公开(公告)号：CN110334508B

公开(公告)日：2021-01-05

申请号：CN201910596409.7

申请日：2019-07-03

Applicant: 广东省信息安全测评中心

Inventor： 卢逸君

IPC: G06F21/55 ,  G06K9/62

Abstract: 一种主机序列入侵检测方法，包括以下步骤：S1、分别对每个训练序列和每个测试序列，提取m个特征命令；S2、使用由所述训练序列和所述测试序列提取的特征命令构建特征命令集；S3、计算所述训练序列在特征命令集特征维度空间上的分布；S4、对每条测试序列提取的m个特征命令，在所述特征命令集中映射为一个新向量，形成在所述特征命令集特征维度空间上的分布向量；S5、对每串测试序列形成的向量，在所述分布中找到与之最相似k个训练命令序列，将所述k个训练命令序列对应的类型中出现次数最多的类型确定为该测试序列的判别类型。本发明提供了一种代价低、实现起来简单、综合表现好的主机序列入侵检测方法。

公开(公告)号：CN112699368B

公开(公告)日：2024-09-10

申请号：CN202110015796.8

申请日：2021-01-05

Applicant: 广东省信息安全测评中心

Inventor： 卢逸君

IPC: G06F21/55 ,  G06F18/2413 ,  G06F18/27

Abstract: 本发明公开一种主机序列入侵检测方法，包括：将主机入侵序列按照不同的命令维度构建特征空间，并按设定比例将所述特征空间随机分割为训练数据和测试数据；将所述训练数据和所述测试数据分别进行正则化生成训练自变量和测试自变量、训练因变量和测试因变量；获得所述lasso线性回归模型的最佳惩罚约束项系数；根据所述最佳惩罚约束项系数重新对所述训练自变量进行拟合，生成拟合结果；对所述拟合结果去除系数为0的项，将剩余项作为筛选后的维度；根据所述剩余项，形成新的训练数据和新的测试数据；对每条所述新的测试数据中的主机序列，根据重新构建的特征空间，执行K近邻分类，生成判定类别，生成检测结果。本发明具有较高的准确率。

公开(公告)号：CN116049815A

公开(公告)日：2023-05-02

申请号：CN202211447718.6

申请日：2022-11-18

Applicant: 广东省信息安全测评中心

Inventor： 卢逸君

IPC: G06F21/55 ,  G06F18/2433 ,  G06F18/241 ,  G06N3/0442 ,  G06N3/047 ,  G06N3/08

Abstract: 本发明涉及一种基于主机序列嵌入表示的异常检测方法，包括步骤：获取待检测的系统调用序列，对所述系统调用序列中的每一系统调用命令分别进行词嵌入操作，得到每一所述系统调用命令对应的命令嵌入向量，所有所述命令嵌入向量构建为命令嵌入向量矩阵；对所述命令嵌入向量矩阵中关键命令所对应的命令嵌入向量进行加权，得到序列向量；对所述序列向量进行分类识别，得到主机入侵检测结果。本发明相对现有技术能够降低误报率，且算法简洁轻量，对终端算力要求低。

公开(公告)号：CN112699368A

公开(公告)日：2021-04-23

申请号：CN202110015796.8

申请日：2021-01-05

Applicant: 广东省信息安全测评中心

Inventor： 卢逸君

IPC: G06F21/55 ,  G06K9/62

Abstract: 本发明公开一种主机序列入侵检测方法，包括：将主机入侵序列按照不同的命令维度构建特征空间，并按设定比例将所述特征空间随机分割为训练数据和测试数据；将所述训练数据和所述测试数据分别进行正则化生成训练自变量和测试自变量、训练因变量和测试因变量；获得所述lasso线性回归模型的最佳惩罚约束项系数；根据所述最佳惩罚约束项系数重新对所述训练自变量进行拟合，生成拟合结果；对所述拟合结果去除系数为0的项，将剩余项作为筛选后的维度；根据所述剩余项，形成新的训练数据和新的测试数据；对每条所述新的测试数据中的主机序列，根据重新构建的特征空间，执行K近邻分类，生成判定类别，生成检测结果。本发明具有较高的准确率。

公开(公告)号：CN115510004A

公开(公告)日：2022-12-23

申请号：CN202211468722.0

申请日：2022-11-22

Applicant: 广东省信息安全测评中心

Inventor： 卢逸君 ,  段丽君 ,  覃冰玲 ,  陈美云

IPC: G06F16/16 ,  G06F16/13 ,  G06F16/11 ,  G06F16/17

Abstract: 本发明涉及一种政务数据资源命名方法及管理系统。本发明所述的一种政务数据资源命名方法包括：获取待命名的资源文件及其元数据；将所述元数据中所有信息进行排序合并后，创建所述资源文件对应的唯一元数据Hash；将所述资源文件进行格式转换后，计算所述资源文件对应的唯一内容Hash；如果所述元数据中包括所述数据命名规则中所限定的所有数据信息，根据所述数据命名规则，将所述数据信息组合生成所述资源文件的名称，并根据所述资源文件的名称，创建所述名称对应的唯一命名Hash。本发明所述的一种政务数据资源命名方法，通过三个唯一性对资源进行命名和管理，解决命名不一致、文件名称与资源一一对应、资源结构化管理的问题。

公开(公告)号：CN110334508A

公开(公告)日：2019-10-15

申请号：CN201910596409.7

申请日：2019-07-03

Applicant: 广东省信息安全测评中心

Inventor： 卢逸君

IPC: G06F21/55 ,  G06K9/62

Abstract: 一种主机序列入侵检测方法，包括以下步骤：S1、分别对每个训练序列和每个测试序列，提取m个特征命令；S2、使用由所述训练序列和所述测试序列提取的特征命令构建特征命令集；S3、计算所述训练序列在特征命令集特征维度空间上的分布；S4、对每条测试序列提取的m个特征命令，在所述特征命令集中映射为一个新向量，形成在所述特征命令集特征维度空间上的分布向量；S5、对每串测试序列形成的向量，在所述分布中找到与之最相似k个训练命令序列，将所述k个训练命令序列对应的类型中出现次数最多的类型确定为该测试序列的判别类型。本发明提供了一种代价低、实现起来简单、综合表现好的主机序列入侵检测方法。