在服务器。本发明构建了被动测量引导下的网络测绘模型,以提高测量实效、降低测量复杂度和被测网络负载。
-
公开(公告)号:CN110808971A
公开(公告)日:2020-02-18
申请号:CN201911040786.9
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 一种基于深度嵌入的未知恶意流量主动检测系统及方法,包括:预处理模块、深度嵌入模块、最优边界搜索模块和检测模块;预处理模块将长度不一的各个应用中的网络流表示为固定大小的流矩阵;深度嵌入模块:在训练阶段,以预处理模块输出的流矩阵作为输入,通过训练孪生卷积神经网络学习一种非线性映射,使得在非线性映射后的嵌入空间下,同一个应用产生的网络流分布更加紧凑,不同应用产生的网络流分布更加离散;在测试阶段,使用训练好的卷积神经网络将待识别的流矩阵映射到嵌入空间下;最优边界搜索模块:在嵌入空间下,为各个已知类别应用的网络流寻找最优分类超平面,最后构建分类器;检测模块基于最优边界搜索模块得到的分类器,判断待识别的网络流是否来自未知的恶意应用。
-
公开(公告)号:CN119520057A
公开(公告)日:2025-02-25
申请号:CN202411608874.5
申请日:2024-11-12
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06N3/0455 , G06N3/08
Abstract: 本发明提出一种基于行为模式的攻击检测方法,属于攻击检测领域,包括:S1:利用系统审计日志构建溯源图,从溯源图中提取进程事件并创建行为模式;S2:使用嵌入模型来生成行为模式的嵌入向量,再输入语义重构模块来学习行为模式的内在特征,输出重构向量;S3:计算嵌入向量和重构向量的余弦相似度作为重构误差的度量,高于阈值的行为模式被视为异常行为模式;基于异常行为模式构建攻击子图,以重构攻击故事。本发明方法可提高攻击检测的准确性和可解释性。
-
公开(公告)号:CN110737890B
公开(公告)日:2021-04-02
申请号:CN201911021135.5
申请日:2019-10-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异质时序事件嵌入学习的内部威胁检测系统及方法,包括用户异质时序事件采集模块、数据预处理模块、异质时序事件嵌入学习模块、用户异质时序事件序列异常评估和内部威胁输出模块;通过对组织或者企业内用户异质时序事件的收集、数据的过滤和去噪、异质时序事件包含的实体的嵌入、异质时序事件序列概率估计和内部威胁输出4个过程实现。该方法通过综合分析用户主机登录事件、文件访问事件、邮件通信事件、web浏览事件和移动设备连接事件5种异质时序事件的多个实体,全面的刻画了用户行为,提高了该系统检测的准确率,降低了系统检测的误报率;此外,该系统通过实体的嵌入向量和上下文向量的交互计算异质时序事件序列的概率,使检测过程不依赖于领域专家的先验知识,提高了系统的智能性。
-
Patent Agency Ranking
公开(公告)号:CN110138763B
公开(公告)日:2020-12-11
申请号:CN201910384493.6
申请日:2019-05-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于动态web浏览行为的内部威胁检测系统及方法,由5个模块组成:组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块、个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。该系统通过对组织或者企业内用户web浏览数据的收集、数据的过滤和去噪、个人用户web浏览行为动态性建模和异常检测、用户组行为相对一致性建模和异常检测、信息融合和检测结果输出5个过程实现,使该系统具有较高的内部威胁检测率和较低的误报率。此外,该系统通过图聚类算法自动发现组织或者企业内的用户组关系,提高了系统的智能性,减少了人工标注用户组的工作量。
-
公开(公告)号:CN110737890A
公开(公告)日:2020-01-31
申请号:CN201911021135.5
申请日:2019-10-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异质时序事件嵌入学习的内部威胁检测系统及方法,包括用户异质时序事件采集模块、数据预处理模块、异质时序事件嵌入学习模块、用户异质时序事件序列异常评估和内部威胁输出模块;通过对组织或者企业内用户异质时序事件的收集、数据的过滤和去噪、异质时序事件包含的实体的嵌入、异质时序事件序列概率估计和内部威胁输出4个过程实现。该方法通过综合分析用户主机登录事件、文件访问事件、邮件通信事件、web浏览事件和移动设备连接事件5种异质时序事件的多个实体,全面的刻画了用户行为,提高了该系统检测的准确率,降低了系统检测的误报率;此外,该系统通过实体的嵌入向量和上下文向量的交互计算异质时序事件序列的概率,使检测过程不依赖于领域专家的先验知识,提高了系统的智能性。
-
公开(公告)号:CN109981474A
公开(公告)日:2019-07-05
申请号:CN201910232314.7
申请日:2019-03-26
Applicant: 中国科学院信息工程研究所
IPC: H04L12/801 , H04L12/851
Abstract: 本发明涉及一种面向应用软件的网络流量细粒度分类系统及方法,包括:数据收集与预处理模块、特征提取与模型训练模块、流关联分析模块;数据收集与预处理模块:收集操作系统背景流量,收集目标应用软件的网络流量,然后进行预处理,从中过滤掉背景流量数据包和错误数据包,并按照流量五元组提取出流;特征提取与模型训练模块:针对提取出的每条流,利用一阶马尔科夫模型对流中的包大小序列进行建模,计算包大小序列的转移概率矩阵,并将其作为特征向量训练分类模型;流关联分析模块:对分类器的分类结果进行置信度检验,将小于类别概率阈值的流标记为模糊流,将模糊流与非模糊流通过K近邻端口进行关联分析,修正模糊流的类别标签,得到最终的分类结果。
-
公开(公告)号:CN112685729B
公开(公告)日:2023-04-07
申请号:CN202011563015.0
申请日:2020-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
Abstract: 本发明提供了一种专用强制访问控制方法、系统、电子设备及存储介质,该方法包括:导入专用访问控制的判定依据和根据用户、软件、资源三层联动协同的专用访问控制逻辑对访问请求进行判定;其中,根据专用访问控制逻辑对访问请求进行判定包括:接收访问请求;获取访问请求处理过程中主体和客体的安全上下文信息;从用户执行软件层面、软件访问资源层面以及用户访问资源层面,分别对访问请求进行判定,得到各个层面判定结果;根据各个层面的判定结果,得到专用访问控制的判定结果。本发明通过制定专用访问控制的判定依据和用户、软件、资源三层联动协同的专用访问控制逻辑,为操作系统提供了一个更完善的安全防护层,提高了系统的便捷性与安全性。
-
公开(公告)号:CN110796196B
公开(公告)日:2022-05-10
申请号:CN201911040768.0
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于深度判别特征的网络流量分类系统及方法,包括:预处理模块和模型学习模块,预处理模块:将不同应用产生的长度不一的网络流作为输入,将每条网络流表示为固定大小的流矩阵,以满足卷积神经网络(CNN)的输入格式要求;模型学习模块:以预处理模块得到的流矩阵作为输入,在度量学习正则化项和交叉熵损失项共同构成的目标函数的监督下,对深度卷积神经网络进行训练,使得神经网络可以对输入的流矩阵学习得到更具判别性的特征表示,从而使得分类结果更加准确。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.021 seconds)
