CN114386034B - 动态迭代的多引擎融合恶意代码检测方法、设备及介质 - Google Patents

动态迭代的多引擎融合恶意代码检测方法、设备及介质 Download PDF

Info

Publication number
CN114386034B
CN114386034B CN202111568599.5A CN202111568599A CN114386034B CN 114386034 B CN114386034 B CN 114386034B CN 202111568599 A CN202111568599 A CN 202111568599A CN 114386034 B CN114386034 B CN 114386034B
Authority
CN
China
Prior art keywords
detection
analysis
sample
engine
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111568599.5A
Other languages
English (en)
Other versions
CN114386034A (zh
Inventor
冯中华
苗晓孔
于越
盘善海
李翼宏
宋焱淼
陈世林
裴华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202111568599.5A priority Critical patent/CN114386034B/zh
Publication of CN114386034A publication Critical patent/CN114386034A/zh
Application granted granted Critical
Publication of CN114386034B publication Critical patent/CN114386034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种动态迭代的多引擎融合恶意代码检测方法、设备及介质,其中检测方法包括:样本文件调度:在收到样本文件后,对样本文件进行预处理,判定样本文件是否满足检测策略要求;多引擎检测分析:各检测分析引擎对样本文件进行独立检测分析,得出样本威胁评分,并生成样本分析结果报告;样本综合分析判定:解析各检测分析引擎的分析结果,利用样本综合分析模型计算得出样本文件的综合威胁指数评分,对样本进行分析判定,生成样本综合分析报告;检测引擎动态评价:迭代计算检测分析引擎的动态可信因子,实现模型参数的自动调优。本发明融合多种检测分析引擎的能力和优势,可实现多引擎条件下的恶意代码自动化分析判定。

Description

动态迭代的多引擎融合恶意代码检测方法、设备及介质
技术领域
本发明涉及恶意代码检测技术领域,尤其涉及一种动态迭代的多引擎融合恶意代码检测方法、设备及介质。
背景技术
随着信息技术的发展,恶意代码也在不断的发展,现代恶意代码通过多态、变型、加壳等多种手段规避分析检测,使得恶意代码分析检测越来越困难,检测引擎比对手段也从传统的基于特征的静态分析发展到基于行为的动态分析,综合利用行为监视、威胁情报、机器学习等技术进行恶意代码检测。恶意代码分析检测技术主要包括静态分析和动态分析两种。静态分析主要是通过分析恶意代码的二进制文件,提取特征码形成恶意代码特征库,检测引擎通过将样本文件的特征与特征库进行比对来判定是否为恶意代码,其优点是能够检查恶意代码的全部执行路径,得到的特征码检测准确率高,但特征码提取工作量大、分析周期长,尤其是对于多态、变型、加壳的恶意代码,难以提取有效的特征码。动态分析则是在受保护的虚拟环境中执行样本文件,并通过内核态和用户态的各种监测点对样本文件在执行过程中的动态行为进行监视,如文件系统、进程、注册表和网络访问等,其优点是不受多态、变型和加壳的影响,缺点是对于条件触发类的恶意代码不能做到多路径覆盖。
目前国内市面上有多种恶意代码检测产品,各厂家都有自己的恶意代码检测引擎,但由于各家在技术实现途径、样本捕获渠道、样本分析能力以及检测分析算法等方面的差异,使得各家的恶意代码检测能力不尽相同,针对不同恶意代码的检测能力也是各有所长,但都存在误报(假阳性)和漏报(假阴性)的情况。因此,如何集成多家恶意代码检测产品的能力,实现多引擎融合的恶意代码检测,以提高恶意代码综合检测水平,成为当前亟需解决的问题。
发明内容
为了解决单个类型恶意代码检测引擎能力有限,存在误报和漏报现象,本发明提出一种动态迭代的多引擎融合恶意代码检测方法、设备及介质,科学合理地集成了多种成熟的恶意代码检测引擎,融合多种检测引擎的能力和优势,实现多引擎条件下的恶意代码自动化分析判定,以提高恶意代码的整体检测能力。
本发明采用的技术方案如下:
一种动态迭代的多引擎融合恶意代码检测方法,包括:
步骤一、样本文件调度:在收到样本文件后,首先对样本文件进行预处理,解析相关信息,所述相关信息包括文件类型、文件大小、所属操作系统类型;判定样本文件是否满足检测策略要求,过滤不满足检测策略要求的样本文件,根据样本调度策略和检测分析路径,将满足检测策略要求的样本文件分配到多个检测分析引擎的任务队列;
步骤二、多引擎检测分析:各检测分析引擎从自己的任务队列读取样本文件,对样本文件进行独立检测分析,得出样本威胁评分,并生成样本分析结果报告;
步骤三、样本综合分析判定:解析各检测分析引擎的分析结果,利用样本综合分析模型计算得出样本文件的综合威胁指数评分,对样本进行分析判定,生成样本综合分析报告;
步骤四、检测引擎动态评价:结合本次检测结果和历史检测情况,对各检测分析引擎的检测效能进行评价,迭代计算检测分析引擎的动态可信因子,实现模型参数的自动调优。
进一步地,计算样本的综合威胁指数评分之前,先计算各检测分析引擎的加权威胁指数评分WSi;各检测分析引擎的加权威胁指数评分WSi由威胁指数评分乘以检测分析引擎的动态可信因子得到,计算公式如下:
WSi=Si×Wi
其中,Si为第i个检测分析引擎对样本文件的威胁指数评分,Wi为第i个检测分析引擎的动态可信因子。
进一步地,样本文件的综合威胁指数评分为多个检测分析引擎加权威胁指数评分的均值,计算公式如下:
Figure BDA0003422623090000031
其中,WSi为第i个检测分析引擎的加权威胁指数评分,n为参与样本检测分析的检测分析引擎的总数。
进一步地,迭代计算检测分析引擎的动态可信因子之前,先计算检测分析引擎单次检测可信度Ti;通过检测分析引擎对样本文件的威胁指数评分和综合威胁指数评分比较得到检测分析引擎单次检测可信度Ti,计算公式如下:
Ti=1-|Si-S|/S
其中,Si为第i个检测分析引擎对样本文件的威胁指数评分,S为样本文件的综合威胁指数评分。
进一步地,检测分析引擎的动态可信因子通过计算检测分析引擎历次的检测可信因子平均值得到,计算公式如下:
Figure BDA0003422623090000041
其中,Ti为检测分析引擎第i次的检测可信度,n为检测分析引擎的历史检测总次数。
进一步地,样本调度策略根据样本文件类型建立样本文件与检测分析引擎的关联关系,设定样本文件的检测流程。
进一步地,结合样本文件类型和运行环境要求以及检测分析引擎的检测手段、支持的运行环境,设定样本调度策略,作为多引擎检测分析时自动化调度的依据。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现所述的动态迭代的多引擎融合恶意代码检测方法的步骤。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现所述的动态迭代的多引擎融合恶意代码检测方法的步骤。
本发明的有益效果在于:
1)本发明采用与具体产品无关的开放式架构,通过结构化描述语言从多个维度抽象描述检测分析引擎,实现多种恶意代码检测分析引擎的集成、管理、调度和自动化融合分析,提高了恶意代码的整体检测能力,具有良好的扩展性。
2)本发明提出的检测分析引擎动态评价机制,采用可信因子量化表示检测分析引擎的检测结果可信度,并通过每次检测结果持续迭代计算可信因子,实现动态、客观地评价检测分析引擎的检测可信度。
3)本发明提出的样本综合分析模型,充分考虑了检测分析引擎差异对样本检测结果的影响,结合各检测分析引擎的动态可信因子综合计算得到样本的威胁指数评分,实现样本文件更加科学、精准地判定,有效地规避单一检测分析引擎和检测手段的误报和漏报风险。
附图说明
图1是本发明实施例1的动态迭代的多引擎融合恶意代码检测方法的总体架构图。
图2是本发明实施例1的动态迭代的多引擎融合恶意代码检测方法的总体工作流程图。
图3是本发明实施例1的样本检测调度流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例提供了一种动态迭代的多引擎融合恶意代码检测方法,在不改变各检测分析引擎检测机制的条件下,采用开放式的架构集成多种成熟的恶意代码检测分析引擎,通过编排调度、并行检测和综合分析判定实现样本文件多引擎自动化分析,提升恶意代码检测能力。具体地,本实施例通过威胁指数评分表示样本威胁度,威胁指数评分为百分制,分值越高威胁越大;通过动态可信因子衡量检测引擎的检测准确度,该因子通过历次检测结果迭代计算得出,每次样本检测后动态更新;通过样本综合分析模型计算样本威胁指数评分,模型计算引入动态可信因子,准确度越高的检测分析引擎相应的计算权重越大;通过引擎注册管理实现各种检测引擎的统一管理;通过检测策略编排实现样本检测策略和样本多引擎调度策略设置;通过样本检测调度实现样本文件的预处理和多引擎分发调度,根据策略将样本文件分发到给各恶意代码检测引擎。本实施例的动态迭代的多引擎融合恶意代码检测方法如图1和图2所示,其中:
1.引擎注册管理
用于提供检测分析引擎的注册、注销和状态监控等功能,对多种恶意代码检测分析引擎实现统一的管理。通常情况下,不同厂家恶意代码检测产品技术实现方式各异,在样本提交方式、样本检测手段、运行环境支持、威胁情报支持等方面都不完全相同。
为实现不同检测分析引擎的统一管理,本实施例将检测分析引擎进行抽象,采用结构化描述语言,从样本提交方式、样本检测手段、运行环境支持、威胁情报支持等方面描述检测分析引擎,并通过统一接口接口规范实现各检测分析引擎的注册、注销和状态监控。
2.检测策略编排
用于设置样本分析策略和调度策略,其中:
样本分析策略用于设定样本文件的过滤条件,包括样本文件类型、样本文件大小、黑白名单库,对于不符合策略配置的样本文件,将通过预处理进行过滤。
样本调度策略根据样本类型建立样本文件与检测分析引擎的关联关系,设定样本文件的检测流程。本实施例结合样本文件类型和运行环境要求,以及检测分析引擎的检测手段、支持的运行环境等,设定样本文件检测调度策略,作为多引擎检测时自动化调度的依据。
3.样本检测调度
用于提供与外部系统以及内部各检测分析引擎之间的样本文件交互功能,实现样本文件的接收和分发,处理流程如图3所示。
在接收到外部的样本检测请求后,首先通过一系列预处理器对样本文件进行文件类型解析、压缩包解压等预处理,判定文件是否满足样本文件要求,按照检测策略对样本文件进行过滤。
在完成样本文件预处理和过滤后,读取样本文件类型对应的调度策略,生成样本文件检测路径,并按照检测路径将样本文件分发到各检测分析引擎的样本队列进行检测分析。
4.样本检测分析
先由多个检测分析引擎对样本文件进行独立检测分析,得出独立样本分析报告和威胁指数评分,然后再采用样本综合分析模型,综合计算得出样本的综合威胁指数评分,形成样本综合分析报告。样本综合威胁指数评分计算过程如下:
(1)计算各分析引擎的加权威胁指数评分WSi
各检测分析引擎的加权威胁指数评分WSi由威胁指数评分乘以检测分析引擎的动态可信因子得到,计算公式如下:
WSi=Si×Wi
其中,Si为第i个检测分析引擎对样本文件的威胁指数评分,Wi为第i个检测分析引擎的动态可信因子。
(2)计算样本的综合威胁指数评分S
样本文件的综合威胁指数评分为多个检测分析引擎加权威胁指数评分的均值,计算公式如下:
Figure BDA0003422623090000081
其中,WSi为第i个检测分析引擎的加权威胁指数评分,n为参与样本检测分析的检测分析引擎的总数。
最后,通过综合威胁指数评分S判定样本文件是无害、低危、中危还是高危文件。由于该指数评分是通过多个引擎分析结果综合计算得到,因此能够提高检测准确度,降低漏报和误报。
5.引擎可信因子动态调整
通过动态可信因子量化表示检测分析引擎的检测可信度,动态可信因子初始值为1,根据每次检测结果迭代计算,持续更新,动态可信因子计算过程如下:
(1)计算检测分析引擎单次检测可信度Ti
通过检测分析引擎对样本文件的威胁指数评分和综合威胁指数评分比较得到检测分析引擎单次检测可信度Ti,计算公式如下:
Ti=1-|Si-S|/S
其中,Si为第i个检测分析引擎对样本文件的威胁指数评分,S为样本文件的综合威胁指数评分。
(2)计算检测分析引擎动态可信因子W
检测分析引擎的动态可信因子通过计算检测分析引擎历次的检测可信因子平均值得到,计算公式如下:
Figure BDA0003422623090000082
其中,Ti为检测分析引擎第i次的检测可信度,n为检测分析引擎的历史检测总次数。
综上所述,本实施例的动态迭代的多引擎融合恶意代码检测方法具有如下优点:
1)采用开放式、可编排的多引擎融合架构,集成不同厂家的多种恶意代码检测分析引擎,各引擎在统一编排和调度下进行样本检测,自动分析各检测分析引擎的检测结果,经综合分析后对样本威胁度进行判定。通过多引擎融合方式,实现各种恶意代码检测分析引擎的能力集成,有效提高恶意代码检测能力。由于采用开放式、松耦合的集成方式,具有很好的扩展性,可根据样本规模、样本类型等需求灵活组合检测分析引擎。
2)建立了检测分析引擎动态评价机制,引入可信因子度量检测分析引擎的检测结果可信度,基于每次多引擎样本检测结果迭代计算得到检测分析引擎的可信因子,实现检测分析引擎的检测可信度持续动态评价。可信因子计算过程依据的检测分析引擎历次的样本检测与其它引擎的横向对比情况,能够更加客观地反应检测分析引擎检测结果的可信度。
3)建立了样本综合分析模型,将检测分析引擎的可信因子与样本综合分析模型关联,结合每种检测分析引擎的检测结果,根据可信因子调整引擎在模型中的计算权重,经综合分析计算得到样本的威胁指数评分,判定样本威胁等级,形成样本综合分析报告。由于检测分析引擎的可信因子是动态计算,因此,该样本样本综合分析模型的计算参数能够随检测分析引擎的历次检测结果自动调整。
需要说明的是,对于本实施例,为了简便描述,故将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
实施例2
本实施例在实施例1的基础上:
本实施例提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时实现实施例1的动态迭代的多引擎融合恶意代码检测方法的步骤。其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。
实施例3
本实施例在实施例1的基础上:
本实施例提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现实施例1的动态迭代的多引擎融合恶意代码检测方法的步骤。其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。存储介质包括:能够携带计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM)、随机存取存储器(RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,存储介质不包括电载波信号和电信信号。

Claims (9)

1.一种动态迭代的多引擎融合恶意代码检测方法,其特征在于,包括:
步骤一、样本文件调度:在收到样本文件后,首先对样本文件进行预处理,解析相关信息,所述相关信息包括文件类型、文件大小、所属操作系统类型;判定样本文件是否满足检测策略要求,过滤不满足检测策略要求的样本文件,根据样本调度策略和检测分析路径,将满足检测策略要求的样本文件分配到多个检测分析引擎的任务队列;
步骤二、多引擎检测分析:各检测分析引擎从自己的任务队列读取样本文件,对样本文件进行独立检测分析,得出样本威胁评分,并生成样本分析结果报告;
步骤三、样本综合分析判定:解析各检测分析引擎的分析结果,利用样本综合分析模型计算得出样本文件的综合威胁指数评分,对样本进行分析判定,生成样本综合分析报告;
步骤四、检测引擎动态评价:结合本次检测结果和历史检测情况,对各检测分析引擎的检测效能进行评价,迭代计算检测分析引擎的动态可信因子,实现模型参数的自动调优。
2.根据权利要求1所述的动态迭代的多引擎融合恶意代码检测方法,其特征在于,计算样本的综合威胁指数评分之前,先计算各检测分析引擎的加权威胁指数评分WSi;各检测分析引擎的加权威胁指数评分WSi由威胁指数评分乘以检测分析引擎的动态可信因子得到,计算公式如下:
WSi=Si×Wi
其中,Si为第i个检测分析引擎对样本文件的威胁指数评分,Wi为第i个检测分析引擎的动态可信因子。
3.根据权利要求1所述的动态迭代的多引擎融合恶意代码检测方法,其特征在于,样本文件的综合威胁指数评分为多个检测分析引擎加权威胁指数评分的均值,计算公式如下:
Figure FDA0003422623080000021
其中,WSi为第i个检测分析引擎的加权威胁指数评分,n为参与样本检测分析的检测分析引擎的总数。
4.根据权利要求1所述的动态迭代的多引擎融合恶意代码检测方法,其特征在于,迭代计算检测分析引擎的动态可信因子之前,先计算检测分析引擎单次检测可信度Ti;通过检测分析引擎对样本文件的威胁指数评分和综合威胁指数评分比较得到检测分析引擎单次检测可信度Ti,计算公式如下:
Ti=1-|Si-S|/S
其中,Si为第i个检测分析引擎对样本文件的威胁指数评分,S为样本文件的综合威胁指数评分。
5.根据权利要求1所述的动态迭代的多引擎融合恶意代码检测方法,其特征在于,检测分析引擎的动态可信因子通过计算检测分析引擎历次的检测可信因子平均值得到,计算公式如下:
Figure FDA0003422623080000022
其中,Ti为检测分析引擎第i次的检测可信度,n为检测分析引擎的历史检测总次数。
6.根据权利要求1所述的动态迭代的多引擎融合恶意代码检测方法,其特征在于,样本调度策略根据样本文件类型建立样本文件与检测分析引擎的关联关系,设定样本文件的检测流程。
7.根据权利要求1所述的动态迭代的多引擎融合恶意代码检测方法,其特征在于,结合样本文件类型和运行环境要求以及检测分析引擎的检测手段、支持的运行环境,设定样本调度策略,作为多引擎检测分析时自动化调度的依据。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7任一项所述的动态迭代的多引擎融合恶意代码检测方法的步骤。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的动态迭代的多引擎融合恶意代码检测方法的步骤。
CN202111568599.5A 2021-12-21 2021-12-21 动态迭代的多引擎融合恶意代码检测方法、设备及介质 Active CN114386034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111568599.5A CN114386034B (zh) 2021-12-21 2021-12-21 动态迭代的多引擎融合恶意代码检测方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111568599.5A CN114386034B (zh) 2021-12-21 2021-12-21 动态迭代的多引擎融合恶意代码检测方法、设备及介质

Publications (2)

Publication Number Publication Date
CN114386034A CN114386034A (zh) 2022-04-22
CN114386034B true CN114386034B (zh) 2023-01-31

Family

ID=81197404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111568599.5A Active CN114386034B (zh) 2021-12-21 2021-12-21 动态迭代的多引擎融合恶意代码检测方法、设备及介质

Country Status (1)

Country Link
CN (1) CN114386034B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065446A1 (zh) * 2022-09-29 2024-04-04 西门子股份公司 一种ot设备中文件的识别方法、装置、系统及存储介质
CN115935359B (zh) * 2023-01-04 2023-05-16 北京微步在线科技有限公司 一种文件处理方法、装置、计算机设备及存储介质
CN115766293B (zh) * 2023-01-04 2023-04-18 北京微步在线科技有限公司 一种风险文件检测方法、装置、电子设备及存储介质
CN116756048B (zh) * 2023-08-16 2023-10-31 北京安普诺信息技术有限公司 一种代码分析方法、装置、计算机设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103500305A (zh) * 2013-09-04 2014-01-08 中国航天科工集团第二研究院七〇六所 一种基于云计算的恶意代码分析系统和方法
CN106934285A (zh) * 2015-12-31 2017-07-07 中兴通讯股份有限公司 一种实现样本分析的方法、装置及动态引擎设备
CN106341282A (zh) * 2016-11-10 2017-01-18 广东电网有限责任公司电力科学研究院 一种恶意代码行为分析装置

Also Published As

Publication number Publication date
CN114386034A (zh) 2022-04-22

Similar Documents

Publication Publication Date Title
CN114386034B (zh) 动态迭代的多引擎融合恶意代码检测方法、设备及介质
CN107392025B (zh) 基于深度学习的恶意安卓应用程序检测方法
EP3968198A1 (en) Method and system for searching for similar malicious programs on the basis of dynamic analysis results
CN108667856B (zh) 一种网络异常检测方法、装置、设备及存储介质
CN111614690B (zh) 一种异常行为检测方法及装置
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
CN107220121B (zh) 一种numa架构下沙箱环境测试方法及其系统
KR102091076B1 (ko) 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법
CN114726654B (zh) 应对云计算网络攻击的数据分析方法及服务器
US20180285432A1 (en) Extracting and labeling custom information from log messages
US20190342308A1 (en) Method of malware characterization and prediction
CN111786974A (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
CN112738040A (zh) 一种基于dns日志的网络安全威胁检测方法、系统及装置
WO2023207557A1 (zh) 评估业务预测模型鲁棒性的方法、装置及计算设备
CN116506200A (zh) 云安全服务实现系统及方法
Zuo Defense of Computer Network Viruses Based on Data Mining Technology.
KR101281460B1 (ko) 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
CN116416884A (zh) 一种显示器模组的测试装置及其测试方法
CN113949652B (zh) 基于人工智能的用户异常行为检测方法、装置及相关设备
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN115378928B (zh) 基于云服务的监控方法及系统
CN116595523A (zh) 基于动态编排的多引擎文件检测方法、系统、设备及介质
JP2022155520A (ja) コンピュータネットワークにおける異常検出のためのシステムおよび方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant