-
公开(公告)号:CN110505202A
公开(公告)日:2019-11-26
申请号:CN201910629158.8
申请日:2019-07-12
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出了一种攻击组织发现方法及系统,该方法包括:1)获取待处理的Web日志,对Web日志中的关键特征进行提取与预处理;2)用AP聚类方法对上述特征中的无标签特征进行单独聚类,将标签化处理后得到的结果与有标签特征合并;3)根据每个特征在使用时的重要性,给标签特征赋予不同的权值,对比不同IP间特征值是否相同,对特征值相同的权值进行累加,得到最后的群体分值;4)根据不同IP的群体分值得分情况,当分值高于预设阈值时,认定该群体内的IP为同一攻击者/攻击组织。本发明有效的节约了人力资源,并且大大提高了工作效率,降低了企业入侵原因分析的人工成本和时间成本。
-
公开(公告)号:CN109495443A
公开(公告)日:2019-03-19
申请号:CN201811065691.8
申请日:2018-09-13
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种基于主机蜜罐对抗勒索软件攻击的方法和系统。该方法包括:1)在主机群中搭建主机蜜罐环境;2)在主机蜜罐中生成并部署蜜饵文件,并记录其初始文件类型和熵值状态;3)监控主机蜜罐的远程登录状态,当检测到具有远程登录操作发生时,通知主机蜜罐开启实时监控行为;4)监控蜜饵文件的文件类型和熵值信息,当文件类型和熵值均发生异常变化时,判定为勒索软件攻击;5)当主机蜜罐检测到勒索软件攻击时,收集攻击者主机的可溯源信息;6)将收集到的攻击者主机的可溯源信息,作为可溯源线索发送到安全主机中。本发明能够在低消耗、零损失的条件下通过欺骗攻击者防御勒索软件的攻击,保护用户和企业的数据与财产安全。
-
公开(公告)号:CN108667799A
公开(公告)日:2018-10-16
申请号:CN201810266046.6
申请日:2018-03-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出的一种针对浏览器缓存投毒的防御方法,包括以下步骤:当通过检测发现浏览器向服务器发送请求页面,并调用本地的缓存控制关键函数时,拦截该缓存控制关键函数;根据缓存控制关键函数获取该请求页面中所有未缓存过期的JavaScript文件,并对JavaScript文件进行哈希值计算;根据计算结果校验JavaScript文件是否被篡改,如是,则将其缓存时间调整至早于当前时间。通过客户端和服务器的交互验证来实现,可以在不影响用户体验的同时,有效防御浏览器缓存投毒攻击,保护用户个人信息安全。同时提供实现上述方法的系统。
-
公开(公告)号:CN118296602B
公开(公告)日:2024-10-29
申请号:CN202410462681.7
申请日:2024-04-17
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56 , G06N3/0464 , G06N3/0442 , G06N3/045
Abstract: 本发明公开了一种逃避型恶意软件检测方法及系统,涉及计算机网络安全领域。本发明基于收集的正常软件样本和逃避型恶意软件样本构建训练样本集和验证样本集,运行样本并分析得到用户态API调用序列和内核态系统调用序列;基于这两个样本集中的这两种序列训练得到用户态行为特征检测模型和内核态行为特征检测模型并作为基模型,与元模型堆叠训练得到多态行为特征集成检测模型,利用该模型进行逃避型恶意软件检测。本发明融合基于两种调用序列分类模型,有效地捕捉恶意软件在不同操作层面的行为特征,并通过堆叠法融合多个模型的输出,显著提升了对逃避型恶意软件检测的准确性和效率。
-
公开(公告)号:CN116647373A
公开(公告)日:2023-08-25
申请号:CN202310528515.8
申请日:2023-05-11
Applicant: 中国科学院信息工程研究所
Abstract: 本公开涉及一种基于蜜饵的Web渗透感知方法及装置,所述方法包括:代理一Web服务器的所有流量,并在转发流量的过程中对流量中的后台登录界面和/或后台管理界面的HTML结构进行分析,以得到合适嵌入蜜饵的DOM节点;在合适嵌入蜜饵的DOM节点嵌入蜜饵,得到嵌入蜜饵后的页面;其中,嵌入蜜饵后的页面与未嵌入蜜饵的页面的相似度大于一设定阈值;在一流量对嵌入蜜饵后的页面中的蜜饵访问时,将流量重定向到对应的容器中,以进行流量的漏洞感知;在一流量未对嵌入蜜饵后的页面中的蜜饵访问时,将流量重定向到Web服务器,以完成流量的访问。本发明实现了一键代理即可在HTML页面中部署蜜饵的功能。
-
Patent Agency Ranking
公开(公告)号:CN116527321A
公开(公告)日:2023-08-01
申请号:CN202310331446.1
申请日:2023-03-30
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明公开了一种面向云原生的API诱捕溯源方法及系统。本方法为:1)针对云环境所涉及的容器及其编排的云组件的API脆弱点,分别设计针对kubernetes的应用层API诱饵和针对docker的应用层API诱饵,并将各应用层API诱饵部署到蜜罐系统中;2)根据每一应用层API诱饵的当前被访问频率和历史被访问频率,更新对应的应用层API诱饵的优先度;3)对各应用层API诱饵的优先度进行排序,并设置优先度值最大的前N个应用层API诱饵为开启状态,将剩余应用层API诱饵都设置为关闭状态;4)记录攻击者进入蜜罐系统后产生的日志,根据日志生成攻击者入侵后在云环境内网中留下的活动日志记录,对攻击者进行溯源。
-
公开(公告)号:CN114915479B
公开(公告)日:2023-06-27
申请号:CN202210547657.4
申请日:2022-05-18
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种基于Web日志的Web攻击阶段分析方法及系统。本方法为:1)获取待检测网站的访问日志文件并对其进行解析,得到该待检测网站的源日志数据;2)对所述源日志数据进行攻击检测,得到该待检测网站受到的攻击事件;3)根据该待检测网站受到的攻击事件构建攻击事件图,以图的形式记录和存储检测出的攻击事件的详细信息;4)基于所述攻击事件图,获取各所述攻击事件之间的关联关系;5)根据所述关联关系将同属一个多步Web攻击过程的各攻击事件进行聚合,还原多步Web攻击的攻击场景,确定各个攻击场景的攻击阶段并评估攻击的危害程度。本发明能分担应急响应中的分析工作,使其只着重关注攻击阶段较深入、重要的攻击事件。
-
公开(公告)号:CN115659294A
公开(公告)日:2023-01-31
申请号:CN202211414500.0
申请日:2022-11-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种基于参数水印的神经网络模型版权保护方法,其步骤包括:(1)水印嵌入阶段,模型的发布方R根据设定的标识信息I生成水印W1;从待保护的神经网络模型M1的神经网络结构中选取网络层及参数,作为水印嵌入位置P;将水印W1嵌入到所选位置P,若嵌有水印W1的模型M1性能符合要求,则发布方R发布嵌有水印W1的模型M1;(2)水印验证阶段,对于待验证的神经网络模型M2,验证方根据发布方R提供的水印嵌入位置P,在模型M2中找出与之匹配的位置P′;根据位置P′从模型M2中提取水印数据W2;根据W2恢复出标识信息I′,并验证I′是否与I一致或包含I;根据验证结果判断模型M2是否来自于发布方R。
-
公开(公告)号:CN113595975B
公开(公告)日:2022-10-14
申请号:CN202110660187.8
申请日:2021-06-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出了一种Java内存Webshell的检测方法及装置,包括:在Java Web服务中分别植入敏感方法调用监控点与底层敏感行为监控点;根据敏感调用方法监控点收集的敏感方法调用信息,获取危险类,并对所述危险类进行判定,获取敏感方法调用检测结果;根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类,获取底层敏感行为检测结果;结合敏感方法调用检测结果与底层敏感行为检测结果,得到Webshell检测结果。本发明对用户请求实时监测,能够及时发现并拦截Java内存Webshell,从根源上进行防御,几乎不存在误报,同时能够适用于多种Web应用场景,并且不会对正常业务造成影响。
-
公开(公告)号:CN112187699B
公开(公告)日:2021-12-28
申请号:CN201910587125.1
申请日:2019-07-01
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种文件失窃的感知方法及系统。本方法为:1)在各存放设定敏感数据文件的同级或上级文件夹中放入一文件夹配置文件desktop.ini;2)在每一配置文件中写入一用于获取该配置文件所在文件夹的文件夹图标的网络位置,该网络位置的描述格式满足Windows UNC格式;3)将上述每个文件夹制作为一个文件包;4)在公网上部署名称服务器作为感知服务器;5)当文件包在一台主机上被访问时,配置文件向感知服务器发起域名解析请求;6)感知服务器根据请求获得发起访问主机的IP地址以及已登陆系统的用户名、文件夹编号标识;7)感知服务器根据提取到的信息与预定访问规则,判断是否发生了失窃或泄密事件。
-
-
-
-
-
-
-
-
-
Search Results
63
records
(took 0.026 seconds)
