Patent search ap:("中国科学院信息工程研究所") AND inv:"冷涛" Page 1

1.

发明公开
基于信息流追踪的攻击检测方法及系统审中-实审

公开(公告)号：CN118368138A

公开(公告)日：2024-07-19

申请号：CN202410730354.5

申请日：2024-06-06

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 , 潘跃东 , 赵力欣 , 冷涛 , 蔡利君 , 孟丹

IPC: H04L9/40

Abstract: 本发明提出一种基于信息流追踪的攻击检测方法，属于基于主机的入侵检测领域，包括：S1：抽取系统审计日志中实体和事件，初始化实体标签，按照事件发生的先后顺序，构建溯源图；S2：定义实体标签的检测策略，检测当前事件所包含进程是否违反检测策略，如果是则发出警报；基于事件稀有度计算警报事件的威胁分数并进行降序排序；S3：将警报事件按照排序，根据其依赖关系在溯源图中沿着边向后传播到所有入口节点，同时记录在后向传播时遇到的所有节点及其关联节点；根据节点及其关联节点和涉及的所有依赖关系，形成攻击子图。本发明方法通过监控审计日志中恶意行为的上下文信息，从溯源图中更准确地挖掘审计日志包含的攻击信息。

Patent Agency Ranking