本发明专利技术公开了一种多模态信息融合的终端未知威胁智能检测与响应系统,属于信息安全技术领域,包括:构建三维辐射场模型,从三维辐射场模型中提取网络连接会话标识符及内存页签属性,同时从网络流量数据中剥离TCP协议Timestamp字段序列、CPU负载波动曲线及屏幕亮度变化时序数据,并生成多模态隐蔽信道指纹;将网络连接会话标识符输入威胁情报知识图谱进行实时匹配,进行第一级告警检测,并将多模态隐蔽信道指纹与历史基线指纹库进行动态时间规整相似度计算,进行第二级告警检测。本发明专利技术不仅弥补了现有技术在多模态信息融合及隐蔽信道检测方面的不足,还增强了威胁检测的准确性和实时性。
【技术实现步骤摘要】
本专利技术涉及信息安全,具体涉及一种多模态信息融合的终端未知威胁智能检测与响应系统。
技术介绍
1、传统的终端威胁检测方法主要依赖于基于规则的静态分析或基于特征码的匹配技术,这些方法在早期网络环境中表现出一定的有效性。然而,随着网络攻击手段的多样化和隐蔽性增强,尤其是高级持续性威胁(apt)和多模态隐蔽信道攻击的出现,传统方法逐渐暴露出局限性。近年来,基于机器学习和深度学习的行为分析技术逐渐兴起,通过挖掘终端运行过程中的异常行为模式来识别潜在威胁。尽管这些技术在一定程度上提升了检测能力,但对数据的利用仍局限于单一模态,未能充分融合网络流量、内存操作及传感器信号等多维度信息,导致对复杂攻击场景的检测精度和实时性不足。
2、现有技术的不足:一是对终端威胁的检测往往局限于单一数据源或有限的特征提取,缺乏对多模态信息的深度融合与建模,难以全面刻画攻击行为的多维特征;二是现有方法在隐蔽信道检测方面存在盲区,特别是在处理基于时间序列的隐蔽信道时,缺乏动态时间规整等高效相似度计算手段,导致对隐蔽信道攻击的识别率较低。
>技术实现思路本文档来自技高网...
【技术保护点】
1.一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:包括,
2.如权利要求1所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述预处理为对网络流量数据进行协议解析,获得五元组特征向量;
3.如权利要求2所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述构建三维辐射场模型,包括:
4.如权利要求3所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述构建三维辐射场模型,还包括所述初步的三维辐射场模型通过体渲染和攻击链可视化,生成表征攻击链空间分布的三维辐射场模型。
<...
【技术特征摘要】
1.一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:包括,
2.如权利要求1所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述预处理为对网络流量数据进行协议解析,获得五元组特征向量;
3.如权利要求2所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述构建三维辐射场模型,包括:
4.如权利要求3所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述构建三维辐射场模型,还包括所述初步的三维辐射场模型通过体渲染和攻击链可视化,生成表征攻击链空间分布的三维辐射场模型。
5.如权利要求4所述的一种多模态信息融合的终端未知威胁智能检测与响应系统,其特征在于:所述生成多模态隐蔽信道指纹包括:
6.如权利要求5所述的一种多模态信息融合的终端未知威胁智...
【专利技术属性】
技术研发人员:罗朗,张智泉,毛叶凡,林海,钟国新,杨杰,陈凌剑,李倩蕴,池燕清,赵静,钟滢,
申请(专利权)人:广东电网有限责任公司广州供电局,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。