-
公开(公告)号:CN110796196B
公开(公告)日:2022-05-10
申请号:CN201911040768.0
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于深度判别特征的网络流量分类系统及方法,包括:预处理模块和模型学习模块,预处理模块:将不同应用产生的长度不一的网络流作为输入,将每条网络流表示为固定大小的流矩阵,以满足卷积神经网络(CNN)的输入格式要求;模型学习模块:以预处理模块得到的流矩阵作为输入,在度量学习正则化项和交叉熵损失项共同构成的目标函数的监督下,对深度卷积神经网络进行训练,使得神经网络可以对输入的流矩阵学习得到更具判别性的特征表示,从而使得分类结果更加准确。
-
公开(公告)号:CN113887642A
公开(公告)日:2022-01-04
申请号:CN202111183417.2
申请日:2021-10-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于开放世界的网络流量分类方法及系统,其方法包括:步骤S1:构建基于孪生神经网络的SHE‑Net模型,以开放世界网络流量作为样本集,获取样本集的低维特征向量,低维特征向量中含有序列特征向量和空间特征向量;同时,构建互补损失函数训练困难样本;其中,SHE‑Net模型包括:字节编码器、包编码器和流编码器;步骤S2:根据低维特征向量,利用基于阈值和支持向量机的检测器,对开放世界网络流量进行分类和预测。本发明提供的方法构建了双分支三级编码器的SHE‑Net模型,增强网络流量识别的鲁棒性和泛化性,并构建互补损失函数,解决了孪生神经网络的对比损失函数的收敛不稳定的问题。
-
公开(公告)号:CN112367334A
公开(公告)日:2021-02-12
申请号:CN202011324405.2
申请日:2020-11-23
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种网络流量识别方法、装置、电子设备和存储介质,其中方法包括:将待识别的网络数据包序列进行预处理,得到若干条数据流;将每一条数据流输入至网络流量识别模型,得到网络流量识别模型输出的每一条数据流的流量识别结果;其中,网络流量识别模型是基于样本数据流及其样本流量类型训练得到的;网络流量识别模型用于提取每一条数据流的时空特征,并基于时空特征对每一条数据流进行流量识别;其中时空特征可以通过卷积神经网络和循环神经网络提取得到,或通过卷积神经网络和时序卷积网络提取得到。本发明提供的网络流量识别方法、装置、电子设备和存储介质,充分利用了数据包之间的时序关系以及空间特征,提高了流量识别的准确性。
-
公开(公告)号:CN107608752B
公开(公告)日:2020-10-16
申请号:CN201610546237.9
申请日:2016-07-12
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于虚拟机自省的威胁情报响应与处置方法及系统,将威胁检测与响应模块部署在被检测虚拟机之外的特权虚拟机上;利用虚拟机自省技术获取进行网络通信的被检测虚拟机中的端口号‑传输层网络协议‑进程对应关系;捕获并解析虚拟机通信的网络数据包;利用网络威胁情报数据库判断数据包是否有威胁,如有威胁则给出威胁警告,并利用获得的对应关系定位和威胁源通信的虚拟机进程,进而对进程或端口等进行阻断。本发明通过把威胁检测与响应模块部署在被检测虚拟机外部,有效地保护了检测和响应模块,同时可以完成进程级别的网络威胁检测和响应,且不对现有的云架构做任何改动,可以方便地应用于云服务提供商的服务器上。
-
公开(公告)号:CN110796196A
公开(公告)日:2020-02-14
申请号:CN201911040768.0
申请日:2019-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于深度判别特征的网络流量分类系统及方法,包括:预处理模块和模型学习模块,预处理模块:将不同应用产生的长度不一的网络流作为输入,将每条网络流表示为固定大小的流矩阵,以满足卷积神经网络(CNN)的输入格式要求;模型学习模块:以预处理模块得到的流矩阵作为输入,在度量学习正则化项和交叉熵损失项共同构成的目标函数的监督下,对深度卷积神经网络进行训练,使得神经网络可以对输入的流矩阵学习得到更具判别性的特征表示,从而使得分类结果更加准确。
-
Patent Agency Ranking
公开(公告)号:CN118520469A
公开(公告)日:2024-08-20
申请号:CN202410700691.X
申请日:2024-05-31
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
Abstract: 本发明提出一种推荐指导的勒索软件主动诱捕方法及系统,属于勒索软件诱捕领域,包括:S1:根据勒索软件与其偏好文件之间的交互记录,以及偏好文件的属性集合,利用GNN学习勒索软件对偏好文件属性的偏好,选择诱饵文件;S2:利用GNN学习勒索软件对偏好文件的路径属性的偏好,获取勒索软件中流行路径属性,选择与流行路径属性一致的关键路径部署诱饵文件;S3:利用诱饵文件监视器持续监控部署于文件系统中的诱饵文件的变化,并采取相应行动。本发明方法通过学习勒索软件的文件加密偏好和路径访问偏好来指导设计诱饵文件的生成和部署方案。
-
公开(公告)号:CN118368138A
公开(公告)日:2024-07-19
申请号:CN202410730354.5
申请日:2024-06-06
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明提出一种基于信息流追踪的攻击检测方法,属于基于主机的入侵检测领域,包括:S1:抽取系统审计日志中实体和事件,初始化实体标签,按照事件发生的先后顺序,构建溯源图;S2:定义实体标签的检测策略,检测当前事件所包含进程是否违反检测策略,如果是则发出警报;基于事件稀有度计算警报事件的威胁分数并进行降序排序;S3:将警报事件按照排序,根据其依赖关系在溯源图中沿着边向后传播到所有入口节点,同时记录在后向传播时遇到的所有节点及其关联节点;根据节点及其关联节点和涉及的所有依赖关系,形成攻击子图。本发明方法通过监控审计日志中恶意行为的上下文信息,从溯源图中更准确地挖掘审计日志包含的攻击信息。
-
公开(公告)号:CN117909973A
公开(公告)日:2024-04-19
申请号:CN202410024154.8
申请日:2024-01-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于内核级行为分析的勒索软件提前检测方法及系统,其方法包括:S1:分别从良性软件和勒索软件样本内核级日志中提取执行命令,构建良性和恶意命令集合;S2:从勒索软件样本的内核级日志中提取与文件操作相关的事件,通过序列提取、嵌入、聚类和模式生成,将一个文件所有相关事件进行关联,得到勒索软件攻击阶段的行为模式;S3:实时监控内核级事件流,提取其中包含进程执行命令的属性,判断是否属于恶意命令集合,如果是,则终止该事件的执行进程;如果否,则执行步骤S2,判断是否存在勒索软件攻击阶段的行为模式,如果是,则终止该事件的执行进程。本发明提供的方法可在攻击前或攻击早期阶段检测到是否存在勒索软件。
-
公开(公告)号:CN115134160A
公开(公告)日:2022-09-30
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
公开(公告)号:CN110069921A
公开(公告)日:2019-07-30
申请号:CN201910293687.5
申请日:2019-04-12
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种面向容器平台的可信软件授权验证系统及方法,包括:构建公钥基础设施模块、构建容器镜像身份模块、构建签名列表模块、验证容器镜像模块、加载签名列表和用户证书模块、验证容器程序模块;本发明能够方便地对容器镜像和容器中运行的软件进行授权,并在合适的时机验证容器镜像和容器中的程序,最终保证容器平台上运行的容器镜像都是可信的,同时容器中运行的软件也都是可信的,从而提高容器平台的安全性。
-
-
-
-
-
-
-
-
-
Search Results
21
records
(took 0.051 seconds)
