-
公开(公告)号:CN110784462A
公开(公告)日:2020-02-11
申请号:CN201911013051.7
申请日:2019-10-23
Applicant: 北京邮电大学
IPC: H04L29/06 , G06F16/953 , G06F16/955 , G06K9/62 , G06N3/04
Abstract: 本发明公开了基于混合方法的三层钓鱼网站检测系统,此检测系统由三层组成:第一层黑白名单、表单过滤层、第二层favicon检测层和第三层机器学习检测层;第一层黑白名单、表单过滤层可以及时发现已知钓鱼网站,降低检测的成本。第二层favicon检测层能够通过faviocn识别网站的真实身份从而检测钓鱼网站,速度较快且不需消耗太多资源。第三层机器学习检测层可以准确的地对第二层判定为可疑的网站进行识别,得到更精确的判定结果。三个级别的检测既保证识别结果的准确性,又能尽可能的降低检测的时间。
-
公开(公告)号:CN110650157A
公开(公告)日:2020-01-03
申请号:CN201911013025.4
申请日:2019-10-23
Applicant: 北京邮电大学
Abstract: 本发明公开了基于集成学习的Fast-flux域名检测方法,对DNS日志或DNS流量进行过滤,将非法记录删除,为后续特征提取减少数据处理量;对过滤后DNS日志或流量记录进行字段提取操作,进行特征提取,提取的特征包括:A记录数、国家数、ASN数、查询响应时间、查询响应包的大小;根据样本的类型,对正常域名和Fast-flux域名进行标记;使用已标记的数据样本进行训练,通过集成思想生成最终强分类器;对检测数据进行预处理,得到最终的样本,并使用最终强分类器进行检测,生成分类结果。通过对DNS日志和流量进行分析,提取查询响应时间、响应包大小新特征,减低了对CDN域名的误报,提高了对Fast-flux域名的检测效率。
-
公开(公告)号:CN114741688B
公开(公告)日:2024-07-23
申请号:CN202210249400.0
申请日:2022-03-14
Applicant: 北京邮电大学
Abstract: 本发明提供了一种无监督的主机入侵检测方法及系统,属于网络安全领域。所述方法根据系统日志构建带属性的异质图,再利用有向异质图神经网络,从异质图中获取节点的嵌入向量和异质图的嵌入向量,最后采用单类神经网络同时从全局和局部两种视角出发,根据所获得的异质图和节点的嵌入向量,对异质图进行异常检测,综合两个视角下的异常分数,给出异质图最后的异常得分,进行异常异质图的识别,判断是否存在主机入侵。本发明通过异质图神经网络挖掘源图,节省人力,而且能够更有效的检测出高等级的攻击活动,对仅涉及局部系统交互的攻击活动或混杂大量正常行为的攻击活动都具有更优越的检测性能,提高了主机入侵的检测准确度和精度。
-
Patent Agency Ranking
公开(公告)号:CN115941218A
公开(公告)日:2023-04-07
申请号:CN202110975446.6
申请日:2021-08-24
Applicant: 中兴通讯股份有限公司 , 北京邮电大学
IPC: H04L9/40 , G06N3/0455 , G06N3/08
Abstract: 本发明实施例涉及网络安全技术领域,特别涉及一种流量检测方法、装置、电子设备及存储介质。该方法包括:获取网络流量数据;将网络流量数据输入到n层自编码器的第i层自编码器进行重构处理获取重构流量数据;根据网络流量数据和重构流量数据获取重构误差;将重构误差大于第i层自编码器的误差阈值的网络流量数据称为可疑流量;将可疑流量输入到第i+1层自编码器进行重构处理获取可疑重构流量;根据可疑流量和可疑重构流量获取可疑流量的可疑重构误差;当第i+1层自编码器为第n层自编码器时,若可疑流量的可疑重构误差大于第n层自编码器的误差阈值,则可疑流量为网络流量数据中的异常流量。解决了现有的流量检测难度大、检测准确度低的问题。
-
公开(公告)号:CN114741688A
公开(公告)日:2022-07-12
申请号:CN202210249400.0
申请日:2022-03-14
Applicant: 北京邮电大学
Abstract: 本发明提供了一种无监督的主机入侵检测方法及系统,属于网络安全领域。所述方法根据系统日志构建带属性的异质图,再利用有向异质图神经网络,从异质图中获取节点的嵌入向量和异质图的嵌入向量,最后采用单类神经网络同时从全局和局部两种视角出发,根据所获得的异质图和节点的嵌入向量,对异质图进行异常检测,综合两个视角下的异常分数,给出异质图最后的异常得分,进行异常异质图的识别,判断是否存在主机入侵。本发明通过异质图神经网络挖掘源图,节省人力,而且能够更有效的检测出高等级的攻击活动,对仅涉及局部系统交互的攻击活动或混杂大量正常行为的攻击活动都具有更优越的检测性能,提高了主机入侵的检测准确度和精度。
-
公开(公告)号:CN115967504A
公开(公告)日:2023-04-14
申请号:CN202111173358.0
申请日:2021-10-08
Applicant: 中兴通讯股份有限公司 , 北京邮电大学
IPC: H04L9/40 , G06N3/0442 , G06N3/0455 , G06N3/084 , G06F40/284
Abstract: 本申请实施例提供了一种加密恶意流量检测方法、装置、存储介质及电子装置,该方法包括:提取预定数量的训练样本的多种报文;分别对该预定数量的训练样本的多种报文提取不同的关键字段,并将提取的该关键字段构成该预定数量的词向量;采用多头注意力和BiLSTM的方式,根据该预定数量的词向量构建目标BiLSTM模型;根据该目标BiLSTM模型进行加密恶意流量检测,可以解决相关技术中恶意流量检测方法中,提取流量的前m个字节作为输入只是对流量字节的简单切片,无法学习到流量的准确语义,导致恶意加密流量检测效果不佳的问题,通过多头注意力的方式,提高关键字段的权重,并通过BiLSTM获取前向和后向的长距离依赖,实现更好的恶意加密流量检测效果。
-
公开(公告)号:CN110650157B
公开(公告)日:2021-01-15
申请号:CN201911013025.4
申请日:2019-10-23
Applicant: 北京邮电大学
Abstract: 本发明公开了基于集成学习的Fast‑flux域名检测方法,对DNS日志或DNS流量进行过滤,将非法记录删除,为后续特征提取减少数据处理量;对过滤后DNS日志或流量记录进行字段提取操作,进行特征提取,提取的特征包括:A记录数、国家数、ASN数、查询响应时间、查询响应包的大小;根据样本的类型,对正常域名和Fast‑flux域名进行标记;使用已标记的数据样本进行训练,通过集成思想生成最终强分类器;对检测数据进行预处理,得到最终的样本,并使用最终强分类器进行检测,生成分类结果。通过对DNS日志和流量进行分析,提取查询响应时间、响应包大小新特征,减低了对CDN域名的误报,提高了对Fast‑flux域名的检测效率。
-
公开(公告)号:CN110784462B
公开(公告)日:2020-11-03
申请号:CN201911013051.7
申请日:2019-10-23
Applicant: 北京邮电大学
IPC: H04L29/06 , G06F16/953 , G06F16/955 , G06K9/62 , G06N3/04
Abstract: 本发明公开了基于混合方法的三层钓鱼网站检测系统,此检测系统由三层组成:第一层黑白名单、表单过滤层、第二层favicon检测层和第三层机器学习检测层;第一层黑白名单、表单过滤层可以及时发现已知钓鱼网站,降低检测的成本。第二层favicon检测层能够通过faviocn识别网站的真实身份从而检测钓鱼网站,速度较快且不需消耗太多资源。第三层机器学习检测层可以准确的地对第二层判定为可疑的网站进行识别,得到更精确的判定结果。三个级别的检测既保证识别结果的准确性,又能尽可能的降低检测的时间。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.02 seconds)
