-
公开(公告)号:CN115277071A
公开(公告)日:2022-11-01
申请号:CN202210693216.5
申请日:2022-06-17
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种设备异常通信行为检测方法及装置,该方法包括:获取数据包组,所述数据包组中包括目标设备在一个轮询周期内的多个数据包;根据所述数据包组中每个数据包的有效负载,构建负载灰度图像;获取所述负载灰度图像的时空特征向量;利用所述负载灰度图像的时空特征向量构建相应的设备行为指纹,并根据所构建的设备行为指纹和所述目标设备的时空特征行为指纹,对所述目标设备的通信行为或所述数据包组中的待检测数据包进行检测。通过本发明提供的设备异常通信行为检测方法及装置,可提高检测的准确率;并且,该方法的检测过程计算量较小,可应用于在线实时检测,更加方便快捷。
-
公开(公告)号:CN104581712A
公开(公告)日:2015-04-29
申请号:CN201410823092.3
申请日:2014-12-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供了一种移动终端加密通信的方法,该方法包括:密钥管理中心为发送端和接收端分配密钥;发送端采用所述密钥对发送的信号进行加密,并将加密后的信号发送至接收端;接收端接收到所述信号后,采用所述密钥对所述信号进行解密,还原所述信号。本发明还提供了一种移动终端加密通信的系统,该系统包括移动终端、加密通信装置及密钥管理中心。本发明能够实现并保证数据在移动通信系统中的端到端加密传输,安全性能较高。
-
公开(公告)号:CN112487422B
公开(公告)日:2023-04-04
申请号:CN202011173874.9
申请日:2020-10-28
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56 , G06F40/216
Abstract: 本发明实施例提供一种恶意文档检测方法、装置、电子设备及存储介质,该方法包括:对待检测文档进行分析,得到文档特征信息;将所述文档特征信息输入预设恶意文档检测模型,得到检测结果信息;其中,所述预设恶意文档检测模型通过带恶意标签的样本文档特征信息和无标签的样本文档特征信息训练得到的。通过待检测文档的特点,分别提取了文档特征结构信息和文档统计特征信息得到文档特征信息,然后选取了一种半监督学习方法,构建多棵决策树来进行恶意文档检测,多棵决策树集成的思想提高检测准确率而节省了大量的数据标注工作,从而更符合真实应用场景,最终更好的实现恶意文档检测。
-
公开(公告)号:CN110570199B
公开(公告)日:2022-10-11
申请号:CN201910670687.2
申请日:2019-07-24
Applicant: 中国科学院信息工程研究所
IPC: G06Q20/40 , G06F21/31 , G06F40/279 , G06F40/284
Abstract: 本发明实施例提供一种基于用户输入行为的用户身份检测方法及系统,包括:获取用户的输入行为数据,从输入行为数据中获取用户的击键时间戳信息和用户击键键值信息;将用户击键时间戳信息输入到预设的击键时间识别模型中,获取用户击键时间戳信息对应的击键时间识别结果;将用户击键键值信息结合用户对应的个人词库,计算获得用户击键键值信息的异常评分;根据击键时间识别结果和异常评分对用户的身份进行识别,获取用户身份识别结果。本发明提供的方法,采用用户输入行为数据中的击键时间戳信息和用户击键的键值信息,综合判别用户的异常行为,对用户身份进行综合评估判定,更全面、精确地识别非法使用人员,具有更高的鲁棒性。
-
公开(公告)号:CN111901291B
公开(公告)日:2022-03-22
申请号:CN202010495997.8
申请日:2020-06-03
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明实施例提供一种网络入侵检测方法和装置,所述网络入侵检测方法包括:获取待检测的数据包,所述待检测的数据包包括设备标识;基于所述设备标识,获取预存的设备参考信息,所述设备参考信息包括所述设备标识、预设参考周期和参考动态标识;基于数据包组,确定待检测动态标识,所述数据包组包括所述待检测的数据包,且所述数据包组中的每个数据包均包括所述设备标识;基于所述待检测动态标识和所述参考动态标识,确定所述待检测的数据包是否与所述设备标识对应的设备同源。本发明实施例提供的网络入侵检测方法能够提高识别网络攻击的准确率,提高网络系统的安全性能。
-
Patent Agency Ranking
公开(公告)号:CN113037748A
公开(公告)日:2021-06-25
申请号:CN202110251192.3
申请日:2021-03-08
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种C&C信道混合检测方法及系统,包括:获取待测试流量;基于启发式规则对所述待测试流量中的非C&C流量进行过滤,得到初始流量过滤结果;基于异常行为检测模型对所述初始流量过滤结果进行C&C流量识别,得到异常检测结果;根据预设判定规则对所述异常检测结果进行集成判定,得到最终C&C流量检测结果。本发明通过采用混合式C&C信道检测方法,组合运用启发式规则与异常式行为检测模型,能实现准确检测保护场景中的C&C信道。
-
公开(公告)号:CN112487422A
公开(公告)日:2021-03-12
申请号:CN202011173874.9
申请日:2020-10-28
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56 , G06F40/216
Abstract: 本发明实施例提供一种恶意文档检测方法、装置、电子设备及存储介质,该方法包括:对待检测文档进行分析,得到文档特征信息;将所述文档特征信息输入预设恶意文档检测模型,得到检测结果信息;其中,所述预设恶意文档检测模型通过带恶意标签的样本文档特征信息和无标签的样本文档特征信息训练得到的。通过待检测文档的特点,分别提取了文档特征结构信息和文档统计特征信息得到文档特征信息,然后选取了一种半监督学习方法,构建多棵决策树来进行恶意文档检测,多棵决策树集成的思想提高检测准确率而节省了大量的数据标注工作,从而更符合真实应用场景,最终更好的实现恶意文档检测。
-
公开(公告)号:CN115277071B
公开(公告)日:2024-04-02
申请号:CN202210693216.5
申请日:2022-06-17
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L41/16 , G06N3/0464 , G06N3/0442 , G06N3/045 , G06N3/084
Abstract: 本发明提供一种设备异常通信行为检测方法及装置,该方法包括:获取数据包组,所述数据包组中包括目标设备在一个轮询周期内的多个数据包;根据所述数据包组中每个数据包的有效负载,构建负载灰度图像;获取所述负载灰度图像的时空特征向量;利用所述负载灰度图像的时空特征向量构建相应的设备行为指纹,并根据所构建的设备行为指纹和所述目标设备的时空特征行为指纹,对所述目标设备的通信行为或所述数据包组中的待检测数据包进行检测。通过本发明提供的设备异常通信行为检测方法及装置,可提高检测的准确率;并且,该方法的检测过程计算量较小,可应用于在线实时检测,更加方便快捷。
-
公开(公告)号:CN112235242A
公开(公告)日:2021-01-15
申请号:CN202010935414.9
申请日:2020-09-08
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明实施例提供C&C信道检测方法及系统,基于白名单方法将待测试流量中正常网络流量进行过滤;基于流量自身相似性以及预设聚类算法将待测试流量归聚为网络活动;通过启发式规则将C&C流量进行标注,得到C&C流量识别结果以及第一C&C信道集合;获取基于迁移学习的C&C信道行为检测模型,将剩余流量部分输入至C&C信道行为检测模型,得到第二C&C信道集合,并综合得到C&C信道检测结果。本发明实施例无需准备与待检测目标相关的C&C训练数据以及预备检测环境下的正常通信训练数据,具备更佳适用性。
-
公开(公告)号:CN110674498A
公开(公告)日:2020-01-10
申请号:CN201910770785.3
申请日:2019-08-20
Applicant: 中国科学院信息工程研究所
Abstract: 本发明实施例提供一种基于多维度文件活动的内部威胁检测方法及系统。该方法包括:获取待检测的单个文件,基于单个文件的历史活动规律检测单个文件,得到单文件检测结果;获取文件社区模型,基于文件社区模型检测单个文件,得到文件社区检测结果;其中文件社区模型是基于包含单个文件的文件集合,采用最近邻算法得到的;基于熵权法将单文件检测结果和文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。本发明实施例通过从数据角度对内部威胁进行维度检测,能够更全面和更精确的识别受威胁文件,相比传统的检测方法,覆盖率更高,识别结果有更高的鲁棒性。
-
-
-
-
-
-
-
-
-
Search Results
18
records
(took 0.026 seconds)
