-
公开(公告)号:CN117955745B
公开(公告)日:2024-07-02
申请号:CN202410347079.9
申请日:2024-03-26
IPC分类号: H04L9/40 , G06F18/214 , G06F18/213 , G06F18/2132 , G06F18/2135 , G06F18/23213 , G06F18/25
摘要: 本发明涉及网络安全领域及计算机深度学习领域,特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤:S1.构建网络流量特征;S2.构建威胁情报特征;S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击,采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析,相比现有方法,本发明使用的特征较为全面,更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征,更能全面的表示一个网络攻击,有利于后续的同源性分析。
-
公开(公告)号:CN115860117B
公开(公告)日:2023-05-09
申请号:CN202310149931.7
申请日:2023-02-22
IPC分类号: G06N5/02 , G06F40/30 , G06F18/241 , G06F21/57
摘要: 公开了一种基于攻防行为的MDATA知识抽取方法及其系统,其基于深度学习的人工智能技术与自然语言处理技术,以在网络攻防演习中记录攻防行为数据,并对攻防双方的攻防数据进行联合分析,去除所有的无效攻击步骤,将所有的有效攻击步骤抽取出来作为MDATA知识以构建网络安全知识库。这样,不仅从全面而丰富的攻防行为数据中提取到攻击者攻击过程中的时空特性,还提高了知识抽取的有效性。
-
公开(公告)号:CN117792803A
公开(公告)日:2024-03-29
申请号:CN202410218653.0
申请日:2024-02-28
IPC分类号: H04L9/40 , G06F18/2415 , G06F18/2433 , G06F18/214 , G06F16/35 , G06F40/284 , G06N3/0455 , G06N3/088 , G06N3/09
摘要: 本发明提供了一种基于数据包有效载荷预训练模型的网络攻击检测方法、系统及介质,该方法包括:对数据集中的网络流量包进行切分,获得网络会话流粒度的网络数据包有效载荷序列;对数据集的正常流量和网络攻击流量进行均衡采样,使用滑动窗口对有效载荷进行切分;将有效载荷切分后获得的字节对序列经分词器处理后输入Bert模型进行预训练,在预训练Bert模型时将网络会话流类比于文档,将网络数据包有效载荷类比于句子:加载已预训练的Bert模型,结合分类器在新的数据上进行微调,采用微调后的网络攻击检测模型检测网络攻击。本发明能更好地捕获网络数据包有效载荷的信息,以便于通过网络数据包有效载荷预训练模型检测网络攻击。
-
公开(公告)号:CN117095243A
公开(公告)日:2023-11-21
申请号:CN202311345466.0
申请日:2023-10-18
IPC分类号: G06V10/764 , H04L9/40 , G06V10/774 , G06V10/80 , G06V10/82 , G06V10/70 , G06V10/74 , G06F18/213 , G06F18/214 , G06F18/22 , G06F18/24 , G06F18/25 , G06F18/20 , G06N3/045 , G06N3/0895 , G06N3/096 , G06N3/084 , G06N3/0985 , G06F123/02
摘要: 本发明提供一种基于分支融合策略的小样本类增量网络入侵检测方法,包括:步骤一:将采集到的网络流量样本进行拆分处理,处理后的网络流量样本被转化为灰度图像表示;步骤二:将网络流量样本的灰度图像输入到骨干网络ViT中用于自监督模式的预训练以提高特征嵌入的表示能力;步骤三:初始化基础会话分支分类器的投影层参数,用于训练初始的检测分类模型;步骤四:学习每个新会话分支分类器模块,进而使用分支融合策略关联基础会话和新会话分支分类器从而帮助分类器模型完成训练和推理。本发明的有益效果是:本发明方法在不会遗忘已学习攻击类别的情况下,允许以增量、小样本、灵活的方式持续学习新攻击类别,实现保护目标网络系统免受恶意攻击。
-
公开(公告)号:CN116318929B
公开(公告)日:2023-08-29
申请号:CN202310206593.6
申请日:2023-03-07
IPC分类号: H04L9/40 , H04L41/0631 , H04L41/16
摘要: 本发明涉及网络安全技术领域,特别涉及一种基于安全告警数据的攻击策略抽取方法。其方法包括以下步骤:S1.从告警文本中获取攻击者的单步攻击信息;S2.构建攻击活动序列集;S3.构建候选攻击策略;S4.构建攻击策略数据集;S5.预训练;S6.模型训练;S7.攻击策略抽取;S8.人工验证。本方法通过训练模型来判断攻击者的一个候选攻击策略是否为全部的有效攻击步骤,并且这些攻击步骤的组合能完成攻击者的攻击目的;通过这个模型,能够使用枚举候选攻击策略的方式关联出攻击者的全部有效攻击步骤,组成攻击者的攻击策略,而无需定义大量的关联规则;而且在过去的关联经验中未被关联的两个告警也可能被本方法所关联。
-
公开(公告)号:CN117955745A
公开(公告)日:2024-04-30
申请号:CN202410347079.9
申请日:2024-03-26
IPC分类号: H04L9/40 , G06F18/214 , G06F18/213 , G06F18/2132 , G06F18/2135 , G06F18/23213 , G06F18/25
摘要: 本发明涉及网络安全领域及计算机深度学习领域,特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤:S1.构建网络流量特征;S2.构建威胁情报特征;S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击,采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析,相比现有方法,本发明使用的特征较为全面,更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征,更能全面的表示一个网络攻击,有利于后续的同源性分析。
-
公开(公告)号:CN117932233A
公开(公告)日:2024-04-26
申请号:CN202410324849.8
申请日:2024-03-21
IPC分类号: G06F18/10 , G06F18/213 , G06F18/214 , G06F18/22 , G06F18/23
摘要: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质,该方法包括:对每个用户的行为数据预处理及统计特征提取;按正常行为统计特征,对所有用户进行聚类;对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型,所述正常用户为未出现过异常行为的用户;以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调,所述异常用户为存在异常行为的用户;对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测,有利于企业对内部威胁进行预警。
-
公开(公告)号:CN116069955A
公开(公告)日:2023-05-05
申请号:CN202310205496.5
申请日:2023-03-06
IPC分类号: G06F16/36 , G06F16/387 , G06F16/383 , G06F40/284 , G06F40/295 , G06F40/247
摘要: 本发明提供了一种基于MDATA模型的时空知识抽取方法,包括以下步骤:步骤1,识别时间和空间知识;通过时间触发词表、空间触发词识别输入序列中的时空知识,并将序列中的时空知识替换为概念代号;步骤2,时空知识的实体关系依赖识别,得到知识五元组;步骤3,时间、空间知识规范化处理。本发明的有益效果是:1.时空信息在文本中有很强的语言特征,本发明方法通过触发词匹配,能高效获取时空信息;2.时空信息是时间表达的关键要素,在知识图谱中,时空信息是同实体、关系紧密联系的,本发明方法通过结合时空信息来进行知识抽取任务,能有效提升知识多元组的质量;3.本发明方法通过规范化处理,能统一时空信息的表达。
-
公开(公告)号:CN117932233B
公开(公告)日:2024-07-02
申请号:CN202410324849.8
申请日:2024-03-21
IPC分类号: G06F18/10 , G06F18/213 , G06F18/214 , G06F18/22 , G06F18/23
摘要: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质,该方法包括:对每个用户的行为数据预处理及统计特征提取;按正常行为统计特征,对所有用户进行聚类;对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型,所述正常用户为未出现过异常行为的用户;以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调,所述异常用户为存在异常行为的用户;对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测,有利于企业对内部威胁进行预警。
-
公开(公告)号:CN117909912B
公开(公告)日:2024-07-02
申请号:CN202410312729.6
申请日:2024-03-19
IPC分类号: G06F18/2433 , G06F18/213 , G06F18/243 , G06F18/214
摘要: 本发明涉及计算机与人工智能技术领域,特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤:S1.数据特征处理:在获取用户行为信息及用户身份信息后将数据进行特征处理;S2.建立基准模型:分析用户行为的时间分布情况,选取部分特征数据建立基准模型,利用基准模型进行粗粒度的用户行为检测,找出存在异常用户;S3.细粒度检测:对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测,并能按时间顺序依次检测每周用户的行为情况,在第二阶段进行细粒度的用户级异常的检测,找出异常行为与用户的对应关系,更准确、更高比例地找出异常行为和用户并减少误报。
-
-
-
-
-
-
-
-
-