-
公开(公告)号:CN109450876B
公开(公告)日:2020-12-22
申请号:CN201811239423.3
申请日:2018-10-23
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于多维度状态转移矩阵特征的DDos识别方法和系统。该方法包括:1)采集网络流元数据,并标注DDos流量与正常流量;2)利用采集并标注的网络流元数据,基于状态转移矩阵提取DDos的多维度特征;3)利用提取的多维度特征,采用机器学习算法训练分类模型;4)将待测的网络流数据按照步骤2)提取多维度特征,输入到步骤3)训练得到的分类模型中,获得DDos识别结果。本发明提取出可以有效刻画不同DDos攻击手法的网络行为特征,结合机器学习算法训练学习,在对场景先验知识较少的情况下,能够既准又全的识别DDos攻击。
-
公开(公告)号:CN109450876A
公开(公告)日:2019-03-08
申请号:CN201811239423.3
申请日:2018-10-23
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于多维度状态转移矩阵特征的DDos识别方法和系统。该方法包括:1)采集网络流元数据,并标注DDos流量与正常流量;2)利用采集并标注的网络流元数据,基于状态转移矩阵提取DDos的多维度特征;3)利用提取的多维度特征,采用机器学习算法训练分类模型;4)将待测的网络流数据按照步骤2)提取多维度特征,输入到步骤3)训练得到的分类模型中,获得DDos识别结果。本发明提取出可以有效刻画不同DDos攻击手法的网络行为特征,结合机器学习算法训练学习,在对场景先验知识较少的情况下,能够既准又全的识别DDos攻击。
-
公开(公告)号:CN108768986B
公开(公告)日:2020-09-08
申请号:CN201810475126.2
申请日:2018-05-17
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种加密流量分类方法及服务器、计算机可读存储介质。本方法包括训练阶段和分类阶段,其中训练阶段:获取加密应用的加密流量并标注,得到一训练集合;从该训练集合中分别提取每一加密应用的message type序列并统一转化为对应的编码序列,并根据应用的包长度序列计算该应用的代表长度序列;利用每一应用的编码序列构建Message type马尔科夫转移矩阵,根据代表长度序列构建长度马尔科夫转移矩阵;将编码序列、代表长度序列分别输入对应转移矩阵,生成对应应用的加密流量的指纹;将各指纹输入分类模型中训练,得到分类模型;分类阶段:对于将要分类的数据流,将该数据流的指纹输入训练后的分类模型中进行分类。
-
公开(公告)号:CN106506630B
公开(公告)日:2019-12-10
申请号:CN201610953238.5
申请日:2016-10-27
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于HTTP内容一致性的恶意网络行为发现方法。该方法包括:1)对HTTP报文进行解析;2)比较HTTP报文头所声明的类型和HTTP报文的实际载荷类型的一致性;3)若步骤2)比较的结果为不一致,则根据具体报文头和实际载荷类型对不一致行为进行可疑程度判断;4)对可疑程度大于设定的阈值的不一致行为进行记录;5)对记录的可疑的不一致行为进行扫描和分析,从而发现恶意行为。本发明具有很好的未知恶意行为发现能力,弥补了传统基于规则的防火墙和入侵检测系统对未知恶意行为检测的不足。
-
公开(公告)号:CN106850265A
公开(公告)日:2017-06-13
申请号:CN201611243915.0
申请日:2016-12-29
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种电力系统网络攻击预测方法。本发明为:1)提取电力系统网络上的关键节点,并为关键节点分配权重;2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图;3)当发生网络攻击时,如果攻击者利用已知系统漏洞进行网络攻击,则利用训练好的该网络攻击图预测当前的网络攻击方向和目标;如果攻击者利用的是未知系统漏洞进行网络攻击,则将当前受攻击的节点作为新的关键节点并赋予权重,将该关键节点加入网络攻击图获取新的攻击预测方向。本发明有效降低了攻击图预测的复杂度,大大提高了电力系统抗击网络攻击的效率。
-
Patent Agency Ranking
公开(公告)号:CN106850265B
公开(公告)日:2019-10-22
申请号:CN201611243915.0
申请日:2016-12-29
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种电力系统网络攻击预测方法。本发明为:1)提取电力系统网络上的关键节点,并为关键节点分配权重;2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图;3)当发生网络攻击时,如果攻击者利用已知系统漏洞进行网络攻击,则利用训练好的该网络攻击图预测当前的网络攻击方向和目标;如果攻击者利用的是未知系统漏洞进行网络攻击,则将当前受攻击的节点作为新的关键节点并赋予权重,将该关键节点加入网络攻击图获取新的攻击预测方向。本发明有效降低了攻击图预测的复杂度,大大提高了电力系统抗击网络攻击的效率。
-
公开(公告)号:CN106506630A
公开(公告)日:2017-03-15
申请号:CN201610953238.5
申请日:2016-10-27
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于HTTP内容一致性的恶意网络行为发现方法。该方法包括:1)对HTTP报文进行解析;2)比较HTTP报文头所声明的类型和HTTP报文的实际载荷类型的一致性;3)若步骤2)比较的结果为不一致,则根据具体报文头和实际载荷类型对不一致行为进行可疑程度判断;4)对可疑程度大于设定的阈值的不一致行为进行记录;5)对记录的可疑的不一致行为进行扫描和分析,从而发现恶意行为。本发明具有很好的未知恶意行为发现能力,弥补了传统基于规则的防火墙和入侵检测系统对未知恶意行为检测的不足。
-
公开(公告)号:CN106603519B
公开(公告)日:2019-12-10
申请号:CN201611114844.4
申请日:2016-12-07
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法。该方法包括1)对已知恶意服务的证书进行采集;2)提取采集的证书的属性,根据不同服务类型对证书进行分类,从各类证书的属性域和属性关系中提取泛化特征;3)基于提取的泛化特征,在真实网络环境中进行基于证书泛化特征的潜在恶意服务发现。如果步骤2)无法提取泛化特征,则通过跟踪已知恶意服务器的证书的变迁行为来发现证书变化规律,进而发现恶意服务。本发明能够针对SSL/TLS加密的远程控制类恶意服务,在可控范围内合理筛选,扩大发现的恶意服务器集合,从而为进一步深入安全分析及取证提供依据。
-
公开(公告)号:CN108768986A
公开(公告)日:2018-11-06
申请号:CN201810475126.2
申请日:2018-05-17
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种加密流量分类方法及服务器、计算机可读存储介质。本方法包括训练阶段和分类阶段,其中训练阶段:获取加密应用的加密流量并标注,得到一训练集合;从该训练集合中分别提取每一加密应用的message type序列并统一转化为对应的编码序列,并根据应用的包长度序列计算该应用的代表长度序列;利用每一应用的编码序列构建Message type马尔科夫转移矩阵,根据代表长度序列构建长度马尔科夫转移矩阵;将编码序列、代表长度序列分别输入对应转移矩阵,生成对应应用的加密流量的指纹;将各指纹输入分类模型中训练,得到分类模型;分类阶段:对于将要分类的数据流,将该数据流的指纹输入训练后的分类模型中进行分类。
-
公开(公告)号:CN106603519A
公开(公告)日:2017-04-26
申请号:CN201611114844.4
申请日:2016-12-07
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法。该方法包括1)对已知恶意服务的证书进行采集;2)提取采集的证书的属性,根据不同服务类型对证书进行分类,从各类证书的属性域和属性关系中提取泛化特征;3)基于提取的泛化特征,在真实网络环境中进行基于证书泛化特征的潜在恶意服务发现。如果步骤2)无法提取泛化特征,则通过跟踪已知恶意服务器的证书的变迁行为来发现证书变化规律,进而发现恶意服务。本发明能够针对SSL/TLS加密的远程控制类恶意服务,在可控范围内合理筛选,扩大发现的恶意服务器集合,从而为进一步深入安全分析及取证提供依据。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.022 seconds)
