CN117296068A - 估计装置、估计方法以及估计程序 - Google Patents
估计装置、估计方法以及估计程序 Download PDFInfo
- Publication number
- CN117296068A CN117296068A CN202180097987.1A CN202180097987A CN117296068A CN 117296068 A CN117296068 A CN 117296068A CN 202180097987 A CN202180097987 A CN 202180097987A CN 117296068 A CN117296068 A CN 117296068A
- Authority
- CN
- China
- Prior art keywords
- data
- estimation
- abnormal
- normal
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 29
- 230000002159 abnormal effect Effects 0.000 claims abstract description 96
- 230000005856 abnormality Effects 0.000 claims abstract description 39
- 238000000605 extraction Methods 0.000 claims abstract description 19
- 239000000284 extract Substances 0.000 claims abstract description 7
- 238000012937 correction Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 23
- 238000001514 detection method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000013135 deep learning Methods 0.000 description 7
- 230000010365 information processing Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Devices For Executing Special Programs (AREA)
- Debugging And Monitoring (AREA)
Abstract
估计部(15b)对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计。提取部(15c)将异常数据与被估计为相似度最大的正常数据进行比较,提取该异常数据中的与该正常数据对应的部分不存在的部分作为异常的原因部位。
Description
技术领域
本发明涉及估计装置、估计方法以及估计程序。
背景技术
近年来,通过有效利用工厂中的控制装置的通信数据而以工厂优化为目标的被称为智能工厂的努力正在推进。另一方面,担心出现以智能工厂为对象的新型网络攻击,迫切需要安全对策。新型网络攻击的防御较为困难,期望检测的技术。特别是,利用了自动地根据输入数据对正常的特征进行学习的深度学习的异常检测(anomaly-type abnormalitydetection)能够高精度地检测新型网络攻击,因此该技术受到期待。
但是,深度学习的判断过程是黑盒(black box),若设想实际运用,则无法说明检测为异常的原因,因此安全负责人无法确定异常的原因。因此,近年来,公开了从深度学习说明异常的原因的被称为可解释AI(interpretable AI)的技术(参照非专利文献1)。
现有技术文献
非专利文献
非专利文献1:William Briguglio and Sherif Saad,“Interpreting MachineLearning Malware Detectors Which Leverage N-gram Analysis”,[online],[2021年4月14日检索],网站<URL:https://arxiv.org/abs/2001.10916.pdf>
非专利文献2:Xiao Zhang,Manish Marwah,I-ta Lee,Martin Arlitt,DanGoldwasser,“ACE-An Anomaly Contribution Explainer for Cyber-SecurityApplications”,[online],[2021年4月14日检索],网站<URL:https://arxiv.org/pdf/1912.00314.pdf>
发明内容
发明要解决的课题
然而,在以往的技术中,将固定长度的通信数据作为异常检测的对象来确定异常的原因,无法将可变长度的通信数据作为异常检测的对象来确定异常的原因。
本发明是鉴于上述情况而完成的,其目的在于,能够将可变长度的通信数据作为异常检测的对象来确定异常的原因。
用于解决课题的手段
为了解决上述课题并达成目的,本发明的估计装置的特征在于,具有:估计部,其对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计;以及提取部,其将所述异常数据与被估计为相似度最大的正常数据进行比较,提取该异常数据中的与该正常数据对应的部分不存在的部分作为异常的原因部位。
发明的效果
根据本发明,能够将可变长度的通信数据作为异常检测的对象来确定异常的原因。
附图说明
图1是用于说明估计装置的概要的图。
图2是例示估计装置的概略结构的示意图。
图3是例示提取处理结果的图。
图4是示出估计处理步骤的流程图。
图5是用于说明实施例的图。
图6是例示执行估计程序的计算机的图。
具体实施方式
以下,参照附图,对本发明的一个实施方式进行详细说明。另外,本发明并不限定于该实施方式。另外,在附图的记载中,对同一部分标注同一标号来表示。
[估计装置的概要]
图1是用于说明估计装置的概要的图。如图1所示,本实施方式的估计装置将可变长度的通信数据作为异常检测的对象,对被估计为是通信数据的异常的原因的字节部位进行确定。具体而言,如图1的(a)所示,针对被判定为异常的通信数据(异常判定数据)与多个被判定为正常的通信数据(正常判定数据)的对(pair),如图1的(b)所示,确定与异常判定数据最相似的正常判定数据。此时,估计装置应用记录被分割为多个的部分的计算结果的同时求出整体的计算结果的动态规划法,计算异常判定数据与各正常判定数据之间的相似度。其中,如图1的(c)所示,对存在间隙的部位进行确定,将其估计为是成为异常判定的原因的异常字节。
[估计装置的结构]
图2是例示估计装置的概略结构的示意图。如图2所例示的那样,估计装置10由个人计算机等通用计算机实现,具备输入部11、输出部12、通信控制部13以及控制部15。
输入部11使用键盘、鼠标等输入设备来实现,与操作者的输入操作对应地向控制部15输入处理开始等各种指示信息。输出部12通过液晶显示器等显示装置、打印机等印刷装置等来实现。
通信控制部13由NIC(Network Interface Card:网络接口卡)等实现,对经由网络的服务器等外部装置与控制部15之间的通信进行控制。例如,通信控制部13对如下的管理装置等与控制部15之间的通信进行控制,该管理装置对作为后述的估计处理的对象的数据集、参数进行管理。
控制部15使用CPU(Central Processing Unit:中央处理单元)等来实现,执行存储于存储器的处理程序。由此,如图2所例示那样,控制部15作为取得部15a、估计部15b、提取部15c发挥功能。此外,这些功能部也可以分别或者一部分安装于不同的硬件。例如,估计部15b和提取部15c也可以安装于不同的硬件。另外,控制部15也可以具备其他功能部。
取得部15a取得被判定为异常的数据和被判定为正常的多个数据。例如,取得部15a经由输入部11或者从管理深度学习的结果的管理装置等经由通信控制部13取得作为后述的估计处理的对象的异常数据、估计处理中使用的正常数据的数据集、估计处理中使用的参数等。
此外,取得部15a也可以将取得的数据存储于由RAM(Random Access Memory:随机存取存储器)、闪存(Flash Memory)等半导体存储元件、或者硬盘、光盘等存储装置实现的未图示的存储部。或者,取得部15a也可以不将这些信息存储于存储部,而将它们转发到以下说明的估计部15b。
估计部15b对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计。具体而言,估计部15b使用所取得的数据,对被判定为异常的数据包的有效载荷与被判定为正常的数据包的有效载荷的集合之间的相似度进行评价,从而对与被判定为异常的数据包的有效载荷最相似的有效载荷进行估计。
例如,估计部15b应用动态规划法来计算异常数据与正常数据之间的相似度。在此,估计装置10将通过基于深度学习的异常检测而被判定为异常/正常的数据中的1个异常数据和例如100个以上的多个正常数据的数据包的有效载荷作为处理对象。有效载荷例如是如[00 00 10FF 10]等那样表示的16进制数的字符串,是长度1以上的可变长度的数据串。
估计部15b在假设异常数据和正常数据中出现的字符是连续循环的情况下计算异常数据与正常数据之间的相似度。即,估计部15b假设数据中出现的字节字符(00~FF)循环,例如将字节字符“00”与“FF”之间的相似度和“00”与“01”之间的相似度设为相同的值。
另外,估计部15b计算一个异常数据串X=[x1,x2,…,xn]与多个正常数据串Y1,Y2,…,Yk,…,Yl中的一个正常数据串Y=[y1,y2,…,ym]之间的相似度S。此时,估计部15b使用动态规划法来计算与X的相似度最高的Ytarget。
动态规划法能够如下式(1)、(2)那样表示。
[数学式1]
[数学式2]
上述式(1)使用异常数据串X中的1个字符xi与正常数据串Y中的1个字符yj之间的相似度s(xi,yj),将X与Y的相似度S(i,j)数值化。
另外,在上述式(1)的第一行中,如上述式(2)所示,在xi与yj一致的情况下,作为s(xi,yj)+10,在不一致的情况下,减去xi与yj的距离。
或者,例如在与异常数据的字节字符“00”进行比较的情况下,估计部15b也可以预先设定为:与作为比较目标的正常数据的字节字符“00”的字符的相似度s为+10,与“01”“02”“03”“FF”“FE”“FD”的字符的相似度s为+5,与其他字节字符的相似度s为-5。
这样,估计部15b将异常数据的字符与正常数据的字符之间的相似度s作为规定范围的值来计算异常数据与正常数据之间的相似度。
另外,在评价了异常数据串X与第k个正常数据串Yk之间的相似度之后,估计部15b反复进行对异常数据串X与第k+1个正常数据串Yk+1之间的相似度进行评价的处理,直到进行到第l个正常数据串Yl。
如此一来,估计部15b能够使用动态规划法对可变长度的数据彼此进行比较。
之后,估计部15b通过进行使用异常分数(anomaly score)的校正,来计算异常数据串X与各正常数据串Y之间的相似度。即,估计部15b计算出如下的值作为异常数据串X与各正常数据串Y之间的相似度,其中,该值是将各正常数据串Y的基于深度学习的异常检测的结果即AI异常度分数(异常分数)作为偏差(bias)与上述的S(i,j)进行相乘而得到的。例如,估计部15b施加偏差,以使得正常数据中的异常分数低的正常数据与异常数据的相似度分数变高。然后,估计部15b将计算出的相似度为最高值的正常数据串Y确定为Ytarget。
提取部15c将异常数据与被估计为相似度最大的正常数据进行比较,提取异常数据中的与正常数据对应的部分不存在的部分作为异常的原因部位。具体而言,提取部15c提取被判定为异常的数据包的有效载荷中的、与估计出的有效载荷存在间隙的部位作为异常部位。
例如,在作为比较源的异常数据的有效载荷为“00 11FF FD”、且作为比较目标的正常数据的有效载荷为“00FF FD”的情况下,由于与比较源的第二字节“11”对应的部分在正常数据中不存在,因此提取部15c将该部分判定为是异常部位。在该情况下,提取部15c用空白字符代替正常数据的第二字节。
另外,在正常数据的第二字节不是“11”的情况下,也可以将异常数据和正常数据的第二字节作为存在间隙的部位来进行提取。
此外,提取部15c经由输出部12输出提取出的异常部位。例如,提取部15c向显示器等输出部12输出异常数据与正常数据的对(pair)的有效载荷,以高亮的方式对判定为是异常部位的存在间隙的部位进行强调显示。此外,提取部15c也可以将提取出的异常部位的信息经由通信控制部13输出到其他信息处理装置。
在此,图3是例示提取处理结果的图。在图3中,例示了与异常数据的相似度为最大的正常数据、和异常数据中的与该正常数据存在间隙的部位。在图3中,如粗体字所示,“0X86 0X8C 0X5F”作为存在间隙的异常部位而被显示。
[估计处理]
接下来,参照图4,对本实施方式的估计装置10实施的估计处理进行说明。图4是示出估计处理步骤的流程图。图4的流程例如在有指示开始进行估计处理的操作输入的定时下开始。
首先,取得部15a取得被判定为异常的异常数据和被判定为正常的多个正常数据(步骤S1)。
接着,估计部15b生成异常数据与正常数据的对(步骤S2)。另外,估计部15b对生成的对中的、异常数据与正常数据的相似度为最大的对进行估计(步骤S3)。
例如,估计部15b使用动态规划法来计算各个对的相似度。此时,估计部15b在假设异常数据和正常数据中出现的字符是连续循环的情况下计算各个对的相似度。另外,估计部15b将异常数据的字符与正常数据的字符的相似度作为规定范围的值来计算各个对的相似度。另外,估计部15b通过进行使用异常分数的校正来计算各个对的相似度。
另外,提取部15c将异常数据与被估计为相似度最大的正常数据进行比较,提取异常数据中的不存在与正常数据对应的部分而存在间隙的部分作为异常的原因部位(步骤S4)。
然后,提取部15c以高亮的方式对判定为是异常部位的存在间隙的部位进行强调显示等,并将该部位输出到输出部12(步骤S5)。由此,一系列的估计处理结束。
如以上说明的那样,在估计装置10中,估计部15b对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计。提取部15c将异常数据与被估计为相似度最大的正常数据进行比较,提取该异常数据中的与该正常数据对应的部分不存在的部分作为异常的原因部位。
这样,估计装置10能够不依赖于正常数据和异常数据的长度,将与正常数据最相似的异常数据的与正常数据不同的部分确定为是异常的原因部位。由此,估计装置10能够将可变长度的通信数据作为异常检测的对象来确定异常的原因。
另外,估计部15b应用动态规划法来计算异常数据与正常数据之间的相似度。这样,估计装置10通过具体地将可变长度的通信数据作为异常检测的对象来计算异常数据与正常数据之间的相似度,从而能够高精度地确定异常的原因。
另外,估计部15b在假设异常数据和正常数据中出现的字符是连续循环的情况下计算异常数据与正常数据之间的相似度。这样,估计装置10通过具体地高效地计算相似度,从而能够确定异常的原因。
另外,估计部15b将异常数据的字符与正常数据的字符的相似度作为规定范围的值来计算异常数据与正常数据之间的相似度。这样,估计装置10通过具体地高效地计算相似度,从而能够高精度地确定异常的原因。
另外,估计部15b通过进行使用异常分数的校正来计算异常数据与正常数据之间的相似度。这样,估计装置10通过具体地高精度地计算相似度,从而能够确定异常的原因。
[实施例]
图5是用于说明实施例的图。在本实施例中,对在如以下所示那样设想的网络攻击场景中产生的异常的通信数据的字节部位的估计精度进行了计测。
作为网络攻击场景,设想具有恶意的人将用于执行恶意程序的代码插入到正常运转的通信的一部分中而能够进行非法操作的恶意代码插入攻击。并且,将插入有恶意代码的字节部位估计为是异常部位。
例如,在正常的通信为“00 01 00 00 00 41 6b”、异常的通信为“00 01 00 00 541bFF FF 31 00 41 6b”的情况下,将插入的恶意代码“54 1b FF FF 31”确定为是异常部位。
使用通过深度学习而被赋予了正常标签或异常标签的数据包中的、2133个正常数据和按插入的恶意代码的长度(1~3这三种)的每一种各100个异常数据,在正常数据的随机的1个部位插入了恶意代码的字节串。
针对每一个数据包判定了异常部位。此时,为了得到能够在动态规划法中使用的数据格式,将各字节从16进制数(0x00~0xff)变换成了数值(0~255)。
图5例示了实施例的评价结果。在评价中,针对每一个数据包确认了异常部位的字节串的估计是否完全一致,在完全一致的情况下设为正确,在不完全一致的情况下设为错误。
如图5所示,确认了以下结果:在异常字节串插入到1个部位的情况下,在全部的数据包中估计出了异常部位;在异常字节串插入到2个部位的情况下,在2个数据包中没能正确地估计出异常部位;在异常字节串插入到3个部位的情况下,在6个数据包中没能正确地估计出异常部位,但在整体上能够以90%以上的精度进行估计。
[程序]
也能够生成以计算机可执行的语言记述了由上述实施方式的估计装置10执行的处理的程序。作为一个实施方式,估计装置10能够通过将执行上述的估计处理的估计程序作为套装软件、在线软件安装于期望的计算机来实现。例如,通过使信息处理装置执行上述的估计程序,能够使信息处理装置作为估计装置10发挥功能。另外,除此之外,信息处理装置还包括智能手机、移动电话机、PHS(Personal Handyphone System:个人手持电话系统)等移动通信终端、以及PDA(Personal Digital Assistant:个人数字助理)等平板终端等。另外,也可以在云服务器实现估计装置10的功能。
图6是示出执行估计程序的计算机的一例的图。计算机1000例如具有存储器1010、CPU1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060以及网络接口1070。这些各部通过总线1080连接。
存储器1010包括ROM(Read Only Memory:只读存储器)1011和RAM1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1031连接。盘驱动器接口1040与盘驱动器1041连接。在盘驱动器1041中例如插入磁盘、光盘等可装卸的存储介质。串行端口接口1050例如与鼠标1051和键盘1052连接。视频适配器1060例如与显示器1061连接。
这里,硬盘驱动器1031例如存储OS1091、应用程序1092、程序模块1093以及程序数据1094。上述实施方式中说明的各信息例如存储于硬盘驱动器1031、存储器1010。
另外,估计程序例如作为记述有由计算机1000执行的指令的程序模块1093而存储于硬盘驱动器1031。具体而言,记述有由在上述实施方式中说明的估计装置10执行的各处理的程序模块1093存储于硬盘驱动器1031。
另外,在基于估计程序的信息处理中使用的数据作为程序数据1094例如存储于硬盘驱动器1031。然后,CPU1020根据需要将存储在硬盘驱动器1031中的程序模块1093、程序数据1094读出到RAM1012来执行上述的各步骤。
此外,估计程序所涉及的程序模块1093、程序数据1094不限于存储于硬盘驱动器1031的情况,例如也可以存储于可装卸的存储介质,并经由盘驱动器1041等由CPU 1020读出。或者,估计程序所涉及的程序模块1093、程序数据1094也可以存储于经由LAN(LocalArea Network:局域网)、WAN(Wide Area Network:广域网)等网络连接的其他计算机,并经由网络接口1070由CPU1020读出。
以上,对应用了由本发明人完成的发明的实施方式进行了说明,但本发明并不受构成本实施方式的本发明的公开的一部分的记载和附图所限定。即,基于本实施方式由本领域技术人员等完成的其他实施方式、实施例以及运用技术等全部包含在本发明的范畴内。
标号说明
10 估计装置
11 输入部
12 输出部
13 通信控制部
15 控制部
15a 取得部
15b 估计部
15c 提取部。
Claims (7)
1.一种估计装置,其特征在于,具有:
估计部,其对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计;以及
提取部,其将所述异常数据与被估计为相似度最大的正常数据进行比较,提取该异常数据中的与该正常数据对应的部分不存在的部分作为异常的原因部位。
2.根据权利要求1所述的估计装置,其特征在于,
所述估计部应用动态规划法来计算所述相似度。
3.根据权利要求2所述的估计装置,其特征在于,
所述估计部在假设异常数据和正常数据中出现的字符是连续循环的情况下计算相似度。
4.根据权利要求2所述的估计装置,其特征在于,
所述估计部将异常数据的字符与正常数据的字符之间的相似度作为规定范围的值来计算所述相似度。
5.根据权利要求2所述的估计装置,其特征在于,
所述估计部通过进行使用异常分数的校正来计算所述相似度。
6.一种估计方法,该估计方法由估计装置执行,其特征在于,
所述估计方法包括:
估计工序,对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计;以及
提取工序,将所述异常数据与被估计为相似度最大的正常数据进行比较,提取该异常数据中的与该正常数据对应的部分不存在的部分作为异常的原因部位。
7.一种估计程序,其特征在于,
所述估计程序使计算机执行以下步骤:
估计步骤,对被判定为正常的多个正常数据中的与被判定为异常的异常数据的相似度为最大的正常数据进行估计;以及
提取步骤,其将所述异常数据与被估计为相似度最大的正常数据进行比较,提取该异常数据中的与该正常数据对应的部分不存在的部分作为异常的原因部位。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/018654 WO2022244077A1 (ja) | 2021-05-17 | 2021-05-17 | 推定装置、推定方法および推定プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117296068A true CN117296068A (zh) | 2023-12-26 |
Family
ID=84141360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180097987.1A Pending CN117296068A (zh) | 2021-05-17 | 2021-05-17 | 估计装置、估计方法以及估计程序 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP4325385A1 (zh) |
| JP (1) | JPWO2022244077A1 (zh) |
| CN (1) | CN117296068A (zh) |
| AU (1) | AU2021445975A1 (zh) |
| WO (1) | WO2022244077A1 (zh) |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005050369A2 (en) * | 2003-11-12 | 2005-06-02 | The Trustees Of Columbia University In The City Ofnew York | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data |
-
2021
- 2021-05-17 EP EP21940697.2A patent/EP4325385A1/en active Pending
- 2021-05-17 WO PCT/JP2021/018654 patent/WO2022244077A1/ja active Application Filing
- 2021-05-17 AU AU2021445975A patent/AU2021445975A1/en active Pending
- 2021-05-17 CN CN202180097987.1A patent/CN117296068A/zh active Pending
- 2021-05-17 JP JP2023522024A patent/JPWO2022244077A1/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2022244077A1 (zh) | 2022-11-24 |
| EP4325385A1 (en) | 2024-02-21 |
| AU2021445975A1 (en) | 2023-11-16 |
| WO2022244077A1 (ja) | 2022-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11709939B2 (en) | Anomaly detection in real-time multi-threaded processes on embedded systems and devices using hardware performance counters and/or stack traces | |
| CN109992969B (zh) | 一种恶意文件检测方法、装置及检测平台 | |
| US10516685B2 (en) | Analysis method, analysis device and analysis program | |
| EP3404572B1 (en) | Attack code detection device, attack code detection method, and attack code detection program | |
| CN109753987B (zh) | 文件识别方法和特征提取方法 | |
| RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
| CN105306463A (zh) | 基于支持向量机的Modbus TCP入侵检测方法 | |
| CN110750789B (zh) | 解混淆方法、装置、计算机设备和存储介质 | |
| CN108563952A (zh) | 文件的病毒检测方法、装置及存储介质 | |
| CN112115965A (zh) | 一种基于svm的被动操作系统识别方法、存储介质及设备 | |
| CN107682354B (zh) | 一种网络病毒检测方法、装置及设备 | |
| CN110162973B (zh) | 一种Webshell文件检测方法及装置 | |
| US10417422B2 (en) | Method and apparatus for detecting application | |
| EP3796599B1 (en) | Evaluation device and evaluation method | |
| US11762730B2 (en) | Selection of outlier-detection programs specific to dataset meta-features | |
| US11102082B1 (en) | System and method for inferring operating systems using transmission control protocol fingerprints | |
| CN114297665A (zh) | 基于深度学习的智能合约漏洞检测方法和装置 | |
| CN117296068A (zh) | 估计装置、估计方法以及估计程序 | |
| US11989013B2 (en) | Abnormality detection apparatus, abnormality detection system, and learning apparatus, and methods for the same and non-temporary computer-readable medium storing the same | |
| CN112527862A (zh) | 一种时间序列数据的处理方法及装置 | |
| CN117134958A (zh) | 用于网络技术服务的信息处理方法及系统 | |
| US11665165B2 (en) | Whitelist generator, whitelist evaluator, whitelist generator/evaluator, whitelist generation method, whitelist evaluation method, and whitelist generation/evaluation method | |
| CN113360899B (zh) | 一种机器行为的识别方法及系统 | |
| CN115134153A (zh) | 安全评估方法、装置和模型训练方法、装置 | |
| CN113935034A (zh) | 基于图神经网络的恶意代码家族分类方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |