CN111651591A - 一种网络安全分析方法和装置 - Google Patents
一种网络安全分析方法和装置 Download PDFInfo
- Publication number
- CN111651591A CN111651591A CN201910159586.9A CN201910159586A CN111651591A CN 111651591 A CN111651591 A CN 111651591A CN 201910159586 A CN201910159586 A CN 201910159586A CN 111651591 A CN111651591 A CN 111651591A
- Authority
- CN
- China
- Prior art keywords
- nodes
- cluster
- clustering
- security
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本申请提供一种网络安全分析方法和装置,用以提高发现非安全团伙的效率,涉及网络安全技术领域。该方法中,获取待分析的云查样本;确定各云查样本的安全属性;从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图;采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。这样,不需要分析人员人为的对各类节点进行关联分析,节省了人力资源,也提高了发现非安全团伙的效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络安全分析方法和装置。
背景技术
目前,非安全团伙的发现主要通过间接的方法辅助人工,该间接的方法包括文件同源性算法和域名聚类算法。其中,文件同源性算法需要大量安全专家的经验,而且仅仅能够发现同一个非安全家族的非安全文件。域名聚类算法与文件同源性算法类似,只能够聚类同一非安全家族的非安全域名。
通过文件同源性算法得到的非安全文件和域名聚类算法得到的非安全域名都无法反映一个非安全团伙。
发明内容
为了发现非安全团伙,本申请实施例提供一种网络安全分析方法和装置。
一方面,本申请实施例提供一种网络安全分析方法。该方法中,获取待分析的云查样本;
确定各云查样本的安全属性;
从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图;
采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。
一方面,本申请实施例提供一种网络安全分析装置。该装置包括:
获取模块,用于获取待分析的云查样本;
确定模块,用于确定各云查样本的安全属性;
子图抽取模块,用于从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图;
聚类模块,用于采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。
一方面,提供一种网络安全分析设备,包括至少一个处理单元、以及至少一个存储单元,其中,存储单元存储有计算机程序,当程序被处理单元执行时,使得处理单元执行上述任意一种网络安全分析方法的步骤。
一方面,提供一种计算机可读介质,其存储有可由网络安全分析设备执行的计算机程序,当程序在网络安全分析设备上运行时,使得网络安全分析设备执行上述任意一种网络安全分析方法的步骤。
本申请实施例提供的一种网络安全分析方法,可以将待分析的云查样本中的非安全样本,根据广度优先搜索方法在安全知识图谱中抽取子图。并对子图中的各节点进行聚类,得到聚类结果。聚类结果中的每一类簇表示为一类疑似非安全团伙。这样,可以对一类非安全团伙进行分析并监控,可以了解一类非安全团伙的动向,并且避免被其攻击和感染,提高网络安全。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种网络安全分析方法的应用场景示意图;
图2为本申请实施例中一种网络安全分析方法的流程图;
图3为本申请实施例中广度优先搜索方法抽取子图的示意图;
图4a为本申请实施例中广度优先搜索方法抽取子图的应用场景示意图;
图4b为本申请实施例中广度优先搜索方法抽取子图的流程图;
图5为本申请实施例中社区发现算法实现过程图;
图6为通过本申请实施例提供的技术方案得到的聚类结果示意图;
图7为本申请实施例中一种网络分析安全装置示意图;
图8为根据本申请实施方式的网络安全法分析设备示意图。
具体实施方式
发明人研究发现,现有技术中,基于文件同源性算法和域名聚类算法得到两类节点,非安全团伙的发现需要对前述两类节点进行分析,并发现两类节点之间的关联关系,对两类节点进行关联,从而发现非安全团伙。这样的方法,需要大量的人力资源,并且需要专业人员有较高的专业性,才能够发现两类节点之间的关联关系。但是,由于目前仅是对于一个安全事件的文件或域名进行聚类,所以,还不能完整的掌握非安全团伙的信息。若想要全面的了解一个非安全团伙,则需要大量的,且不同类型的节点,并分析不同类型节点之间的关联关系。这就导致了人工进行节点关联所需时间长、效率低的问题,还浪费人力资源。此外,对于APT(Advanced Persistent Threa,高级持续性威胁)攻击,由于APT攻击的样本量级较低,还不能达到进入人工运营的量级。所以,分析人员就无法根据APT攻击的各节点进行团伙分析。
综上,目前非安全团伙的发现方法较为复杂、信息量也不够完整,对于分析人员的要求较高,并且效率非常低。不仅如此,还无法发现一些特定攻击例如APT攻击的非安全团伙。有鉴于此,本申请实施例中提供一种网络安全分析方法和装置。
首先,为便于理解本申请实施例提供的技术方案,先对本申请实施例中涉及的部分用语进行说明。包括以下内容:
1、样本:本申请中所指样本包括可执行文件、动态加载文件、PDF(PortableDocument Format,便携式文档格式)、word等文档形式的文件。文件哈希值作为唯一标识文件的值。文件在安全知识图谱中以一类实体标识,文件实体会与其他类型实体存在关系,该关系例如是文件访问域名,文件释放文件(例如一个压缩包,经过解压释放出一个文件,压缩包文件与解压释放出的文件是不同的文件)等。
2、非安全文件:非安全文件是指进行非安全行为的文件,非安全行为包括偷取数据、安装非安全程序、发起非安全攻击等。
3、非安全域名:用于进行非安全行为的域名,例如,非安全软件下载域名、色情、赌博网站域名、钓鱼网站域名、连接非安全软件控制与命令服务器的域名等。
4、非安全家族:非安全家族是指使用大致相同的手法进行某次攻击,其基础设施(域名、文件、样本、IP地址)相对稳定,攻击目标在一定时间内也相对稳定。
5、非安全团伙:非安全团伙包含一个或多个非安全家族,其特点是使用一个或者多个非安全家族基础设施以及多种攻击手法对多个目标进行攻击。
6、安全知识图谱:安全知识图谱中包含多个节点(同前述实体)以及各节点之间的关系。图谱中可以包含样本、域名、IP、url(Uniform Resource Locator,统一资源定位符)、数字证书、病毒家族、CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)漏洞等多种节点,以及上述节点之间的多种关系。例如,域名解析到IP、文件访问域名、域名与注册者关系、域名与注册邮箱关系、文件访问IP、文件访问url、文件释放文件、文件执行文件。安全知识图谱是用于表征和存储安全要素与安全要素之间关系的图数据库。
7、安全属性:安全属性包括安全样本和其他安全属性样本。安全属性可用黑、白、灰表示。其中,安全样本为白样本,例如可以为公众熟知的正规商业软件(例如QQ、微信)产生的样本。其他安全属性包括灰样本和黑样本。黑样本为进行恶意行为的样本,灰样本为除黑、白样本以外的其他样本。
发明人在研究中进一步发现,一个非安全团伙可能包含不同的非安全家族,非安全家族则可能使用不同变种的域名,同一个团伙的不同家族的传播源比较相似,或者同一个家族的不同家族会利用相同的漏洞。所以,非安全团伙在大量的关系数据中则会有较强的内聚性,而不同的非安全团伙之间则无明显的内聚关系。
基于上述发现,本申请实施例提供一种网络安全分析方法。首先,需要获取待分析的云查样本。然后,确定各云查样本的安全属性。从安全样本以外的其他安全属性的云查样本中获得待聚类节点。之后,在安全知识图谱中根据广度优先搜索方法抽取上述待聚类节点的子图。最后,采用设定的聚类方法,对抽取的子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中的每一个类簇表示一类疑似非安全团伙。
这样,通过将各节点在安全知识图谱中抽取子图,则可以将节点与节点之间的关系抽取出来,如将文件实体、域名实体和IP实体之间的关系挖掘出来。使得能够进行安全分析的信息更加丰富。对子图中的各节点进行聚类,可以将有较强的关联关系的节点聚类到一个类簇中。通过聚类分析,聚类结果中每个类簇中的各节点有较强的内聚性,而各类簇之间则无明显的内聚关系。通过这样的抽取子图和聚类的方法,则不需要分析人员人为的对各类节点进行关联分析,节省了人力资源,也提高了发现非安全团伙的效率。聚类之后,分析人员则可以根据聚类结果中各类簇中的节点,对各类簇进行分析,确定各类簇是否为非安全团伙或者是哪一类的非安全团伙。以前的方法因为实体少,要完整分析比较困难,本申请实施例提供的技术方案中能够帮助分析的实体多,故此完整分析的概率就更高。经实验证明,以前30%的安全事件能够得到完整分析,采用本申请的方案能够完整分析的安全事件能够提高到70%以上。这样,有团伙数据相当于降低了分析难度。
分析之后,若是已知的非安全团伙,分析人员则可以发现该团伙的新的动向,例如新的域名或IP等。若是未知非安全团伙,分析人员也能够根据类簇中的各节点以及节点之间的关联关系,快速的判断该类簇是何种非安全团伙。并且,由于是对云查样本中的非安全属性样本进行聚类,不仅仅是对于一个安全事件的样本进行聚类,这样就可以得到比一个安全事件更多的节点,得到聚类结果也能够更加全面的反映一个非安全团伙。得到非安全团伙的信息之后,就可以有针对性的预防,避免被已知非安全团伙攻击和感染。
而对于APT攻击,APT样本隐藏在茫茫数据中而不能被发现,采用文件同源性算法或域名聚类算法时或许由于该攻击样本量级少无法得到需要分析的足够信息,而采用本申请实施例提供的技术方案,能够把该攻击相关的信息都聚合到一起,如样本、域名和IP,这样能够使与APT实体相关的数据更丰富,就更容易引起安全分析人员的注意,更容易被安全分析人员拿来分析。
本申请实施例中一种网络安全分析方法可以应用于如图1所示的应用场景。参阅图1所示,为一种网络安全分析的应用场景图。在该场景中包括:网络安全分析设备101、各用户的用户终端102,人工运营平台103。
网络安全分析设备101可以是由一台服务器或若干台服务器组成的服务器集群或云计算中心。用户终端102是具备网络通信能力的电子设备,该电子设备可以是智能手机、平板电脑或便携式个人计算机等等,通过有线或无线网络与网络安全分析设备101连接。
各用户的用户终端102中的电脑管家将查出的新样本作为待分析的云查样本发送给网络安全分析设备101。网络安全分析设备101接收到所述待分析的云查样本之后,先确定各云查样本的安全属性,从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图。然后采用设定的聚类方法对抽取的子图中的各节点进行聚类,得到聚类结果以便于安全分析人员进行分析处理。分析人员通过人工运营平台103接收网络安全分析设备101发送的聚类结果后,对聚类结果进行分析,进一步确定非安全团伙。
前述设定的聚类方法可以为社区聚类算法、K均值聚类算法、图团体检测等。具体实施时,可以优先采用社区聚类算法,对抽取的子图中的各节点进行聚类。除上述聚类方法之外,还可以采用谱聚类等向量聚类进行聚类。采用向量聚类方法,对抽取的所述子图中的各节点进行聚类时:首先根据编码规则对所述子图中的各节点进行编码,得到各节点的向量;然后采用向量聚类方法,对所述子图中各节点的向量进行聚类。
参阅图2所示,为本申请提供的一种网络安全分析方法的流程示意图。该流程包括以下步骤:
步骤201:获取待分析的云查样本。
步骤202:确定各云查样本的安全属性。
步骤203:从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图。
进一的,灰样本中的“流氓文件”是介于病毒和正规软件产生的文件之间的文件,如非安全广告软件、间谍软件、非安全共享软件等产生的文件。这些软件都处在合法商业软件和电脑病毒之间的灰色地带,既不属于正规商业软件,也不属于真正的病毒,既有一定的使用价值,也会给用户带来干扰。“流氓文件”的行为也是多种多样,不具有较强的关联性和内聚性。因此,也会对聚类结果产生较大的影响,确不具有工安全分析人员分析的价值。故此,本申请实施例中在安全知识图谱中抽取子图之前,需要对待聚类节点进行清洗。删除待聚类节点中,与预设的流氓文件库中的节点相同的待聚类节点。通过删除流氓文件,可以提高聚类结果的准确性。
步骤204:采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。
这样,通过将样本、IP、域名进行关联聚类,能够了解样本、IP和域名之间的内聚性,聚类结果中的每个类簇就能够表示一个疑似非安全团伙。通过上述方法,分析人员可以更加准确的掌握非安全团伙的信息,并且对非安全团伙进行监控,节省了人力、提高了发现非安全团伙的效率。
参阅图3,为本申请实施例中广度优先搜索方法抽取子图的方法示意图。在待聚类节点中,随机选取一个节点作为起始节点S,将S加入搜索队列L中。搜索设备判断搜索队列是否为空,若为空则抽取子图结束。若不为空,则从搜索队列L中获取队首的起始节点S,判断起始节点S是否含有已搜索的标记。若含有已搜索的标记,则将该节点从搜索队列L中删除,并重新获取队首的初始节点。若起始节点S不含有已搜索的标记,则在安全知识图谱中搜索S的邻接节点,并将起始节点S标记为已搜索之后,从搜索队列L中删除。将搜索到的S的邻接节点S1、S2、S3、S4、S5加入搜索队列中。此时,返回执行判断搜索队列L是否为空的步骤。判断结果为搜索队列不为空,获取队首初始节点S1,S1不含有已搜索的标记,则在安全知识图谱中,搜索S1的邻接节点,并将S1标记为已搜索之后,从搜索队列L中删除。S1的邻接节点为S2,S2已存在于搜索队列L中,所以不需要再将S2加入搜索队列中。这样,当搜索队列L为空时,则子图抽取结束,由各待聚类节点及其邻接节点构成子图。
由于对各节点顺序执行抽取子图的步骤,会导致抽取子图速度慢,效率低。较佳的,本申请提供一种并行搜索抽取子图的方案。具体实施时由多个搜索设备或多个线程维护一个共同的搜索队列L。以使用多个搜索设备为例,多个搜索设备同时获取多个待聚类节点;对获取的多个待聚类节点并行处理,根据广度优先搜索方法在安全知识图谱中搜索各个待聚类节点的邻接节点;由各待聚类节点及其邻接节点构成所述子图。
参阅图4a,为本申请实施例中根据广度优先方法抽取子图的应用场景示意图。该场景中包括n个搜索设备401、搜索队列402、安全知识图谱403。参阅图4b,为本申请实施例中根据广度优先方法抽取子图的流程图。各搜索设备401执行如图4b所示步骤:
A1:主控设备将所有待聚类节点加入搜索队列中。
其中,主控设备可以是多个搜索设备中的一个,也可以是搜索设备之外的设备,本申请对此不作限定。
A2:主控设备判断所述搜索队列是否为空,若为空,则执行步骤A3;若不为空,则执行步骤A4。
A3:主控设备抽取子图结束。
A4:主控设备从所述搜索队列中获取n个节点,分发给n个搜索设备,各搜索设备针对收到的节点并行执行:
步骤A41:搜索设备判断接收到的节点是否包含已搜索的标记,若包含已搜索的标记,则执行步骤A42,若不包含已搜索的标记,则执行步骤A43。
步骤A42:不搜索该节点,从主控设备中获取新的节点。
步骤A43:在所述安全知识图谱中将该节点标记为已搜索,并从搜索队列中删除该节点。
步骤A44:搜索设备在所述安全知识图谱中,搜索该节点的邻接节点。
步骤A45:搜索设备判断搜索到的邻接节点是否包含已搜索的标记,若搜索到的邻接节点包含已搜索的标记,则执行步骤A46;若不包含已搜索的标记,则执行步骤A47。
步骤A46:不将邻接节点加入搜索队列。
步骤A47:将邻接节点加入搜索队列,从主控设备获取新的节点,返回执行步骤A41。
这样,通过多个搜索设备并行执行抽取子图的步骤,能够有效的提高抽取子图的效率,节约抽取子图的时间。
在抽取子图的过程中,有些邻接节点也没有聚类的意义,故此由各待聚类节点及其邻接节点构成所述子图之前,还需要根据以下过滤规则对搜索到的邻接节点进行过滤,所述过滤规则包括以下中的至少一种:
1)、剔除在白文件名单中的邻接节点。白文件名单包含设定的特定文件。白文件会较大程度干扰聚类效果,例如在文件利用的攻击中,不同类型的非安全家族都会利用svchost.exe进程文件。某些进程文件会访问大量域名和IP地址,例如浏览器进程、共享wifi进程、杀毒软件进程、虚拟机进程等。该类进程通常会访问大量域名和IP地址,而被访问域名和IP地址之间并没有必然的关联性,在聚类时,无法聚类到一起,从而干扰聚类效果。故此需要剔除白文件。
2)、剔除在白域名名单中的邻接节点。非安全样本实际过程中会访问白域名测试网络是否连接,子图抽取时会导致出现不同团伙的样本访问相同的白域名名单的情况。白域名名单可以包括:动态域名、Disposal域名等设定的特定域名。动态域名是一类特殊域名,其注册级域名为白域名名单,但是子域名则可以有动态域名用户自由控制,因此较多的非安全团伙的C2地址为动态域名的子域名。因此,在剔除邻接节点时,需要保留动态域名的子域名。Disposal域名是指用一次即丢弃的域名,例如McAfee杀毒软件为了上报文件指纹信息到云端,利用DNS协议上报到特定子域名,并以指纹信息、文件哈希或域名作为特定子域名下的子域名。这类域名在聚类过程中的存在意义不大,也不与其他节点有较强关联,故此需要剔除。
3)、剔除在白IP名单中的邻接节点。白IP名单包含设定的特定IP。例如CDN IP地址,很多域名都会解析到该地址。但是这些域名并无必然的关联性,在聚类时无法聚类到一起。Sinkhole IP也是设定的特定IP中的一个。虽然大部分解析到Sinkhole IP地址的域名都是已知的非安全的域名,但是很有可能解析到相同的Sinkhole IP地址的域名不是同一个非安全团伙,这对聚类之后的分析有较大的影响,故此需要剔除。
通过上述方法,在子图抽取时清洗待聚类节点的邻接节点,可以节省后续聚类过程的计算量,并且能够使得聚类结果更加准确,有利于对非安全团伙的分析和监控。
在对待聚类节点的邻接节点进行清洗之后,由各待聚类节点及其邻接节点构成子图。之后,可以采用社区发现算法对所述子图中的各节点进行聚类。下面为了能够进一步理解本申请提供的技术方案,介绍采用社区发现算法对抽取的子图进行聚类的方案。
社区发现算法中利用模块度,也称为模块化度量值来衡量网络社区的划分结果。模块度Q定义为:
其中,Avw代表节点v和w间连接的权重,kv=∑wAvw表示与节点v相连的所有边的权重之和,cv,cw表示节点v,w的社区编号。函数ε(cv,cw)表示节点v,w是否在同一个社区中,若在相同社区则取1,若不在相同社区则取0,
表示图中的连接权重之和。
对上述公式(1)进行化简,化简结果如下:
其中,∑in表示一个社区内部的边数,∑tot表示一个社区所有节点度数之和。其中,一个节点的度数为与该节点相关联的边数和。
模块度增益则可以表示为:
其中,公式(3)中涉及的符号含义与公式(1)和公式(2)中相同,kvin表示社区内部,与节点v相连的所有边的权重之和。
通过以下步骤完成社区发现算法,得到聚类结果。
步骤B1:将所述子图中的每个节点划为一个社区。
步骤B2:针对子图中每个社区执行:根据公式(3)计算将该社区划分到其各邻居社区中得到的各模块度增益。
步骤B3:将该社区划分至模块度增益最大的邻居社区中,返回执行步骤B2,直至连续两次计算得到的模块度增益差小于预设的阈值。其中,预设的阈值可以根据需要进行设置,例如设置为0.0001,0001等。
参阅图5,为本申请实施例中社区发现算法实现过程图。将编号分别为0-15的16个节点进行聚类。第一次聚类之后,得到4个社区A、B、C、D。继续聚类计算模块度增益,第二次聚类之后,得到2个社区E和F。继续计算模块度增益,计算结果与上一次计算结果相同。所以,最终得到社区E、F。
这样,通过社区发现算法可以将子图中的各节点聚类成至少一个类簇,每个类簇都表示一个疑似非安全团伙。分析人员则可以根据聚类成的至少一个类簇,对非安全团伙进行分析和监控。
参阅图6,为本申请实施例提供的技术方案得到的一种聚类结果示意图。该图中包括一个类簇,分析人员对该类簇中的样本、IP和域名进行分析,发现该类簇为“Xiaoba”团伙。该团伙中包括如下7个类型的节点:domain(域名)包含url,domain解析IP,domain解析domain,MD5访问domain,domain属于病毒家族,MD5(MD5Message-Digest Algorithm,消息摘要算法)包含domain,MD5下载domain等。“Xiaoba”包含两个家族,其中一个是“Xiaoba”勒索病毒,另一个是“Xiaoba”挖矿。“Xiaoba”团伙主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴纳赎金,被加密的文件就会被全部销毁,“Xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供某游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏在其中,一旦下载运行了该网站的所谓某游戏辅助软件,会导致浏览器主页被篡改、电脑CPU(Central Processing Unit,中央处理器)资源被大量占用挖矿。
通过本申请实施例提供的方案,可以全面的了解和掌握非安全团伙的信息,以便于对非安全团伙进行监控,避免主机被感染,提高网络安全。
聚类结果中的各类簇中均包括IP节点和域名节点,有些类簇也是没有分析的价值的,故此聚类得到个类簇之后,可以根据清洗规则对聚类结果中的各类簇进行清洗。清洗规则包括以下中的至少一种:剔除仅有一个邻接IP节点的IP节点;剔除仅有一个邻接域名节点的域名节点。这样的IP节点和域名节点表示被访问次数较少,并无较大的危险性。
针对各类簇,若该类簇中的IP节点和域名节点的数量和与该类簇中节点总数的比值超过预设比值,则剔除该类簇。其中,预设比值可以自行设置,本申请不做限定。例如,设置为80%、75%等。IP节点和域名节点占比较多的类簇,危险性低,剔除该类簇之后能够降低后续人工分析的计算量。
根据清洗规则对聚类结果中的各类簇进行清洗之后,计算各类簇各自的节点总数;剔除节点总数少于预设阈值的类簇。其中,预设阈值可以自行设置。例如,设置为50、60等,本申请不做限定。节点总数较少的类簇对于后续的非安全团伙分析无太大的作用,删除节点总数少于预设阈值的类簇,可以减少计算量。
本申请实施例中,聚类结果中包括至少一个类簇,其中每一类簇表示为一类疑似非安全团伙。在得到聚类结果之后,针对聚类结果中的每一个类簇执行如下步骤C1-C3:
C1:将类簇中的节点与预先设置的威胁情报库中的已知非安全团伙中的节点作比较。
其中,预先设置的威胁情报库中存储已经发现的非安全团伙的IP、域名、样本等实体信息。
C2:若该类簇中存在至少一个节点与所述非安全团伙中的节点相同,则生成威胁情报。
具体的,威胁情报包括非安全团伙标识和主机标识,以及主机标识对应的主机已被感染的信息。
C3:将在该类簇中,但不在非安全团伙中的节点,添加至非安全团伙的节点中。
这样,对于已发现的非安全团伙,通过本申请提供的方法能够掌握团伙的新动向,例如新使用的域名或IP等。根据聚类的结果,更新威胁情报库,可以进一步的避免非安全团伙攻击和病毒感染。
对于类簇中的节点与所述非安全团伙中的节点均不相同的类簇,可以计算该类簇的节点总数和/或节点访问总次数;根据计算结果,确定该类簇的优先级;按照优先级由高到低的顺序,将各类簇发送至人工运营平台。
具体实施时,优先级可以按照节点总数由高到低的顺序排列,也可以按照节点访问总次数由高到低的顺序排列。较佳的,按照预设的权重,结合节点总数和节点访问总次数,确定各类簇的优先级。
这样,对于未知的疑似非安全团伙,分析人员能够在掌握大量的数据的情况下对其进行分析,能够大大的提高分析结果的准确性。
基于相同的发明构思,本申请实施例还提供一种网络安全分析装置。参阅图7,为本申请实施例中一种网络安全分析装置示意图。该装置包括:
获取模块701,用于获取待分析的云查样本;
确定模块702,用于确定各云查样本的安全属性;
子图抽取模块703,用于从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图;
聚类模块704,用于采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。
可选的,所述聚类结果中包括至少一个类簇,聚类模块704得到聚类结果之后,还用于针对聚类结果中的每一类簇执行:
将类簇中的节点与预先设置的威胁情报库中的已知非安全团伙中的节点作比较;
若该类簇中存在至少一个节点与所述非安全团伙中的节点相同,则生成威胁情报;并,
将在该类簇中,但不在非安全团伙中的节点,添加至非安全团伙的节点中。
可选的,若类簇中的节点与所述非安全团伙中的节点均不相同,聚类模块704还用于,计算该类簇的节点总数和/或节点访问总次数;
根据计算结果,确定该类簇的优先级;
按照优先级由高到低的顺序,将各类簇发送至人工运营平台。
可选的,子图抽取模块703在从安全样本以外的其他安全属性的云查样本中获得待聚类节点之后,还用于删除所述待聚类节点中,与预设的流氓文件库中的节点相同的待聚类节点。
可选的,子图抽取模块703具体用于同时获取多个待聚类节点;
对获取的多个待聚类节点并行处理,根据广度优先搜索方法在安全知识图谱中搜索各个待聚类节点的邻接节点;
由各待聚类节点及其邻接节点构成所述子图。
可选的,子图抽取模块703在由各待聚类节点及其邻接节点构成所述子图之前,还用于根据以下过滤规则对搜索到的邻接节点进行过滤,所述过滤规则包括以下中的至少一种:
剔除在白文件名单中的邻接节点;
剔除在白域名名单中的邻接节点;
剔除在白IP名单中的邻接节点。
可选的,所述设定的聚类方法为社区发现算法。
可选的,聚类结果中的各类簇中均包括IP节点和域名节点,该装置还包括清洗模块,用于根据以下清洗规则对聚类结果中的各类簇进行清洗,所述清洗规则包括以下中的至少一种:
剔除仅有一个邻接IP节点的IP节点;
剔除仅有一个邻接域名节点的域名节点;
针对各类簇,若该类簇中的IP节点和域名节点的数量和与该类簇中节点总数的比值超过预设比值,则剔除该类簇。
可选的,清洗模块在根据清洗规则对聚类结果中的各类簇进行清洗之后,还用于计算各类簇各自的节点总数;
剔除节点总数少于预设阈值的类簇。
在介绍了本申请示例性实施方式的网络安全分析方法和装置之后,接下来,介绍根据本申请的另一示例性实施方式的网络安全分析设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本申请的网络安全分析设备可以至少包括至少一个处理器、以及至少一个存储器(如前述的第一服务器)。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全分析方法中的步骤。例如,处理器可以执行如图2中所示的步骤201-204或者如图4b中所示的步骤A1-A47。
下面参照图8来描述根据本申请的这种实施方式的网络安全分析设备130。图8显示的网络安全分析设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图8所示,网络安全分析设备130以通用网络安全分析设备的形式表现。网络安全分析设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
网络安全分析设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与网络安全分析设备130交互的设备通信,和/或与使得该网络安全分析设备130能与一个或多个其它网络安全分析设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,网络安全分析设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于网络安全分析设备130的其它模块通信。应当理解,尽管图中未示出,可以结合网络安全分析设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的网络安全分析方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全分析方法中的步骤,例如,计算机设备可以执行如图2中所示的步骤201-204或者如图4b中所示的步骤A1-A47。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于网络安全分析的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在网络安全分析设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户网络安全分析设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户网络安全分析设备上部分在远程网络安全分析设备上执行、或者完全在远程网络安全分析设备或服务器上执行。在涉及远程网络安全分析设备的情形中,远程网络安全分析设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户网络安全分析设备,或者,可以连接到外部网络安全分析设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络安全分析方法,其特征在于,所述方法包括:
获取待分析的云查样本;
确定各云查样本的安全属性;
从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图;
采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。
2.根据权利要求1所述的方法,其特征在于,所述聚类结果中包括至少一个类簇,得到聚类结果之后,还包括:
针对聚类结果中的每一类簇执行:
将类簇中的节点与预先设置的威胁情报库中的已知非安全团伙中的节点作比较;
若该类簇中存在至少一个节点与所述非安全团伙中的节点相同,则生成威胁情报;并,
将在该类簇中,但不在非安全团伙中的节点,添加至非安全团伙的节点中。
3.根据权利要求2所述的方法,其特征在于,若类簇中的节点与所述非安全团伙中的节点均不相同,所述方法还包括:
计算该类簇的节点总数和/或节点访问总次数;
根据计算结果,确定该类簇的优先级;
按照优先级由高到低的顺序,将各类簇发送至人工运营平台。
4.根据权利要求1所述的方法,其特征在于,从安全样本以外的其他安全属性的云查样本中获得待聚类节点之后,还包括:
删除所述待聚类节点中,与预设的流氓文件库中的节点相同的待聚类节点。
5.根据权利要求1所述的方法,其特征在于,在安全知识图谱中根据广度优先搜索方法抽取子图,包括:
同时获取多个待聚类节点;
对获取的多个待聚类节点并行处理,根据广度优先搜索方法在安全知识图谱中搜索各个待聚类节点的邻接节点;
由各待聚类节点及其邻接节点构成所述子图。
6.根据权利要求5所述的方法,其特征在于,由各待聚类节点及其邻接节点构成所述子图之前,所述方法还包括:
根据以下过滤规则对搜索到的邻接节点进行过滤,所述过滤规则包括以下中的至少一种:
剔除在白文件名单中的邻接节点;
剔除在白域名名单中的邻接节点;
剔除在白IP名单中的邻接节点。
7.根据权利要求1所述的方法,其特征在于,所述设定的聚类方法为社区发现算法。
8.根据权利要求1所述的方法,其特征在于,聚类结果中的各类簇中均包括IP节点和域名节点,所述方法还包括:
根据以下清洗规则对聚类结果中的各类簇进行清洗,所述清洗规则包括以下中的至少一种:
剔除仅有一个邻接IP节点的IP节点;
剔除仅有一个邻接域名节点的域名节点;
针对各类簇,若该类簇中的IP节点和域名节点的数量和与该类簇中节点总数的比值超过预设比值,则剔除该类簇。
9.根据权利要求8所述的方法,其特征在于,根据清洗规则对聚类结果中的各类簇进行清洗之后,所述方法还包括:
计算各类簇各自的节点总数;
剔除节点总数少于预设阈值的类簇。
10.一种网络安全分析装置,其特征在于,所述装置包括:
获取模块,用于获取待分析的云查样本;
确定模块,用于确定各云查样本的安全属性;
子图抽取模块,用于从安全样本以外的其他安全属性的云查样本中获得待聚类节点,在安全知识图谱中根据广度优先搜索方法抽取子图;
聚类模块,用于采用设定的聚类方法,对抽取的所述子图中的各节点进行聚类,得到聚类结果,其中,聚类结果中每一类簇表示为一类疑似非安全团伙。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910159586.9A CN111651591B (zh) | 2019-03-04 | 2019-03-04 | 一种网络安全分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910159586.9A CN111651591B (zh) | 2019-03-04 | 2019-03-04 | 一种网络安全分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111651591A true CN111651591A (zh) | 2020-09-11 |
| CN111651591B CN111651591B (zh) | 2023-03-21 |
Family
ID=72349183
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910159586.9A Active CN111651591B (zh) | 2019-03-04 | 2019-03-04 | 一种网络安全分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111651591B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112104677A (zh) * | 2020-11-23 | 2020-12-18 | 北京金睛云华科技有限公司 | 一种基于知识图谱的受控主机检测方法和装置 |
| CN112256801A (zh) * | 2020-10-10 | 2021-01-22 | 深圳力维智联技术有限公司 | 抽取实体关系图中关键实体的方法、系统和存储介质 |
| CN112800243A (zh) * | 2021-02-04 | 2021-05-14 | 天津德尔塔科技有限公司 | 一种基于知识图谱的项目预算分析方法及系统 |
| CN112835995A (zh) * | 2021-02-04 | 2021-05-25 | 中国互联网络信息中心 | 一种基于解析关系的域名图嵌入表示分析方法及装置 |
| CN112925920A (zh) * | 2021-03-23 | 2021-06-08 | 西安电子科技大学昆山创新研究院 | 一种智慧社区大数据知识图谱网络社团检测方法 |
| CN113535810A (zh) * | 2021-06-25 | 2021-10-22 | 杨粤湘 | 一种交通违法对象的挖掘方法、装置、设备及介质 |
| CN114124576A (zh) * | 2022-01-24 | 2022-03-01 | 成都无糖信息技术有限公司 | 一种基于知识图谱的诈骗网站关联方法及系统 |
| CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN116244694A (zh) * | 2022-12-04 | 2023-06-09 | 云南电网有限责任公司信息中心 | 一种基于知识图谱的固件漏洞发现方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107071084A (zh) * | 2017-04-01 | 2017-08-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
| US20180048661A1 (en) * | 2016-08-15 | 2018-02-15 | International Business Machines Corporation | Cognitive offense analysis using contextual data and knowledge graphs |
| US9992209B1 (en) * | 2016-04-22 | 2018-06-05 | Awake Security, Inc. | System and method for characterizing security entities in a computing environment |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| CN108764917A (zh) * | 2018-05-04 | 2018-11-06 | 阿里巴巴集团控股有限公司 | 一种欺诈团伙的识别方法和装置 |
| CN109388663A (zh) * | 2018-08-24 | 2019-02-26 | 中国电子科技集团公司电子科学研究院 | 一种面向社会安全领域的大数据智能分析平台 |
-
2019
- 2019-03-04 CN CN201910159586.9A patent/CN111651591B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9992209B1 (en) * | 2016-04-22 | 2018-06-05 | Awake Security, Inc. | System and method for characterizing security entities in a computing environment |
| US20180048661A1 (en) * | 2016-08-15 | 2018-02-15 | International Business Machines Corporation | Cognitive offense analysis using contextual data and knowledge graphs |
| CN107071084A (zh) * | 2017-04-01 | 2017-08-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| CN108764917A (zh) * | 2018-05-04 | 2018-11-06 | 阿里巴巴集团控股有限公司 | 一种欺诈团伙的识别方法和装置 |
| CN109388663A (zh) * | 2018-08-24 | 2019-02-26 | 中国电子科技集团公司电子科学研究院 | 一种面向社会安全领域的大数据智能分析平台 |
Non-Patent Citations (2)
| Title |
|---|
| 肖凡平: "基于Lucene的网络安全数据可视化系统研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 贾焰等: "大规模网络安全态势分析系统YHSAS设计与实现", 《信息技术与网络安全》 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256801A (zh) * | 2020-10-10 | 2021-01-22 | 深圳力维智联技术有限公司 | 抽取实体关系图中关键实体的方法、系统和存储介质 |
| CN112256801B (zh) * | 2020-10-10 | 2024-04-09 | 深圳力维智联技术有限公司 | 抽取实体关系图中关键实体的方法、系统和存储介质 |
| CN112104677A (zh) * | 2020-11-23 | 2020-12-18 | 北京金睛云华科技有限公司 | 一种基于知识图谱的受控主机检测方法和装置 |
| CN112835995B (zh) * | 2021-02-04 | 2023-11-07 | 中国互联网络信息中心 | 一种基于解析关系的域名图嵌入表示分析方法及装置 |
| CN112800243A (zh) * | 2021-02-04 | 2021-05-14 | 天津德尔塔科技有限公司 | 一种基于知识图谱的项目预算分析方法及系统 |
| CN112835995A (zh) * | 2021-02-04 | 2021-05-25 | 中国互联网络信息中心 | 一种基于解析关系的域名图嵌入表示分析方法及装置 |
| CN112925920A (zh) * | 2021-03-23 | 2021-06-08 | 西安电子科技大学昆山创新研究院 | 一种智慧社区大数据知识图谱网络社团检测方法 |
| CN113535810A (zh) * | 2021-06-25 | 2021-10-22 | 杨粤湘 | 一种交通违法对象的挖掘方法、装置、设备及介质 |
| CN113535810B (zh) * | 2021-06-25 | 2024-02-27 | 杨粤湘 | 一种交通违法对象的挖掘方法、装置、设备及介质 |
| CN114124576A (zh) * | 2022-01-24 | 2022-03-01 | 成都无糖信息技术有限公司 | 一种基于知识图谱的诈骗网站关联方法及系统 |
| CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN116244694A (zh) * | 2022-12-04 | 2023-06-09 | 云南电网有限责任公司信息中心 | 一种基于知识图谱的固件漏洞发现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111651591B (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111651591B (zh) | 一种网络安全分析方法和装置 | |
| US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
| Han et al. | MalInsight: A systematic profiling based malware detection framework | |
| US9928369B2 (en) | Information technology vulnerability assessment | |
| Kim et al. | Improvement of malware detection and classification using API call sequence alignment and visualization | |
| US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
| CN109074454B (zh) | 基于赝象对恶意软件自动分组 | |
| US9135443B2 (en) | Identifying malicious threads | |
| EP2975873A1 (en) | A computer implemented method for classifying mobile applications and computer programs thereof | |
| US10546143B1 (en) | System and method for clustering files and assigning a maliciousness property based on clustering | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| WO2018017498A1 (en) | Inferential exploit attempt detection | |
| US10735457B2 (en) | Intrusion investigation | |
| US20120117648A1 (en) | Malware Determination | |
| Dib et al. | Evoliot: A self-supervised contrastive learning framework for detecting and characterizing evolving iot malware variants | |
| Akram et al. | A systematic literature review: usage of logistic regression for malware detection | |
| Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
| US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
| Rosli et al. | Ransomware behavior attack construction via graph theory approach | |
| CN116032576A (zh) | 一种基于不确定性攻击资源图谱的构建方法及系统 | |
| CN113010268B (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
| Ji et al. | Overhead analysis and evaluation of approaches to host-based bot detection | |
| Li et al. | Grandroid: Graph-based detection of malicious network behaviors in android applications | |
| Sheela et al. | Decentralized malware attacks detection using blockchain | |
| Reddy et al. | A survey of different machine learning models for static and dynamic malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |