-
公开(公告)号:CN109033845B
公开(公告)日:2021-05-07
申请号:CN201810533871.8
申请日:2018-05-29
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种基于文件访问记录时空分析的伪装者检测方法及系统,本方法步骤包括:通过用户主机收集用户的文件访问记录;基于文件访问记录得到一文件访问子活动,基于文件访问子活动映射得到文件访问网络,根据两顶点中的文件路径之间的关系计算文件访问网络的边权重,对文件访问网络进行聚类得到用户活动类,进而得到关于文件路径和用户活动类的紧密度;将文件操作类型和文件操作方向结合为文件操作,按照时间顺序得到文件操作序列,将文件操作序列的测试序列和特征子序列的相似度的平均值作为测试序列的发生概率;基于所述紧密度和发生概率得到异常评分,将异常评分高于一阈值的文件访问子活动判定为伪装者。
-
公开(公告)号:CN110737890B
公开(公告)日:2021-04-02
申请号:CN201911021135.5
申请日:2019-10-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异质时序事件嵌入学习的内部威胁检测系统及方法,包括用户异质时序事件采集模块、数据预处理模块、异质时序事件嵌入学习模块、用户异质时序事件序列异常评估和内部威胁输出模块;通过对组织或者企业内用户异质时序事件的收集、数据的过滤和去噪、异质时序事件包含的实体的嵌入、异质时序事件序列概率估计和内部威胁输出4个过程实现。该方法通过综合分析用户主机登录事件、文件访问事件、邮件通信事件、web浏览事件和移动设备连接事件5种异质时序事件的多个实体,全面的刻画了用户行为,提高了该系统检测的准确率,降低了系统检测的误报率;此外,该系统通过实体的嵌入向量和上下文向量的交互计算异质时序事件序列的概率,使检测过程不依赖于领域专家的先验知识,提高了系统的智能性。
-
公开(公告)号:CN110138763B
公开(公告)日:2020-12-11
申请号:CN201910384493.6
申请日:2019-05-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于动态web浏览行为的内部威胁检测系统及方法,由5个模块组成:组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块、个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。该系统通过对组织或者企业内用户web浏览数据的收集、数据的过滤和去噪、个人用户web浏览行为动态性建模和异常检测、用户组行为相对一致性建模和异常检测、信息融合和检测结果输出5个过程实现,使该系统具有较高的内部威胁检测率和较低的误报率。此外,该系统通过图聚类算法自动发现组织或者企业内的用户组关系,提高了系统的智能性,减少了人工标注用户组的工作量。
-
公开(公告)号:CN107846389B
公开(公告)日:2020-11-20
申请号:CN201610839816.2
申请日:2016-09-21
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种基于用户主客观数据融合的内部威胁检测方法及系统,在原先仅审计用户系统与网络行为数据的基础上,提出了反映用户工作态度、生活压力等个体特征的主观要素数据,再从用户的主客观要素数据出发,提出了融合模式、预示模式两类数据融合模式,通过融合反映用户攻击动机强度的主观要素数据与反映用户系统与网络行为的客观要素数据,全面分析、检测内部威胁,有效降低单纯异常检测的高误报与漏报问题,同时基于内部威胁攻击链特征提出了建立各个攻击环节异常的内部威胁特征方法,提高内部威胁检测系统的实时更新能力。
-
公开(公告)号:CN110737890A
公开(公告)日:2020-01-31
申请号:CN201911021135.5
申请日:2019-10-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异质时序事件嵌入学习的内部威胁检测系统及方法,包括用户异质时序事件采集模块、数据预处理模块、异质时序事件嵌入学习模块、用户异质时序事件序列异常评估和内部威胁输出模块;通过对组织或者企业内用户异质时序事件的收集、数据的过滤和去噪、异质时序事件包含的实体的嵌入、异质时序事件序列概率估计和内部威胁输出4个过程实现。该方法通过综合分析用户主机登录事件、文件访问事件、邮件通信事件、web浏览事件和移动设备连接事件5种异质时序事件的多个实体,全面的刻画了用户行为,提高了该系统检测的准确率,降低了系统检测的误报率;此外,该系统通过实体的嵌入向量和上下文向量的交互计算异质时序事件序列的概率,使检测过程不依赖于领域专家的先验知识,提高了系统的智能性。
-
Patent Agency Ranking
公开(公告)号:CN109033845A
公开(公告)日:2018-12-18
申请号:CN201810533871.8
申请日:2018-05-29
Applicant: 中国科学院信息工程研究所
CPC classification number: G06F21/604 , G06F21/6209 , G06F21/6218
Abstract: 本发明提出一种基于文件访问记录时空分析的伪装者检测方法及系统,本方法步骤包括:通过用户主机收集用户的文件访问记录;基于文件访问记录得到一文件访问子活动,基于文件访问子活动映射得到文件访问网络,根据两顶点中的文件路径之间的关系计算文件访问网络的边权重,对文件访问网络进行聚类得到用户活动类,进而得到关于文件路径和用户活动类的紧密度;将文件操作类型和文件操作方向结合为文件操作,按照时间顺序得到文件操作序列,将文件操作序列的测试序列和特征子序列的相似度的平均值作为测试序列的发生概率;基于所述紧密度和发生概率得到异常评分,将异常评分高于一阈值的文件访问子活动判定为伪装者。
-
公开(公告)号:CN108090354B
公开(公告)日:2021-12-10
申请号:CN201711121116.0
申请日:2017-11-14
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明提供一种基于文件访问图的非监督伪装者检测方法,其步骤包括:将全部文件访问记录按时间顺序分割成多个文件块,每个文件块均包含多条文件访问记录;利用相似度评分函数计算所述文件块之间的相似度;构建无向边权重图,将所述文件块作为图中相互连接的各顶点,任意两顶点间的边权重为对应的两文件块间的相似度;利用聚类算法挖掘图中的聚类簇,并得到图中每个顶点与其所属聚类簇的相关度;将相关度低于一特定的阈值的异常顶点判定为伪装者。本发明还提供一种基于文件访问图的非监督伪装者检测系统。
-
公开(公告)号:CN110138763A
公开(公告)日:2019-08-16
申请号:CN201910384493.6
申请日:2019-05-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于动态web浏览行为的内部威胁检测系统及方法,由5个模块组成:组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块、个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。该系统通过对组织或者企业内用户web浏览数据的收集、数据的过滤和去噪、个人用户web浏览行为动态性建模和异常检测、用户组行为相对一致性建模和异常检测、信息融合和检测结果输出5个过程实现,使该系统具有较高的内部威胁检测率和较低的误报率。此外,该系统通过图聚类算法自动发现组织或者企业内的用户组关系,提高了系统的智能性,减少了人工标注用户组的工作量。
-
公开(公告)号:CN108090354A
公开(公告)日:2018-05-29
申请号:CN201711121116.0
申请日:2017-11-14
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
CPC classification number: G06F21/565
Abstract: 本发明提供一种基于文件访问图的非监督伪装者检测方法,其步骤包括:将全部文件访问记录按时间顺序分割成多个文件块,每个文件块均包含多条文件访问记录;利用相似度评分函数计算所述文件块之间的相似度;构建无向边权重图,将所述文件块作为图中相互连接的各顶点,任意两顶点间的边权重为对应的两文件块间的相似度;利用聚类算法挖掘图中的聚类簇,并得到图中每个顶点与其所属聚类簇的相关度;将相关度低于一特定的阈值的异常顶点判定为伪装者。本发明还提供一种基于文件访问图的非监督伪装者检测系统。
-
公开(公告)号:CN107846389A
公开(公告)日:2018-03-27
申请号:CN201610839816.2
申请日:2016-09-21
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种基于用户主客观数据融合的内部威胁检测方法及系统,在原先仅审计用户系统与网络行为数据的基础上,提出了反映用户工作态度、生活压力等个体特征的主观要素数据,再从用户的主客观要素数据出发,提出了融合模式、预示模式两类数据融合模式,通过融合反映用户攻击动机强度的主观要素数据与反映用户系统与网络行为的客观要素数据,全面分析、检测内部威胁,有效降低单纯异常检测的高误报与漏报问题,同时基于内部威胁攻击链特征提出了建立各个攻击环节异常的内部威胁特征方法,提高内部威胁检测系统的实时更新能力。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.057 seconds)
