CN110737891A - 一种主机入侵检测方法和装置 - Google Patents
一种主机入侵检测方法和装置 Download PDFInfo
- Publication number
- CN110737891A CN110737891A CN201810796167.1A CN201810796167A CN110737891A CN 110737891 A CN110737891 A CN 110737891A CN 201810796167 A CN201810796167 A CN 201810796167A CN 110737891 A CN110737891 A CN 110737891A
- Authority
- CN
- China
- Prior art keywords
- detection
- signal data
- ret
- host
- static
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 229
- 230000003068 static effect Effects 0.000 claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 81
- 230000006399 behavior Effects 0.000 claims abstract description 75
- 230000008569 process Effects 0.000 claims abstract description 54
- 238000012549 training Methods 0.000 claims abstract description 44
- 239000002245 particle Substances 0.000 claims abstract description 25
- 239000004576 sand Substances 0.000 claims abstract description 20
- 238000005457 optimization Methods 0.000 claims abstract description 18
- 238000012360 testing method Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 6
- 241000764238 Isis Species 0.000 claims description 2
- 206010001488 Aggression Diseases 0.000 claims 1
- 230000016571 aggressive behavior Effects 0.000 claims 1
- 208000012761 aggressive behavior Diseases 0.000 claims 1
- 230000035484 reaction time Effects 0.000 abstract description 6
- 239000002904 solvent Substances 0.000 abstract 1
- 238000012706 support-vector machine Methods 0.000 description 36
- 238000010586 diagram Methods 0.000 description 13
- 238000007726 management method Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 201000004569 Blindness Diseases 0.000 description 2
- 241001178520 Stomatepia mongo Species 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
Abstract
本发明公开了一种主机入侵检测方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。该实施方式能够提高对未知攻击行为的检出率;降低对正常操作的检测误报率,保证正常业务的稳定性;在检出攻击行为时自动生成检测规则并更新检测特征库,减少人工干预成本,缩短对未知攻击行为的反应时间。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种主机入侵检测方法和装置。
背景技术
随着Intentet的广泛应用和网络空间信息流的急剧增长,各领域在得益于网络发展的同时,其数据的安全性也受到了严重的威胁。就数据检测而言,入侵检测可以分为两大类型,基于网络的入侵检测和基于主机的入侵检测。网络型入侵检测主要是检测网络上的原始数据包,从而判断数据包中是否有攻击行为;主机型入侵检测主要通过分析主机上日志、主机流量、进程行为等多方面的信息,判断主机是否遭受攻击。
对于主机型入侵检测,当前主要采用误用检测和异常检测两种手段:误用检测,就是利用已知的特征库对用户的行为进行检测;异常检测,就是收集大量正常数据,对行为进行建模,对不符合模型的行为,则会判别为攻击。
现有的主机型入侵检测方法至少存在以下不足:
(1)误用检测无法有效检测出未知攻击行为;
(2)异常检测的误报率比较高,对正常业务有一定的影响。
发明内容
有鉴于此,本发明实施例提供一种主机入侵检测方法和装置,能够提高对未知攻击行为的检出率;降低对正常操作的检测误报率,保证正常业务的稳定性;在检出攻击行为时自动生成检测规则并更新检测特征库,减少人工干预成本,缩短对未知攻击行为的反应时间。
根据本发明实施例的一个方面,提供了一种主机入侵检测方法。
根据本发明实施例的主机入侵检测方法包括:
采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;
从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;
根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;
根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。
可选地,静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
动态信号数据是根据主机运行当前进程时产生的系统调用序列确定的。
可选地,预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;从预设特征库中查找与静态信号数据匹配的静态检测规则rets,包括:
从预设的特征库中查找与静态信号数据匹配的检测结果;
以检测结果对应的检测规则作为与静态信号数据匹配的静态检测规则rets。
可选地,根据动态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为动态预测结果retd。
可选地,根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为,包括:
根据静态检测规则rets和动态预测结果retd生成当前进程的检测结果R(rets,retd);
当当前进程的检测结果R在预设的阈值
范围内时,则判定主机的当前进程是攻击行为;否则判定主机的当前进程不是攻击行为。
可选地,判定主机的当前进程是攻击行为之后,还包括:
提取攻击行为的攻击特征码以形成攻击行为的检测规则,并将攻击行为对应的检测结果和检测规则保存主机的特征库。
可选地,本发明实施例的主机入侵检测方法还包括:将主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。
根据本发明实施例的一个方面,提供了一种主机入侵检测装置。
根据本发明实施例的主机入侵检测装置包括:
数据采集模块,采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;
检测判断模块,从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。
可选地,静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
动态信号数据是根据主机运行当前进程时产生的系统调用序列确定的。
可选地,预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;检测判断模块还用于:
从预设的特征库中查找与静态信号数据匹配的检测结果;以检测结果对应的检测规则作为与静态信号数据匹配的静态检测规则rets。
可选地,检测判断模块根据所态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为动态预测结果retd。
可选地,检测判断模块还用于:
根据静态检测规则rets和动态预测结果retd生成当前进程的检测结果R(rets,retd);当当前进程的检测结果R在预设的阈值
范围内时,则判定主机的当前进程是攻击行为;否则判定主机的当前进程不是攻击行为。
可选地,检测判断模块还用于:
提取攻击行为的攻击特征码以形成攻击行为的检测规则,并将攻击行为对应的检测结果和检测规则保存至主机的特征库。
可选地,本发明实施例的主机入侵检测装置还包括:集中管控模块,将主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。
根据本发明实施例的另一个方面,提供了一种主机入侵检测电子设备。
根据本发明实施例的主机入侵检测电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当该一个或多个程序被该一个或多个处理器执行,使得该一个或多个处理器实现本发明实施例第一方面提供的主机入侵检测方法。
根据本发明实施例的再一个方面,提供了一种计算机可读介质。
根据本发明实施例的计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例第一方面提供的主机入侵检测方法。
上述发明中的一个实施例具有如下优点或有益效果:采用静态信号数据和动态信号数据相结合的方式,利用改进的SVM模型识别未知攻击,能够提高对未知攻击行为的检出率;降低对正常操作的检测误报率,保证正常业务的稳定性。在检出攻击行为时自动生成检测规则并更新当前主机和其他主机的特征库,能够减少人工干预成本,缩短对未知攻击行为的反应时间。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的主机入侵检测方法的主要流程的示意图;
图2是本发明可选实施例中获取动态预测结果的主要流程的示意图;
图3是根据本发明实施例的主机入侵检测装置的主要模块的示意图;
图4是根据本发明实施例的主机入侵检测装置的应用场景的示意图;
图5是本发明实施例可以应用于其中的示例性系统架构图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
根据本发明实施例的一个方面,提供了一种主机入侵检测方法。
图1是根据本发明实施例的主机入侵检测方法的主要流程的示意图。如图1所示,根据本发明实施例的主机入侵检测方法包括:步骤S101、步骤S102、步骤S103和步骤S104。
步骤S101、采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s。
与Internet(互联网)相连的任何一台计算机都称为主机,每台主机都有一个唯一的IP地址,每台主机在互联网上的地位都是平等的。本发明实施例中的主机可以是发送与接收信息的任何终端设备,例如电脑、笔记本、手机等。
静态信号数据和动态信号数据是主机关键的信号数据。其中,静态信号数据时与系统资源有关的信号数据,例如CPU(Central Processing Unit,中央处理器)使用率,内存使用率,生成的socket(套接字)连接数,敏感文件(根据实际情况将某些文件设置为敏感文件,以便于其他文件区分)变更。动态信号数据是指与主机中运行的进程有关的信号数据,其可以是根据主机运行当前进程时产生的系统调用序列确定的,例如从主机运行当前进程时产生的系统调用序列中截取一定长度(例如长度为S)的字符串作为动态信号数据。
采集到的静态信号可以是经过去重、聚合、清洗等方式预处理之后生成的一个N维向量。其中,N表示选取的系统资源种类。通过去重、聚合、清洗等方式进行预处理,能够提高主机入侵检测的准确性。采集到的静态信号数据和动态信号数据可以通过RPC(RemoteProcedure Call Protocol,远程过程调用协议)方式实时向量(n,s)上报,以便进行后续分析处理。RPC是一种通过网络从远程计算机程序上请求服务而不需要了解底层网络技术的协议,采用RPC方式上报信号数据便于采用本发明实施例的主机入侵检测方法的系统的开发。
步骤S102、从预设的特征库中查找与静态信号数据匹配的静态检测规则rets。
预设的特征库中配置有部分检测规则,这些检测规则可以是用户定义的基础规则,也可以是检测到攻击行为之后更新至特征库中的未知攻击行为的检测规则。
本步骤中进行匹配是,先使用特征库中的规则对静态信号数据进行匹配,判断是否匹配成功。若匹配成功,停止并输出静态检测规则rets;匹配不成功,继续与下一条检测规则匹配,直到匹配到静态检测规则rets。
可选地,预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;从预设特征库中查找与静态信号数据匹配的静态检测规则rets,包括:从预设的特征库中查找与静态信号数据匹配的检测结果;以检测结果对应的检测规则作为与静态信号数据匹配的静态检测规则rets。
步骤S103、根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的。
以SVM(Support Vector Machine,支持向量机)模型作为预测模型获取动态预测结果时存在着训练参数选取盲目性的问题。本发明实施例中采用粒子群优化算法得到SVM模型的训练参数,能够避免训练参数选取盲目性的问题,提高预测模型准确度。基于改进SVM模型,可以主动识别未知攻击行为,大大提高对各种未知攻击行为的检出率。
图2是本发明可选实施例中获取动态预测结果的主要流程的示意图。如图2所示,根据动态信号数据和SVM模型获取动态预测结果retd,可以包括:
步骤A:读取训练样本集,并将动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件(例如,当F>收敛阈值e时判定满足F收敛条件)的最终预测模型为止;最终预测模型对应的预测结果即为动态预测结果retd。
步骤S104、根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。
不同主机上运行的进行不一定相同,例如每一个主机都有自己独特的业务;同一主机不同时刻运行的进程也不一定相同,因此检测规则从本质上会存在一定差异。本发明实施例采用静态信号数据与动态信号数据检测相结合的方式,进一步提高了预测模型的可靠性和有效性,降低了误报率,避免对正常业务的影响。
可选地,根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为,包括:
根据静态检测规则rets和动态预测结果retd生成当前进程的检测结果R(rets,retd);
当当前进程的检测结果R在预设的阈值
范围内时,则判定主机的当前进程是攻击行为;否则判定主机的当前进程不是攻击行为。检测结果R是一个向量,当该向量的模在预设的阈值
范围内时,认为检测结果R在预设的阈值
范围内。阈值
可以根据实际情况进行选择性设定,本发明实施例对此不作具体限定。
判定主机的当前进程是攻击行为之后,还可以包括:提取攻击行为的攻击特征码以形成攻击行为的检测规则,并将攻击行为对应的检测结果和检测规则保存主机的特征库。在检出攻击行为时自动生成检测规则并更新检测特征库,减少人工干预成本,当该攻击行为再次出现时能够快速识别,缩短对该攻击行为的反应时间。
可选地,本发明实施例的主机入侵检测方法还可以包括:将主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。当一个主机检测出攻击行为时,将该攻击行为的检测结果和检测规则更新到其他主机,能够减少人工干预成本,缩短其他主机对该攻击行为的反应时间。
根据本发明实施例的一个方面,提供了一种主机入侵检测装置。
图3是根据本发明一些实施例中的主机入侵检测装置的主要模块的示意图。如图3所示,根据本发明实施例的主机入侵检测装置300包括:
数据采集模块301,采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;
检测判断模块302,从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。
可选地,静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
动态信号数据是根据主机运行当前进程时产生的系统调用序列确定的。
可选地,预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;检测判断模块还用于:
从预设的特征库中查找与静态信号数据匹配的检测结果;以检测结果对应的检测规则作为与静态信号数据匹配的静态检测规则rets。
可选地,检测判断模块根据所态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为动态预测结果retd。
可选地,检测判断模块还用于:根据静态检测规则rets和动态预测结果retd生成当前进程的检测结果R(rets,retd);当当前进程的检测结果R在预设的阈值范围内时,则判定主机的当前进程是攻击行为;否则判定主机的当前进程不是攻击行为。
可选地,检测判断模块还用于:提取攻击行为的攻击特征码以形成攻击行为的检测规则,并将攻击行为对应的检测结果和检测规则保存至主机的特征库。
图4是根据本发明另一些实施例中的主机入侵检测装置的主要模块的示意图。如图4所示,根据本发明实施例的主机入侵检测装置400包括:
数据采集模块401,采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;
检测判断模块402,从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。
可选地,静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
动态信号数据是根据主机运行当前进程时产生的系统调用序列确定的。
可选地,预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;检测判断模块还用于:
从预设的特征库中查找与静态信号数据匹配的检测结果;以检测结果对应的检测规则作为与静态信号数据匹配的静态检测规则rets。
可选地,检测判断模块根据所态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为动态预测结果retd。
可选地,检测判断模块还用于:根据静态检测规则rets和动态预测结果retd生成当前进程的检测结果R(rets,retd);当当前进程的检测结果R在预设的阈值
范围内时,则判定主机的当前进程是攻击行为;否则判定主机的当前进程不是攻击行为。
可选地,检测判断模块还用于:提取攻击行为的攻击特征码以形成攻击行为的检测规则,并将攻击行为对应的检测结果和检测规则保存至主机的特征库。
可选地,本发明实施例的主机入侵检测装置还包括:集中管控模块403,将主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。
由于每个云区Region都部署了不同的业务,因此在图4示出的可选实施例中,在每个Region区域内各部署一各检测判断模块402。主要功能包括数据分析、SVM模型训练、攻击检测、任务下发。数据分析模块对于主机Agent上报的静态信号数据n,会使用特征库对其进行匹配,判断是否匹配成功。若匹配成功,停止并输出匹配结果rets;匹配不成功,继续与下一条规则匹配,直到匹配全部特征库的规则。集中管控模块403为整套装置的大脑,支持横向扩展分布式部署。主要作用包括管理规则库,分析、展示安全事件,告警相关的攻击。其中,规则更新功能负责规则库管理,主要包括用户定义的规则(已内置部分基础规则)、Region内检测判断模块402自动生成的规则。另外,当有新的攻击行为出现时,可以及时更新规则库,并推送到各个主机区域的检测判断模块402(Server)上。安全事件分析,主要是对告警信息进行分析,可从各个维度的信息中发现webshell(以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门)写入行为、异常登录行为、异常网络连接行为、异常命令调用行为等,从而实现对入侵行为实时告警。其中,告警级别可以为只告警、只日志、告警+日志三部分。
在图4示出的可选实施例中,主机入侵检测装置还包括数据存储部分,包括:分布式ES(Elasticsearch,是一个兼有搜索引擎和NoSQL数据库功能的开源系统)集群,和分布式的Mongo数据库(Mongo数据库是一个高性能、开源、无模式的、基于分布式文件存储的文档型数据库,由C++语言编写)。前者主要是保存模型训练的训练样本集以及对于攻击行为的检测结果;后者主要用于保存检测判断模块402进程的相关信息,如进程PID(进程标识符)、进程运行时的环境变量等。
根据本发明实施例的另一个方面,提供了一种主机入侵检测电子设备。
根据本发明实施例的主机入侵检测电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当该一个或多个程序被该一个或多个处理器执行,使得该一个或多个处理器实现本发明实施例第一方面提供的主机入侵检测方法。
图5示出了可以应用本发明实施例的主机入侵检测方法或主机入侵检测装置的示例性系统架构500。
如图5所示,系统架构500可以包括终端设备501、502、503,网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501、502、503通过网络504与服务器505交互,以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器505可以是提供各种服务的服务器,例如对用户利用终端设备501、502、503所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的主机入侵检测方法一般由服务器505执行,相应地,主机入侵检测装置一般设置于服务器505中。
应该理解,图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括:数据采集模块301,采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;检测判断模块302,从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,数据采集模块还可以被描述为“从预设的特征库中查找与静态信号数据匹配的静态检测规则rets的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;从预设的特征库中查找与静态信号数据匹配的静态检测规则rets;根据动态信号数据和SVM模型获取动态预测结果retd;SVM模型的训练参数是采用粒子群优化算法得到的;根据静态检测规则rets和动态预测结果retd判断主机的当前进程是否为攻击行为。
根据本发明实施例的技术方案,具有如下优点或有益效果:采用静态信号数据和动态信号数据相结合的方式,利用改进的SVM模型识别未知攻击,能够提高对未知攻击行为的检出率;降低对正常操作的检测误报率,保证正常业务的稳定性。在检出攻击行为时自动生成检测规则并更新当前主机和其他主机的特征库,能够减少人工干预成本,缩短对未知攻击行为的反应时间。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (16)
1.一种主机入侵检测方法,其特征在于,包括:
采集主机的信号数据,所述信号数据包括:静态信号数据n和动态信号数据s;
从预设的特征库中查找与所述静态信号数据匹配的静态检测规则rets;
根据所述动态信号数据和SVM模型获取动态预测结果retd;所述SVM模型的训练参数是采用粒子群优化算法得到的;
根据所述静态检测规则rets和所述动态预测结果retd判断所述主机的当前进程是否为攻击行为。
2.如权利要求1所述的方法,其特征在于,所述静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
所述动态信号数据是根据所述主机运行当前进程时产生的系统调用序列确定的。
3.如权利要求1所述的方法,其特征在于,所述预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;从预设特征库中查找与所述静态信号数据匹配的静态检测规则rets,包括:
从预设的特征库中查找与所述静态信号数据匹配的检测结果;
以所述检测结果对应的检测规则作为与所述静态信号数据匹配的静态检测规则rets。
4.如权利要求1所述的方法,其特征在于,根据所述动态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将所述动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为所述动态预测结果retd。
5.如权利要求1所述的方法,其特征在于,根据所述静态检测规则rets和所述动态预测结果retd判断所述主机的当前进程是否为攻击行为,包括:
根据所述静态检测规则rets和所述动态预测结果retd生成当前进程的检测结果R(rets,retd);
当当前进程的检测结果R在预设的阈值
范围内时,则判定所述主机的当前进程是攻击行为;否则判定所述主机的当前进程不是攻击行为。
6.如权利要求5所述的方法,其特征在于,判定所述主机的当前进程是攻击行为之后,还包括:
提取所述攻击行为的攻击特征码以形成所述攻击行为的检测规则,并将所述攻击行为对应的检测结果和检测规则保存所述主机的特征库。
7.如权利要求6所述的方法,其特征在于,还包括:将所述主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。
8.一种主机入侵检测装置,其特征在于,包括:
数据采集模块,采集主机的信号数据,所述信号数据包括:静态信号数据n和动态信号数据s;
检测判断模块,从预设的特征库中查找与所述静态信号数据匹配的静态检测规则rets;根据所述动态信号数据和SVM模型获取动态预测结果retd;所述SVM模型的训练参数是采用粒子群优化算法得到的;根据所述静态检测规则rets和所述动态预测结果retd判断所述主机的当前进程是否为攻击行为。
9.如权利要求8所述的装置,其特征在于,所述静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
所述动态信号数据是根据所述主机运行当前进程时产生的系统调用序列确定的。
10.如权利要求8所述的装置,其特征在于,所述预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;所述检测判断模块还用于:
从预设的特征库中查找与所述静态信号数据匹配的检测结果;以所述检测结果对应的检测规则作为与所述静态信号数据匹配的静态检测规则rets。
11.如权利要求8所述的装置,其特征在于,所述检测判断模块根据所述动态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将所述动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为所述动态预测结果retd。
12.如权利要求8所述的装置,其特征在于,所述检测判断模块还用于:
根据所述静态检测规则rets和所述动态预测结果retd生成当前进程的检测结果R(rets,retd);当当前进程的检测结果R在预设的阈值
范围内时,则判定所述主机的当前进程是攻击行为;否则判定所述主机的当前进程不是攻击行为。
13.如权利要求12所述的装置,其特征在于,所述检测判断模块还用于:
提取所述攻击行为的攻击特征码以形成所述攻击行为的检测规则,并将所述攻击行为对应的检测结果和检测规则保存至所述主机的特征库。
14.如权利要求13所述的装置,其特征在于,还包括:集中管控模块,将所述主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。
15.一种主机入侵检测电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
16.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810796167.1A CN110737891A (zh) | 2018-07-19 | 2018-07-19 | 一种主机入侵检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810796167.1A CN110737891A (zh) | 2018-07-19 | 2018-07-19 | 一种主机入侵检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110737891A true CN110737891A (zh) | 2020-01-31 |
Family
ID=69235063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810796167.1A Pending CN110737891A (zh) | 2018-07-19 | 2018-07-19 | 一种主机入侵检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110737891A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112182574A (zh) * | 2020-09-10 | 2021-01-05 | 青岛海尔科技有限公司 | 用于入侵检测的方法及装置、服务器 |
| CN112182573A (zh) * | 2020-09-10 | 2021-01-05 | 青岛海尔科技有限公司 | 用于入侵检测的方法及装置、设备 |
| CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
| CN113839904A (zh) * | 2020-06-08 | 2021-12-24 | 北京梆梆安全科技有限公司 | 基于智能网联汽车的安全态势感知方法和系统 |
| CN113868646A (zh) * | 2021-08-06 | 2021-12-31 | 华北电力科学研究院有限责任公司 | 基于主机的入侵检测方法及装置 |
| CN114090967A (zh) * | 2021-10-25 | 2022-02-25 | 广州大学 | 一种基于pso-msvm的apt组织追踪溯源方法及系统 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201477598U (zh) * | 2009-09-01 | 2010-05-19 | 北京鼎普科技股份有限公司 | 终端木马监测装置 |
| CN103745154A (zh) * | 2013-12-27 | 2014-04-23 | 柳州职业技术学院 | 一种具有自学习能力的入侵检测系统及检测方法 |
| CN104361285A (zh) * | 2014-11-20 | 2015-02-18 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
| CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
| CN105069354A (zh) * | 2015-07-31 | 2015-11-18 | 天津大学 | 基于攻击树模型的Android软件混合检测方法 |
| CN105530265A (zh) * | 2016-01-28 | 2016-04-27 | 李青山 | 一种基于频繁项集描述的移动互联网恶意应用检测方法 |
| CN106055980A (zh) * | 2016-05-30 | 2016-10-26 | 南京邮电大学 | 一种基于规则的JavaScript安全性检测方法 |
| CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
| CN106709290A (zh) * | 2016-12-16 | 2017-05-24 | 江苏通付盾科技有限公司 | 一种应用安全性分析方法及装置 |
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106991324A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN107590388A (zh) * | 2017-09-12 | 2018-01-16 | 南方电网科学研究院有限责任公司 | 恶意代码检测方法和装置 |
| CN108038374A (zh) * | 2017-12-26 | 2018-05-15 | 郑州云海信息技术有限公司 | 一种检测实时威胁的方法 |
-
2018
- 2018-07-19 CN CN201810796167.1A patent/CN110737891A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201477598U (zh) * | 2009-09-01 | 2010-05-19 | 北京鼎普科技股份有限公司 | 终端木马监测装置 |
| CN103745154A (zh) * | 2013-12-27 | 2014-04-23 | 柳州职业技术学院 | 一种具有自学习能力的入侵检测系统及检测方法 |
| CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
| CN104361285A (zh) * | 2014-11-20 | 2015-02-18 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
| CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
| CN105069354A (zh) * | 2015-07-31 | 2015-11-18 | 天津大学 | 基于攻击树模型的Android软件混合检测方法 |
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN105530265A (zh) * | 2016-01-28 | 2016-04-27 | 李青山 | 一种基于频繁项集描述的移动互联网恶意应用检测方法 |
| CN106055980A (zh) * | 2016-05-30 | 2016-10-26 | 南京邮电大学 | 一种基于规则的JavaScript安全性检测方法 |
| CN106709290A (zh) * | 2016-12-16 | 2017-05-24 | 江苏通付盾科技有限公司 | 一种应用安全性分析方法及装置 |
| CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
| CN106991324A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN107590388A (zh) * | 2017-09-12 | 2018-01-16 | 南方电网科学研究院有限责任公司 | 恶意代码检测方法和装置 |
| CN108038374A (zh) * | 2017-12-26 | 2018-05-15 | 郑州云海信息技术有限公司 | 一种检测实时威胁的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 高昆仑;刘建明;徐茹枝;王宇飞;李怡康;: "基于支持向量机和粒子群算法的信息网络安全态势复合预测模型", 电网技术, no. 04, pages 176 - 182 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
| CN113839904A (zh) * | 2020-06-08 | 2021-12-24 | 北京梆梆安全科技有限公司 | 基于智能网联汽车的安全态势感知方法和系统 |
| CN113839904B (zh) * | 2020-06-08 | 2023-08-22 | 北京梆梆安全科技有限公司 | 基于智能网联汽车的安全态势感知方法和系统 |
| CN112182574A (zh) * | 2020-09-10 | 2021-01-05 | 青岛海尔科技有限公司 | 用于入侵检测的方法及装置、服务器 |
| CN112182573A (zh) * | 2020-09-10 | 2021-01-05 | 青岛海尔科技有限公司 | 用于入侵检测的方法及装置、设备 |
| CN113868646A (zh) * | 2021-08-06 | 2021-12-31 | 华北电力科学研究院有限责任公司 | 基于主机的入侵检测方法及装置 |
| CN113868646B (zh) * | 2021-08-06 | 2024-04-26 | 华北电力科学研究院有限责任公司 | 基于主机的入侵检测方法及装置 |
| CN114090967A (zh) * | 2021-10-25 | 2022-02-25 | 广州大学 | 一种基于pso-msvm的apt组织追踪溯源方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110737891A (zh) | 一种主机入侵检测方法和装置 | |
| US10310969B2 (en) | Systems and methods for test prediction in continuous integration environments | |
| US11574063B2 (en) | Automatic detection of an incomplete static analysis security assessment | |
| US8627469B1 (en) | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications | |
| US11503070B2 (en) | Techniques for classifying a web page based upon functions used to render the web page | |
| EP3058481B1 (en) | Acceleration based on cached flows | |
| US11580294B2 (en) | Techniques for web framework detection | |
| US11720825B2 (en) | Framework for multi-tenant data science experiments at-scale | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| JP2018508892A (ja) | 装置指紋をインターネット装置に割り当てるための方法及び機器 | |
| CN111669379A (zh) | 行为异常检测方法和装置 | |
| CN110677307A (zh) | 一种服务监测方法、装置、设备和存储介质 | |
| CN113918438A (zh) | 服务器异常的检测方法、装置、服务器及存储介质 | |
| KR102072288B1 (ko) | GANs을 이용한 보안 로그 데이터의 이상 탐지 방법 및 이를 수행하는 장치들 | |
| US20220334744A1 (en) | Method, electronic device, and computer program product for processing data | |
| CN113590447B (zh) | 埋点处理方法和装置 | |
| US8798982B2 (en) | Information processing device, information processing method, and program | |
| CN109885472A (zh) | 测试管理方法及系统和计算机可读存储介质 | |
| US11599406B2 (en) | Common platform for fulfilling different actions | |
| AU2020221855B2 (en) | Activity detection in web applications | |
| US11487570B1 (en) | Efficient creation of endpoints for accessing services directly within a cloud-based system | |
| CN110580200B (zh) | 数据同步方法和装置 | |
| US11012463B2 (en) | Predicting condition of a host for cybersecurity applications | |
| GB2546135A (en) | Robust computing device identification framework | |
| US20200304539A1 (en) | Detecting denial of service attacks in serverless computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 101111 Room 221, 2nd Floor, Block C, 18 Kechuang 11th Street, Beijing Economic and Technological Development Zone Applicant after: Jingdong Technology Holding Co.,Ltd. Address before: 101111 Room 221, 2nd Floor, Block C, 18 Kechuang 11th Street, Beijing Economic and Technological Development Zone Applicant before: Jingdong Digital Technology Holding Co.,Ltd. Address after: 101111 Room 221, 2nd Floor, Block C, 18 Kechuang 11th Street, Beijing Economic and Technological Development Zone Applicant after: Jingdong Digital Technology Holding Co.,Ltd. Address before: 101111 Room 221, 2nd Floor, Block C, 18 Kechuang 11th Street, Beijing Economic and Technological Development Zone Applicant before: JINGDONG DIGITAL TECHNOLOGY HOLDINGS Co.,Ltd. Address after: 101111 Room 221, 2nd Floor, Block C, 18 Kechuang 11th Street, Beijing Economic and Technological Development Zone Applicant after: JINGDONG DIGITAL TECHNOLOGY HOLDINGS Co.,Ltd. Address before: 101111 Room 221, 2nd Floor, Block C, 18 Kechuang 11th Street, Beijing Economic and Technological Development Zone Applicant before: BEIJING JINGDONG FINANCIAL TECHNOLOGY HOLDING Co.,Ltd. |
|
| CB02 | Change of applicant information |