CN107403091A - 一种结合溯源路径和溯源图的实时入侵检测系统 - Google Patents

一种结合溯源路径和溯源图的实时入侵检测系统 Download PDF

Info

Publication number
CN107403091A
CN107403091A CN201710545177.3A CN201710545177A CN107403091A CN 107403091 A CN107403091 A CN 107403091A CN 201710545177 A CN201710545177 A CN 201710545177A CN 107403091 A CN107403091 A CN 107403091A
Authority
CN
China
Prior art keywords
source
tracing
information
dependence
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710545177.3A
Other languages
English (en)
Inventor
谢雨来
石珍珍
谭支鹏
冯丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201710545177.3A priority Critical patent/CN107403091A/zh
Publication of CN107403091A publication Critical patent/CN107403091A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种结合溯源路径和溯源图的实时入侵检测系统,属于计算机安全技术领域。本发明系统包括溯源信息的收集与存储模块、规则库生成与压缩模块和实时入侵检测模块;溯源信息收集与存储模块主要是生成溯源信息,拦截无用的溯源信息,然后溯源信息存入内存数据库中;规则库的建立与压缩模块是将正常行为的依赖关系存入规则库,并对规则库进行压缩处理;实时入侵检测模块是通过将当前溯源路径与溯源图信息与规则库进行实时比较来判断入侵是否发生,若判断发生就发出警报,否则就实时更新规则库。本发明提供的实时入侵检测系统减少了无关溯源信息的存储和判断,节省了入侵检测时间,提高了检测的精确度。

Description

一种结合溯源路径和溯源图的实时入侵检测系统
技术领域
本发明属于计算机安全技术领域,更具体地,涉及一种结合溯源路径和溯源图的实时入侵检测系统。
背景技术
随着计算机网络技术的飞速发展,社会经济、科学和文化等各个领域都离不开网络通信。利用计算机网络实施犯罪的事件已绝不少见。目前常见的安全技术包括防火墙、身份认证、蜜罐诱骗、访问控制和加密等。虽然这些技术在一定程度上可以减少攻击事件的发生,而且,人为的不安全操作同样会导致入侵的发生,例如系统文件配置错误,弱口令等。但并不能完全杜绝黑客的攻击行为。因此,入侵检测技术就成了系统保护的第二层屏障。
现有入侵检测系统多是基于主机的入侵检测,记录和分析入侵过程中的系统调用,该类方法没有详细的揭露入侵的内在事件,如系统漏洞在哪,是什么导致了这次入侵的发生等。另一方面,尽管可以通过日志来分析系统被入侵的过程,从大量包含有用户正常行为以及入侵者的非法行为中获取有用日志信息仍然是一个非常繁琐的过程。现有的基于溯源的入侵检测系统,虽然在一定程度上能够准确识别入侵行为,快速找到系统漏洞和入侵来源,但有溯源信息庞大,检测时要先从其中找出依赖关系信息,导致检测过长,并且采用基于溯源路径的检测方法,通过单一路径来判断入侵,导致检测精确度不高;且现有基于溯源的入侵检测系统检测过程都是在磁盘上进行的,实时性不高。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种结合溯源路径和溯源图的实时入侵检测系统,其目的在于拦截无用的溯源信息,将正常行为的依赖关系存入内存数据库中,通过将当前待检测的溯源路径与溯源图信息与正常的依赖关系进行实时比较来判断入侵是否发生,若发生就发出警报,若没有就实时更新正常的依赖关系,由此解决现有技术中入侵检测检测精确度和实时性不高的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种结合溯源路径和溯源图的实时入侵检测系统,所述系统包括:
溯源信息的收集与存储模块100,用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,拦截掉与入侵检测无关的溯源信息属性,保留溯源信息的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系并存入数据库;
规则库生成与压缩模块200,用于将溯源信息中的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系转换为对象名称之间的依赖关系,并将其存入规则库,再对规则库进行压缩;
实时入侵检测模块300,用于获取待检测溯源信息的对象名称之间的依赖关系,并从中提取出溯源路径与溯源图信息,并与规则库中的溯源关系作比较来判断入侵攻击是否发生,若判断攻击发生则输出警报,警报内容包括可疑溯源关系,否则就用该待检测溯源信息的对象名称之间的依赖关系实时更新规则库。
进一步地,所述溯源信息的收集与存储模块100包括:
溯源生成单元101,用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,所述溯源信息包括:对象节点号、对象名称、环境、命令行参数、进程ID、时间、类型、对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系;
溯源拦截单元102,用于拦截所述溯源信息中和入侵检测不相关的属性信息,保留对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系;
溯源信息保存单元103,用于将拦截后的溯源信息存入数据库,其中对象名称与对象节点号之间的映射关系存入名称库,对象节点号之间的依赖关系存入依赖库。
进一步地,所述规则库生成与压缩模块200包括:
规则库生成单元201,用于从数据库中读取溯源信息的对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系,转换为对象名称之间的的依赖关系并存入规则库G,其中,G={Dep1,…,Depn},依赖关系Depi=(A,B)表示父对象名A与其子对象名B之间的直接依赖关系;
规则库压缩单元202,用于遍历规则库中的每条规则,计算规则中每个字符串出现的次数N,若N!=1,则对该字符串进行编码,否则对该字符串的前缀进行编码,其中,字符串的前缀为字符串中第一个“/”符和最后一个“/”符之间的部分,编码号由1开始依次递增;编码完成后将字符串和编码的映射关系写入编码库,编码后的规则写入新的规则库。
进一步地,其特征在于,
实时入侵检测单元301,用于获取待检测溯源信息的对象名称之间的依赖关系库R,由所述依赖关系库R中所有的依赖关系形成的溯源图,寻找溯源图的头节点,每个头结点对应一条或多条路径,路径记为(Dep1,Dep2,...,Depk),其中Depi+1的父节点为Depi中的子节点;若路径中依赖关系Depi在规则库中,则Depi的可疑度Mi为0,否则可疑度Mi为1,该路径的可疑度若一条路径的可疑度Pi>T,则判定待检测溯源信息中存在入侵攻击行为,其中,T表示路径报警阈值,取值范围为0≤T≤1,优选值为0.7;若溯源图中每条路径的可疑度都小于路径报警阈值,则计算溯源图的可疑度表示路径i的权重,其中,leni表示第i条溯源路径的长度;lenj表示第j条溯源路径长度;Pi表示路径i的可疑度;m表示溯源图中有m条路径,判断若P>T`,则判定待检测溯源信息中存在入侵攻击行为;否则用待检测溯源信息的对象名称之间的依赖关系实时更新规则库;其中,T`表示溯源图报警阈值;其中,T`表示溯源图报警阈值,取值范围为0≤T`≤1,优选值为0.7;
警报输出单元,用于确定入侵后输出可疑度为1的依赖关系Depi供管理人员分析。
进一步地,所述数据库为内存数据库Redis。
进一步地,所述入侵检测模块的检测过程在内存数据库Redis中进行。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有以下技术特征及有益效果:
(1)本发明系统通过拦截和入侵检测无关的溯源信息,减少溯源信息的存储空间,收集后将依赖关系存入依赖库中,不需要再手动从大量溯源信息中提取依赖关系,节省了入侵检测时间;溯源信息存在内存数据库,整个检测过程在内存中进行,进一步提升了检测速度;
(2)本发明系统通过溯源图与溯源路径相结合的入侵检测算法,使用入侵进程形成的整个溯源图,而非单条溯源路径来检测入侵,因而降低了误检,提高了入侵的检测率;通过检测结果实时更新规则库,使得规则库更加完善,进一步提高了检测的精确度。
附图说明
图1是本发明系统的结构示意图;
图2是本发明系统中溯源信息的收集与存储示意图;
图3是本发明系统规则库生成流程示意图;
图4是本发明系统规则库的压缩流程示意图;
图5是本发明系统入侵检测流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1所述,本发明一种结合溯源路径和溯源图的实时入侵检测系统包括以下部分:
溯源信息的收集与存储模块100,用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,拦截掉与入侵检测无关的溯源信息属性,保留溯源信息的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系并存入数据库;
规则库生成与压缩模块200,用于将溯源信息中的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系转换为对象名称之间的依赖关系,并将其存入规则库,再对规则库进行压缩;
实时入侵检测模块300,用于获取待检测溯源信息的对象名称之间的依赖关系,并从中提取出溯源路径与溯源图信息,并与规则库中的溯源关系作比较来判断入侵攻击是否发生,若判断攻击发生则输出警报,警报内容包括可疑溯源关系,否则就用该待检测溯源信息的对象名称之间的依赖关系实时更新规则库。
如图2所示,溯源信息的收集与存储利用已有PASS系统生成溯源信息;在PASS的分布层添加拦截函数,用于拦截上述溯源信息中与检测无关的溯源信息,如对象类型,系统运行的环境变量等信息,仅收集对象的NAME属性和对象间依赖关系;拦截后的溯源信息,利用函数call_usermodehelper(),调用用户态函数,将溯源信息写入Redis数据库,其中对象节点号和对象名称之间的映射关系写入名称库,对象节点号之间的依赖关系存入依赖库。
如图3所示,规则库生成单元201中规则库的生成流程如下:
(11)从本地缓存或内存溯源数据库Redis获取用户正常行为的溯源信息,其中,正常行为是指在没有外界入侵的情况下管理员或用户所做的操作;
(12)从上述溯源信息的依赖库中获得对象节点号之间的依赖关系;
(13)将对象节点号之间的依赖关系根据名称库转换成对象名称之间的依赖关系,将这些关系存入规则库G,G={Dep1,…,Depn};其中Depi=(A,B),Depi是指父对象名A与其子节点对象名B两个对象之间的直接依赖关系。
如图4所示,规则库压缩单元202中规则库的压缩流程如下:
(21)遍历规则库中的每条规则,计算规则中每个字符串出现的次数N;
(22)若N!=1,对该字符串进行编码,若N=1,对该字符串的前缀进行编码,其中字符串的前缀为字符串中第一个“/”和最后一个“/”之间的部分,编码号由1开始依次递增;
(23)将字符串和编码间的映射写入编码库,编码后的规则库写入新规则库。
如图5所示,实时入侵检测模块300中的入侵检测报警流程如下:
(31)获取待检测溯源信息的对象名称之间的依赖关系库R;
(32)由所述依赖关系库R中所有的依赖关系形成的溯源图,寻找溯源图的头节点,然后将头节点都存储在一条链表中,记为头节点链,其中头节点为没有父节点的节点;
(33)遍历头节点链,取一个未遍历过的头节点;
(34)寻找该头节点对应的一条路径,如路径(Dep1,Dep2,...,Depk)为一条长度为k的路径,其中Depi+1中的父节点为Depi中的子节点;
(35)对于每个Depi=(A,B),如果Depi=(A,B)在规则库中,则认为其可疑度Mi为0,否则认为其可疑度Mi为1,该路径的可疑度
(36)设定阈值T=0.7,若Pi>T,则判定当前行为为攻击行为,输出报警;否则转至(34),直至该头节点的所有路径都计算完成;
(37)重复(33),直至头节点链表遍历结束;
(38)计算整个溯源图的可疑度表示路径i的权重,其中,leni表示第i条溯源路径的长度;lenj表示第j条溯源路径长度;Pi表示路径i的可疑度;m表示溯源图中有m条路径;判断若P>T`,则判定待检测溯源信息中存在攻击行为;否则用待检测溯源信息的对象名称之间的依赖关系实时更新规则库;其中,T`=0.7,表示溯源图报警阈值;
实施例中,入侵检测过程都是在非易失内存数据库系统Redis中进行的,从而保证了检测的快速和实时性。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述系统包括:
溯源信息的收集与存储模块(100),用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,拦截掉与入侵检测无关的溯源信息属性,保留溯源信息的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系并存入数据库;
规则库生成与压缩模块(200),用于将溯源信息中的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系转换为对象名称之间的依赖关系,并将其存入规则库,再对规则库进行压缩;
实时入侵检测模块(300),用于获取待检测溯源信息的对象名称之间的依赖关系,并从中提取出溯源路径与溯源图信息,并与规则库中的溯源关系作比较来判断入侵攻击是否发生,若判断攻击发生则输出警报,警报内容包括可疑溯源关系,否则就用该待检测溯源信息的对象名称之间的依赖关系实时更新规则库。
2.根据权利要求1所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述溯源信息的收集与存储模块(100)包括:
溯源生成单元(101),用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,所述溯源信息包括:对象节点号、对象名称、环境、命令行参数、进程ID、时间、类型、对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系;
溯源拦截单元(102),用于拦截所述溯源信息中和入侵检测不相关的属性信息,保留对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系;
溯源信息保存单元(103),用于将拦截后的溯源信息存入数据库,其中对象名称与对象节点号之间的映射关系存入名称库,对象节点号之间的依赖关系存入依赖库。
3.根据权利要求1所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述规则库生成与压缩模块(200)包括:
规则库生成单元(201),用于从数据库中读取溯源信息的对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系,转换为对象名称之间的的依赖关系并存入规则库G,其中,G={Dep1,…,Depn},依赖关系Depi=(A,B)表示父对象名A与其子对象名B之间的直接依赖关系;
规则库压缩单元(202),用于遍历规则库中的每条规则,计算规则中每个字符串出现的次数N,若N!=1,则对该字符串进行编码,否则对该字符串的前缀进行编码,其中,字符串的前缀为字符串中第一个“/”符和最后一个“/”符之间的部分,编码号由1开始依次递增;编码完成后将字符串和编码的映射关系写入编码库,编码后的规则写入新的规则库。
4.根据权利要求1、2或3中所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,
实时入侵检测单元(301),用于获取待检测溯源信息的对象名称之间的依赖关系库R,由所述依赖关系库R中所有的依赖关系形成的溯源图,寻找溯源图的头节点,每个头结点对应一条或多条路径,路径记为(Dep1,Dep2,...,Depk),其中Depi+1的父节点为Depi中的子节点;若路径中依赖关系Depi在规则库中,则Depi的可疑度Mi为0,否则可疑度Mi为1,该路径的可疑度若一条路径的可疑度Pi>T,则判定待检测溯源信息中存在入侵攻击行为,其中,T表示路径报警阈值;若溯源图中每条路径的可疑度都小于路径报警阈值,则计算溯源图的可疑度 表示路径i的权重,其中,leni表示第i条溯源路径的长度;lenj表示第j条溯源路径长度;Pi表示路径i的可疑度;m表示溯源图中有m条路径,判断若P>T`,则判定待检测溯源信息中存在入侵攻击行为;否则用待检测溯源信息的对象名称之间的依赖关系实时更新规则库;其中,T`表示溯源图报警阈值;
警报输出单元(302),用于确定入侵攻击后输出可疑度为1的依赖关系Depi
5.根据权利要求1所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述数据库为内存数据库Redis。
6.根据权利要求1所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述入侵检测模块(300)的检测过程在内存数据库Redis中进行。
CN201710545177.3A 2017-07-06 2017-07-06 一种结合溯源路径和溯源图的实时入侵检测系统 Pending CN107403091A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710545177.3A CN107403091A (zh) 2017-07-06 2017-07-06 一种结合溯源路径和溯源图的实时入侵检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710545177.3A CN107403091A (zh) 2017-07-06 2017-07-06 一种结合溯源路径和溯源图的实时入侵检测系统

Publications (1)

Publication Number Publication Date
CN107403091A true CN107403091A (zh) 2017-11-28

Family

ID=60404962

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710545177.3A Pending CN107403091A (zh) 2017-07-06 2017-07-06 一种结合溯源路径和溯源图的实时入侵检测系统

Country Status (1)

Country Link
CN (1) CN107403091A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474636A (zh) * 2018-12-29 2019-03-15 杭州迪普科技股份有限公司 一种网络攻击检测方法和装置
CN111831423A (zh) * 2019-04-15 2020-10-27 阿里巴巴集团控股有限公司 一种在非易失性内存上实现Redis内存数据库的方法和系统
CN113612749A (zh) * 2021-07-27 2021-11-05 华中科技大学 一种面向入侵行为的溯源数据聚类方法及装置
CN113779573A (zh) * 2021-08-04 2021-12-10 国家计算机网络与信息安全管理中心 一种基于系统溯源图的大规模勒索软件分析方法和分析装置
CN114117708A (zh) * 2022-01-26 2022-03-01 浙江大学 基于Redis技术的排水管网汇流路径生成方法和装置
CN115514580A (zh) * 2022-11-11 2022-12-23 华中科技大学 一种自编码器溯源入侵检测方法及装置
CN116738413A (zh) * 2023-06-05 2023-09-12 广州大学 基于溯源图的反向传播攻击调查的方法、系统及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103226675A (zh) * 2013-03-20 2013-07-31 华中科技大学 一种分析入侵行为的溯源系统及方法
CN105930234A (zh) * 2016-05-25 2016-09-07 华中科技大学 一种基于溯源信息的数据重建系统及方法
CN106027529A (zh) * 2016-05-25 2016-10-12 华中科技大学 一种基于溯源信息的入侵检测系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103226675A (zh) * 2013-03-20 2013-07-31 华中科技大学 一种分析入侵行为的溯源系统及方法
CN105930234A (zh) * 2016-05-25 2016-09-07 华中科技大学 一种基于溯源信息的数据重建系统及方法
CN106027529A (zh) * 2016-05-25 2016-10-12 华中科技大学 一种基于溯源信息的入侵检测系统及方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474636A (zh) * 2018-12-29 2019-03-15 杭州迪普科技股份有限公司 一种网络攻击检测方法和装置
CN111831423A (zh) * 2019-04-15 2020-10-27 阿里巴巴集团控股有限公司 一种在非易失性内存上实现Redis内存数据库的方法和系统
CN113612749A (zh) * 2021-07-27 2021-11-05 华中科技大学 一种面向入侵行为的溯源数据聚类方法及装置
CN113779573A (zh) * 2021-08-04 2021-12-10 国家计算机网络与信息安全管理中心 一种基于系统溯源图的大规模勒索软件分析方法和分析装置
CN113779573B (zh) * 2021-08-04 2023-08-29 国家计算机网络与信息安全管理中心 一种基于系统溯源图的大规模勒索软件分析方法和分析装置
CN114117708A (zh) * 2022-01-26 2022-03-01 浙江大学 基于Redis技术的排水管网汇流路径生成方法和装置
CN115514580A (zh) * 2022-11-11 2022-12-23 华中科技大学 一种自编码器溯源入侵检测方法及装置
CN116738413A (zh) * 2023-06-05 2023-09-12 广州大学 基于溯源图的反向传播攻击调查的方法、系统及装置
CN116738413B (zh) * 2023-06-05 2024-02-13 广州大学 基于溯源图的反向传播攻击调查的方法、系统及装置

Similar Documents

Publication Publication Date Title
CN107403091A (zh) 一种结合溯源路径和溯源图的实时入侵检测系统
Khan et al. Malicious insider attack detection in IoTs using data analytics
Guha et al. Robust random cut forest based anomaly detection on streams
Sun et al. Detecting anomalous user behavior using an extended isolation forest algorithm: an enterprise case study
CN112491796B (zh) 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法
CN110334548B (zh) 一种基于差分隐私的数据异常检测方法
CN108549814A (zh) 一种基于机器学习的sql注入检测方法、数据库安全系统
Muruti et al. A survey on anomalies detection techniques and measurement methods
CN111523117A (zh) 一种安卓恶意软件检测和恶意代码定位系统及方法
CN106027529A (zh) 一种基于溯源信息的入侵检测系统及方法
CN101751535A (zh) 通过应用程序数据访问分类进行的数据损失保护
CN109670306A (zh) 基于人工智能的电力恶意代码检测方法、服务器及系统
CN113254930B (zh) 一种pe恶意软件检测模型的后门对抗样本生成方法
CN109450882A (zh) 一种融合人工智能与大数据的网上行为的安全管控系统及方法
CN115459965A (zh) 一种面向电力系统网络安全的多步攻击检测方法
CN107729363A (zh) 基于GoogLeNet网络模型鸟类种群识别分析方法
CN116957049B (zh) 基于对抗自编码器的无监督内部威胁检测方法
CN111740946A (zh) Webshell报文的检测方法及装置
CN114844840A (zh) 一种基于计算似然比的分布外网络流量数据检测方法
Singh et al. Database intrusion detection using role and user behavior based risk assessment
CN110674498A (zh) 一种基于多维度文件活动的内部威胁检测方法及系统
CN110598397A (zh) 一种基于深度学习的Unix系统用户恶意操作检测方法
Zhang et al. An internal threat detection model based on denoising autoencoders
Xia et al. Source Code Vulnerability Detection Based On SAR-GIN
Fan et al. A network intrusion detection method based on improved Bi-LSTM in Internet of Things environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20171128