-
公开(公告)号:CN116781326A
公开(公告)日:2023-09-19
申请号:CN202310576486.2
申请日:2023-05-20
Applicant: 哈尔滨理工大学
IPC: H04L9/40 , G06F21/56 , G06F18/214 , G06F18/243 , G06N20/00
Abstract: 本发明提出了一种融合机器学习的行为勒索软件检测模型。该模型使用混合系统,结合本地动态行为特征,即API调用、注册表键值操作和文件操作行为等特征,同时使用基于会话的网络行为特征。本检测模型能够进行有效的特征提取,具有较高的检测准确率、较低的误报率,能够有效地跟踪和检测勒索软件行为活动。
-
公开(公告)号:CN114826706A
公开(公告)日:2022-07-29
申请号:CN202210385359.X
申请日:2022-04-13
Applicant: 哈尔滨理工大学
IPC: H04L9/40
Abstract: 本发明涉及一种基于计算机内存取证技术的恶意流量检测方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下提取物理内存中的流量数据包,应用回归模型来分析流量数据并检测与可疑活动相关的异常模式,方法能够根据不同需求设置不同异常模式,最后通过决策器决定各个异常模式是否触发并对流量是否恶意作出判断,辅助取证分析人员检测和提取被害主机中存留的恶意流量。
-
公开(公告)号:CN114826706B
公开(公告)日:2024-01-30
申请号:CN202210385359.X
申请日:2022-04-13
Applicant: 哈尔滨理工大学
IPC: H04L9/40
Abstract: 本发明涉及一种基于计算机内存取证技术的恶意流量检测方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下提取物理内存中的流量数据包,应用回归模型来分析流量数据并检测与可疑活动相关的异常模式,方法能够根据不同需求设置不同异常模式,最后通过决策器决定各个异常模式是否触发并对流量是否恶意作出判断,辅助取证分析人员检测和提取被害主机中存留的恶意流量。
-
公开(公告)号:CN114692144A
公开(公告)日:2022-07-01
申请号:CN202210372926.8
申请日:2022-04-08
Applicant: 哈尔滨理工大学
Abstract: 本发明涉及一种基于内存取证的dll注入检测方法。本发明首先对磁盘PE文件建立哈希集;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下遍历进程VAD节点,并通过VAD节点成员获取内存PE文件;将PE文件重定位后计算哈希值并与磁盘哈希集匹配,出现不匹配的哈希值的页面作为可疑页面输出。本发明的基于内存取证的dll注入检测方法,辅助取证分析人员检测并提取内存中存在dll注入的内存区域,方便开展后续的恶意代码分析工作。
-
-
-
Search Results
4
records
(took 0.022 seconds)
