-
公开(公告)号:CN113887642A
公开(公告)日:2022-01-04
申请号:CN202111183417.2
申请日:2021-10-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于开放世界的网络流量分类方法及系统,其方法包括:步骤S1:构建基于孪生神经网络的SHE‑Net模型,以开放世界网络流量作为样本集,获取样本集的低维特征向量,低维特征向量中含有序列特征向量和空间特征向量;同时,构建互补损失函数训练困难样本;其中,SHE‑Net模型包括:字节编码器、包编码器和流编码器;步骤S2:根据低维特征向量,利用基于阈值和支持向量机的检测器,对开放世界网络流量进行分类和预测。本发明提供的方法构建了双分支三级编码器的SHE‑Net模型,增强网络流量识别的鲁棒性和泛化性,并构建互补损失函数,解决了孪生神经网络的对比损失函数的收敛不稳定的问题。
-
公开(公告)号:CN112367334A
公开(公告)日:2021-02-12
申请号:CN202011324405.2
申请日:2020-11-23
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种网络流量识别方法、装置、电子设备和存储介质,其中方法包括:将待识别的网络数据包序列进行预处理,得到若干条数据流;将每一条数据流输入至网络流量识别模型,得到网络流量识别模型输出的每一条数据流的流量识别结果;其中,网络流量识别模型是基于样本数据流及其样本流量类型训练得到的;网络流量识别模型用于提取每一条数据流的时空特征,并基于时空特征对每一条数据流进行流量识别;其中时空特征可以通过卷积神经网络和循环神经网络提取得到,或通过卷积神经网络和时序卷积网络提取得到。本发明提供的网络流量识别方法、装置、电子设备和存储介质,充分利用了数据包之间的时序关系以及空间特征,提高了流量识别的准确性。
-
公开(公告)号:CN111064604A
公开(公告)日:2020-04-24
申请号:CN201911247335.2
申请日:2019-12-09
Applicant: 中国科学院信息工程研究所
IPC: H04L12/24 , G06F16/901
Abstract: 本发明涉及一种基于多视角motif融合的网络表示系统及方法,包括:生成网络模块、motif的挖掘和选择模块、图级嵌入模块和节点级嵌入模块;本发明实现更加准确的图级嵌入和节点级嵌入,最终通过更好的网络表示高质量的完成网络分析任务。
-
公开(公告)号:CN110912933A
公开(公告)日:2020-03-24
申请号:CN201911299344.6
申请日:2019-12-17
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06 , H04L12/801 , H04L12/851 , H04L29/12
Abstract: 本发明提出一种基于被动测量的设备识别方法,包括如下步骤:步骤1:不同设备之间通信产生的流量数据转化成图结构,将设备作为节点,刻画每个节点在图中的重要程度,以此进行聚类分析,找出服务器设备;步骤2:针对上述服务器设备,分别得到与其通联的终端列表,并使用明确数字刻画终端与服务器通联的流量级别,以此进行聚类分析,分离同属于终端的主机和网络地址转换设备,即NAT设备;步骤3:对已经确定的NAT设备运行验证分析方法,判断其后面是否存在服务器。本发明构建了被动测量引导下的网络测绘模型,以提高测量实效、降低测量复杂度和被测网络负载。
-
公开(公告)号:CN110796196A
公开(公告)日:2020-02-14
申请号:CN201911040768.0
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于深度判别特征的网络流量分类系统及方法,包括:预处理模块和模型学习模块,预处理模块:将不同应用产生的长度不一的网络流作为输入,将每条网络流表示为固定大小的流矩阵,以满足卷积神经网络(CNN)的输入格式要求;模型学习模块:以预处理模块得到的流矩阵作为输入,在度量学习正则化项和交叉熵损失项共同构成的目标函数的监督下,对深度卷积神经网络进行训练,使得神经网络可以对输入的流矩阵学习得到更具判别性的特征表示,从而使得分类结果更加准确。
-
Patent Agency Ranking
公开(公告)号:CN109951462A
公开(公告)日:2019-06-28
申请号:CN201910170833.5
申请日:2019-03-07
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 一种基于全息建模的应用软件流量异常检测系统及方法,包括:应用软件识别模块、特征空间设计模块、全息建模模块和异常检测模块;应用软件识别模块,实现流量识别功能;根据获取的原始流量数据包中的端口进行应用软件的识别,得到已知软件类别的流量数据集;特征空间设计模块,实现特征提取功能,根据不同的TCP流进行基于流的特征提取,得到流量特征数据集;全息建模模块,实现模型的建立与动态更新功能;根据聚类算法对应用软件的流特征进行多角度建模,再根据更新条件,基于新的流量数据更新已建立的多个模式,得到应用软件流量的正常模型;异常检测模块,实现应用软件的流量异常判断功能,根据模型容量和离散度综合得到的异常分数来识别异常,得到流量是否异常的判定结果。
-
公开(公告)号:CN109033845A
公开(公告)日:2018-12-18
申请号:CN201810533871.8
申请日:2018-05-29
Applicant: 中国科学院信息工程研究所
CPC classification number: G06F21/604 , G06F21/6209 , G06F21/6218
Abstract: 本发明提出一种基于文件访问记录时空分析的伪装者检测方法及系统,本方法步骤包括:通过用户主机收集用户的文件访问记录;基于文件访问记录得到一文件访问子活动,基于文件访问子活动映射得到文件访问网络,根据两顶点中的文件路径之间的关系计算文件访问网络的边权重,对文件访问网络进行聚类得到用户活动类,进而得到关于文件路径和用户活动类的紧密度;将文件操作类型和文件操作方向结合为文件操作,按照时间顺序得到文件操作序列,将文件操作序列的测试序列和特征子序列的相似度的平均值作为测试序列的发生概率;基于所述紧密度和发生概率得到异常评分,将异常评分高于一阈值的文件访问子活动判定为伪装者。
-
公开(公告)号:CN118520469A
公开(公告)日:2024-08-20
申请号:CN202410700691.X
申请日:2024-05-31
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
Abstract: 本发明提出一种推荐指导的勒索软件主动诱捕方法及系统,属于勒索软件诱捕领域,包括:S1:根据勒索软件与其偏好文件之间的交互记录,以及偏好文件的属性集合,利用GNN学习勒索软件对偏好文件属性的偏好,选择诱饵文件;S2:利用GNN学习勒索软件对偏好文件的路径属性的偏好,获取勒索软件中流行路径属性,选择与流行路径属性一致的关键路径部署诱饵文件;S3:利用诱饵文件监视器持续监控部署于文件系统中的诱饵文件的变化,并采取相应行动。本发明方法通过学习勒索软件的文件加密偏好和路径访问偏好来指导设计诱饵文件的生成和部署方案。
-
公开(公告)号:CN118368138A
公开(公告)日:2024-07-19
申请号:CN202410730354.5
申请日:2024-06-06
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明提出一种基于信息流追踪的攻击检测方法,属于基于主机的入侵检测领域,包括:S1:抽取系统审计日志中实体和事件,初始化实体标签,按照事件发生的先后顺序,构建溯源图;S2:定义实体标签的检测策略,检测当前事件所包含进程是否违反检测策略,如果是则发出警报;基于事件稀有度计算警报事件的威胁分数并进行降序排序;S3:将警报事件按照排序,根据其依赖关系在溯源图中沿着边向后传播到所有入口节点,同时记录在后向传播时遇到的所有节点及其关联节点;根据节点及其关联节点和涉及的所有依赖关系,形成攻击子图。本发明方法通过监控审计日志中恶意行为的上下文信息,从溯源图中更准确地挖掘审计日志包含的攻击信息。
-
公开(公告)号:CN117909973A
公开(公告)日:2024-04-19
申请号:CN202410024154.8
申请日:2024-01-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于内核级行为分析的勒索软件提前检测方法及系统,其方法包括:S1:分别从良性软件和勒索软件样本内核级日志中提取执行命令,构建良性和恶意命令集合;S2:从勒索软件样本的内核级日志中提取与文件操作相关的事件,通过序列提取、嵌入、聚类和模式生成,将一个文件所有相关事件进行关联,得到勒索软件攻击阶段的行为模式;S3:实时监控内核级事件流,提取其中包含进程执行命令的属性,判断是否属于恶意命令集合,如果是,则终止该事件的执行进程;如果否,则执行步骤S2,判断是否存在勒索软件攻击阶段的行为模式,如果是,则终止该事件的执行进程。本发明提供的方法可在攻击前或攻击早期阶段检测到是否存在勒索软件。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.102 seconds)
