CN110263566B - 一种海量日志提权行为检测及分类方法 - Google Patents

一种海量日志提权行为检测及分类方法 Download PDF

Info

Publication number
CN110263566B
CN110263566B CN201910580763.0A CN201910580763A CN110263566B CN 110263566 B CN110263566 B CN 110263566B CN 201910580763 A CN201910580763 A CN 201910580763A CN 110263566 B CN110263566 B CN 110263566B
Authority
CN
China
Prior art keywords
information
user
authority
feature
logs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910580763.0A
Other languages
English (en)
Other versions
CN110263566A (zh
Inventor
陶敬
樊志甲
郑宁
马小博
王晨旭
郝传洲
常跃
陈奕光
王莞尔
詹旭娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN201910580763.0A priority Critical patent/CN110263566B/zh
Publication of CN110263566A publication Critical patent/CN110263566A/zh
Application granted granted Critical
Publication of CN110263566B publication Critical patent/CN110263566B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供一种海量日志提权行为检测及分类方法,包括:海量日志提权行为检测和海量日志提权行为分类两大模块。通过提取历史日志中的多维度提权特征,在线检测海量流式日志中的权限提升行为;再将历史日志作为训练样本,学习产生分类模型,对检测出的所述权限提升行为给出更细粒度的分类结果。

Description

一种海量日志提权行为检测及分类方法
技术领域
本发明属于行为检测及分类技术领域,使用的主要方法是模式识别中的特征匹配和机器学习中的决策树模型,特别涉及一种海量日志提权行为检测及分类方法。
背景技术
随着信息技术的快速发展,越来越多企业为了提高经济效益和社会效益,依靠信息系统来满足业务的要求。在企业无纸化、高效发展的同时,必须要求系统有足够保障数据安全的能力。一方面需要能够辨别用户的身份是否合法,另一方面还需要制定权限检测机制来合理控制访问权限。
需要合理可用的权限控制,来对服务和资源的操作者的访问权限进行管控,既要保证授权用户顺利地执行已经授权了的任务,又要保证未授权用户执行未授权的任务。既要保证已授权的用户可以访问合法资源,又要保证未授权的用户不能访问未授权的资源。如果访问控制对操作者的安全防护不够,就会出现一些操作者执行非法操作,如果访问控制对操作者的安全防护过度,则会出现合法用户的合法操作被拒绝。
一般的信息系统权限提升行为包含用户的权限异常提升和对系统文件访问的权限提升,需要分别进行识别。
通常用户权限异常提升的方式有以下三种:1)普通用户登录操作系统后,通过利用操作系统内核或软件漏洞使得普通用户权限提升至root账户;2)通过Web系统的上传漏洞植入Webshell,再利用系统级漏洞实现提权;3)由于配置不当使得普通用户特权提升。
对系统文件访问的权限提升即系统文件本身权限发生改变,使得普通用户也拥有对系统隐私文件的访问和操作权限。
在系统访问频繁的情况下,如何高效地进行权限检测及分类,已经显得格外的重要。
目前已有的权限提升检测方法,普遍采用基于用户组的访问控制方法来对系统进行规范授权操作,以确保对系统资源的安全访问。根据系统的不同需求,可以确定不同的用户组,每个用户组对系统拥有不同的权限,不同的用户又被赋予不同的用户组,而同一个用户因为可以承担不同的任务,因此可以扮演多用户,具有不同的权限。
发明内容
为了克服上述现有技术的缺点,本发明的目的在于提供一种海量日志提权行为检测及分类方法,实现了从操作系统日志中检测识别出权限提升行为,并对提权行为进行高效分类的功能。
为了实现上述目的,本发明采用的技术方案是:
本发明第一方面提供一种海量日志提权行为检测方法,包括:
输入小批量已标定的训练日志样本,提取多维度的提权特征;
根据所述多维度的提权特征构建特征向量集合,检测海量日志中的提权行为。
所述标定是指对训练数据中所包含的提权记录以及提权类型赋予标签信息,所述小批量是指所选用的分类模型所需要的最小训练样本量。
所述多维度提权特征,包括进程树结构特征PS(Pstree Signature)、用户登录特征LS(Login Signature)、sudo操作特征OS(Operation Signature)和关键字特征KS(Keyword Signature)。
所述进程树结构特征是通过关联进程日志,构建进程树,普通用户获取管理员权限时,追踪进程树中进程所在的用户ID变化情况,当一个uid不为0的父进程派生出一个uid为0的子进程时,该子进程即为权限提升后产生的进程,基于该特征作为检测依据,提取所有权限提升行为的日志记录;
所述用户登录特征是筛选出日志含有登陆成功信息的关键日志记录,提取出登录用户名和登录时间,记录该用户登录时间,提取待检测日志中用户的操作记录和操作时间信息,如果在该条操作记录之前没有该用户登录的痕迹,则该条操作记录是利用漏洞使用户权限提升后的操作记录;
所述sudo操作特征是日志记录中含有“sudo”且没有“user NOT in sudoers”,则该条记录是配置不当使得普通用户权限提升,用户使用sudo命令的记录,提取其中的用户名、时间和操作命令等信息;
所述关键字特征是判断修改用户组操作,如果把用户追加到root组或具有root权限的组中,则判断其为修改用户组权限提升行为,分析日志文件,提取包含“usermod-G”字段,如果是追加到具有root权限的用户组中,则该条记录为修改用户组权限提升行为。
本发明第二方面提供一种海量日志提权行为分类方法,在利用上述方法进行检测之后,结合训练样本的数学统计结果,计算每个特征的信息熵和信息增益;对所述特征向量集合按照所述信息增益的值进行排序,建立分类模型,对所述提权行为进行高效的细粒度分类。
所述对特征向量集合按照所述信息增益值进行排序,建立分类模型,以信息熵的下降速度为选取提权特征的标准,即在每个节点选取最高信息增益的提权特征作为划分标准,然后继续这个过程,直到生成的分类模型能完美分类训练日志样本。
所述信息增益是来衡量一个特征区分日志样本的能力,计算公式:
Grain(A)=Info(D)-InfoA(D)
其中,Grain(A)为信息增益,A为提权特征:PS、LS、OS和KS;Info(D)和InfoA(D)分别为提权特征A作用前、后的信息熵;
通过计算所述特征信息熵的差,当新增一个提权特征A时,信息熵Grain(A)的变化大小即为提权特征A的信息增益。
所述信息熵InfoA(D)描述提权特征A携带的信息量,信息量越大,则越不确定,越不容易被预测;
Figure GDA0002726377320000041
Figure GDA0002726377320000042
D为所述训练日志样本数据集,c表示数据类别数,pi表示类别i样本数量占所有样本的比例即所述数学统计结果,k表示样本D被分为k个部分。
所述分类模型是根据每个特征的信息增益,按照信息增益的大小,自上向下构建决策树分类模型,信息增益最大的特征,作为决策树模型最优节点。根据所述决策树模型,实时检测海量日志,给出更细粒度的权限提升判定结果。
所述细粒度的权限提升判定结果,根据进程树结构变化提取进程权限提升信息,结合当前权限提升行为所触发的规则,给出更细粒度的权限提升判定结果包括利用漏洞的权限提升行为、某个进程的权限提升操作行为、改变用户所属用户组来实现权限提升、通过修改文件属性实现权限提升和通过修改文件拥有者实现权限提升。
与现有技术相比,本发明通过提取历史日志中的多维度提权特征,在线检测海量流式日志中的权限提升行为;再将历史日志作为训练样本,学习产生分类模型,对检测出的所述权限提升行为可给出更细粒度的分类结果。
附图说明
图1为本发明提供的一种海量日志提权行为检测及分类方法的流程图。
图2为本发明提供的一种海量日志提权行为检测方法的流程图。
图3为本发明提供的一种海量日志提权行为分类方法的流程图。
图4为本发明提供的一种海量日志提权行为分类方法的分类模型图。
图5为本发明提供的一种海量日志提权行为检测及分类方法的总体框架图。
具体实施方式
本发明提供一种海量日志提权行为检测及分类方法,实现了从操作系统日志中检测识别出权限提升行为,并对提权行为进行高效分类的功能。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供一种海量日志提权行为检测及分类方法的流程图,如图1所示,方法包括如下步骤。
步骤101、输入小批量已标定的训练日志样本,所述日志样本主要针对操作系统包含提权信息的系统日志。
所述标定过程是指对训练数据中所包含的提权记录以及提权类型赋予标签信息。
所述小批量是指本发明所选用的分类模型所需要的最小训练样本量。
步骤102、结合数据标签,分类别提取进程树结构特征、用户登录特征、sudo操作特征和关键字特征。
对上述几类提权特征,利用模式识别中的特征匹配方法,在spark等大数据框架下实时检测海量流式系统日志中的权限提升行为。
步骤103、另一方面对于输入的小批量训练数据,首先进行概率学频率统计,每个类别i的样本数量占所有样本的比例,即所述数学统计结果。
再根据信息科学中的信息熵定义,计算特征集合中各个维度特征的信息熵,所述信息熵越大,即信息量越大,则系统越不确定,系统状态越不容易被预测,为一个绝对量。
所述四种提权特征:PS、LS、OS和KS作用后,信息熵的绝对量会发生变化,通过分别计算每个维度特征作用前和作用后信息熵的绝对量,得出每个特征的信息熵增,即信息增益,该量为一个相对量。信息增益越大,对于的特征对样本的划分效果越好。按照信息增益大小,由大到小,对特征集合中的特征元素进行排序。
根据已排序的特征集合,以每个特征为节点,自顶向下建立决策树分类模型,每个叶子节点即为最终的分类结果。
将离线训练的决策树分类模型嵌入海量流式日志提权行为检测流程中,形成一种海量日志提权行为检测及分类方法。
图2为本发明提供一种海量日志提权行为检测方法的流程图,如图2所示,方法包括如下步骤。
步骤201、输入待检测操作系统日志样本,所述日志样本主要针对操作系统中包含提权信息的系统日志,包括但不限于/var/log/secure、/var/log/auth.log和/var/log/messages等。
步骤202、提取进程树结构特征,所述进程树结构特征是通过关联进程日志,构建进程树,普通用户获取管理员权限时,追踪进程树中进程所在的用户ID变化情况。当一个uid不为0的父进程派生出一个uid为0的子进程时,该子进程即为权限提升后产生的进程。基于这个特征作为检测依据,提取所有权限提升行为的日志记录。
步骤203、提取用户登录特征,所述用户登录特征是筛选出日志含有登陆成功信息的关键日志记录,提取出登录用户名和登录时间,记录该用户登录时间。提取待检测日志中用户的操作记录和操作时间信息,如果在该条操作记录之前没有该用户登录的痕迹,则该条操作记录是利用漏洞使用户权限提升后的操作记录。
步骤204、提取sudo操作特征,所述sudo操作特征是日志记录中含有“sudo”且没有“user NOT in sudoers”,则该条记录是配置不当使得普通用户权限提升,用户使用sudo命令的记录,提取其中的用户名、时间和操作命令等信息。
步骤205、提取关键字特征,所述关键字特征是判断修改用户组操作,如果把用户追加到root组或具有root权限的组中,则判断其为修改用户组权限提升行为。分析日志文件,提取包含“usermod-G”字段,如果是追加到具有root权限的用户组中,则该条记录为修改用户组权限提升行为。
步骤206、特征模式匹配,所述匹配过程,是在spark等大数据框架下,借助所述特征,实时检测海量流式系统日志中的权限提升行为。
图3为本发明提供一种海量日志提权行为分类方法的流程图,如图3所示,方法包括如下步骤。
步骤301、输入小批量已标定的训练日志样本和提取出的特征集合,所述日志样本主要针对操作系统包含提权信息的系统日志,包括但不限于/var/log/secure、/var/log/auth.log和/var/log/messages等。
所述标定过程是指对训练数据中所包含的提权记录以及提权类型赋予标签,标签信息重点关注提权的操作时间、操作命令、操作用户、用户登录时的远端IP以及提权类型等。
所述小批量是指本发明所选用的分类模型所需要的最小训练样本量,针对决策树分类模型,最小训练样本量许涵盖已知的每个分类类别。
步骤302、计算各个类别的概率,即所述已知的每个分类类别在训练样本中的比例。类别i的样本数量占所有样本的比例pi,具体地:
pi=Ni/N
所述pi为类别i的概率,Ni为类别i的出现次数,N为总样本个数。
步骤303、计算特性集合中各个维度特征的信息熵,所述信息熵InfoA(D)描述提权特征A携带的信息量,具体地:
Figure GDA0002726377320000091
D为所述训练日志样本数据集,c表示数据类别数,pi表示类别i样本数量占所有样本的比例即所述数学统计结果,k表示样本D被分为k个部分。
步骤304、计算每个特征的信息增益并根据信息增益对特征进行排序,所述信息增益,即为特征作用前、后信息熵的变化值,通过计算所述特征信息熵的差,当新增一个提权特征A时,信息熵Grain(A)的变化大小即为提权特征A的信息增益,具体地:
Grain(A)=Info(D)-InfoA(D)
所述A为四种提权特征:PS、LS、OS和KS;Info(D)和InfoA(D)分别为提权特征A作用前、后的信息熵。特征作用前的初始信息熵Info(D)计算方法,具体地:
Figure GDA0002726377320000101
信息增益越大,对于的特征对样本的划分效果越好。按照信息增益大小,由大到小,对特征集合中的特征元素进行排序。
步骤305、建立决策树模型,根据步骤304计算每个特征的信息增益,按照信息增益的大小,自上向下构建决策树。如图4所示,方框表示特征提取部分生成的判断规则,椭圆框表示不同的权限提升行为判定结果。
步骤306、利用决策树分类模型进行提权分类,用步骤305训练生成的决策树分类模型,对检测出的提权行为进行分类,给出更细粒度的权限提升判定结果包括利用漏洞的权限提升行为、某个进程的权限提升操作行为、改变用户所属用户组来实现权限提升、通过修改文件属性实现权限提升和通过修改文件拥有者实现权限提升。
图5为本发明提供一种海量日志提权行为检测及分类方法的总体框架图,如图5所示,具体地:
通过输入训练日志数据样本,进入提权行为检测部分。
提权行为检测部分细分为特征提取和特征匹配,检测出所有提权行为。
提权行为分类部分细分为特征计算和建立分类模型,对检测出的所有提权行为进行高效分类。
最后将分类模型嵌入到海量流式日志提权行为检测流程中,形成一种海量日志提权行为检测及分类方法。

Claims (7)

1.一种海量日志提权行为检测与分类方法,先利用如下的海量日志提权行为检测方法进行检测:
输入小批量已标定的训练日志样本,提取多维度的提权特征;
根据所述多维度的提权特征构建特征向量集合,检测海量日志中的提权行为;
其特征在于,实现检测之后,结合训练样本的数学统计结果,计算每个特征的信息熵和信息增益;对所述特征向量集合按照所述信息增益的值进行排序,建立分类模型,对所述提权行为进行高效的细粒度分类;
所述分类模型是根据每个特征的信息增益,按照信息增益的大小,自上向下构建决策树分类模型,信息增益最大的特征作为决策树模型最优节点,根据所述决策树模型,实时检测海量日志,给出更细粒度的权限提升判定结果;
所述细粒度的权限提升判定结果,根据进程树结构变化提取进程权限提升信息,结合当前权限提升行为所触发的规则,给出更细粒度的权限提升判定结果包括利用漏洞的权限提升行为、某个进程的权限提升操作行为、改变用户所属用户组来实现权限提升、通过修改文件属性实现权限提升和通过修改文件拥有者实现权限提升。
2.根据权利要求1所述海量日志提权行为检测与分类方法,其特征在于,所述对特征向量集合按照所述信息增益值进行排序,建立分类模型,以信息熵的下降速度为选取提权特征的标准,即在每个节点选取最高信息增益的提权特征作为划分标准,然后继续这个过程,直到生成的分类模型能完美分类训练日志样本。
3.根据权利要求2所述海量日志提权行为检测与分类方法,其特征在于,所述信息增益是来衡量一个特征区分日志样本的能力,计算公式:
Grain(A)=Info(D)-InfoA(D)
其中,Grain(A)为信息增益,A为提权特征;D为所述训练日志样本,Info(D)和InfoA(D)分别为提权特征A作用前、后的信息熵;
通过计算所述提权特征A作用前、后的信息熵的差,当新增一个提权特征A时,信息熵Grain(A)的变化大小即为提权特征A的信息增益。
4.根据权利要求3所述海量日志提权行为检测与分类方法,其特征在于,所述信息熵InfoA(D)描述提权特征A携带的信息量,信息量越大,则越不确定,越不容易被预测;
Figure FDA0002733895630000021
Figure FDA0002733895630000022
c表示数据类别数,pi表示类别i样本数量占所有样本的比例即所述数学统计结果,k表示样本D被分为k个部分。
5.根据权利要求1所述海量日志提权行为检测与分类方法,其特征在于,所述标定是指对训练数据中所包含的提权记录以及提权类型赋予标签信息,所述小批量是指所选用的分类模型所需要的最小训练样本量。
6.根据权利要求1所述海量日志提权行为检测与分类方法,其特征在于,所述多维度提权特征,包括进程树结构特征PS(Pstree Signature)、用户登录特征LS(LoginSignature)、sudo操作特征OS(Operation Signature)和关键字特征KS(KeywordSignature)。
7.根据权利要求6所述海量日志提权行为检测与分类方法,其特征在于,
所述进程树结构特征是通过关联进程日志,构建进程树,普通用户获取管理员权限时,追踪进程树中进程所在的用户ID变化情况,当一个uid不为0的父进程派生出一个uid为0的子进程时,该子进程即为权限提升后产生的进程,基于该特征作为检测依据,提取所有权限提升行为的日志记录;
所述用户登录特征是筛选出日志含有登陆成功信息的关键日志记录,提取出登录用户名和登录时间,记录该登录时间,提取待检测日志中用户的操作记录和操作时间信息,如果在该操作记录之前没有该用户登录的痕迹,则该操作记录是利用漏洞使用户权限提升后的操作记录;
所述sudo操作特征是日志记录中含有“sudo”且没有“user NOT in sudoers”,则该条记录是配置不当使得普通用户权限提升,用户使用sudo命令的记录,提取其中的用户名、时间和操作命令信息;
所述关键字特征是判断修改用户组操作,如果把用户追加到root组或具有root权限的组中,则判断其为修改用户组权限提升行为,分析日志文件,提取包含“usermod-G”字段,如果是追加到具有root权限的用户组中,则该条记录为修改用户组权限提升行为。
CN201910580763.0A 2019-06-29 2019-06-29 一种海量日志提权行为检测及分类方法 Active CN110263566B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910580763.0A CN110263566B (zh) 2019-06-29 2019-06-29 一种海量日志提权行为检测及分类方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910580763.0A CN110263566B (zh) 2019-06-29 2019-06-29 一种海量日志提权行为检测及分类方法

Publications (2)

Publication Number Publication Date
CN110263566A CN110263566A (zh) 2019-09-20
CN110263566B true CN110263566B (zh) 2020-12-22

Family

ID=67923263

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910580763.0A Active CN110263566B (zh) 2019-06-29 2019-06-29 一种海量日志提权行为检测及分类方法

Country Status (1)

Country Link
CN (1) CN110263566B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111274008B (zh) * 2020-01-08 2023-07-18 百度在线网络技术(北京)有限公司 进程控制方法、服务器和电子设备
CN111538639B (zh) * 2020-04-29 2023-08-18 湖南大学 一种日志解析方法
CN112199672A (zh) * 2020-10-10 2021-01-08 北京微步在线科技有限公司 账号权限提升行为的检测方法、装置及可读存储介质
CN113918955A (zh) * 2021-09-29 2022-01-11 杭州默安科技有限公司 一种linux内核漏洞权限提升检测阻断方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104462970A (zh) * 2014-12-17 2015-03-25 中国科学院软件研究所 一种基于进程通信的Android应用程序权限滥用检测方法
CN106897625A (zh) * 2017-01-22 2017-06-27 北京理工大学 支持漏洞关联性挖掘的漏洞自动分类方法
CN106991325A (zh) * 2017-03-02 2017-07-28 北京理工大学 一种软件漏洞的防护方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8863276B2 (en) * 2013-01-31 2014-10-14 International Business Machines Corporation Automated role adjustment in a computer system
CN105550583B (zh) * 2015-12-22 2018-02-13 电子科技大学 基于随机森林分类方法的Android平台恶意应用检测方法
CN107888571B (zh) * 2017-10-26 2020-08-28 江苏省互联网行业管理服务中心 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104462970A (zh) * 2014-12-17 2015-03-25 中国科学院软件研究所 一种基于进程通信的Android应用程序权限滥用检测方法
CN106897625A (zh) * 2017-01-22 2017-06-27 北京理工大学 支持漏洞关联性挖掘的漏洞自动分类方法
CN106991325A (zh) * 2017-03-02 2017-07-28 北京理工大学 一种软件漏洞的防护方法和装置

Also Published As

Publication number Publication date
CN110263566A (zh) 2019-09-20

Similar Documents

Publication Publication Date Title
CN110263566B (zh) 一种海量日志提权行为检测及分类方法
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
CN114172748B (zh) 一种加密恶意流量检测方法
CN109714341A (zh) 一种Web恶意攻击识别方法、终端设备及存储介质
CN107273752B (zh) 基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法
CN111881451B (zh) 一种工业控制系统的漏洞关联挖掘方法
CN112464232B (zh) 一种基于混合特征组合分类的Android系统恶意软件检测方法
Koutsouvelis et al. Detection of insider threats using artificial intelligence and visualisation
CN107341371A (zh) 一种适用于web组态的脚本控制方法
CN111600905A (zh) 一种基于物联网异常检测方法
CN117195250A (zh) 一种数据安全管理方法及系统
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Chen et al. Intrusion detection system based on immune algorithm and support vector machine in wireless sensor network
Kumar et al. Anomaly based network intrusion detection using ensemble machine learning technique
CN113946823A (zh) 一种基于url基线偏离度分析的sql注入检测方法及装置
CN115842645A (zh) 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质
CN113132291B (zh) 一种边缘侧基于网络流量的异构终端特征生成及识别方法
CN114285596A (zh) 基于机器学习的变电站终端账号异常检测方法
CN111368291A (zh) 一种类蜜罐防御的实现方法及系统
Vyas et al. Intrusion detection systems: a modern investigation
CN111913944A (zh) 一种带有警报功能的高安全性大数据分析方法
Zhang The WSN intrusion detection method based on deep data mining
Majeed et al. Propose hmnids hybrid multilevel network intrusion detection system
CN111371794A (zh) 阴影域检测模型、检测模型建立方法、检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant