公开(公告)号：CN112269316B

公开(公告)日：2022-06-07

申请号：CN202011168793.X

申请日：2020-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  魏仁政 ,  蔡利君 ,  马建刚 ,  孟丹

IPC: G05B13/04

Abstract: 本发明提出一种基于图神经网络的高鲁棒性威胁狩猎系统及方法，所述方法包括如下步骤：步骤1、将主机的系统行为数据收集并保存到系统行为数据库中；步骤2、溯源图构建步骤，使用不同粒度的系统行为构建溯源图，所述系统行为包括内核层，操作系统层，应用层的行为；步骤3、利用Locating算法初步筛选溯源图，得出可疑子图；步骤4、查询图生成，根据威胁情报描述的攻击行为生成查询图，使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数，分数超过阈值则发出告警。

公开(公告)号：CN111107072B

公开(公告)日：2021-01-12

申请号：CN201911263694.7

申请日：2019-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  魏仁政 ,  蔡利君 ,  马建刚 ,  孟丹

IPC: H04L29/06

Abstract: 本发明涉及一种基于认证图嵌入的异常登录行为检测方法及系统，在训练阶段，认证图生成模块将内网网络中的认证事件表示为认证图的形式，利用认证图嵌入模块得到图中节点的低维向量表示；基于所得的认证图向量表示，用户正常登陆行为画像生成模块生成用户的登陆行为画像，使用该画像训练模型作为异常检测器；在检测阶段，按照与训练阶段相同的方法生成认证图，然后利用训练阶段所得的认证图节点低维向量表示生成测试阶段的用户登陆行为画像，最后将偏离模型的用户登陆行为标记为异常并产生告警。

公开(公告)号：CN111049680A

公开(公告)日：2020-04-21

申请号：CN201911233202.X

申请日：2019-12-05

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  赵素雅 ,  魏仁政 ,  蔡利君 ,  马建刚 ,  孟丹

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06 ,  G06F16/215 ,  G06F16/901 ,  G06K9/62

Abstract: 本发明涉及一种基于图表示学习的内网横向移动检测系统及方法，包括图处理单元和异常检测单元；图处理单元将结构化的日志数据转换为多种图结构，使用图表示学习的手段将图中的节点转化为低维向量；另一方面，在正常的连通图中搜索正常的横向移动路径以及注入生成异常的横向移动路径，并提取多种路径相似性特征进行后续的分类任务；异常检测单元，基于历史的横向移动路径数据训练出正常的行为模型，对后续实时的横向移动路径进行分类任务，输出可疑的路径并通知管理员。本发明能有效的检测内网中存在的异常横向移动。

公开(公告)号：CN111049680B

公开(公告)日：2021-05-25

申请号：CN201911233202.X

申请日：2019-12-05

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  赵素雅 ,  魏仁政 ,  蔡利君 ,  马建刚 ,  孟丹

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06 ,  G06F16/215 ,  G06F16/901 ,  G06K9/62

Abstract: 本发明涉及一种基于图表示学习的内网横向移动检测系统及方法，包括图处理单元和异常检测单元；图处理单元将结构化的日志数据转换为多种图结构，使用图表示学习的手段将图中的节点转化为低维向量；另一方面，在正常的连通图中搜索正常的横向移动路径以及注入生成异常的横向移动路径，并提取多种路径相似性特征进行后续的分类任务；异常检测单元，基于历史的横向移动路径数据训练出正常的行为模型，对后续实时的横向移动路径进行分类任务，输出可疑的路径并通知管理员。本发明能有效的检测内网中存在的异常横向移动。

公开(公告)号：CN112269316A

公开(公告)日：2021-01-26

申请号：CN202011168793.X

申请日：2020-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  魏仁政 ,  蔡利君 ,  马建刚 ,  孟丹

IPC: G05B13/04

Abstract: 本发明提出一种基于图神经网络的高鲁棒性威胁狩猎系统及方法，所述方法包括如下步骤：步骤1、将主机的系统行为数据收集并保存到系统行为数据库中；步骤2、溯源图构建步骤，使用不同粒度的系统行为构建溯源图，所述系统行为包括内核层，操作系统层，应用层的行为；步骤3、利用Locating算法初步筛选溯源图，得出可疑子图；步骤4、查询图生成，根据威胁情报描述的攻击行为生成查询图，使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数，分数超过阈值则发出告警。

公开(公告)号：CN111107072A

公开(公告)日：2020-05-05

申请号：CN201911263694.7

申请日：2019-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  魏仁政 ,  蔡利君 ,  马建刚 ,  孟丹

IPC: H04L29/06

Abstract: 本发明涉及一种基于认证图嵌入的异常登录行为检测方法及系统，在训练阶段，认证图生成模块将内网网络中的认证事件表示为认证图的形式，利用认证图嵌入模块得到图中节点的低维向量表示；基于所得的认证图向量表示，用户正常登陆行为画像生成模块生成用户的登陆行为画像，使用该画像训练模型作为异常检测器；在检测阶段，按照与训练阶段相同的方法生成认证图，然后利用训练阶段所得的认证图节点低维向量表示生成测试阶段的用户登陆行为画像，最后将偏离模型的用户登陆行为标记为异常并产生告警。