-
公开(公告)号:CN112182567A
公开(公告)日:2021-01-05
申请号:CN202011052807.1
申请日:2020-09-29
Applicant: 西安电子科技大学
IPC: G06F21/55 , G06F16/951 , G06F16/901 , G06F16/18 , G06K9/62
Abstract: 一种多步攻击溯源方法、系统、终端及可读存储介质,溯源方法包括以下步骤:格式化日志,从中提取事件特征,建立特征关系,依据特征关系,构建事件关系图;通过权重向量为事件关系图加权,得到带权关系图;将带权关系图传入社区检测模块,通过社区发现算法对其进行关系划分,发现攻击社区;社区发现后,基于得到的攻击社区,根据事件逻辑关系,建立先后顺序,构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质,本发明利用多个日志关联分析,能够解决因关系连接产生的状态爆炸问题,可以有效的分析多步攻击的攻击过程,可用于多种系统中基于多日志的攻击分析。
-
公开(公告)号:CN112182567B
公开(公告)日:2022-12-27
申请号:CN202011052807.1
申请日:2020-09-29
Applicant: 西安电子科技大学
IPC: G06F21/55 , G06F16/951 , G06F16/901 , G06F16/18 , G06K9/62
Abstract: 一种多步攻击溯源方法、系统、终端及可读存储介质,溯源方法包括以下步骤:格式化日志,从中提取事件特征,建立特征关系,依据特征关系,构建事件关系图;通过权重向量为事件关系图加权,得到带权关系图;将带权关系图传入社区检测模块,通过社区发现算法对其进行关系划分,发现攻击社区;社区发现后,基于得到的攻击社区,根据事件逻辑关系,建立先后顺序,构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质,本发明利用多个日志关联分析,能够解决因关系连接产生的状态爆炸问题,可以有效的分析多步攻击的攻击过程,可用于多种系统中基于多日志的攻击分析。
-
公开(公告)号:CN114637989A
公开(公告)日:2022-06-17
申请号:CN202210278944.X
申请日:2022-03-21
Applicant: 西安电子科技大学
IPC: G06F21/55 , G06F16/18 , G06F16/182
Abstract: 一种基于分布式系统的APT攻击追溯方法、系统及存储介质,方法包括:收集多源日志数据并输入到MapReduce分布式计算框架进行预处理;根据字符串相似度从预处理后的日志中提取模板,并使用张量分解法从模板中提取事件;使用FP‑Tree数据关联挖掘算法找出事件之间的关系;根据事件之间的关系绘制出事件有向节点图,利用图匹配算法VF2去除事件有向节点图中同构部分,分析还原出APT攻击链。本发明解决了单个主机面对海量数据时计算效率低下的问题,同时保障了数据完整性。使用FP‑Tree算法挖掘事件关联,解决了事件关联过于单薄的问题。使用图匹配算法解决了关系图中事件依赖爆炸的问题。本发明还具备良好的可扩展性。
-
公开(公告)号:CN113382413B
公开(公告)日:2022-09-27
申请号:CN202110634005.X
申请日:2021-06-07
Applicant: 西安电子科技大学
Abstract: 基于机器学习的智能无人设备组网异常检测方法及系统,检测方法包括:获取智能无人设备组网中每一辆智能无人设备的行驶数据和组网中相互通信所产生的网络数据,抽取不同特征的数据以表示智能无人设备组网在行驶过程中的行驶状态和网络状态,并将其转化为特征向量;对特征向量进行降维,并对降维后的特征向量根据密度分布进行智能无人设备的行驶事件聚类,将智能无人设备组网中各智能无人设备的行驶事件划分为正常事件和异常事件;针对划分后的行驶事件,将对应的特征向量整合成相应的矩阵输入机器学习模型中,学习正常事件和异常事件的特征,再利用模型对智能无人设备组网实现异常检测。本发明结合了行驶数据和网络数据,能实现高效的异常检测。
-
公开(公告)号:CN112104633A
公开(公告)日:2020-12-18
申请号:CN202010929922.6
申请日:2020-09-07
Applicant: 西安电子科技大学
Abstract: 一种基于日志关联分析的攻击链构造方法,包括以下步骤:首先,从几种类型的源中收集不同的系统日志,对数据进行预处理使其规格化;然后,利用LCS将寻找攻击步骤逻辑规则的问题转化为从整个条件链中寻找最长公共条件序列的问题,构造出攻击链后分析事件,得到对应条件或事件的日志条目序列;最后,查找条件相同的时间戳来确定系统日志位置,通过分析内部事件参数的关系来识别具体的攻击者及其行为,实现攻击的预测。本发明具有准确率高、计算速度快、可主动防御攻击以及可扩展性强的优点。
-
Patent Agency Ranking
公开(公告)号:CN112104407A
公开(公告)日:2020-12-18
申请号:CN202010931082.7
申请日:2020-09-07
Applicant: 西安电子科技大学
Abstract: 一种基于隐私保护的无人机群通信网络异常检测及溯源方法,包括以下步骤:首先,使用NDlog引导推理过程,得到无人机之间的通信规则,长机根据通信规则和自身飞行记录推断出僚机的预期飞行记录;然后,将谓词记录进行编码,构建以时间戳为根的MHT,从树的叶结点到根迭代计算根节点的散列值;其次,僚机给长机提供相关参数,长机利用相关参数计算根的散列值,并与前面计算出的散列值进行比较;最后,使用控制流图找出异常之间的关系以及事件的执行序列构建故障树,通过故障树找出根本原因。本发明能够在不查看无人机的文本记录或数据的前提下,验证其是否真实服从命令或是否遭受了异常,然后通过学习故障树来追溯导致异常的根本原因。
-
公开(公告)号:CN111907730B
公开(公告)日:2021-12-10
申请号:CN202010760931.7
申请日:2020-07-31
Applicant: 西安电子科技大学
Abstract: 一种实时在线的无人机多故障异常检测方法及设备,检测方法包括:获取无人机传感器控制数据与测量数据,建立异常检测模型并对模型进行迭代更新,更新之后根据更新步长是否在给定时间内小于给定阈值来判定模型是否达到稳定;检测模型稳定之后,计算渐进型故障阈值、对数似然比以及实时误差的Z值;根据渐进型故障阈值、对数似然比以及Z值判断是否发生故障。本发明同时提供了一种异常检测装置、终端以及计算机可读存储介质。本发明易于移植,能在线实时检测,计算过程简单,并且能够准确检测多种类型的故障。
-
公开(公告)号:CN112333195B
公开(公告)日:2021-11-30
申请号:CN202011248337.6
申请日:2020-11-10
Applicant: 西安电子科技大学
IPC: H04L29/06
Abstract: 基于多源日志关联分析的APT攻击场景还原检测方法及系统,检测方法包括收集主机的多源日志,设置新的特征参数,使用关系向量关联所有日志条目,将所有日志条目视为网络中的节点,日志条目间的关系视为节点之间的边,构建无向、有权重复杂网络图,使用标签传播算法聚类,识别出事件;再按照时间顺序将日志和事件组成长序列,挖掘出事件间逻辑关系及时间关系,生成初始子分区图并不断进行优化,得到场景图;然后学习场景图的顶点和边的矢量表达,进行聚类,对更新后的场景图,检测其新边和顶点是否异常,完成检测后,更新聚类情况,为后续检测做准备。本发明能全面、准确的还原攻击场景,防止高误报率和漏网之鱼,高效检测出APT攻击。
-
公开(公告)号:CN113382413A
公开(公告)日:2021-09-10
申请号:CN202110634005.X
申请日:2021-06-07
Applicant: 西安电子科技大学
Abstract: 基于机器学习的智能无人设备组网异常检测方法及系统,检测方法包括:获取智能无人设备组网中每一辆智能无人设备的行驶数据和组网中相互通信所产生的网络数据,抽取不同特征的数据以表示智能无人设备组网在行驶过程中的行驶状态和网络状态,并将其转化为特征向量;对特征向量进行降维,并对降维后的特征向量根据密度分布进行智能无人设备的行驶事件聚类,将智能无人设备组网中各智能无人设备的行驶事件划分为正常事件和异常事件;针对划分后的行驶事件,将对应的特征向量整合成相应的矩阵输入机器学习模型中,学习正常事件和异常事件的特征,再利用模型对智能无人设备组网实现异常检测。本发明结合了行驶数据和网络数据,能实现高效的异常检测。
-
公开(公告)号:CN114637989B
公开(公告)日:2024-07-12
申请号:CN202210278944.X
申请日:2022-03-21
Applicant: 西安电子科技大学
IPC: G06F21/55 , G06F16/18 , G06F16/182
Abstract: 一种基于分布式系统的APT攻击追溯方法、系统及存储介质,方法包括:收集多源日志数据并输入到MapReduce分布式计算框架进行预处理;根据字符串相似度从预处理后的日志中提取模板,并使用张量分解法从模板中提取事件;使用FP‑Tree数据关联挖掘算法找出事件之间的关系;根据事件之间的关系绘制出事件有向节点图,利用图匹配算法VF2去除事件有向节点图中同构部分,分析还原出APT攻击链。本发明解决了单个主机面对海量数据时计算效率低下的问题,同时保障了数据完整性。使用FP‑Tree算法挖掘事件关联,解决了事件关联过于单薄的问题。使用图匹配算法解决了关系图中事件依赖爆炸的问题。本发明还具备良好的可扩展性。
-
-
-
-
-
-
-
-
-
Search Results
13
records
(took 0.023 seconds)
