CN118337453A - 一种自动攻击溯源方法、终端设备及存储介质 - Google Patents
一种自动攻击溯源方法、终端设备及存储介质 Download PDFInfo
- Publication number
- CN118337453A CN118337453A CN202410486675.5A CN202410486675A CN118337453A CN 118337453 A CN118337453 A CN 118337453A CN 202410486675 A CN202410486675 A CN 202410486675A CN 118337453 A CN118337453 A CN 118337453A
- Authority
- CN
- China
- Prior art keywords
- log
- embedding
- attack
- log entries
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000001364 causal effect Effects 0.000 claims abstract description 35
- 238000012549 training Methods 0.000 claims abstract description 17
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 230000001360 synchronised effect Effects 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 19
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 150000001875 compounds Chemical class 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 238000012706 support-vector machine Methods 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 9
- 230000011218 segmentation Effects 0.000 description 8
- 239000003550 marker Substances 0.000 description 6
- 230000000007 visual effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种自动攻击溯源方法、终端设备及存储介质,该方法中包括:接收不同来源的日志并进行分类和排序;对日志条目进行单词级别的拆分后,得到标记化的日志条目;构建异常日志识别模型,模型包括嵌入提取模块和分类模块,以标记化的所有日志条目作为训练集,以同步联邦学习的形式对模型进行训练;当接收到待溯源日志时,首先进行标记化,之后将标记化的日志条目输入训练后的模型,得到异常日志条目识别结果;将异常日志条目对应的事件类型作为可疑事件;构建每个可疑事件对应的独立因果图,并将所有可疑事件的独立因果图进行融合,基于融合后的因果图重建攻击故事。本发明可以检测攻击并且跟踪攻击链路,高效重建攻击故事。
Description
技术领域
本发明涉及网络通信安全领域,尤其涉及一种自动攻击溯源方法、终端设备及存储介质。
背景技术
现有的攻击溯源方法应用了不同的图优化技术,但这些图仍然非常大,存在较大的开销且难以在实践中解释,同时需要大量的人为干预来标记数据,因此,现有的工作还没有能够高效的重建攻击故事。
发明内容
为了解决上述问题,本发明提出了一种自动攻击溯源方法、终端设备及存储介质。
具体方案如下:
一种自动攻击溯源方法,包括以下步骤:
S1:接收不同来源的日志,并对日志包含的所有日志条目按照事件类型进行分类,同时将各事件类型对应的所有日志条目按照时间排序;
S2:对日志条目进行单词级别的拆分后,将拆分得到的单词作为标记,得到标记化的日志条目;
S3:构建异常日志识别模型,模型包括嵌入提取模块和分类模块,以标记化的所有日志条目作为训练集,以同步联邦学习的形式对模型进行训练,得到训练后的异常日志识别模型;
S4:当接收到待溯源日志时,首先按照步骤S1和S2将待溯源日志包括的所有日志条目进行标记化,之后将标记化的日志条目输入训练后的模型,得到异常日志条目识别结果;
S5:将识别到的异常日志条目对应的事件类型作为可疑事件;
S6:构建每个可疑事件对应的独立因果图,并将所有可疑事件的独立因果图进行融合,基于融合后的因果图重建攻击故事。
进一步的,接收不同来源的日志后还包括对接收到的日志进行预处理;预处理包括:去除非语言符号和停用词,并将复合词拆分为单个词。
进一步的,对日志条目进行拆分的方法为:首先按照字段类型对日志条目的内容进行分割,之后针对分割后的内容采用对应的领域的分割算法进行单词级别的拆分。
进一步的,嵌入提取模块采用基于双向Transformer的Bert,其输入嵌入由令牌嵌入、段嵌入和位置嵌入共同构成;其中,在段嵌入中,将每个事件视为一个单元,将所有属于同一事件的标记设置为具有相同的段嵌入。
进一步的,分类模块采用单类支持向量机。
进一步的,将所有可疑事件的独立因果图进行融合的过程包括:首先对每个独立因果图进行扩展,通过识别原始日志文本中与其他独立因果图相邻的节点来构建独立因果图扩展节点;之后将两个不同独立因果图的具有相同内容的扩展节点合并为一个共享节点。
一种自动攻击溯源终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,可以检测攻击并且跟踪攻击链路,高效重建攻击故事。
附图说明
图1所示为本发明实施例一方法的流程图。
图2所示为该实施例中现有标记器与本实施例方法的比较结果示意图。
图3所示为该实施例中BERT嵌入示例图。
图4所示为该实施例中BERT中的不同训练任务示意图。
图5所示为该实施例中分类任务训练和测试示意图。
图6所示为该实施例中因果图重建过程的可视化表示。
图7所示为该实施例中实验结果示意图。
图8所示为该实施例中攻击溯源案例图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种自动攻击溯源方法,如图1所示,所述方法包括以下步骤:
S1:接收不同来源的日志,并对日志包含的所有日志条目按照事件类型进行分类,同时将各事件类型对应的所有日志条目按照时间排序。
本实施例中接收到日志后,还包括对其进行预处理,具体包括去除非语言符号和停用词、将复合词拆分为单个词等。
接收到的日志中包括多条日志条目,每条日志条目都有对应的时间戳。本实施例中首先按照事件类型(如上传、下载等)对日志条目进行分类,如DNS、firefox和syslog等可以帮助捕获相同行为日志条目之间的因果关系。之后针对每个类型的日志条目,按照时间顺序对其排序,以便以后续能够更好的进行溯源工作。
S2:对日志条目进行单词级别的拆分后,将拆分得到的单词作为标记,得到标记化的日志条目。
标记化是将文本数据分成称为标记的较小单元的过程。本实施例在考虑了日志文本特定的词句语义的基础上,设计了一种新的标记器。在标记器中首先使用分词器使用预定义的字符(如“.”、“//”等)来分割文本,具体分割方式为:逐条扫描每条日志条目中的各字段的内容(例如寻找URL),如果查找到则对该内容进行分割(如将寻找到的URL从日志条目的文本中分割出来)。当日志条目包含多个字段时,需要进行多次分割。在完成分词器的分割后,基于分割后的内容,采用其对应领域的分割算法(现有算法即可)进行单词级别的拆分。分割后的内容对应的领域主要有路径、URL、IP地址和临时文件名,不同的领域对应不同的分割算法,通过该分割算法,可以将分割后的内容再次分割为较小的单元(即单词级别的分割)。
图2展示了现有的标记器Tokenizer和本实施例中采用的标记器的比较结果。对比于传统的一次拆分所有文本的分词器,本实施例采用的标记器能够实现更加细粒度的词。例如,路径C:\host\abc通过识别特殊的斜线符号被分割成标记[C:]、[host]和[abc],而C:\host\ccd则被分割成标记[C:]、[host]和[ccd],这暗示了目录结构。URL可以被视为网络协议、域名、端口和路径的组合。例如,https://c.gov会使用https、c和gov作为其域名。对于IP地址,本实施例中直接使用点号分割它们,并且模型可以学习同一子网中的IP。对于类似Firefox.xxx的临时文件,将其分割为Firefox和xxx,这使得将文件与相应的进程更容易关联。
S3:构建异常日志识别模型,模型包括嵌入提取模块和分类模块,以标记化的所有日志条目作为训练集,以同步联邦学习的形式对模型进行训练,得到训练后的异常日志识别模型。
(1)嵌入提取模块
嵌入提取模块以官方提供的基于双向Transformer的预训练的Bert作为初始化网络结构,以同步联邦学习的形式使用上述通过步骤S1和S2获得的未赋予标签(正常或异常)的日志条目数据(训练集)对其进行重新训练。
本实施例使用同步联邦学习的方式进行嵌入的训练,构建了三个关键嵌入层。如图3所示,最终的输入嵌入是由令牌嵌入、段嵌入和位置嵌入共同构成的。在BERT中,每个句子都被视为一个段,这意味着同一个句子中的标记都具有相同的段嵌入,也称为句子嵌入。然而,本实施例的应用场景与传统句子不同,因此并不存在句子的概念。因此,本实施例将每个事件视为一个单元,所有属于同一事件的标记都具有相同的段嵌入。
嵌入提取模块中包括掩码语言单元和下一句预测单元(或称为下一个段/事件预测)。
掩码语言单元的核心思想是用特殊的占位符标记[MASK]来替代日志中的标记或段,并在训练过程中,利用上下文信息,例如周围的标记和段,来预测[MASK]的具体值。通过这种方式,能够通过从上下文中学习来获取每个单词和片段的编码,以反映其语义。图4展示了BERT中的不同训练任务说明图。以图4中的日志示例为例,我们将请求标记中的192.a.b.c标记为[MASK],然后尝试使用192.a.b.c[MASK]152.a.b.c来预测[MASK]的确切内容。这种掩码语言模型预测捕捉到了192.a.b.c和152.a.b.c之间的关系。
下一句预测单元用于预测给定句子对中的第二个句子是否是第一个句子的后续句子。如图4所示,BERT将成对的句子A:192.a.b.c请求152.a.b.c和B:152.a.b.c响应192.a.b.c作为输入,并预测结果为True,这表明句子B是句子A的下一句。在实际应用中,下一个句子可以是窗口内的多个日志条目/句子的组合,而不仅仅是单个时间连续的日志条目。因此,BERT能够捕获多个上下文条目之间的复杂关系。
(2)分类模块
由于本实施例中用于分类任务的可用数据集不平衡,主要由良性模式组成或只包含良性模式,训练一个有效区分不同行为模式的分类器是具有挑战性的。因此,本实施例中采用了单类分类技术,即单类支持向量机(OC-SVM)。OC-SVM分类器旨在学习良性模式,并将与良性模式明显不同的样本分类为可疑样本。OC-SVM从未赋予标签的日志条目即良性训练数据中学习良性行为,并努力寻找适合训练数据的决策边界。在异常日志识别期间,OC-SVM将落在决策边界之外的输入数据分类为恶意输入。除了在良性数据上训练外,OC-SVM也可以在不完全干净的数据集上训练,只要大多数数据是良性的即可。由于OC-SVM学习了大多数活动的模式,一旦模型收敛,它自然会过滤掉极少数的恶意活动。
图5展示了分类任务训练和测试说明图,黑色节点是良性节点,白色节点是恶意节点。经过模型训练后,该模型已学会了分析不同源日志标记之间的因果关系,可用于多种下游任务。
S4:当接收到待溯源日志时,首先按照步骤S1和S2将待溯源日志包括的所有日志条目进行标记化,之后将标记化的日志条目输入训练后的模型,得到异常日志条目识别结果。
S5:将识别到的异常日志条目对应的事件类型作为可疑事件。
S6:构建每个可疑事件对应的独立因果图,并将所有可疑事件的独立因果图进行融合,基于融合后的因果图重建攻击故事。
由于构建传统因果图时只考虑植根于日志文本中的单个事件,所以初始因果图可能产生独立的图组件,这些图组件之间没有连接。为了构建包含所有可疑事件的无缝且全面的因果图,本实施例中首先对每个独立因果图进行扩展,通过识别原始日志文本中与其他独立因果图相邻的节点来构建扩展节点。之后将两个不同独立因果图的具有相同内容的扩展节点合并为一个共享节点。本实施例中通过扩展节点扩大了每个独立因果图的覆盖范围。值得注意的是,在合并共享节点的过程中,重点是识别任何两个不相交的图组件之间的第一个匹配事件。这种方法简化了构建过程,只需创建一次初始图,只需连接每对不相交的组件一次,就无需重建冗余图。
图6展示了因果图重建过程的可视化表示。图6中的第1幅图展示了各事件对应的独立因果图,第2幅图展示了生成扩展节点和将扩展节点合并为共享节点,其中点状节点是共享节点,白色节点是扩展节点。
图7展示了与baseline比较的实验结果,其中基线模型的结果引用自AirTag。同一数据集上的模型比较的总体结果如图7所示,相比于集中式模型AirTag,本实施例方法(以下简称FedTa)的TPR和FPR指标都与AirTag不相上下。具体而言,对于S1-S6单主机数据,联邦式仅有不到百分之1的下降,其中S2的TNR达到百分之百,高于AirTag。对于M1-M6多主机数据,联邦式仅有百分之1左右的下降。但相较于集中式异常检测,FedTag在检测日志异常的同时,保护了每个客户端日志数据的隐私,这是集中式学习所不能达到的。
图8展示了基于本实施例方法实现的攻击溯源案例。黑色表示攻击链,添加的边表示它们是在重构图时通过连接断开的组件而添加的。在构建因果图的过程中,由于原始攻击子图太大,所以在作图的过程中对其进行了人工简化,只显示了关键的攻击步骤,省略了许多其他误报。
案例1:此攻击利用CVE-2015-5122。漏洞安装允许远程攻击者通过设计的链接执行任意代码或导致拒绝服务(内存损坏)。在攻击期间,用户运行一个进程并点击一个链接,该链接被重定向到一个由192.b.c.d解析的恶意网站。攻击者可以执行任意代码或导致拒绝服务(内存损坏)。攻击者通过此链接利用了CVE-2015-5122漏洞,破坏了浏览器插件,并在受害者的计算机上编写了有效载荷程序payload.exe。执行该程序产生的进程Payload1扫描受害者系统中的文件,建立与攻击者的连接,并上传所有pdf文件。
案例2:此攻击利用了CVE-2015-3105漏洞,该漏洞与案例1中的漏洞类似,并允许攻击者通过未指定的向量执行任意代码或导致拒绝服务(内存损坏)。
案例3:该攻击利用CVE-2017-11882漏洞。该漏洞允许攻击者通过内存中无法正确处理的对象。在这种攻击中,用户打开一个恶意电子邮件,其中包含一个链接到一个恶意网站,该网站是由192.b.c.d解析的。用户打开含有恶意网站链接的恶意邮件。用户请求并下载了恶意文件msf.rtf,该文件是用Winword 18读取的。然后msf.rtf构建msf 1,它编写有效负载程序payload.exe,并用恶意的index.html替换受害者主机中的良性网站页面。攻击者执行payload.exe,初始化payload 1,扫描pdf文件,并接收pdf文件。
案例4:该攻击利用了CVE-2017-0199漏洞。当用户打开包含此漏洞的利用代码的文档时,恶意代码会下载并执行包含PowerShell命令的Visual Basic脚本。
本发明实施例具有以下有益效果:
(1)分析数据融合了多源数据,使得检测更加精准;
(2)基于同步联邦学习的形式训练BERT模型;
(3)可以检测攻击并且跟踪攻击链路,高效重建攻击故事。
实施例二:
本发明还提供一种自动攻击溯源终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述自动攻击溯源终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述自动攻击溯源终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述自动攻击溯源终端设备的组成结构仅仅是自动攻击溯源终端设备的示例,并不构成对自动攻击溯源终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述自动攻击溯源终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述自动攻击溯源终端设备的控制中心,利用各种接口和线路连接整个自动攻击溯源终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述自动攻击溯源终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述自动攻击溯源终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)以及软件分发介质等。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (8)
1.一种自动攻击溯源方法,其特征在于,包括以下步骤:
S1:接收不同来源的日志,并对日志包含的所有日志条目按照事件类型进行分类,同时将各事件类型对应的所有日志条目按照时间排序;
S2:对日志条目进行单词级别的拆分后,将拆分得到的单词作为标记,得到标记化的日志条目;
S3:构建异常日志识别模型,模型包括嵌入提取模块和分类模块,以标记化的所有日志条目作为训练集,以同步联邦学习的形式对模型进行训练,得到训练后的异常日志识别模型;
S4:当接收到待溯源日志时,首先按照步骤S1和S2将待溯源日志包括的所有日志条目进行标记化,之后将标记化的日志条目输入训练后的模型,得到异常日志条目识别结果;
S5:将识别到的异常日志条目对应的事件类型作为可疑事件;
S6:构建每个可疑事件对应的独立因果图,并将所有可疑事件的独立因果图进行融合,基于融合后的因果图重建攻击故事。
2.根据权利要求1所述的自动攻击溯源方法,其特征在于:接收不同来源的日志后还包括对接收到的日志进行预处理;预处理包括:去除非语言符号和停用词,并将复合词拆分为单个词。
3.根据权利要求1所述的自动攻击溯源方法,其特征在于:对日志条目进行拆分的方法为:首先按照字段类型对日志条目的内容进行分割,之后针对分割后的内容采用对应的领域的分割算法进行单词级别的拆分。
4.根据权利要求1所述的自动攻击溯源方法,其特征在于:嵌入提取模块采用基于双向Transformer的Bert,其输入嵌入由令牌嵌入、段嵌入和位置嵌入共同构成;其中,在段嵌入中,将每个事件视为一个单元,将所有属于同一事件的标记设置为具有相同的段嵌入。
5.根据权利要求1所述的自动攻击溯源方法,其特征在于:分类模块采用单类支持向量机。
6.根据权利要求1所述的自动攻击溯源方法,其特征在于:将所有可疑事件的独立因果图进行融合的过程包括:首先对每个独立因果图进行扩展,通过识别原始日志文本中与其他独立因果图相邻的节点来构建独立因果图扩展节点;之后将两个不同独立因果图的具有相同内容的扩展节点合并为一个共享节点。
7.一种自动攻击溯源终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~6中任一所述方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~6中任一所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410486675.5A CN118337453A (zh) | 2024-04-22 | 2024-04-22 | 一种自动攻击溯源方法、终端设备及存储介质 |
| CN202410973523.8A CN118764280A (zh) | 2024-04-22 | 2024-07-19 | 一种自动攻击溯源方法、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410486675.5A CN118337453A (zh) | 2024-04-22 | 2024-04-22 | 一种自动攻击溯源方法、终端设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118337453A true CN118337453A (zh) | 2024-07-12 |
Family
ID=91764048
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410486675.5A Pending CN118337453A (zh) | 2024-04-22 | 2024-04-22 | 一种自动攻击溯源方法、终端设备及存储介质 |
| CN202410973523.8A Pending CN118764280A (zh) | 2024-04-22 | 2024-07-19 | 一种自动攻击溯源方法、终端设备及存储介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410973523.8A Pending CN118764280A (zh) | 2024-04-22 | 2024-07-19 | 一种自动攻击溯源方法、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN118337453A (zh) |
-
2024
- 2024-04-22 CN CN202410486675.5A patent/CN118337453A/zh active Pending
- 2024-07-19 CN CN202410973523.8A patent/CN118764280A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CN118764280A (zh) | 2024-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Boididou et al. | Detection and visualization of misleading content on Twitter | |
| US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
| JP5569935B2 (ja) | ソフトウェア検出方法及び装置及びプログラム | |
| JP6557334B2 (ja) | アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム | |
| CN112989348B (zh) | 攻击检测方法、模型训练方法、装置、服务器及存储介质 | |
| CN111181922A (zh) | 一种钓鱼链接检测方法及系统 | |
| Vundavalli et al. | Malicious URL detection using supervised machine learning techniques | |
| CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
| CN112148956A (zh) | 一种基于机器学习的暗网威胁情报挖掘系统和方法 | |
| JP2012088803A (ja) | 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム | |
| CN113918936A (zh) | Sql注入攻击检测的方法以及装置 | |
| Singhal et al. | Cybersecurity misinformation detection on social media: Case studies on phishing reports and zoom’s threat | |
| KR102166390B1 (ko) | 비정형 데이터의 모델링 방법 및 시스템 | |
| CN117614644A (zh) | 恶意网址识别方法、电子设备及存储介质 | |
| Michalas et al. | MemTri: A memory forensics triage tool using bayesian network and volatility | |
| CN118764280A (zh) | 一种自动攻击溯源方法、终端设备及存储介质 | |
| CN114143074A (zh) | webshell攻击识别装置及方法 | |
| Al Fahdi et al. | Towards an automated forensic examiner (AFE) based upon criminal profiling & artificial intelligence | |
| US12047406B1 (en) | Processing of web content for vulnerability assessments | |
| KR20180083148A (ko) | 이메일보안훈련장치 및 그 동작 방법 | |
| US11973792B1 (en) | Generating vulnerability check information for performing vulnerability assessments | |
| RU2778460C1 (ru) | Способ и устройство для кластеризации фишинговых веб-ресурсов на основе изображения визуального контента | |
| Chen et al. | FedTag: Towards Automated Attack Investigation Using Federated Learning | |
| CN117540368A (zh) | 一种数据泄露检测方法、装置、设备及存储介质 | |
| Opara et al. | HTMLPhish: Enabling Phishing Web |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20240712 |