-
公开(公告)号:CN115396138B
公开(公告)日:2025-04-25
申请号:CN202210623444.5
申请日:2022-06-01
Applicant: 中债金科信息技术有限公司 , 清华大学
Abstract: 本发明公开一种溯源图的缩减方法及装置,方法包括:通过对主机的历史运行数据进行共现分析,获取系统与外界交互的应用程序日志,并按照预设的字段格式将应用程序日志解析并转换为规范化日志,并利用预先定义的规则集从规范化日志中提取实体,针对每一条规范化日志,使用公共字段建立实体与溯源图中结点之间的映射关系,以获取所述溯源图中与实体关联的目标结点,进而以目标结点作为触发点,采用基于随机游走的算法来捕获目标结点的上下文,针对每个目标结点提取出从目标结点出发的溯源子图,并将所有溯源子图组合后形成缩减后的溯源图。通过上述方法可以实现溯源图的缩减,解决了现有技术中溯源图数据量巨大,影响攻击溯源检测精度的问题。
-
公开(公告)号:CN115396138A
公开(公告)日:2022-11-25
申请号:CN202210623444.5
申请日:2022-06-01
Applicant: 中债金科信息技术有限公司 , 清华大学
Abstract: 本发明公开一种溯源图的缩减方法及装置,方法包括:通过对主机的历史运行数据进行共现分析,获取系统与外界交互的应用程序日志,并按照预设的字段格式将应用程序日志解析并转换为规范化日志,并利用预先定义的规则集从规范化日志中提取实体,针对每一条规范化日志,使用公共字段建立实体与溯源图中结点之间的映射关系,以获取所述溯源图中与实体关联的目标结点,进而以目标结点作为触发点,采用基于随机游走的算法来捕获目标结点的上下文,针对每个目标结点提取出从目标结点出发的溯源子图,并将所有溯源子图组合后形成缩减后的溯源图。通过上述方法可以实现溯源图的缩减,解决了现有技术中溯源图数据量巨大,影响攻击溯源检测精度的问题。
-
公开(公告)号:CN115277124B
公开(公告)日:2024-07-12
申请号:CN202210818526.5
申请日:2022-07-12
Applicant: 清华大学
IPC: H04L9/40 , G06F16/901 , G06F16/9035 , G06F16/2457 , G06F18/22 , G06F18/24
Abstract: 本发明提供的一种基于系统溯源图搜索匹配攻击模式的在线系统及服务器,包括输入层,用于输入攻击图以及系统溯源图;攻击模式匹配运算层,用于利用攻击图拆分算法对攻击图进行划分,获得攻击子图;根据系统溯源图与攻击图对应拓扑关系,使用候选图匹配算法搜索在系统溯源图中查找与攻击子图匹配的候选子图;对候选子图进行拼接得到完整候选图;利用相似度排序方法对每个完整候选图与系统溯源图的相似度进行排序;根据排序第一的完整候选图,确定是否需要输出威胁告警;输出层,用于输出威胁告警。本发明的攻击模式匹配层具备良好的检测能力,能够有效帮助安全人员检测系统内是否存在与给定攻击模式类似的行为。
-
公开(公告)号:CN114615063A
公开(公告)日:2022-06-10
申请号:CN202210248730.8
申请日:2022-03-14
Applicant: 清华大学 , 中债金科信息技术有限公司
IPC: H04L9/40 , G06F16/2458
Abstract: 本发明公开一种基于日志关联分析的攻击溯源方法及装置,方法包括:收集系统内各个层次的日志,根据各个层次的日志之间的关联关系,构建日志连接图,并利用日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接,得到融合溯源图,进而在融合溯源图中执行攻击溯源算法,并基于短路机制挖掘融合溯源图中围绕依赖爆炸节点周围形成的连通路径,使用搜索路径包含所述连通路径作为路径评估因素之一,计算攻击溯源算法搜索到各个路径的评估分数,选取评估分数最高的路径作为攻击溯源算法输出的攻击链。通过上述方法可以实现日志文件的攻击溯源,解决了现有技术在攻击溯源中使用依赖分析缓解依赖爆炸问题的方式很难达到的预期效果的问题。
-
Patent Agency Ranking
公开(公告)号:CN115296832B
公开(公告)日:2024-01-26
申请号:CN202210635554.3
申请日:2022-06-06
Applicant: 清华大学
Abstract: 本发明公开一种应用服务端的攻击溯源方法及装置,方法包括:获取应用程序在运行时每个界面事件与前后端请求序列之间的匹配关系,根据匹配关系构建AC自动机;针对每个用户使用网络服务产生的会话附加AC自动机的当前状态,根据会话请求对AC自动机的当前状态节点进行状态转移,并将会话请求对应的自动机节点信息记录至系统审计日志中新增的分隔日志;在溯源图中以异常检测的告警事件为起点向前回溯至目标分隔日志,根据目标分隔日志,定位攻击关联的会话请求序列和界面事件。通过上述方法可以实现应用服务端的攻击溯源,解决了现有技术PC端进行浏览行为采集和分析的成本较高,导致攻击溯源很难在高并发系统中稳定工作的问题。
-
公开(公告)号:CN116346401A
公开(公告)日:2023-06-27
申请号:CN202211721220.4
申请日:2022-12-30
Applicant: 中债金科信息技术有限公司 , 清华大学
IPC: H04L9/40 , H04L41/0631 , H04L41/14 , H04L67/02
Abstract: 本申请公开了一种WEB异常检测系统及方法,其中该方法包括:将不同用户的历史web请求记录归类为不同的API接口,并将不同的API接口数值编码为API ID序列;创建基于API ID序列的检测异常web请求的多个异常检测模型;采用各个异常检测模型,分别检测目标web请求是否为异常请求;检测结果为异常请求的异常检测模型产生告警;通过统计发出的告警的异常检测模型的个数是否符合预设阈值,判断是否上调该web请求的IP地址的风险等级。本案通过将web请求转换成异常检测模型可以直接使用的数据并综合多个异常检测模型的效果,提高检测准确性。
-
公开(公告)号:CN115396137A
公开(公告)日:2022-11-25
申请号:CN202210621858.4
申请日:2022-06-01
Applicant: 中债金科信息技术有限公司 , 清华大学
IPC: H04L9/40
Abstract: 本发明公开一种基于日志关联分析的攻击溯源方法及装置,方法包括:收集系统内各个层次的日志,根据各个层次的日志之间的关联关系,构建日志连接图,并利用日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接,得到融合溯源图,进而在融合溯源图中执行攻击溯源算法,并基于短路机制挖掘融合溯源图中围绕依赖爆炸节点周围形成的连通路径,使用搜索路径包含所述连通路径作为路径评估因素之一,计算攻击溯源算法搜索到各个路径的评估分数,选取评估分数最高的路径作为攻击溯源算法输出的攻击链。通过上述方法可以实现日志文件的攻击溯源,解决了现有技术在攻击溯源中使用依赖分析缓解依赖爆炸问题的方式很难达到的预期效果的问题。
-
公开(公告)号:CN115277124A
公开(公告)日:2022-11-01
申请号:CN202210818526.5
申请日:2022-07-12
Applicant: 清华大学
IPC: H04L9/40 , G06F16/901 , G06F16/9035 , G06F16/2457 , G06K9/62
Abstract: 本发明提供的一种基于系统溯源图搜索匹配攻击模式的在线系统及服务器,包括输入层,用于输入攻击图以及系统溯源图;攻击模式匹配运算层,用于利用攻击图拆分算法对攻击图进行划分,获得攻击子图;根据系统溯源图与攻击图对应拓扑关系,使用候选图匹配算法搜索在系统溯源图中查找与攻击子图匹配的候选子图;对候选子图进行拼接得到完整候选图;利用相似度排序方法对每个完整候选图与系统溯源图的相似度进行排序;根据排序第一的完整候选图,确定是否需要输出威胁告警;输出层,用于输出威胁告警。本发明的攻击模式匹配层具备良好的检测能力,能够有效帮助安全人员检测系统内是否存在与给定攻击模式类似的行为。
-
公开(公告)号:CN115296832A
公开(公告)日:2022-11-04
申请号:CN202210635554.3
申请日:2022-06-06
Applicant: 清华大学
Abstract: 本发明公开一种应用服务端的攻击溯源方法及装置,方法包括:获取应用程序在运行时每个界面事件与前后端请求序列之间的匹配关系,根据匹配关系构建AC自动机;针对每个用户使用网络服务产生的会话附加AC自动机的当前状态,根据会话请求对AC自动机的当前状态节点进行状态转移,并将会话请求对应的自动机节点信息记录至系统审计日志中新增的分隔日志;在溯源图中以异常检测的告警事件为起点向前回溯至目标分隔日志,根据目标分隔日志,定位攻击关联的会话请求序列和界面事件。通过上述方法可以实现应用服务端的攻击溯源,解决了现有技术PC端进行浏览行为采集和分析的成本较高,导致攻击溯源很难在高并发系统中稳定工作的问题。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.015 seconds)
