-
公开(公告)号:CN113595987B
公开(公告)日:2022-06-21
申请号:CN202110750021.5
申请日:2021-07-02
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于基线行为刻画的通联异常发现方法及装置,包括对待测流量数据进行数据清洗及预处理,得到流量矩阵y;利用CapsNet模型构建自编码器,并基于所述自编码器,获取流量矩阵y的重构流量矩阵根据流量矩阵y与重构流量矩阵得到通联异常发现结果。本发明可以从输入数据中自动提取特征,可将流量特征之间的特定位置以及数据之间的排列顺序作为学习的特征,且向量的方向可以表示特征值的大小、相对位置等属性,既能识别正常行为并且对已知的异常行为进行检测,又能发现新型未知的网络攻击。
-
公开(公告)号:CN113595987A
公开(公告)日:2021-11-02
申请号:CN202110750021.5
申请日:2021-07-02
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于基线行为刻画的通联异常发现方法及装置,包括对待测流量数据进行数据清洗及预处理,得到流量矩阵y;利用CapsNet模型构建自编码器,并基于所述自编码器,获取流量矩阵y的重构流量矩阵根据流量矩阵y与重构流量矩阵得到通联异常发现结果。本发明可以从输入数据中自动提取特征,可将流量特征之间的特定位置以及数据之间的排列顺序作为学习的特征,且向量的方向可以表示特征值的大小、相对位置等属性,既能识别正常行为并且对已知的异常行为进行检测,又能发现新型未知的网络攻击。
-
公开(公告)号:CN113094707A
公开(公告)日:2021-07-09
申请号:CN202110347685.7
申请日:2021-03-31
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异质图网络的横向移动攻击检测方法及系统。该方法基于内网的认证日志,将用户与主机之间的登录行为图结构化,构建用户登录图和源主机路径图,之后在图上进行两阶段异常检测。第一阶段基于用户登录图,使用互信息最大化的图神经网络算法学习主机的行为模式,再通过局部异常因子算法计算得到部分异常样本;第二阶段基于源主机路径图和第一阶段得到的有标签样本,使用异质图注意力网络算法进行半监督学习,检测横向移动攻击行为。本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为,效果超过了大部分有监督学习的方法,具有高召回率和低误报率。
-
公开(公告)号:CN110011931B
公开(公告)日:2020-10-16
申请号:CN201910073768.4
申请日:2019-01-25
Applicant: 中国科学院信息工程研究所
IPC: H04L12/851 , H04L12/24 , H04L29/06 , G06K9/62
Abstract: 本发明公开了一种加密流量类别检测方法及系统。本方法为:1)对加密流量进行组流,将不同通信流的pcap包记录在不同的flow文件中;2)基于流量统计特征,对pcap包进行过滤,保留加密流量协议承载的业务流包;3)从所述业务流包中提取业务数据,得到每一通信流的会话内容;4)基于通信流的流量统计特征,得到对应通信流的时序特征;5)对所述会话内容进行降维表示,得到通信流的内容特征;6)使用判别分类器对每一通信流的时序特征和内容特征进行分类,得到对应流量的分类标签。本发明可以在保证检测准确率的同时,具有较高的检测效率。
-
公开(公告)号:CN110011931A
公开(公告)日:2019-07-12
申请号:CN201910073768.4
申请日:2019-01-25
Applicant: 中国科学院信息工程研究所
IPC: H04L12/851 , H04L12/24 , H04L29/06 , G06K9/62
Abstract: 本发明公开了一种加密流量类别检测方法及系统。本方法为:1)对加密流量进行组流,将不同通信流的pcap包记录在不同的flow文件中;2)基于流量统计特征,对pcap包进行过滤,保留加密流量协议承载的业务流包;3)从所述业务流包中提取业务数据,得到每一通信流的会话内容;4)基于通信流的流量统计特征,得到对应通信流的时序特征;5)对所述会话内容进行降维表示,得到通信流的内容特征;6)使用判别分类器对每一通信流的时序特征和内容特征进行分类,得到对应流量的分类标签。本发明可以在保证检测准确率的同时,具有较高的检测效率。
-
Patent Agency Ranking
公开(公告)号:CN109951444A
公开(公告)日:2019-06-28
申请号:CN201910086039.2
申请日:2019-01-29
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种加密匿名网络流量识别方法。本方法为:1)从加密匿名网络流量数据集中提取每一流量文件的多粒度级别特征,包括流特征、包特征、主机行为特征、TCP头部相关特征、IP头部相关特征;2)对步骤1)得到的特征进行过滤,过滤掉冗余特征以及与流量识别不相关或者相关度低于设定阈值的特征;3)利用步骤2)选取的特征训练XGBoost模型,然后利用该XGBoost模型对待识别的匿名网络流量进行识别。本发明在整体准确率、精确率、召回率和F1值对模型的性能方面均优于现有的基线识别方法。
-
公开(公告)号:CN115037532B
公开(公告)日:2023-03-24
申请号:CN202210594687.0
申请日:2022-05-27
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L61/4511
Abstract: 本发明公开了一种基于异构图的恶意域名检测方法、电子装置及存储介质,所述方法包括:基于DNS日志数据与Whois数据,构建DNS流量的异构图G=(V,E);基于边E,获取起始节点与终止节点类型均为域名节点的元路径;根据DNS日志数据与Whois数据在不同时期下的域名行为,提取各域名节点的时间序列特征与域名注册特征,以获取各域名节点的特征向量;基于所述元路径与所述特征向量,计算各域名节点的嵌入特征,以获取未标记域名节点的恶意域名检测结果。本发明从海量DNS流量中对存在的恶意域名的有效识别。
-
公开(公告)号:CN111460820B
公开(公告)日:2022-06-17
申请号:CN202010151014.9
申请日:2020-03-06
Applicant: 中国科学院信息工程研究所
IPC: G06F40/295 , G06F40/30 , G06N3/04
Abstract: 本发明涉及一种基于预训练模型BERT的网络空间安全领域命名实体识别方法和装置。该方法对输入的网络空间安全领域的句子文本使用BERT模型的分词器WordPiece进行分词预处理;将分词预处理得到的所有token加载至BERT模型中进行训练,获得输出的向量表示,并将其送至Highway网络和分类器,将token的向量表示的维度映射至与标签数量一致的维度,得到token的最终向量表示;然后只使用每一个单词的第一个token来使用交叉熵损失函数计算损失,将其反向传播以更新模型参数,得到训练完成的安全领域命名实体识别模型,用于安全领域命名实体识别。本发明能够有效地解决安全文本做命名实体识别任务。
-
公开(公告)号:CN119051939A
公开(公告)日:2024-11-29
申请号:CN202411166542.6
申请日:2024-08-23
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L41/12 , G06N3/045 , G06N3/0464 , G06N3/042
Abstract: 本发明公开了一种基于图神经网络的恶意主机检测方法及系统,属于图神经网络与网络安全结合的交叉技术领域。本发明首先将网络流量数据进行短时间窗口切片和边去重,再构建主机通信图,然后基于子图结构进行平衡处理和节点特征增强,最后基于图神经网络技术进行节点分类,从而实现有效的网络中恶意主机检测。本发明能够解决检测数据正常与恶意样本数量不平衡的问题,解决高价值隐含信息未被充分利用的问题。
-
公开(公告)号:CN116527313B
公开(公告)日:2024-04-19
申请号:CN202310289882.7
申请日:2023-03-23
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06N3/0455 , G06N3/0442 , G06N3/09 , G06N3/084 , G06N3/0895 , G06N3/096
Abstract: 本发明公开了一种区块链钓鱼行为检测方法及装置。本方法为:1)以区块链中标记的各钓鱼节点为中心构建二阶区块链有向交易图G;2)基于交易图G对编码器进行训练:每轮训练时首先对交易图G进行两次图结构级的数据增强,形成两种不同的视图G1,G2,然后将视图G1,G2分别输入共享参数的编码器,得到视图G1,G2中每一节点v对应的一组特征:日周期行为特征、生命周期内周期行为特征、图结构语义特征,根据节点特征生成视图G1,G2中每一节点的特征表达#imgabs0#根据#imgabs1#的差异优化编码器;3)将待检测目标节点的交易图输入训练后的编码器,得到目标节点的特征表达并输入分类器进行分类,确定是否为钓鱼节点。
-
-
-
-
-
-
-
-
-
Search Results
27
records
(took 0.042 seconds)
