-
公开(公告)号:CN115134160B
公开(公告)日:2024-03-22
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
公开(公告)号:CN119520057A
公开(公告)日:2025-02-25
申请号:CN202411608874.5
申请日:2024-11-12
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06N3/0455 , G06N3/08
Abstract: 本发明提出一种基于行为模式的攻击检测方法,属于攻击检测领域,包括:S1:利用系统审计日志构建溯源图,从溯源图中提取进程事件并创建行为模式;S2:使用嵌入模型来生成行为模式的嵌入向量,再输入语义重构模块来学习行为模式的内在特征,输出重构向量;S3:计算嵌入向量和重构向量的余弦相似度作为重构误差的度量,高于阈值的行为模式被视为异常行为模式;基于异常行为模式构建攻击子图,以重构攻击故事。本发明方法可提高攻击检测的准确性和可解释性。
-
公开(公告)号:CN118368138A
公开(公告)日:2024-07-19
申请号:CN202410730354.5
申请日:2024-06-06
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明提出一种基于信息流追踪的攻击检测方法,属于基于主机的入侵检测领域,包括:S1:抽取系统审计日志中实体和事件,初始化实体标签,按照事件发生的先后顺序,构建溯源图;S2:定义实体标签的检测策略,检测当前事件所包含进程是否违反检测策略,如果是则发出警报;基于事件稀有度计算警报事件的威胁分数并进行降序排序;S3:将警报事件按照排序,根据其依赖关系在溯源图中沿着边向后传播到所有入口节点,同时记录在后向传播时遇到的所有节点及其关联节点;根据节点及其关联节点和涉及的所有依赖关系,形成攻击子图。本发明方法通过监控审计日志中恶意行为的上下文信息,从溯源图中更准确地挖掘审计日志包含的攻击信息。
-
公开(公告)号:CN115134160A
公开(公告)日:2022-09-30
申请号:CN202210809071.0
申请日:2022-07-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于攻击迁移的攻击检测方法及系统,其方法包括:S1:利用滑动窗口选择审计日志;S2:如果审计日志是从良性环境产生的日志构建良性溯源图,如果审计日志是结合威胁情报从攻击环境中获取,则构建攻击子图;S3:获取攻击子图中入侵点;在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点,如果存在,则将攻击子图和良性溯源图在入侵点处进行合并,形成恶意溯源图;S4:将恶意溯源图输入图注意力网络进行训练,通过构建多卷积分类器将节点向量的不同区域的特征相结合,输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练,并构建多卷积分类器有效地嵌入了图信息。
-
-
-