-
公开(公告)号:CN111049680B
公开(公告)日:2021-05-25
申请号:CN201911233202.X
申请日:2019-12-05
Applicant: 中国科学院信息工程研究所
IPC: H04L12/24 , H04L12/26 , H04L29/06 , G06F16/215 , G06F16/901 , G06K9/62
Abstract: 本发明涉及一种基于图表示学习的内网横向移动检测系统及方法,包括图处理单元和异常检测单元;图处理单元将结构化的日志数据转换为多种图结构,使用图表示学习的手段将图中的节点转化为低维向量;另一方面,在正常的连通图中搜索正常的横向移动路径以及注入生成异常的横向移动路径,并提取多种路径相似性特征进行后续的分类任务;异常检测单元,基于历史的横向移动路径数据训练出正常的行为模型,对后续实时的横向移动路径进行分类任务,输出可疑的路径并通知管理员。本发明能有效的检测内网中存在的异常横向移动。
-
公开(公告)号:CN110362502B
公开(公告)日:2021-05-04
申请号:CN201910559287.4
申请日:2019-06-26
Applicant: 中国科学院信息工程研究所
IPC: G06F12/0804 , G06F12/0891 , G06F12/0893
Abstract: 本发明实施例提供的链式哈希栈的影子缓存优化方法和装置,添加了一个影子缓存表,当调用子函数时,保存子函数头部哈希运算的输入(返回地址和哈希值),记录该项为有效,然后指针指向最近更新的缓存项的下一项。当函数返回时,查询最近一次有效的缓存项。如果此时的输入(从栈中取出的返回地址和哈希值)与影子缓存最新的有效项相同,则不需要进行哈希计算,而是直接用影子缓存表中的缓存项来更新top寄存器,然后将影子缓存表中的该项缓存置为无效。这种方法能够加速函数体尾部对栈中返回地址和哈希值的校验,减少流水线停顿。
-
公开(公告)号:CN110688304B
公开(公告)日:2021-04-27
申请号:CN201910813443.5
申请日:2019-08-30
Applicant: 中国科学院信息工程研究所
IPC: G06F11/36
Abstract: 本发明实施例提供一种处理器指令集的完备性检测方法、装置与电子设备,其中该方法包括:获取处理器指令集中所有的指令编码,并基于此分别计算所述处理器指令集的预期指令总条数和理论实际指令总条数;若所述理论实际指令总条数与所述预期指令总条数不相等,则对所有指令编码进行重叠性聚类处理,并通过计算每个类中的重叠指令条数,计算被重复计算的指令总条数;基于所述理论实际指令总条数和所述被重复计算的指令总条数,计算真实实际指令总条数,并判断所述真实实际指令总条数与所述预期指令总条数是否相等,若是,则判定所述处理器指令集是完备的,否则,判定不完备。本发明实施例能够有效消除计算误差,从而有效提高检测结果的准确性。
-
公开(公告)号:CN112685729A
公开(公告)日:2021-04-20
申请号:CN202011563015.0
申请日:2020-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
Abstract: 本发明提供了一种专用强制访问控制方法、系统、电子设备及存储介质,该方法包括:导入专用访问控制的判定依据和根据用户、软件、资源三层联动协同的专用访问控制逻辑对访问请求进行判定;其中,根据专用访问控制逻辑对访问请求进行判定包括:接收访问请求;获取访问请求处理过程中主体和客体的安全上下文信息;从用户执行软件层面、软件访问资源层面以及用户访问资源层面,分别对访问请求进行判定,得到各个层面判定结果;根据各个层面的判定结果,得到专用访问控制的判定结果。本发明通过制定专用访问控制的判定依据和用户、软件、资源三层联动协同的专用访问控制逻辑,为操作系统提供了一个更完善的安全防护层,提高了系统的便捷性与安全性。
-
公开(公告)号:CN112613032A
公开(公告)日:2021-04-06
申请号:CN202011484244.3
申请日:2020-12-15
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置,包括:对各系统调用序列进行深度嵌入,构建各系统调用的词嵌入向量;基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对;基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对,确定各系统调用之间的依赖关系;基于各系统调用之间的依赖关系确定各短序列的概率值;将各短序列的概率值确定的共现概率作为异常因子,采用阈值判断法确定各系统调用序列的检测结果;所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征,把系统调用序列看作是系统与进程之间交互的语言,对系统调用进行处理,具有很好是泛化性能,降低入侵检测误报率。
-
Patent Agency Ranking
公开(公告)号:CN111163057B
公开(公告)日:2021-04-02
申请号:CN201911246787.9
申请日:2019-12-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于异构信息网络嵌入算法的用户识别系统及方法,包括:数据处理模块、联合嵌入模块、评估分析模块;本发明基于行为分析的思路,利用多源异构的用户行为数据构建正常行为模型,当新时间周期的行为数据到来后,通过对比当前行为与正常行为模型的相似性执行用户识别,针对识别错误的情况,本发明还将基于点积相似性运算给出可疑行为排序。本发明可应用于企业内网中检测潜在的内部威胁,结合两种异构信息网络嵌入算法可以得到更加全面精确的行为模型,用户识别准确率得以提升10%左右,此外,本发明还将提供事件级别的溯源线索,可供安全监测人员进一步分析。
-
公开(公告)号:CN112506531A
公开(公告)日:2021-03-16
申请号:CN202011440013.2
申请日:2020-12-11
Applicant: 中国科学院信息工程研究所
Abstract: 本申请实施例提供了一种软件安装方法、装置、电子设备和存储介质,该软件安装方法应用于软件安装系统中的电子设备,所述软件安装系统还包括可信监视系统,所述电子设备包括可信执行系统,所述可信执行系统包括可信执行内核,电子设备在安装软件包之前,通过所述可信执行内核对待安装的软件包的签名信息进行签名验证,其中,签名信息是由可信监视系统对待安装的软件包进行可信应用签名获得的。在签名验证通过之后,再通过所述可信执行内核对待安装的软件包进行安装,若签名验证不通过,则可信执行内核阻止软件安装,从而可以避免在电子设备上安装一些恶意的或不可信的应用软件,避免用户的个人隐私和财产安全受到威胁。
-
公开(公告)号:CN112434306A
公开(公告)日:2021-03-02
申请号:CN202011440052.2
申请日:2020-12-11
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
Abstract: 本申请实施例中提供了一种可信度量方法,装置,系统,电子设备及存储介质,该方法包括:获取切换指令,切换所述移动终端的运行环境为可信执行环境;获取所述丰富执行环境的内存状态的完整性状态值;对所述丰富执行环境的内存状态进行度量得到当前值;在所述完整性状态值与所述当前值不一致时,进行告警。切入可信执行环境,在所述可信执行环境中对丰富执行环境的内存状态进行度量,保证度量的有效性,内存的完整性和安全性,从而有效保障了移动终端的系统和数据安全。
-
公开(公告)号:CN112269716A
公开(公告)日:2021-01-26
申请号:CN202011183673.7
申请日:2020-10-29
Applicant: 中国科学院信息工程研究所
IPC: G06F11/30
Abstract: 本发明提供一种灵活定义的处理器异常访问实时监测方法及电子装置,包括:将设定敏感地址写入敏感地址域;当一应用程序启动后,获取该应用程序的敏感地址,并将该应用程序的进程号及敏感地址写入敏感地址域;若任一应用程序运行中生成的地址与敏感地址域中的敏感地址匹配成功,则将包含地址信息的内存监控请求发送至控制端;该控制端根据内存监控请求中的地址信息,开启相应的内存监控。本发明独立于计算核且可灵活配置,能够不受计算核影响自由且合理地配置于其指令流水线中的流水级,实时地将异常访存行为进行内存监控,从而在保证处理器安全性的同时提高处理器内存监控的效率,减少其性能开销。
-
公开(公告)号:CN112269316A
公开(公告)日:2021-01-26
申请号:CN202011168793.X
申请日:2020-10-28
Applicant: 中国科学院信息工程研究所
IPC: G05B13/04
Abstract: 本发明提出一种基于图神经网络的高鲁棒性威胁狩猎系统及方法,所述方法包括如下步骤:步骤1、将主机的系统行为数据收集并保存到系统行为数据库中;步骤2、溯源图构建步骤,使用不同粒度的系统行为构建溯源图,所述系统行为包括内核层,操作系统层,应用层的行为;步骤3、利用Locating算法初步筛选溯源图,得出可疑子图;步骤4、查询图生成,根据威胁情报描述的攻击行为生成查询图,使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数,分数超过阈值则发出告警。
-
-
-
-
-
-
-
-
-
Search Results
260
records
(took 0.04 seconds)
