← 返回列表
基于内存取证的无文件攻击调查方法及系统
申请人信息
- 申请人:四川警察学院
- 申请人地址:646000 四川省泸州市龙透关路186号
- 发明人: 四川警察学院
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 基于内存取证的无文件攻击调查方法及系统 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311414040.6 |
| 申请日 | 2023/10/30 |
| 公告号 | CN117478373A |
| 公开日 | 2024/1/30 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 四川警察学院 |
| 发明人 | 冷涛 |
| 地址 | 四川省泸州市江阳区龙透关路186号 |
摘要文本
四川警察学院取得“一种透气窗帘布”专利技术,本发明提供了基于内存取证的无文件攻击调查方法及系统,属于网络安全攻击调查技术领域。首先分别运行良性样本和实施无文件攻击,获得内存镜像;其次将每个内存镜像的虚拟地址描述符节点作为样本,提取样本对应的内存区域的特征;然后将样本进行数据处理,构建数据集;再将数据集划分为训练集和测试集,使用自动化机器学习库在训练集进行模型训练,选择最优模型,将最优模型应用于数据集进行测试,得到测试结果;最后根据测试结果,对测试的恶意样本进行验证分析。本发明发现无文件攻击中针对特定内存区域的攻击,辅助攻击人员调查,有效地加强系统的安全防御能力,保护关键数据免受各种无文件攻击的威胁,确保系统运行的稳定性和安全性。 来源:百度马 克 数据网
专利主权项内容
1.基于内存取证的无文件攻击调查方法,其特征在于,所述方法包括:步骤S1:分别运行良性样本和实施无文件攻击,获得内存镜像;所述无文件攻击类型包括代码注入、脚本攻击和离地攻击;所述内存镜像包括恶性样本内存镜像和良性样本内存镜像;步骤S2:将每个所述内存镜像的虚拟地址描述符节点作为样本,提取所述样本对应的内存区域的特征;步骤S3:将所述样本进行去重操作,同时对所述样本的数值进行归一化操作,构建数据集;步骤S4:将所述数据集划分为训练集和测试集,使用自动化机器学习库在所述训练集进行模型训练,选择最优模型,将所述最优模型应用于所述数据集进行测试,得到测试结果;步骤S5:根据所述测试结果,对测试的恶意样本进行验证分析。