-
公开(公告)号:CN112528279B
公开(公告)日:2024-03-19
申请号:CN202011479511.8
申请日:2020-12-15
申请人: 华中科技大学
摘要: 本发明公开了一种入侵检测模型的建立方法和装置,属于计算机系统安全领域,所述方法包括:S1:收集多种易受入侵应用对应的原始溯源信息并对粗略过滤;S2:对原始溯源信息进行预处理将冗余信息与入侵检测无关的信息进行过滤及剪枝;S3:引入SSD和HDD两种存储介质实现预处理后的溯源信息的冷热存储,利用预处理后的各进程节点间的依赖关系建立溯源规则库;S4:根据查询请求对预处理后溯源信息的查询情况进行记录,并根据记录结果进行冷热数据的调度将长期未被使用到的溯源信息进行压缩;S5:利用主动学习方法完善溯源规则库,利用完善后的溯源规则库建立目标入侵检测模型。本发明根据正常样本建立的目标入侵检测模型具备高识别率,准确性高。
-
公开(公告)号:CN114710344A
公开(公告)日:2022-07-05
申请号:CN202210328644.8
申请日:2022-03-30
申请人: 华中科技大学
摘要: 本发明公开了一种基于溯源图的入侵检测方法,属于计算机系统安全领域,包括:获得待检测行为的溯源图并计算节点重要度;快速判断和精准判断两个阶段。在快速判断阶段:选取重要度较高的N1个节点及对应的K1个邻域节点,通过映射规则将溯源图转换为第一邻域矩阵,从而快速提取溯源图主体特征,检测时若该特征与正常规则行为间的差异m1大于阈值ThH,则判为入侵行为,若m1 N1)及邻域节点K2(K2>K1)规模,深度挖掘溯源图,构建第二邻域矩阵并提取特征,若该特征与正常规则行为间的差异m2
-
公开(公告)号:CN113612749B
公开(公告)日:2022-04-01
申请号:CN202110850221.8
申请日:2021-07-27
申请人: 华中科技大学
IPC分类号: H04L9/40 , G06F16/901 , G06F16/906
摘要: 本发明公开了一种面向入侵行为的溯源数据聚类方法及装置,属于计算机技术领域,方法包括:收集系统内核的溯源信息,并进行预处理以过滤与入侵行为无关的节点以及与节点相关的依赖关系;将预处理后的溯源信息转换成溯源图,并构建溯源图的邻接矩阵和节点属性矩阵;从溯源图中选取多个根节点作为随机游走的种子节点,使种子节点按照游走策略进行随机游走,得到溯源图的游走路径以及溯源边的权重;游走策略为:种子节点中任一节点以概率p从邻接矩阵游走到与其相邻的节点,以概率(1‑p)从节点属性矩阵游走到与其存在相同属性的节点;根据游走路径以及溯源边的权重进行聚类。能够精确区分不同溯源事件,为后续的检测和查询提供更精确的数据。
-
公开(公告)号:CN115514580B
公开(公告)日:2023-04-07
申请号:CN202211414142.3
申请日:2022-11-11
申请人: 华中科技大学
IPC分类号: H04L9/40 , G06F18/23213 , G06N3/0464
摘要: 本发明涉及一种自编码器溯源入侵检测方法及装置,根据用户行为的溯源数据构建表示用户行为的溯源图;根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,每个溯源子图代表用户的一个行为实例;所述节点重要度通过节点间的依赖关系以及节点自身的属性个数来度量节点在溯源图中的重要程度;将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列;将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行异常行为检测。本发明能有效解决现有技术难以从海量溯源数据中挖掘分析出异常操作,分析工作量巨大而导致检测效果不佳的问题。
-
公开(公告)号:CN112528279A
公开(公告)日:2021-03-19
申请号:CN202011479511.8
申请日:2020-12-15
申请人: 华中科技大学
摘要: 本发明公开了一种入侵检测模型的建立方法和装置,属于计算机系统安全领域,所述方法包括:S1:收集多种易受入侵应用对应的原始溯源信息并对粗略过滤;S2:对原始溯源信息进行预处理将冗余信息与入侵检测无关的信息进行过滤及剪枝;S3:引入SSD和HDD两种存储介质实现预处理后的溯源信息的冷热存储,利用预处理后的各进程节点间的依赖关系建立溯源规则库;S4:根据查询请求对预处理后溯源信息的查询情况进行记录,并根据记录结果进行冷热数据的调度将长期未被使用到的溯源信息进行压缩;S5:利用主动学习方法完善溯源规则库,利用完善后的溯源规则库建立目标入侵检测模型。本发明根据正常样本建立的目标入侵检测模型具备高识别率,准确性高。
-
公开(公告)号:CN117811763A
公开(公告)日:2024-04-02
申请号:CN202311450823.X
申请日:2023-10-31
申请人: 华中科技大学
摘要: 本发明公开了一种基于多关系感知的异构图嵌入攻击检测方法及装置,属于网络安全技术领域,方法包括:收集系统内核的溯源信息,并进行预处理构建溯源图,该溯源图可以看作是异构图;求取溯源图中特定关系下的节点表示,同时获取关系表示;考虑节点之间的连接方式,即节点之间的关系语义特征,优化节点特征表示;将获取的不同关系下的节点表示与相应的关系特征融合起来,得到节点的最终表示;将溯源图中所有节点的特征进行聚合得到图的表示;通过对图的分类实现攻击检测。本发明能够有效挖掘溯源图的节点信息与节点之间的依赖关系信息以产生高效的溯源图的表示,实现对攻击溯源图的精准检测。
-
公开(公告)号:CN117499094A
公开(公告)日:2024-02-02
申请号:CN202311426658.4
申请日:2023-10-31
申请人: 华中科技大学
摘要: 本发明公开了面向入侵行为的溯源数据层次聚类方法及入侵检测方法,属于入侵检测领域,包括:收集溯源数据并建立溯源图;溯源图中,节点表示实体,有向边表示依赖关系;按照进程节点、文件节点、网络节点对溯源图进行层次划分,使得每一层中仅包含一种类型的节点,由此得到分层溯源图;对分层溯源图中的进程节点进行聚类,得到层内节点聚类,并确定各进程节点与各文件节点、各进程节点与各网络节点的依赖性;对于每一个层内节点聚类,将与其中的进程节点关联性大于预设第一阈值的文件节点和网络节点合并到该层内节点聚类中,得到多个子图,完成溯源数据的聚类。本发明实现了以进程节点为中心的溯源聚类,能有效提高入侵检测的准确性。
-
公开(公告)号:CN114710344B
公开(公告)日:2022-12-02
申请号:CN202210328644.8
申请日:2022-03-30
申请人: 华中科技大学
摘要: 本发明公开了一种基于溯源图的入侵检测方法,属于计算机系统安全领域,包括:获得待检测行为的溯源图并计算节点重要度;快速判断和精准判断两个阶段。在快速判断阶段:选取重要度较高的N1个节点及对应的K1个邻域节点,通过映射规则将溯源图转换为第一邻域矩阵,从而快速提取溯源图主体特征,检测时若该特征与正常规则行为间的差异m1大于阈值ThH,则判为入侵行为,若m1 N1)及邻域节点K2(K2>K1)规模,深度挖掘溯源图,构建第二邻域矩阵并提取特征,若该特征与正常规则行为间的差异m2
-
公开(公告)号:CN115514580A
公开(公告)日:2022-12-23
申请号:CN202211414142.3
申请日:2022-11-11
申请人: 华中科技大学
摘要: 本发明涉及一种自编码器溯源入侵检测方法及装置,根据用户行为的溯源数据构建表示用户行为的溯源图;根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,每个溯源子图代表用户的一个行为实例;所述节点重要度通过节点间的依赖关系以及节点自身的属性个数来度量节点在溯源图中的重要程度;将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列;将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行异常行为检测。本发明能有效解决现有技术难以从海量溯源数据中挖掘分析出异常操作,分析工作量巨大而导致检测效果不佳的问题。
-
公开(公告)号:CN113612749A
公开(公告)日:2021-11-05
申请号:CN202110850221.8
申请日:2021-07-27
申请人: 华中科技大学
IPC分类号: H04L29/06 , G06F16/901 , G06F16/906
摘要: 本发明公开了一种面向入侵行为的溯源数据聚类方法及装置,属于计算机技术领域,方法包括:收集系统内核的溯源信息,并进行预处理以过滤与入侵行为无关的节点以及与节点相关的依赖关系;将预处理后的溯源信息转换成溯源图,并构建溯源图的邻接矩阵和节点属性矩阵;从溯源图中选取多个根节点作为随机游走的种子节点,使种子节点按照游走策略进行随机游走,得到溯源图的游走路径以及溯源边的权重;游走策略为:种子节点中任一节点以概率p从邻接矩阵游走到与其相邻的节点,以概率(1‑p)从节点属性矩阵游走到与其存在相同属性的节点;根据游走路径以及溯源边的权重进行聚类。能够精确区分不同溯源事件,为后续的检测和查询提供更精确的数据。
-
-
-
-
-
-
-
-
-
搜索结果
10 条记录 (耗时 0.023 秒)
