-
公开(公告)号:CN112214764B
公开(公告)日:2024-01-09
申请号:CN202010935440.1
申请日:2020-09-08
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56 , G06F21/64 , G06F18/241 , G06F18/22 , G06F18/214 , H04L9/40 , H04L9/32
Abstract: 本发明实施例提供一种面向复杂网络恶意程序分类方法及系统,该方法包括:获取网络恶意程序在预设时间内的完整网络流量,将所述完整网络流量划分为若干网络活动,对所述若干网络活动进行网络活动刻画,得到网络综合行为画像模型;通过行为距离度量函数和预设聚类算法,将所述网络综合行为画像模型中获取的样本网络行为特点生成行为签名;基于所述行为签名分别对已知恶意网络训练样本和未知测试样本进行整体相似度计算,得到未知网络恶意程序的类别归属。本发明实施例通过对网络恶意程序进行综合行为画像分类,细致全面地刻画复杂网络恶意程序的行为特点,进而做出正确的类别归属判断,且该分类方法不针对特定网络活动、协议及格式,适用性强。
-
公开(公告)号:CN112235242A
公开(公告)日:2021-01-15
申请号:CN202010935414.9
申请日:2020-09-08
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明实施例提供C&C信道检测方法及系统,基于白名单方法将待测试流量中正常网络流量进行过滤;基于流量自身相似性以及预设聚类算法将待测试流量归聚为网络活动;通过启发式规则将C&C流量进行标注,得到C&C流量识别结果以及第一C&C信道集合;获取基于迁移学习的C&C信道行为检测模型,将剩余流量部分输入至C&C信道行为检测模型,得到第二C&C信道集合,并综合得到C&C信道检测结果。本发明实施例无需准备与待检测目标相关的C&C训练数据以及预备检测环境下的正常通信训练数据,具备更佳适用性。
-
公开(公告)号:CN113037749B
公开(公告)日:2022-06-03
申请号:CN202110252226.0
申请日:2021-03-08
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明提供一种C&C信道判别方法及系统,包括:获取待识别流量;基于行为刻画对所述待识别流量进行分类,得到具有预设种类个数和预设行为特征个数的若干个原始特征;对所述若干个原始特征进行特征选择,得到待判断行为特征;基于预设机器学习算法识别所述待判断行为特征,得到时间槽信道类型推断结果;根据预设C&C信道特征对所述时间槽信道类型推断结果进行综合判定,得到C&C信道架构类型判定结果。本发明通过监控单一主机网络流量,提出的行为特征、时间槽划分、推理和综合判断的机制适用于具备复杂网络行为的恶意程序,且运用特征选择方法在确保判别正确性的前提下有效提升了信道架构类型分析的速度。
-
公开(公告)号:CN113037749A
公开(公告)日:2021-06-25
申请号:CN202110252226.0
申请日:2021-03-08
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种C&C信道判别方法及系统,包括:获取待识别流量;基于行为刻画对所述待识别流量进行分类,得到具有预设种类个数和预设行为特征个数的若干个原始特征;对所述若干个原始特征进行特征选择,得到待判断行为特征;基于预设机器学习算法识别所述待判断行为特征,得到时间槽信道类型推断结果;根据预设C&C信道特征对所述时间槽信道类型推断结果进行综合判定,得到C&C信道架构类型判定结果。本发明通过监控单一主机网络流量,提出的行为特征、时间槽划分、推理和综合判断的机制适用于具备复杂网络行为的恶意程序,且运用特征选择方法在确保判别正确性的前提下有效提升了信道架构类型分析的速度。
-
公开(公告)号:CN112214764A
公开(公告)日:2021-01-12
申请号:CN202010935440.1
申请日:2020-09-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明实施例提供一种面向复杂网络恶意程序分类方法及系统,该方法包括:获取网络恶意程序在预设时间内的完整网络流量,将所述完整网络流量划分为若干网络活动,对所述若干网络活动进行网络活动刻画,得到网络综合行为画像模型;通过行为距离度量函数和预设聚类算法,将所述网络综合行为画像模型中获取的样本网络行为特点生成行为签名;基于所述行为签名分别对已知恶意网络训练样本和未知测试样本进行整体相似度计算,得到未知网络恶意程序的类别归属。本发明实施例通过对网络恶意程序进行综合行为画像分类,细致全面地刻画复杂网络恶意程序的行为特点,进而做出正确的类别归属判断,且该分类方法不针对特定网络活动、协议及格式,适用性强。
-
Patent Agency Ranking
公开(公告)号:CN109120665B
公开(公告)日:2020-05-29
申请号:CN201810635267.6
申请日:2018-06-20
Applicant: 中国科学院信息工程研究所
IPC: H04L29/08
Abstract: 本发明实施例提供一种高速数据包采集方法及装置,其中,该方法包括:根据多个环形缓存区中每个环形缓存区对应的优先值,从所述多个环形缓存区中确定目标环形缓存区;将网卡缓存区的数据包传送至所述目标环形缓存区。本发明实施例提供的方法,通过设置多个环形缓存区中每个环形缓存区对应的优先值确定目标环形缓存区,来实现目标环形缓存区的优化选择,降低数据包丢包率。
-
公开(公告)号:CN113037748A
公开(公告)日:2021-06-25
申请号:CN202110251192.3
申请日:2021-03-08
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种C&C信道混合检测方法及系统,包括:获取待测试流量;基于启发式规则对所述待测试流量中的非C&C流量进行过滤,得到初始流量过滤结果;基于异常行为检测模型对所述初始流量过滤结果进行C&C流量识别,得到异常检测结果;根据预设判定规则对所述异常检测结果进行集成判定,得到最终C&C流量检测结果。本发明通过采用混合式C&C信道检测方法,组合运用启发式规则与异常式行为检测模型,能实现准确检测保护场景中的C&C信道。
-
公开(公告)号:CN107360159B
公开(公告)日:2019-12-03
申请号:CN201710561737.4
申请日:2017-07-11
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明实施例提供一种识别异常加密流量的方法及装置,所述方法包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。所述装置执行上述方法。本发明实施例提供的识别异常加密流量的方法及装置,能够准确地对异常加密流量进行识别。
-
公开(公告)号:CN109120665A
公开(公告)日:2019-01-01
申请号:CN201810635267.6
申请日:2018-06-20
Applicant: 中国科学院信息工程研究所
IPC: H04L29/08
Abstract: 本发明实施例提供一种高速数据包采集方法及装置,其中,该方法包括:根据多个环形缓存区中每个环形缓存区对应的优先值,从所述多个环形缓存区中确定目标环形缓存区;将网卡缓存区的数据包传送至所述目标环形缓存区。本发明实施例提供的方法,通过设置多个环形缓存区中每个环形缓存区对应的优先值确定目标环形缓存区,来实现目标环形缓存区的优化选择,降低数据包丢包率。
-
公开(公告)号:CN107360159A
公开(公告)日:2017-11-17
申请号:CN201710561737.4
申请日:2017-07-11
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明实施例提供一种识别异常加密流量的方法及装置,所述方法包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。所述装置执行上述方法。本发明实施例提供的识别异常加密流量的方法及装置,能够准确地对异常加密流量进行识别。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.024 seconds)
