公开(公告)号：CN117614742B

公开(公告)日：2024-05-07

申请号：CN202410085984.1

申请日：2024-01-22

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  刘园 ,  易新凯 ,  黎清源 ,  周圆 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  徐天福 ,  郑志彬 ,  崔宇 ,  何群 ,  邱日轩

IPC: H04L9/40 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895 ,  G06F18/241

Abstract: 本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先，主要分析攻击者的恶意攻击行为，生成并部署模拟正常Web服务器接收攻击的蜜点；采集并处理全流量数据和攻击者触发蜜点后产生的数据；预训练阶段，自监督对比学习的编码器使用无标签的全流量数据训练；微调阶段，使用完成预训练的编码器处理白名单流量数据和蜜点数据，处理后的数据输入给MLP分类器进行训练和评估，以调整CNN编码器和MLP分类器的参数；将训练好的模型部署到全流量入口，以识别全流量数据中的恶意流量。实施本发明，可以使模型更全面地学习蜜点数据中的多种攻击行为，增强系统识别高隐蔽威胁行为的能力。

公开(公告)号：CN117829141A

公开(公告)日：2024-04-05

申请号：CN202410251791.9

申请日：2024-03-06

Applicant: 广州大学

Inventor： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC: G06F40/279 ,  G06N5/022 ,  H04L9/40

Abstract: 本发明公开了基于攻击模式的动态实体对齐方法，涉及网络安全防护技术领域，通过深度学习模型进行实体抽取和关系抽取，采用深度学习的Transformer标记文本中的命名实体，通过嵌入表示法将实体和关系映射到向量空间，CNN和RNN用于捕捉上下文信息，注意力机制提高信息关注度，多任务学习联合处理实体抽取和关系抽取后构建知识图谱，将提取出攻击模式抽象语义描述作为实体特征嵌入，将映射的标准化格式要点作为辅助实体属性标签，联合知识图谱中子图内多种关系信息，同时使用时间参数集合增加实体的时序特征，生成准确、唯一且具有动态特点的攻击实体“画像”。本发明解决了现有对齐手段的准确性不够高的问题，同时实现了实体对齐随时间变化而自发调整。

公开(公告)号：CN117560223A

公开(公告)日：2024-02-13

申请号：CN202410021371.1

申请日：2024-01-08

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  王梓宇 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  何群 ,  徐天福 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王瑞 ,  任怡彤

IPC: H04L9/40 ,  H04L43/06 ,  G06N5/04

Abstract: 本发明提供了一种威胁的归因预测方法，包括：获取系统记录的网络访问信息，根据网络访问信息提取对应的IP数据；从威胁情报数据平台查询匹配IP数据的IP节点，根据IP节点获取IP威胁情报数据；根据IP威胁情报数据进行威胁组织归因推理，得到威胁的归因预测结果。进一步，还能够获取IP数据、IP威胁情报数据和归因预测结果，整合生成威胁的归因预测报告。应用本发明的方法能够实现网络安全防御阶段的有效前移，提升现有防御系统对新型和未知威胁的响应能力，增强整个网络安全体系的主动性和有效性，可以有效提升对早期潜在威胁的感知和反应能力，增强安全分析师对网络威胁的理解和响应效率。

公开(公告)号：CN116600135B

公开(公告)日：2024-02-13

申请号：CN202310669192.4

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  倪晓雅 ,  陈荣融 ,  胡铭浩 ,  田志宏 ,  殷丽华 ,  鲁辉 ,  肖千龙 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04N19/42 ,  H04N19/85

Abstract: 本发明提供了一种基于无损压缩的溯源图压缩方法及系统，其中，方法包括：将溯源图转化为无向图，并在无向图中采用随机游走算法获取θ组细化样本，将θ组细化样本估计值的平均值作为溯源图的平均度估计值；对溯源图建立节点映射和边映射，根据节点映射和边映射合并溯源图的节点及相应边，其中，节点映射记录溯源图中子节点与所有父节点的映射，边映射记录溯源图中一对节点间边的映射；对进行合并边的时间戳通过增量编码进行压缩，对溯源图中边的时间戳的数据类型为长整型的边通过哥伦布编码进行压缩。本申请采用无损压缩的方式，将所有节点的父节点合并，可以实现比删除冗余事件更好

公开(公告)号：CN117240572A

公开(公告)日：2023-12-15

申请号：CN202311283687.X

申请日：2023-09-28

Applicant: 广州大学

Inventor： 田志宏 ,  周盈海 ,  孙彦斌 ,  刘园 ,  仇晶 ,  苏申 ,  李默涵 ,  鲁辉 ,  徐光侠

IPC: H04L9/40 ,  G06N3/042 ,  G06N3/048

Abstract: 本公开提供了一种基于网络威胁知识图谱的意图预测方法、装置、设备及介质，该方法包括基于ATT&CK框架知识本体，采集已发生的攻击事件中与攻击活动相关的异构信息，构建网络威胁知识图谱本体；抽取网络威胁知识图谱中预设时间范围的特定事件，对特定事件进行去重，提取特定事件中的攻击主体的主体意图；基于网络威胁知识图谱的本体结构，将主体意图生成由event、key和value构成的序列，并构建对应特征向量；利用异构图神经网络编码计算攻击主体的主体意图的特征向量，得到异构图聚合计算结果，并生成意图排序向量；根据意图排序向量预测下一阶段的攻击方向，通过本发明解决对攻击者的链路溯源，攻击意图、攻击方向的预测问题。

公开(公告)号：CN117155662A

公开(公告)日：2023-12-01

申请号：CN202311126515.1

申请日：2023-09-01

Applicant: 广州大学

Inventor： 李默涵 ,  蒋进 ,  孙彦斌 ,  田志宏 ,  仇晶 ,  徐光侠 ,  唐可可 ,  李树栋

IPC: H04L9/40

Abstract: 本发明公开了一种基于漏洞知识图谱的漏洞实体预测和查询方法及装置，其中预测方法包括：根据开源漏洞数据构建漏洞知识图谱；根据漏洞知识图谱中各类实体之间的正关系和逆关系，结合预设的DualE模型，训练生成漏洞知识图谱的初始嵌入；根据初始嵌入获取漏洞知识图谱中所有实体潜在的缺失关系，并根据所有实体潜在的缺失关系集合和PRDualE模型，生成漏洞知识图谱的最终嵌入；获取待预测的第一资产实体，根据DualE模型的评分函数计算出第一资产实体在最终嵌入中指定关系下的攻击实体、漏洞实体和风险级别。本发明提出一种基于漏洞知识图谱的漏洞实体预测和查询方法及装置，通过生成最终嵌入来提高数据缺失时对漏洞进行预测的准确率。

公开(公告)号：CN117134986A

公开(公告)日：2023-11-28

申请号：CN202311178765.X

申请日：2023-09-12

Applicant: 广州大学

Inventor： 刘园 ,  田志宏 ,  阳长江 ,  邓向东 ,  方滨兴 ,  孙彦斌 ,  鲁辉 ,  李默涵 ,  苏申 ,  徐光侠 ,  姜誉 ,  仇晶 ,  王瑞

IPC: H04L9/40 ,  G06F9/455 ,  G06N3/0455 ,  G06N3/0475

Abstract: 本发明公开了一种基于ChatGPT的外网蜜点生成方法、系统及装置，包括：GTP模块，用于将生成蜜点的提示语输入ChatGPT进行交互后获取操作语句；命令执行器模块，用于执行操作语句生成蜜点，操作语句包括：爬取网站特征、蜜点WEB服务和优化蜜点；会话管理器模块，用于管理和存储用户与ChatGPT的对话记录。本发明可以生成基于ChatGPT的外网蜜点生成。

公开(公告)号：CN117113335A

公开(公告)日：2023-11-24

申请号：CN202310841133.0

申请日：2023-07-10

Applicant: 广州大学 ,  北京源堡科技有限公司

Inventor： 孙彦斌 ,  黎锦城 ,  方滨兴 ,  田志宏 ,  韩冰 ,  梁露露 ,  李默涵 ,  姜誉 ,  鲁辉 ,  苏申 ,  谭庆丰 ,  仇晶 ,  徐光侠 ,  刘园

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明公开了一种基于进程蜜点的勒索软件防御方法、系统及存储介质。本发明利用勒索软件对系统文件的加密过程需要终止文件锁定进程的特点，通过进程蜜点生成器创建进程蜜点，并将进程蜜点伪装为文件锁定进程，使得勒索软件在扫描进程时会不可避免的触碰到进程蜜点；同时通过监控器捕捉终止进程蜜点的目标进程，根据目标进程确定勒索软件并向用户告警。本发明克服了现有勒索软件检测手段计算消耗大、检测范围小、误报率高的缺陷。本发明所提出的勒索软件防护方法具有资源开销小，检测效率高的特点，且不易被勒索软件识别，具有较好的应用前景。

公开(公告)号：CN117061199A

公开(公告)日：2023-11-14

申请号：CN202311104346.1

申请日：2023-08-29

Applicant: 广州大学

Inventor： 刘园 ,  田志宏 ,  黄瑞信 ,  王梦雨 ,  方滨兴 ,  鲁辉 ,  苏申 ,  李默涵 ,  孙彦斌 ,  徐光侠 ,  姜誉 ,  仇晶

IPC: H04L9/40

Abstract: 本公开提供了一种融合蜜点感知的IP信誉计算方法、装置及介质，该方法包括获取开源情报数据，并筛选出含有攻击行为的情报数据；获取所有访问过WAF服务器的第一行为日志和蜜点服务器的第二行为日志；提取开源情报数据中黑名单IP地址，作为黑名单列表，建基于IP的物理属性的信誉模型，用于计算物理属性的信誉分数；对于任意IP，分别根据预设时段内的第一、第二行为日志和开源情报数据计算该IP对应的R1、R2和R3分数；并根据设定的权重比例进行聚合获得对应IP的信誉分数并记录保存，根据指定的IP，获取并返回对应的IP的信誉分数。解决在指定IP地址行为数据不充足的情况下，攻击者的识别率低可能造成未知用户的威胁性。

公开(公告)号：CN116743556A

公开(公告)日：2023-09-12

申请号：CN202310669109.3

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  陈荣融 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  李默涵 ,  胡铭浩 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04L41/069 ,  H04L43/04 ,  H04L41/12

Abstract: 本说明书实施例提供了一种基于系统审计日志的溯源图构建与剪枝方法、装置及介质，其中，该方法包括获取不同操作系统审计日志，根据各审计日志信息获取主体信息，事件信息及客体信息，分别构成三元信息组，其中，主体为进程，客体为程序、文件或套接字；根据各三元信息组信息及对应的事件类型，确定对应的处理方法，计算获取各事件的主客体的唯一标识；根据各主客体的唯一标识判断各实体是否存在节点集合中，如果不存在，在节点集合中创建实体节点，且在边集合中创建对应主客体实体之间的边；如果存在，进行剪枝操作获得溯源图。本发明对系统生成的统一格式溯源图进行剪枝处理，在保证因果语义完整性的前提下，大大减少溯源图所需的系统空间。