-
公开(公告)号:CN119520057A
公开(公告)日:2025-02-25
申请号:CN202411608874.5
申请日:2024-11-12
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06N3/0455 , G06N3/08
Abstract: 本发明提出一种基于行为模式的攻击检测方法,属于攻击检测领域,包括:S1:利用系统审计日志构建溯源图,从溯源图中提取进程事件并创建行为模式;S2:使用嵌入模型来生成行为模式的嵌入向量,再输入语义重构模块来学习行为模式的内在特征,输出重构向量;S3:计算嵌入向量和重构向量的余弦相似度作为重构误差的度量,高于阈值的行为模式被视为异常行为模式;基于异常行为模式构建攻击子图,以重构攻击故事。本发明方法可提高攻击检测的准确性和可解释性。
-
公开(公告)号:CN110069921B
公开(公告)日:2021-01-01
申请号:CN201910293687.5
申请日:2019-04-12
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种面向容器平台的可信软件授权验证系统及方法,包括:构建公钥基础设施模块、构建容器镜像身份模块、构建签名列表模块、验证容器镜像模块、加载签名列表和用户证书模块、验证容器程序模块;本发明能够方便地对容器镜像和容器中运行的软件进行授权,并在合适的时机验证容器镜像和容器中的程序,最终保证容器平台上运行的容器镜像都是可信的,同时容器中运行的软件也都是可信的,从而提高容器平台的安全性。
-
公开(公告)号:CN109981474A
公开(公告)日:2019-07-05
申请号:CN201910232314.7
申请日:2019-03-26
Applicant: 中国科学院信息工程研究所
IPC: H04L12/801 , H04L12/851
Abstract: 本发明涉及一种面向应用软件的网络流量细粒度分类系统及方法,包括:数据收集与预处理模块、特征提取与模型训练模块、流关联分析模块;数据收集与预处理模块:收集操作系统背景流量,收集目标应用软件的网络流量,然后进行预处理,从中过滤掉背景流量数据包和错误数据包,并按照流量五元组提取出流;特征提取与模型训练模块:针对提取出的每条流,利用一阶马尔科夫模型对流中的包大小序列进行建模,计算包大小序列的转移概率矩阵,并将其作为特征向量训练分类模型;流关联分析模块:对分类器的分类结果进行置信度检验,将小于类别概率阈值的流标记为模糊流,将模糊流与非模糊流通过K近邻端口进行关联分析,修正模糊流的类别标签,得到最终的分类结果。
-
公开(公告)号:CN113887642B
公开(公告)日:2024-06-21
申请号:CN202111183417.2
申请日:2021-10-11
Applicant: 中国科学院信息工程研究所
IPC: G06F18/2411 , G06F18/2415 , G06F18/214 , G06N3/045
Abstract: 本发明涉及一种基于开放世界的网络流量分类方法及系统,其方法包括:步骤S1:构建基于孪生神经网络的SHE‑Net模型,以开放世界网络流量作为样本集,获取样本集的低维特征向量,低维特征向量中含有序列特征向量和空间特征向量;同时,构建互补损失函数训练困难样本;其中,SHE‑Net模型包括:字节编码器、包编码器和流编码器;步骤S2:根据低维特征向量,利用基于阈值和支持向量机的检测器,对开放世界网络流量进行分类和预测。本发明提供的方法构建了双分支三级编码器的SHE‑Net模型,增强网络流量识别的鲁棒性和泛化性,并构建互补损失函数,解决了孪生神经网络的对比损失函数的收敛不稳定的问题。
-
公开(公告)号:CN110808971A
公开(公告)日:2020-02-18
申请号:CN201911040786.9
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 一种基于深度嵌入的未知恶意流量主动检测系统及方法,包括:预处理模块、深度嵌入模块、最优边界搜索模块和检测模块;预处理模块将长度不一的各个应用中的网络流表示为固定大小的流矩阵;深度嵌入模块:在训练阶段,以预处理模块输出的流矩阵作为输入,通过训练孪生卷积神经网络学习一种非线性映射,使得在非线性映射后的嵌入空间下,同一个应用产生的网络流分布更加紧凑,不同应用产生的网络流分布更加离散;在测试阶段,使用训练好的卷积神经网络将待识别的流矩阵映射到嵌入空间下;最优边界搜索模块:在嵌入空间下,为各个已知类别应用的网络流寻找最优分类超平面,最后构建分类器;检测模块基于最优边界搜索模块得到的分类器,判断待识别的网络流是否来自未知的恶意应用。
-
Patent Agency Ranking
公开(公告)号:CN118199998A
公开(公告)日:2024-06-14
申请号:CN202410392645.8
申请日:2024-04-02
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06N5/01 , G06N5/047 , G06F16/903
Abstract: 本发明涉及一种基于有限自动机的行为识别与采集方法及系统,其方法包括:S1:执行预设的脚本文件,生成对应的行为模式集合;S2:利用最长公共前后缀的特性在O(n)时间复杂度内,求得每个行为模式中多文件操作;S3:定义改进的有限自动机;根据有向带环图模型,将行为模式集合中的每个行为模式,按照步骤S2获取重复操作并构造为环,添加到有向带环图中;步骤S4:使用DFA算法,将进程中文件操作相关的系统调以序列形式按照自动机规则进行匹配,得到进程行为;同时,监控文件系统相关的内核函数,根据进程的执行状态获取详细的文件信息,对进程行为的信息进行补充丰富。本发明提供的方法可高效地产生富含行为语义的高质量日志。
-
公开(公告)号:CN112613032B
公开(公告)日:2024-03-26
申请号:CN202011484244.3
申请日:2020-12-15
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置,包括:对各系统调用序列进行深度嵌入,构建各系统调用的词嵌入向量;基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对;基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对,确定各系统调用之间的依赖关系;基于各系统调用之间的依赖关系确定各短序列的概率值;将各短序列的概率值确定的共现概率作为异常因子,采用阈值判断法确定各系统调用序列的检测结果;所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征,把系统调用序列看作是系统与进程之间交互的语言,对系统调用进行处理,具有很好是泛化性能,降低入侵检测误报率。
-
公开(公告)号:CN115134160B
公开(公告)日:2024-03-22
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
公开(公告)号:CN112613032A
公开(公告)日:2021-04-06
申请号:CN202011484244.3
申请日:2020-12-15
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置,包括:对各系统调用序列进行深度嵌入,构建各系统调用的词嵌入向量;基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对;基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对,确定各系统调用之间的依赖关系;基于各系统调用之间的依赖关系确定各短序列的概率值;将各短序列的概率值确定的共现概率作为异常因子,采用阈值判断法确定各系统调用序列的检测结果;所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征,把系统调用序列看作是系统与进程之间交互的语言,对系统调用进行处理,具有很好是泛化性能,降低入侵检测误报率。
-
公开(公告)号:CN110808971B
公开(公告)日:2021-01-01
申请号:CN201911040786.9
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 一种基于深度嵌入的未知恶意流量主动检测系统及方法,包括:预处理模块、深度嵌入模块、最优边界搜索模块和检测模块;预处理模块将长度不一的各个应用中的网络流表示为固定大小的流矩阵;深度嵌入模块:在训练阶段,以预处理模块输出的流矩阵作为输入,通过训练孪生卷积神经网络学习一种非线性映射,使得在非线性映射后的嵌入空间下,同一个应用产生的网络流分布更加紧凑,不同应用产生的网络流分布更加离散;在测试阶段,使用训练好的卷积神经网络将待识别的流矩阵映射到嵌入空间下;最优边界搜索模块:在嵌入空间下,为各个已知类别应用的网络流寻找最优分类超平面,最后构建分类器;检测模块基于最优边界搜索模块得到的分类器,判断待识别的网络流是否来自未知的恶意应用。
-
-
-
-
-
-
-
-
-
Search Results
21
records
(took 0.032 seconds)
