RU2700665C1 - Способ обнаружения информационно-технических воздействий - Google Patents

Способ обнаружения информационно-технических воздействий Download PDF

Info

Publication number
RU2700665C1
RU2700665C1 RU2019108359A RU2019108359A RU2700665C1 RU 2700665 C1 RU2700665 C1 RU 2700665C1 RU 2019108359 A RU2019108359 A RU 2019108359A RU 2019108359 A RU2019108359 A RU 2019108359A RU 2700665 C1 RU2700665 C1 RU 2700665C1
Authority
RU
Russia
Prior art keywords
information
itv
classification
event
ita
Prior art date
Application number
RU2019108359A
Other languages
English (en)
Inventor
Валентин Анатольевич Мельник
Александр Николаевич Ильченко
Андрей Владимирович Радионов
Original Assignee
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ ВОЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "Военная академия Ракетных войск стратегического назначения имени Петра Великого" МИНИСТЕРСТВА ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ ВОЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "Военная академия Ракетных войск стратегического назначения имени Петра Великого" МИНИСТЕРСТВА ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ filed Critical ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ ВОЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "Военная академия Ракетных войск стратегического назначения имени Петра Великого" МИНИСТЕРСТВА ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
Priority to RU2019108359A priority Critical patent/RU2700665C1/ru
Application granted granted Critical
Publication of RU2700665C1 publication Critical patent/RU2700665C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J3/00Circuit arrangements for ac mains or ac distribution networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах, и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении оценки достоверности классификации воздействия. Обнаружение ИТВ заключается в сборе сведений, содержащих данные информационной техники (IT), применении множества правил к предварительно обработанным сведениям, классифицируют известные виды ИТВ, осуществляют сбор сведений, не содержащих данных IT, ассоциируемых с ИТВ, формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ. 1 ил.

Description

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении возможности обнаружения информационно-технических воздействий, определения видов воздействий и оценки достоверности классификации воздействия.
Известен способ функционального поражения средств ИТВ, заключающийся в приеме сигнала источника излучения, определении в принятом сигнале наличия номера целевого информационно-технического средства и при его наличии считывании идентификационных данных оборудования информационно-технического средства в структуре кадра принятого сигнала. По идентификационным данным оборудования определяют его класс и тип (RU 2591050, 2013).
Недостатком способа являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только тех ИТВ, источниками которых являются излучающие средства.
Известен способ защиты от проводимых одновременно компьютерных атак, который может использоваться для обнаружения ИТВ, как одиночных, так и проводимых совместно. Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, формируют множество ИТВ, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на ИТВ, формируют множество правил фильтрации, которые соответствуют определенным ИТВ, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации (RU 2663473, 2017).
Недостатком способа также являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только компьютерных атак.
Наиболее близкую по сущности совокупность признаков к заявляемому способу имеет изобретение (RU 2583703, 2011), включающее способ характеризации злоумышленной атаки в системе интеллектуальной сети, содержащий этапы, на которых: принимают от системы интеллектуальной сети данные информационной техники (IT), включающие в себя относящуюся к IT активность; принимают данные, не относящиеся к IT данным и включающие в себя данные о событии, относящемся к определенному местоположению, от множества электронных источников; выполняют предварительную обработку не относящихся к IT данных; применяют множество правил к предварительно обработанным не относящимся к IT данным, при этом ассоциируют нежелательное событие с относящейся к IT активностью; определяют вероятность того, что нежелательное событие указывает на злоумышленную деятельность; применяют к нежелательному событию характеризацию риска на основе указанного уровня вероятности и относящейся к IT активности.
В указанном способе анализ злоумышленной атаки осуществляется с использованием вероятностного подхода, при этом к вероятности возникновения неожиданной опасности и вероятности наличия уязвимости, ассоциированной с указанной неожиданной опасностью, применяются те же математические операции, что и к другим событиям безопасности. Из свойства неизвестности указанных случайных событий следует отсутствие у них свойства массовости (Вентцель Е.С. Теория вероятностей. - М.: Наука, гл. ред. физ.-мат. лит., 1969. - 576 с., с. 15), обеспечивающего выявление статистических закономерностей. В связи с неизвестностью законов распределения указанных случайных событий аппарат теории вероятностей не является адекватным для их оценки. Кроме того, большинство преднамеренных злоумышленных воздействий осуществляются по различным сценариям, степень неопределенности которых обусловлена целенаправленной деятельностью злоумышленника, при этом неопределенность указанных сценариев может заключаться в неполноте, неточности или недостоверности сведений об их параметрах, что также обусловливает наличие определенных трудностей при использовании для их анализа классического вероятностного подхода. Таким образом, применение неадекватного для характеризации злоумышленной атаки математического аппарата является недостатком прототипа.
В настоящее время на практике оценивание слабоформализуемых ситуаций, характеризуемых целенаправленной деятельностью человека, осуществляется на основе экспертных суждений. Возникающие ситуации, отражающие информационно-технические воздействия, могут задаваться нечеткими высказываниями, а параметры этих ситуаций могут быть в различной степени неопределенными.
Под нечетким высказыванием понимается предложение, относительно которого можно судить о степени его истинности или ложности в настоящее время, при этом степень истинности или степень ложности каждого нечеткого высказывания принимает значения из замкнутого интервала [0; 1] (Мелихов А.Н., Бернштейн Л.С., Коровин С.Я. Ситуационные советующие системы с нечеткой логикой. - М.: Наука, гл. ред. физ.-мат. лит., 1990. - 272 с., с. 11). Истинность или ложность нечетких высказываний, характеризующих возникающую ситуацию, оценивается экспертными методами и представляется субъективной уверенностью эксперта.
Известен математический аппарат, который позволяет корректно оперировать оценками субъективных степеней уверенности о неопределенных ситуациях (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976. - 297 p.).
Требуемый технический результат заключается в обеспечении возможности обнаружения ИТВ, определения видов воздействий и оценки достоверности классификации воздействия.
Технический результат достигается тем, что в способе, включающем сбор сведений, содержащих данные информационной техники (IT), предварительную обработку сведений, применение множества правил к предварительно обработанным сведениям, дополнительно формируют основу анализа, включающую в себя множество известных ИТВ, при этом описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получаются независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак по меньшей мере одного ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.
Сущность изобретения поясняется чертежом, где на фиг. 1 представлена блок-схема способа обнаружения информационно-технических воздействий, где 1 - блок формирования исходных данных; 2 - блок сбора сведений о событиях, ассоциируемых с ИТВ; 3 - блок предварительной обработки сведений; 4 - блок применения множества правил к предварительно обработанным сведениям; 5 - блок формирования вектора события; 6 - блок определения субъективных вероятностей фокальных элементов; 7 - блок оценки степени сходства текущего события с известными ИТВ; 8 - блок определения степени достоверности классификации текущей ситуации; 9 - блок вывода результатов.
В блоке 1 из известных сведений о возможных ИТВ формируют основу анализа в виде множества
Figure 00000001
где Ω - множество известных ИТВ ωi При этом каждое ИТВ задается вектором события
Figure 00000002
где λij - признаки ИТВ. Множество векторов
Figure 00000003
образует матрицу классификации
Figure 00000004
каждая строка которой представляет определенный вид ИТВ. Признаки ИТВ задаются в виде нечетких множеств вида
Figure 00000005
где Vij - нечеткое высказывание, содержащее признак ситуации, μij - значение функции принадлежности для нечеткого высказывания, характеризующее степень сходства по признаку λij текущей ситуации ω' с известным ИТВ ωi.
Задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации.
Пороговый уровень Sпор соответствия не относящихся к IT сведений событиям, указывающим на возможное осуществление ИТВ, определяется исходя их возможности выявления в этих сведениях косвенных или явных признаков ИТВ. Значения уровней соответствия задаются нечеткими высказываниями и определяются как крайне низкий, низкий, средний, высокий, очень высокий уровень.
Нижнее р* и верхнее р* значения субъективной вероятности определяют границы интервала, отражающего степень уверенности р(ω') относительно того, что действительное событие ω' является элементом некоторого подмножества событий An ⊂ Ω. Нижнее значение субъективной вероятности р* определяется значением функции уверенности
Figure 00000006
в соответствии с выражениями
Figure 00000007
Figure 00000008
где m(Bk) - масса уверенности, отдаваемой подмножеству Bk ⊂ An.
Верхнее значение субъективной вероятности р* определяется значением функции правдоподобия
Figure 00000009
в соответствии с выражением
Figure 00000010
Определение массы уверенности для каждого подмножества Bk ⊂ An, функции уверенности и функции правдоподобия осуществляется в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-56).
Таким образом, из
Figure 00000011
следует, что
Figure 00000012
Пороговое значение μпор сходства текущего события с известными ИТВ и пороговое значение достоверности классификации рпор определяются исходя из конкретных условий и могут корректироваться в зависимости от приемлемости полученных конечных результатов. В дальнейшем, при определении сходства текущего события с известными ИТВ и оценке достоверности классификации операции осуществляются только при выполнении условий μ≥μпор и
Figure 00000013
В блоке 2 осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность и сведений, не содержащих данных IT и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ. Множество источников сведений определяется таким образом, чтобы получаемые из них сведения содержали информацию о признаках событий, при этом необходимым условием является попарная статистическая независимость источников сведений. Источниками сведений могут являться базы и банки данных, системы безопасности, журналы событий, беспроводные сенсорные сети и др.
В блоке 3 выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий. Предварительная обработка может включать анализ полученных сведений, выявление наличия в них информации о признаках событий, регистрацию признаков события.
В блоке 4 применяют множество правил к предварительно обработанным сведениям: ассоциируют нежелательное событие, заключающееся в осуществлении ИТВ, с относящейся к IT активностью, при этом устанавливают соответствие признаков ИТВ, полученных в результате анализа не относящихся к IT сведений, зарегистрированным в IT событиям; формируют подмножества основы анализа
Figure 00000014
называемые гипотезами, такие, что по меньшей мере одно из полученных сведений ϕ содержит по меньшей мере один признак λ по меньшей мере одного ИТВ ω, при этом подмножества An могут пересекаться в различной степени. Каждой гипотезе An присваивают массу уверенности m(An), представляющей степень субъективной уверенности в том, что определяемое событие
Figure 00000015
является элементом данного подмножества An, при этом если m(An)>0, то гипотезу считают фокальным элементом в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-36). Если подмножества An содержат подмножества Bk ⊂ An, то массы уверенности распределяются между подмножествами Bk, при соблюдении условия
Figure 00000016
для всех Bk ⊂ Ω.
В блоке 5 формируют вектор события
Figure 00000017
где λj=(Vj, μj) - признаки текущего события, определяемые нечеткими высказываниями Vj, содержащими значения признаков текущего события, и значением функции принадлежности μj для нечеткого высказывания Vj. При этом каждому признаку λj устанавливают в соответствие значение функции принадлежности μj, равное среднему значению массы уверенности для всех подмножеств Bk ИТВ, характеризуемых данным признаком, в соответствии с выражением
Figure 00000018
где K' - количество подмножеств Bk, которым принадлежит ИТВ ωi, характеризуемое признаком λij.
В блоке 6 для всех фокальных элементов определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, для чего в соответствии с выражением (3) рассчитывают значение функции уверенности, при этом сопоставляют заданный критерий с относящимися к IT сведениями для определения нижнего значения субъективной вероятности; в соответствии с выражением (6) рассчитывают значение функции правдоподобия, при этом сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности; определяют верхнюю и нижнюю границы интервала в соответствии с выражением (7). Результатом выполнения указанных операций может быть набор значений
Figure 00000019
В блоке 7 оценивают степень сходства текущего события с известными ИТВ, для чего осуществляют построчное и поэлементное сравнение вектора текущего события с матрицей классификации, при этом при поэлементном сравнении определяется эквивалентность нечетких высказываний относительно значений признака λj текущего события и признака λij вида ИТВ в соответствии с выражением
Figure 00000020
При построчном сравнении определяется степень принадлежности текущего события к виду ИТВ
Figure 00000021
по степени эквивалентности нечетких множеств
Figure 00000022
в соответствии с выражением
Figure 00000023
Полученные для каждой строки значения эквивалентности сравниваются между собой в соответствии с выражением
Figure 00000024
Полученный результат отражает вид ИТВ, с которым текущее событие имеет наибольшее сходство.
В блоке 8 определяют степень достоверности классификации текущей ситуации, для чего осуществляют сравнение результатов классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам, при этом если для события
Figure 00000025
выполняется условие (11) и значения
Figure 00000026
для подмножества Bk, элементом которого является событие
Figure 00000027
являются максимальными, то принимается, что классификация является достоверной и выводится сообщение об обнаружении ИТВ и его принадлежности к определенному виду; в противном случае выводится сообщение, в котором содержится максимальное значение функции принадлежности μ(μij, μj) события
Figure 00000028
и соответствующее данному событию значение достоверности события
Figure 00000029
а также максимальные значения
Figure 00000030
и соответствующие значения функции принадлежности μ(μij, μj) для событий, входящих в подмножество Bk. Значения функций уверенности и правдоподобия интерпретируются как верхняя и нижняя субъективные вероятности достоверности классификации.
В блоке 9 выводят результаты обнаружения ИТВ, полученные в блоке 8.
Таким образом, способ позволяет на основании заранее введенного описания известных видов ИТВ и собранных сведений осуществить обнаружение ИТВ, определить вид воздействия и оценить достоверность классификации воздействия.
Преимущество применения данного способа состоит в том, что он позволяет получать оценки субъективных вероятностей ИТВ практически при любой степени неопределенности.

Claims (1)

  1. Способ обнаружения информационно-технических воздействий (ИТВ), заключающийся в том, что осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность; выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий; применяют множество правил к предварительно обработанным сведениям, при этом ассоциируют нежелательное событие с относящейся к IT активностью, отличающийся тем, что формируют основу анализа, включающую в себя множество известных ИТВ, описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, задают критерии оценки субъективных вероятностей, задают пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получают независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.
RU2019108359A 2019-03-22 2019-03-22 Способ обнаружения информационно-технических воздействий RU2700665C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019108359A RU2700665C1 (ru) 2019-03-22 2019-03-22 Способ обнаружения информационно-технических воздействий

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019108359A RU2700665C1 (ru) 2019-03-22 2019-03-22 Способ обнаружения информационно-технических воздействий

Publications (1)

Publication Number Publication Date
RU2700665C1 true RU2700665C1 (ru) 2019-09-18

Family

ID=67989682

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019108359A RU2700665C1 (ru) 2019-03-22 2019-03-22 Способ обнаружения информационно-технических воздействий

Country Status (1)

Country Link
RU (1) RU2700665C1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060034305A1 (en) * 2004-08-13 2006-02-16 Honeywell International Inc. Anomaly-based intrusion detection
RU2531878C1 (ru) * 2013-08-13 2014-10-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
RU2583703C2 (ru) * 2010-05-20 2016-05-10 Эксенчер Глоубл Сервисиз Лимитед Обнаружение и анализ злоумышленной атаки
RU2611243C1 (ru) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Способ обнаружения дестабилизирующих воздействий на вычислительные сети

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060034305A1 (en) * 2004-08-13 2006-02-16 Honeywell International Inc. Anomaly-based intrusion detection
RU2583703C2 (ru) * 2010-05-20 2016-05-10 Эксенчер Глоубл Сервисиз Лимитед Обнаружение и анализ злоумышленной атаки
RU2531878C1 (ru) * 2013-08-13 2014-10-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
RU2611243C1 (ru) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Способ обнаружения дестабилизирующих воздействий на вычислительные сети

Similar Documents

Publication Publication Date Title
CN107609493B (zh) 优化人脸图片质量评价模型的方法及装置
US10846537B2 (en) Information processing device, determination device, notification system, information transmission method, and program
Tan et al. A system for denial-of-service attack detection based on multivariate correlation analysis
CN104901971B (zh) 对网络行为进行安全分析的方法和装置
CN111917792B (zh) 一种流量安全分析挖掘的方法及系统
US10235629B2 (en) Sensor data confidence estimation based on statistical analysis
CN111428559A (zh) 一种口罩佩戴情况检测方法、装置、电子设备及存储介质
CN111177714A (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN108629322A (zh) 可疑人员的监控方法、装置及计算机可读存储介质
CN108449218B (zh) 下一代关键信息基础设施的网络安全态势感知系统
CN110874471B (zh) 保护隐私安全的神经网络模型的训练方法和装置
US11977626B2 (en) Securing machine learning models against adversarial samples through backdoor misclassification
CN112685272B (zh) 一种具备可解释性的用户行为异常检测方法
Ourston et al. Coordinated internet attacks: responding to attack complexity
RU2700665C1 (ru) Способ обнаружения информационно-технических воздействий
Gorodnichy et al. Target-based evaluation of face recognition technology for video surveillance applications
CN108768774A (zh) 一种定量化的网络安全评估方法及评估系统
CN113722485A (zh) 一种异常数据识别分类方法、系统及存储介质
CN112437921B (zh) 网络攻击检测的系统、方法和非暂时性计算机可读介质
JP2018180601A (ja) 検知装置、検知方法及び検知プログラム
CN111935144B (zh) 一种流量安全分析的方法及系统
Bolle et al. Performance evaluation in 1: 1 biometric engines
Wani et al. Malicious twitter bot detector
Braune et al. Behavioral clustering for point processes
CN115622730B (zh) 人脸攻击检测模型的训练方法、人脸攻击检测方法和装置

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20210323