-
公开(公告)号:CN117955745A
公开(公告)日:2024-04-30
申请号:CN202410347079.9
申请日:2024-03-26
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)
IPC: H04L9/40 , G06F18/214 , G06F18/213 , G06F18/2132 , G06F18/2135 , G06F18/23213 , G06F18/25
Abstract: 本发明涉及网络安全领域及计算机深度学习领域,特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤:S1.构建网络流量特征;S2.构建威胁情报特征;S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击,采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析,相比现有方法,本发明使用的特征较为全面,更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征,更能全面的表示一个网络攻击,有利于后续的同源性分析。
-
公开(公告)号:CN117932233A
公开(公告)日:2024-04-26
申请号:CN202410324849.8
申请日:2024-03-21
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)
IPC: G06F18/10 , G06F18/213 , G06F18/214 , G06F18/22 , G06F18/23
Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质,该方法包括:对每个用户的行为数据预处理及统计特征提取;按正常行为统计特征,对所有用户进行聚类;对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型,所述正常用户为未出现过异常行为的用户;以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调,所述异常用户为存在异常行为的用户;对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测,有利于企业对内部威胁进行预警。
-
Patent Agency Ranking
公开(公告)号:CN119299129A
公开(公告)日:2025-01-10
申请号:CN202411255263.7
申请日:2024-09-09
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) , 中国电子科技集团公司第五十四研究所
IPC: H04L9/40 , G06F18/214 , G06F18/21 , G06F18/2433 , G06F18/2431 , G06F18/2415
Abstract: 本发明提供了一种用于细粒度多分类的网络入侵开放识别方法、系统及存储介质,网络入侵开放识别方法包括:特征表示步骤:学习一个泛化性的特征表示网络来表征训练和测试样本,从而为后续的分类步骤和拒绝步骤提供支撑;分类步骤:构建分类器,在封闭世界假设中将测试样本分类为已知类别中的某一个类别;拒绝步骤:从训练数据分布中估计可能的簇数,以在开放特征空间学习准确的识别器,从而最小化已知类别样本被错误识别为未知的风险。本发明的有益效果是:1.该网络入侵开放识别方法提高了网络入侵检测在开放世界中的检测准确性;2.该网络入侵开放识别方法具有很好的特征表示能力,能够在分类已知类别样本的同时拒绝那些未知类别的样本。
-
公开(公告)号:CN117932233B
公开(公告)日:2024-07-02
申请号:CN202410324849.8
申请日:2024-03-21
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)
IPC: G06F18/10 , G06F18/213 , G06F18/214 , G06F18/22 , G06F18/23
Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质,该方法包括:对每个用户的行为数据预处理及统计特征提取;按正常行为统计特征,对所有用户进行聚类;对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型,所述正常用户为未出现过异常行为的用户;以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调,所述异常用户为存在异常行为的用户;对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测,有利于企业对内部威胁进行预警。
-
公开(公告)号:CN117909912B
公开(公告)日:2024-07-02
申请号:CN202410312729.6
申请日:2024-03-19
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)
IPC: G06F18/2433 , G06F18/213 , G06F18/243 , G06F18/214
Abstract: 本发明涉及计算机与人工智能技术领域,特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤:S1.数据特征处理:在获取用户行为信息及用户身份信息后将数据进行特征处理;S2.建立基准模型:分析用户行为的时间分布情况,选取部分特征数据建立基准模型,利用基准模型进行粗粒度的用户行为检测,找出存在异常用户;S3.细粒度检测:对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测,并能按时间顺序依次检测每周用户的行为情况,在第二阶段进行细粒度的用户级异常的检测,找出异常行为与用户的对应关系,更准确、更高比例地找出异常行为和用户并减少误报。
-
公开(公告)号:CN117792803B
公开(公告)日:2024-06-25
申请号:CN202410218653.0
申请日:2024-02-28
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)
IPC: H04L9/40 , G06F18/2415 , G06F18/2433 , G06F18/214 , G06F16/35 , G06F40/284 , G06N3/0455 , G06N3/088 , G06N3/09
Abstract: 本发明提供了一种基于数据包有效载荷预训练模型的网络攻击检测方法、系统及介质,该方法包括:对数据集中的网络流量包进行切分,获得网络会话流粒度的网络数据包有效载荷序列;对数据集的正常流量和网络攻击流量进行均衡采样,使用滑动窗口对有效载荷进行切分;将有效载荷切分后获得的字节对序列经分词器处理后输入Bert模型进行预训练,在预训练Bert模型时将网络会话流类比于文档,将网络数据包有效载荷类比于句子:加载已预训练的Bert模型,结合分类器在新的数据上进行微调,采用微调后的网络攻击检测模型检测网络攻击。本发明能更好地捕获网络数据包有效载荷的信息,以便于通过网络数据包有效载荷预训练模型检测网络攻击。
-
公开(公告)号:CN117909912A
公开(公告)日:2024-04-19
申请号:CN202410312729.6
申请日:2024-03-19
Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)
IPC: G06F18/2433 , G06F18/213 , G06F18/243 , G06F18/214
Abstract: 本发明涉及计算机与人工智能技术领域,特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤:S1.数据特征处理:在获取用户行为信息及用户身份信息后将数据进行特征处理;S2.建立基准模型:分析用户行为的时间分布情况,选取部分特征数据建立基准模型,利用基准模型进行粗粒度的用户行为检测,找出存在异常用户;S3.细粒度检测:对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测,并能按时间顺序依次检测每周用户的行为情况,在第二阶段进行细粒度的用户级异常的检测,找出异常行为与用户的对应关系,更准确、更高比例地找出异常行为和用户并减少误报。
-
-
-
-
-
-
Search Results
17
records
(took 0.043 seconds)
