-
公开(公告)号:CN111614543A
公开(公告)日:2020-09-01
申请号:CN202010279729.2
申请日:2020-04-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于URL的鱼叉式钓鱼邮件检测方法及系统,涉及信息安全检测领域和网络空间安全领域,通过检测邮件正文中是否含有URL链接,选出含有URL链接的邮件;对含有URL链接的邮件,基于邮件历史记录提取URL链接的特征向量;利用已训练好的链接分类器对URL链接的特征向量进行分类,选出带有恶意链接的邮件;提取出带有恶意链接邮件的元数据,利用邮件历史记录从元数据中提取邮件特征向量;利用已训练好的鱼叉式分类器对邮件特征向量进行分类,检测出基于URL的鱼叉式钓鱼邮件。本发明只需要历史邮件的支持,就能够达到较低的误报率和较高的检测率。
-
公开(公告)号:CN110474872A
公开(公告)日:2019-11-19
申请号:CN201910604237.3
申请日:2019-07-05
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于DNS解析依赖的域名服务风险评估方法与系统,用于确定给定域名的解析过程中所依赖的区域、域名以及服务器,并且在已知相关服务器风险的情况下,能够计算给定域名成功解析的风险。所述方法包括:从被动采集的DNS数据中抽取A、AAAA、CNAME、NS四种类型的资源记录;利用域名解析过程中的父区域依赖、名字服务器依赖、别名依赖、服务器依赖构建给定域名解析的资源记录依赖图;利用前述四种依赖之间的关系将域名解析资源记录依赖图转化成逻辑关系树;利用逻辑关系树中服务器的风险评估值自下向上计算给定域名正常解析的风险值。
-
公开(公告)号:CN118427816A
公开(公告)日:2024-08-02
申请号:CN202310051900.8
申请日:2023-02-02
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种基于沙箱分析的恶意软件检测IOC指示器生成方法及装置,所述方法包括:构建类型‑行为数据库和家族‑行为数据库;获取目标软件和目标软件类型;将目标软件放入沙箱中进行分析,获得分析结果,将分析结果模糊化处理,得到模糊化后的动态行为;基于所述类型‑行为数据库,获取所述目标软件类型的模糊化后的恶意行为,并对模糊化后的动态行为和模糊化后的恶意行为交集,得到恶意行为集合;基于所述家族‑行为数据库,对所述恶意行为集合中的每一恶意行为进行评分,以得到IOC指示器生成结果。本发明在使用过程中无需重复训练模型,并且生成的IOC具有可解释性。
-
公开(公告)号:CN118400131A
公开(公告)日:2024-07-26
申请号:CN202410358970.2
申请日:2024-03-27
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L41/16 , G06F21/56 , G06F21/55 , G06N3/0499 , G06N3/084 , G06N3/0455
Abstract: 本发明公开一种基于动态异质图时序链接的横向移动攻击检测方法及装置。该方法包括:获取主机日志,根据异质网络结构融合多类内网元素和实体关系以构建异质图,异质图包括异质信息与网络演化模式;根据节点级注意力和边缘级注意力对异质图的静态快照异质信息进行特征聚合,并进行网络拓扑嵌入;基于动态图链接预测技术,将循环层作为主导,多个拓扑编码器作为从属,大规模并行式地进行横向移动攻击检测模型预训练;利用预训练完成的横向移动攻击检测模型计算所述异质图的连边出现的对数概率,根据似然分数进行移动路径的检测或预测。本发明具有轻量级的消息传递过程,引入并行分布式的结构使得模型的消息传递阶段只受具有最多边的图快照约束。
-
公开(公告)号:CN116318975A
公开(公告)日:2023-06-23
申请号:CN202310253985.8
申请日:2023-03-16
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于多会话和多协议的恶意流量检测方法与系统,属于互联网技术领域,首先利用启发式算法将多个有关联会话合并成一个会话序列,然后从会话中提取状态,将会话序列转换为状态序列,最后利用大量的状态序列训练马尔科夫链模型作为网络通信行为指纹。在检测阶段,通过计算每一个序列和网络通信行为指纹的匹配度来判断是否是恶意流量。本发明能够充分挖掘恶意软件产生的多个会话之间的上下文特征,准确高效的检测出恶意软件的流量。
-
Patent Agency Ranking
公开(公告)号:CN112905301B
公开(公告)日:2025-02-11
申请号:CN202110240825.0
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种Android模拟器的检测方法及装置,首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改,判断当前设备是否为Android模拟器;然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能,判断当前设备是否为Android模拟器;最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息,将生成特征向量输入检测模型,判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法,保证对普通模拟器检测的效率,再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量,并使用机器学习方法,从而提高了检测准确率。
-
公开(公告)号:CN111614543B
公开(公告)日:2021-09-14
申请号:CN202010279729.2
申请日:2020-04-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于URL的鱼叉式钓鱼邮件检测方法及系统,涉及信息安全检测领域和网络空间安全领域,通过检测邮件正文中是否含有URL链接,选出含有URL链接的邮件;对含有URL链接的邮件,基于邮件历史记录提取URL链接的特征向量;利用已训练好的链接分类器对URL链接的特征向量进行分类,选出带有恶意链接的邮件;提取出带有恶意链接邮件的元数据,利用邮件历史记录从元数据中提取邮件特征向量;利用已训练好的鱼叉式分类器对邮件特征向量进行分类,检测出基于URL的鱼叉式钓鱼邮件。本发明只需要历史邮件的支持,就能够达到较低的误报率和较高的检测率。
-
公开(公告)号:CN112905301A
公开(公告)日:2021-06-04
申请号:CN202110240825.0
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种Android模拟器的检测方法及装置,首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改,判断当前设备是否为Android模拟器;然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能,判断当前设备是否为Android模拟器;最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息,将生成特征向量输入检测模型,判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法,保证对普通模拟器检测的效率,再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量,并使用机器学习方法,从而提高了检测准确率。
-
公开(公告)号:CN110362996B
公开(公告)日:2021-03-09
申请号:CN201910478849.2
申请日:2019-06-03
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明提供了一种离线的PowerShell恶意软件检测方法与系统。该方法包括的步骤有:利用PowerShell软件的抽象语法树进行PowerShell软件静态混淆去除;提取PowerShell软件的统计特征、结构特征及行为特征作为基础特征;利用距离相关系数对基础特征进行筛选,得到关键特征;利用关键特征训练基于多变量决策树的随机森林检测模型MRF,用于检测PowerShell恶意软件;利用训练好的MRF离线检测PowerShell软件是否恶意,输出检测结果。该系统包括数据预处理模块、特征提取模块、MRF模块、模型训练模块、外部接口调用模块。本发明通过训练基于多变量决策树的随机森林检测模型MRF,实现对PowerShell恶意软件的离线检测。
-
公开(公告)号:CN111639336A
公开(公告)日:2020-09-08
申请号:CN202010298624.1
申请日:2020-04-16
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明提供一种基于文件系统虚拟读写的勒索软件实时检测方法和防御方法,属于系统安全技术领域,用于实时检测勒索软件并保护主机系统免受勒索软件的危害,主要通过对系统中可疑程序的读写操作进行虚拟化,在虚拟化磁盘中对写入内容进行考察,进一步地判断是否是勒索软件,提升主机系统的实时预警和主动防御能力,能够在低损耗,零损失的条件下实现对勒索软件进行高准确率的实时检测和终止,保护用户和企业的数据与财产安全。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.082 seconds)
