RU2783224C1 - Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack - Google Patents

Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack Download PDF

Info

Publication number
RU2783224C1
RU2783224C1 RU2021127267A RU2021127267A RU2783224C1 RU 2783224 C1 RU2783224 C1 RU 2783224C1 RU 2021127267 A RU2021127267 A RU 2021127267A RU 2021127267 A RU2021127267 A RU 2021127267A RU 2783224 C1 RU2783224 C1 RU 2783224C1
Authority
RU
Russia
Prior art keywords
vulnerabilities
techniques
information
terms
forming
Prior art date
Application number
RU2021127267A
Other languages
Russian (ru)
Inventor
Екатерина Евгеньевна Бутрик
Сергей Вениаминович Соловьев
Алексей Юрьевич Енютин
Original Assignee
федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю"
Filing date
Publication date
Application filed by федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" filed Critical федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю"
Application granted granted Critical
Publication of RU2783224C1 publication Critical patent/RU2783224C1/en

Links

Images

Abstract

FIELD: information protection.
SUBSTANCE: method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack consists in forming a set of types of terms of known computer attack techniques (hereinafter referred to as techniques) and vulnerabilities identified by analysing the descriptions of techniques and vulnerabilities; determining the weights of each type of terms by an expert evaluation method; forming an ordered vector of types of terms with account to the weights; forming vector representations of each technique and vulnerability included in the formed set, represented as values of the types of terms; calculating measures of matching of the descriptions of techniques and vulnerabilities in order to determine identity thereof; and forming a list of vulnerabilities required to implement a computer attack based on the calculated measures of matching of the descriptions of techniques and vulnerabilities.
EFFECT: higher effectiveness of forming a list of information system vulnerabilities, the operation whereof may lead to a violation of information security in the information systems.
1 cl, 1 dwg

Description

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕFIELD OF TECHNOLOGY TO WHICH THE INVENTION RELATES

Изобретение относится к области защиты информации, обрабатываемой в информационной системе, и может быть использовано для определения перечня уязвимостей программного обеспечения (далее - уязвимости) информационной системы (далее - ИС), необходимых для реализации компьютерной атаки на ИС, проведение которой может привести к нарушению безопасности информации в этой системе.The invention relates to the field of protection of information processed in an information system, and can be used to determine the list of software vulnerabilities (hereinafter referred to as vulnerabilities) of an information system (hereinafter referred to as IS) necessary to implement a computer attack on IS, which can lead to a security breach information in this system.

УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION

В современном мире, согласно нормативным правовым актам и результатам анализа компьютерных инцидентов, угрозы безопасности информации представляют уже не единичное действие нарушителя по эксплуатации уязвимости для достижения своих деструктивных целей, а многоэтапное продвижение нарушителя по ИС путем применения различных технических приемов (техник).In the modern world, according to regulatory legal acts and the results of the analysis of computer incidents, threats to information security are no longer a single action of an intruder to exploit a vulnerability to achieve their destructive goals, but a multi-stage advancement of an intruder through IP by applying various technical methods (techniques).

Угрозы безопасности информации реализуются компьютерными атаками, которые представляют собой упорядоченную последовательность действий нарушителя для достижения деструктивных целей, связанных с нарушением безопасности информации, в информационной или автоматизированной системе управления. Каждая компьютерная атака реализуется по определенному сценарию, который представляет собой описание порядка выполнения действий нарушителя. При этом часть действий нарушителя реализуется техниками, связанными с эксплуатацией уязвимостей. В настоящее время сведения об известных уязвимостях и техниках могут быть получены из различных баз данных уязвимостей, угроз и эксплойтов, баз знаний о тактиках и техниках, сайтов производителей программного обеспечения и прочих источников. Однако эти источники не предоставляют какой-либо информации о связях между записями об уязвимостях и техниках. Кроме того, в открытом доступе отсутствуют автоматизированные программные средства, позволяющие определять сведения о возможных техниках нарушителя, связанных с эксплуатацией определенных уязвимостей, и реализуемых при этом компьютерных атаках. Таким образом, определение техник на основе сведений об известных уязвимостях для конкретной ИС и формирование сценариев компьютерных атак производится вручную путем последовательного анализа информации о каждой выявленной уязвимости, что является весьма трудоемкой задачей. Наиболее близким к заявляемому способу является метод, основанный на применении аппарата нейросетевых технологий для определения актуальных угроз безопасности информации ИС [1]. Данный метод предназначен для автоматизации процедуры получения сведений об актуальных для ИС угрозах на основе данных об уязвимостях ИС. В качестве исходных данных для обучения нейронных сетей используются сведения об уязвимостях, содержащиеся в банке данных угроз безопасности информации ФСТЭК России (далее - банк данных).Information security threats are implemented by computer attacks, which are an ordered sequence of actions of an intruder to achieve destructive goals related to information security violation in an information or automated control system. Each computer attack is implemented according to a specific scenario, which is a description of the order in which the attacker's actions are performed. At the same time, part of the actions of the offender is implemented by techniques related to the exploitation of vulnerabilities. Currently, information about known vulnerabilities and techniques can be obtained from various databases of vulnerabilities, threats and exploits, knowledge bases about tactics and techniques, websites of software manufacturers and other sources. However, these sources do not provide any information about the links between vulnerability records and techniques. In addition, there are no automated software tools in the public domain that make it possible to determine information about the possible techniques of an intruder related to the exploitation of certain vulnerabilities and the computer attacks implemented in this case. Thus, the identification of techniques based on information about known vulnerabilities for a particular IS and the formation of computer attack scenarios is done manually by sequentially analyzing information about each identified vulnerability, which is a very time-consuming task. Closest to the claimed method is a method based on the use of the apparatus of neural network technologies to determine the current threats to the security of IS information [1]. This method is designed to automate the procedure for obtaining information about threats relevant to IP based on data on IP vulnerabilities. The information about vulnerabilities contained in the database of information security threats of the FSTEC of Russia (hereinafter referred to as the data bank) is used as the initial data for training neural networks.

Недостатками данного метода является необходимость создания обучающих выборок на основе экспертных методов, причем специалисты, составляющие исходные данные, должны обладать глубокими знаниями в области информационной безопасности, построения информационных систем и систем защиты информации. Кроме того, в разработанном способе [1] предполагается создание искусственных нейронных сетей для каждой угрозы, что является, во-первых, трудоемкой задачей, решение которой требует специальных знаний в области нейросетевых технологий, во-вторых, решается эта задача путем разработки специальных программных средств.The disadvantages of this method is the need to create training samples based on expert methods, and the specialists who make up the initial data must have deep knowledge in the field of information security, building information systems and information protection systems. In addition, the developed method [1] assumes the creation of artificial neural networks for each threat, which is, firstly, a time-consuming task, the solution of which requires special knowledge in the field of neural network technologies, and secondly, this task is solved by developing special software tools .

РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF THE INVENTION

Задачей изобретения является разработка способа, позволяющего автоматизировать процедуру определения перечня уязвимостей ИС, необходимых для реализации компьютерной атаки на ИС, проведение которой может привести к нарушению безопасности информации в этой системе.The objective of the invention is to develop a method that allows to automate the procedure for determining the list of IS vulnerabilities necessary to implement a computer attack on IS, which can lead to a breach of information security in this system.

Технический результат, на достижение которого направлено предлагаемое изобретение, заключается в снижении сложности и трудоемкости процесса формирования перечня уязвимостей ИС, эксплуатация которых может привести к нарушению безопасности информации в ИС.The technical result to be achieved by the invention is to reduce the complexity and laboriousness of the process of forming a list of IS vulnerabilities, the operation of which can lead to a breach of information security in the IS.

Указанный результат достигается путем реализации способа определения перечня уязвимостей на основе применения векторной модели их описаний и включает в себя этапы, на которых:The specified result is achieved by implementing a method for determining the list of vulnerabilities based on the use of a vector model of their descriptions and includes the steps at which:

формируют набор типов термов техник и уязвимостей, определенных путем анализа их описаний;form a set of types of terms of techniques and vulnerabilities determined by analyzing their descriptions;

определяют веса каждого типа термов экспертным методом;determine the weights of each type of terms by an expert method;

формируют упорядоченный вектор типов термов с учетом их веса;form an ordered vector of types of terms, taking into account their weight;

формируют векторное представление техники и уязвимости, представленных в виде значений типов термов;form a vector representation of technology and vulnerability, represented as values of types of terms;

вычисляют меру сходимости описаний техники и уязвимости с целью определения их тождественности. Мера сходимости необходима для сравнения текстов описаний уязвимостей и техник, определения их тождественности и зависит от результата логического сравнения значений типов термов уязвимости и значений весов соответствующих типов термов;calculate the measure of convergence of descriptions of technology and vulnerability in order to determine their identity. The measure of convergence is necessary for comparing the texts of descriptions of vulnerabilities and techniques, determining their identity, and depends on the result of a logical comparison of the values of the types of vulnerability terms and the values of the weights of the corresponding types of terms;

формируют перечень уязвимостей, необходимых для реализации компьютерной атаки.form a list of vulnerabilities necessary to implement a computer attack.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯIMPLEMENTATION OF THE INVENTION

На фиг. 1 представлена блок-схема последовательности операций, иллюстрирующая способ определения уязвимостей, формирующих условия для нарушения безопасности информации в ИС вследствие компьютерной атаки, на основе векторной модели.In FIG. 1 shows a flowchart of the sequence of operations illustrating a method for determining vulnerabilities that form the conditions for violating the security of information in an IS due to a computer attack, based on a vector model.

На этапе 1 формируют набор типов термов техник и уязвимостей, определенных путем анализа их описаний, по которым можно установить их соответствие. К набору типов термов для уязвимостей и техник отнесены: вектор доступа; деструктивное действие; последствие; тип программного обеспечения; причина существования; объект воздействия; аутентификация; инструмент; условие существования уязвимости; информационная технология; действия источника УБИ; способ реализации; действия пользователей (жертв).At stage 1, a set of types of terms of techniques and vulnerabilities is formed, determined by analyzing their descriptions, by which their correspondence can be established. The set of types of terms for vulnerabilities and techniques includes: access vector; destructive action; consequence; type of software; reason for existence; object of influence; authentication; tool; the condition for the existence of a vulnerability; information technology; actions of the UBI source; implementation method; actions of users (victims).

Каждый из этих типов термов не является обязательным в описании каждой уязвимости или техники, но каждый имеет свою определенную значимость. Порядок, в котором представлены типы термов выше, составлен на основе важности слова для идентификации данного текста в описании по убыванию. Важность определена экспертным путем. Определено, что установить тождественность последствий, к которым может привести эксплуатация уязвимости и реализация техники (действия) и угрозы БИ, наиболее важно, чем прохождение процедуры аутентификации.Each of these types of terms is not mandatory in the description of each vulnerability or technique, but each has its own specific significance. The order in which the types of terms above are presented is based on the importance of the word for identifying a given text in the description in descending order. The importance is determined by experts. It has been determined that it is more important to establish the identity of the consequences that the exploitation of a vulnerability and the implementation of a technique (action) and a threat to BI can lead to than passing the authentication procedure.

Таким образом, все типы термов, которые встречаются в описаниях упорядочены. Формально вектора, которые являются представлениями описаний уязвимости и техники в векторном пространстве, состоящие из всех типов термов, выписанных по порядку убывания веса, включая те, которые не встречаются, можно представить в следующем виде:Thus, all types of terms that occur in descriptions are ordered. Formally, vectors, which are representations of vulnerability and technique descriptions in a vector space, consisting of all types of terms written in descending order of weight, including those that do not occur, can be represented as follows:

Figure 00000001
Figure 00000001

где d - векторное представление описания уязвимостей и техник,where d is a vector representation of the description of vulnerabilities and techniques,

Ttn - переменная, обозначающая тип терма,Tt n is a variable denoting the type of term,

n - общее количество типов термов.n is the total number of term types.

На этапе 2 определяют веса каждого типа термов экспертным методом. Наибольшую значимость имеют те типы термов, значения которых встречаются наиболее часто в описаниях уязвимостей и техник. Частота встречаемости определена в ходе анализа этих описаний на этапе 1. Самый большой вес имеют типы термов «вектор доступа», «деструктивное действие» и «последствие», значение которых принимается равным 1, а самый низкий вес имеют такие типы термов как «действия источника УБИ», «способ реализации», «действия пользователей (жертв)» - 0,1.At stage 2, the weights of each type of terms are determined by an expert method. The most significant are those types of terms, the values of which occur most often in descriptions of vulnerabilities and techniques. The frequency of occurrence is determined during the analysis of these descriptions at stage 1. The types of terms "access vector", "destructive action" and "consequence" have the highest weight, the value of which is taken equal to 1, and the types of terms such as "source actions" have the lowest weight. UBI", "method of implementation", "actions of users (victims)" - 0.1.

На этапе 3 формируют упорядоченный вектор типов термов с учетом их веса.At step 3, an ordered vector of term types is formed, taking into account their weight.

Для каждого типа терма определен весовой коэффициент, определяющий его значимость в процессе сопоставления уязвимости и техники, который определяется вектором:For each type of term, a weight coefficient is defined that determines its significance in the process of comparing vulnerability and technology, which is determined by the vector:

Figure 00000002
Figure 00000002

где dw - векторное представление весовых коэффициентов описаний уязвимости и техники,where d w is a vector representation of the weights of the vulnerability and technique descriptions,

wn - весовой коэффициент типа терма Thn, принимает значения от 0 до 1;w n - weight coefficient of term type Th n , takes values from 0 to 1;

n - общее количество типов термов.n is the total number of term types.

На этапе 4 формируют векторное представление техники и уязвимости, представленных в виде значений типов термов. Векторное представление техники может быть представлено в следующем виде:At step 4, a vector representation of the technique and vulnerability is formed, presented as values of the types of terms. The vector representation of technology can be represented in the following form:

Figure 00000003
Figure 00000003

Векторное представление уязвимости может быть представлено в следующем виде:The vector representation of the vulnerability can be represented as follows:

Figure 00000004
Figure 00000004

На этапе 5 вычисляют меру сходимости описаний техники и уязвимости с целью определения их тождественности. Располагая векторным представлением для техник и уязвимостей, определяется их тождественность путем вычисления меры сходимости по следующей формуле:At step 5, a measure of convergence of descriptions of technology and vulnerability is calculated in order to determine their identity. Having a vector representation for techniques and vulnerabilities, their identity is determined by calculating the measure of convergence using the following formula:

Figure 00000005
Figure 00000005

Для анализируемой техники считается мера сходимости

Figure 00000006
с каждой известной уязвимостью.For the analyzed technique, the measure of convergence is considered
Figure 00000006
with every known vulnerability.

На этапе 6 формируют перечень уязвимостей, необходимых для реализации компьютерной атаки. Для той уязвимости, для которой мера сходимости

Figure 00000007
окажется максимальной, определяется однозначное установление тождественности. Таким образом, определяется перечень уязвимостей, необходимых для реализации компьютерной атаки, состоящей из известной последовательности техник, выполняемых нарушителем.At stage 6, a list of vulnerabilities necessary to implement a computer attack is formed. For the vulnerability for which the measure of convergence
Figure 00000007
turns out to be maximum, a unique identity establishment is defined. Thus, the list of vulnerabilities necessary for the implementation of a computer attack, consisting of a known sequence of techniques performed by the offender, is determined.

Заявляемый способ проверен экспериментально в лабораторных условиях.The inventive method has been tested experimentally in the laboratory.

Предлагаемое техническое решение является новым, поскольку из общедоступных сведений не известен способ определения потенциальных уязвимостей ИС, использующий:The proposed technical solution is new, since from publicly available information there is no known method for determining potential IS vulnerabilities using:

анализ описаний, представленных в вербальном виде, с последующим формированием отличительных признаков - типов термов;analysis of descriptions presented in verbal form, with the subsequent formation of distinctive features - types of terms;

формирование векторного представления описаний техник и уязвимостей;formation of a vector representation of descriptions of techniques and vulnerabilities;

вычисление меры сходимости для определения однозначного соответствия.calculation of a measure of convergence to determine a one-to-one correspondence.

Предлагаемое техническое решение промышленно применимо, поскольку для его реализации может быть использовано стандартное компьютерное оборудование и программное обеспечение, выпускаемое промышленностью и имеющееся на рынке.The proposed technical solution is industrially applicable, since standard computer equipment and software produced by the industry and available on the market can be used for its implementation.

Достоинства предлагаемого изобретения заключаются в следующем:The advantages of the present invention are as follows:

реализация способа позволяет в ручном или автоматизированном режиме решать трудоемкую задачу по получению сведений о потенциальных уязвимостях ИС, которые необходимы для реализации компьютерной атаки на ИС;the implementation of the method allows you to manually or automatically solve the laborious task of obtaining information about potential IS vulnerabilities that are necessary to implement a computer attack on IS;

предлагаемый способ позволяет однозначно определять тождественность уязвимостей и техник нарушителя, из которых состоит компьютерная атака, что позволяет выстраивать эффективную защиту ИС путем устранения уязвимостей, эксплуатация которых может привести к нарушению безопасности информации;the proposed method allows you to unambiguously determine the identity of the vulnerabilities and techniques of the intruder that make up a computer attack, which allows you to build effective IP protection by eliminating vulnerabilities, the exploitation of which can lead to a breach of information security;

реализация способа может быть осуществлена без финансовых затрат, поскольку для его реализации может быть использовано свободно распространяемое программное обеспечение.the implementation of the method can be carried out without financial costs, since free software can be used for its implementation.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

Предлагаемое изобретение поясняется чертежами и графическими изображениями, на которых показаны:The present invention is illustrated by drawings and graphics, which show:

на фиг. 1 - блок-схема последовательности операций, иллюстрирующая способ определения уязвимостей.in fig. 1 is a flowchart illustrating a method for determining vulnerabilities.

Список литературы:Bibliography:

1. Мамута В.В., Соловьев С.В. Способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения // Патент России №2705460, 2019 (заявка №2019107861 от 19.03.2019).1. Mamuta V.V., Soloviev S.V. A method for determining potential threats to information security based on information about software vulnerabilities // Patent of Russia No. 2705460, 2019 (application No. 2019107861 of 03/19/2019).

Claims (7)

Способ определения уязвимостей программного обеспечения, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки, отличающийся тем, что с целью определения перечня уязвимостей, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки, осуществляют следующую последовательность действий:A method for determining software vulnerabilities that create conditions for violating information security in an information system due to a computer attack, characterized in that in order to determine the list of vulnerabilities that create conditions for violating information security in an information system due to a computer attack, the following sequence of actions is performed: формируют набор типов термов известных техник компьютерных атак (далее – техник) и уязвимостей, определенных путем анализа описаний техник и уязвимостей;form a set of types of terms of known techniques of computer attacks (hereinafter referred to as techniques) and vulnerabilities determined by analyzing descriptions of techniques and vulnerabilities; определяют веса каждого типа термов экспертным методом;determine the weights of each type of terms by an expert method; формируют упорядоченный вектор типов термов с учетом их веса;form an ordered vector of types of terms, taking into account their weight; формируют векторные представления каждой техники и уязвимости, входящих в сформированный набор, представленных в виде значений типов термов;form vector representations of each technique and vulnerability included in the generated set, represented as values of term types; вычисляют меры сходимости описаний техник и уязвимостей с целью определения их тождественности;calculate measures of convergence of descriptions of techniques and vulnerabilities in order to determine their identity; формируют перечень уязвимостей, необходимых для реализации компьютерной атаки, на основе вычисленных мер сходимости описаний техник и уязвимостей.form a list of vulnerabilities necessary for the implementation of a computer attack, based on the calculated convergence measures of descriptions of techniques and vulnerabilities.
RU2021127267A 2021-09-15 Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack RU2783224C1 (en)

Publications (1)

Publication Number Publication Date
RU2783224C1 true RU2783224C1 (en) 2022-11-10

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2705460C1 (en) * 2019-03-19 2019-11-07 федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" Method of determining potential threats to information security based on information on vulnerabilities of software
RU2715025C2 (en) * 2018-04-19 2020-02-21 Акционерное общество "Лаборатория Касперского" Method for automated testing of software and hardware systems and complexes
US20200134188A1 (en) * 2018-10-24 2020-04-30 International Business Machines Corporation Recommending the Most Relevant and Urgent Vulnerabilities within a Security Management System
WO2020208010A1 (en) * 2019-04-12 2020-10-15 Debricked Ab A method for prioritizing among vulnerabilities in a software code and a server
RU2745371C1 (en) * 2020-09-24 2021-03-24 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and a system for prediction of cyber security risks during the development of software products

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2715025C2 (en) * 2018-04-19 2020-02-21 Акционерное общество "Лаборатория Касперского" Method for automated testing of software and hardware systems and complexes
US20200134188A1 (en) * 2018-10-24 2020-04-30 International Business Machines Corporation Recommending the Most Relevant and Urgent Vulnerabilities within a Security Management System
RU2705460C1 (en) * 2019-03-19 2019-11-07 федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" Method of determining potential threats to information security based on information on vulnerabilities of software
WO2020208010A1 (en) * 2019-04-12 2020-10-15 Debricked Ab A method for prioritizing among vulnerabilities in a software code and a server
RU2745371C1 (en) * 2020-09-24 2021-03-24 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and a system for prediction of cyber security risks during the development of software products

Similar Documents

Publication Publication Date Title
Kim et al. Long short term memory recurrent neural network classifier for intrusion detection
CN108718310A (en) Multi-level attack signatures generation based on deep learning and malicious act recognition methods
Zizzo et al. Adversarial machine learning beyond the image domain
Yu et al. Improving the quality of alerts and predicting intruder’s next goal with Hidden Colored Petri-Net
Haddadi et al. On botnet behaviour analysis using GP and C4. 5
CN105072214A (en) C&C domain name identification method based on domain name feature
Karanam et al. Intrusion detection mechanism for large scale networks using CNN-LSTM
Oreški et al. Genetic algorithm and artificial neural network for network forensic analytics
CN113221104A (en) User abnormal behavior detection method and user behavior reconstruction model training method
Alhassan et al. A fuzzy classifier-based penetration testing for web applications
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Di Tizio et al. Software updates strategies: A quantitative evaluation against advanced persistent threats
RU2783224C1 (en) Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack
CN111970272A (en) APT attack operation identification method
CN107241342A (en) A kind of network attack crosstalk detecting method and device
Bar et al. Scalable attack propagation model and algorithms for honeypot systems
CN114039837B (en) Alarm data processing method, device, system, equipment and storage medium
CN115952492A (en) Intrusion detection method and device for power engineering control system and storage medium
CN110197066B (en) Virtual machine monitoring method and system in cloud computing environment
CN113839963A (en) Network security vulnerability intelligent detection method based on artificial intelligence and big data
Park et al. A similarity based technique for detecting malicious executable files for computer forensics
Jose et al. Prediction of network attacks using supervised machine learning algorithm
Anashkin et al. Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis
Rahat et al. Cimalir: Cross-Platform IoT Malware Clustering using Intermediate Representation
Preethi et al. Leveraging network vulnerability detection using improved import vector machine and Cuckoo search based Grey Wolf Optimizer