公开(公告)号：CN119210849A

公开(公告)日：2024-12-27

申请号：CN202411347999.7

申请日：2024-09-26

Applicant: 广州大学

Inventor： 田志宏 ,  邓向东 ,  郭兢卓 ,  王瑞 ,  刘园 ,  鲁辉 ,  孙彦斌 ,  苏申 ,  李默涵 ,  徐光侠 ,  谭庆丰 ,  姜誉 ,  方滨兴

IPC: H04L9/40 ,  H04L67/30

Abstract: 本发明提供了一种面向主动防御的云服务蜜点生成方法及系统，涉及网络安全技术领域，包括：基于真实资产设备仿真得到的初始蜜点和蜜点欺骗场景生成云资产图；当认证用户拖动并更改云函数时获取更新后的云资产图，基于更新后的云资产图导出配置文件，并基于配置文件从预设的蜜点策略模版库中进行抽取获取模版样本；对模版样本进行编排获得符合对应云环境和攻击路径的多个蜜点部署模版；基于IaC模板生成多个IaC源代码文件，并基于IaC源代码文件调用预设的Terraform生成多个蜜点。本发明采用完全真实的云服务基础设施作为蜜点，在蜜点中利用入参、出参、中间检查点的设计思路，配合云服务本身的监控与告警，对蜜点进行实时调整，提升了网络系统的安全性。

公开(公告)号：CN119182584A

公开(公告)日：2024-12-24

申请号：CN202411254684.8

申请日：2024-09-09

Applicant: 广州大学

Inventor： 田志宏 ,  邓昕 ,  王瑞 ,  刘园 ,  方滨兴 ,  鲁辉 ,  孙彦斌 ,  徐光侠 ,  苏申 ,  姜誉 ,  仇晶 ,  谭庆丰 ,  李默涵

IPC: H04L9/40

Abstract: 本发明提供了基于攻击图和夏普利值的动态蜜点部署方法及系统，该方法包括：每隔第一预设时间对被保护网络进行扫描探查；根据扫描探查结果构建与被保护网络的当前网络环境对应的攻击图，基于CSVV评价计算得到攻击图中每条边内的各个漏洞被利用的概率，并定义每条边被攻击的难度；根据每条边被攻击的难度计算得到攻击路径的实现概率，并获取攻击图中每条攻击路径的预期损失；构建博弈模型，并基于蒙特卡洛方法求解每条边的夏普利值，并根据每条边的夏普利值对攻击图中的所有边进行边排序，以根据边排序结果生成最优蜜点部署策略。本发明能够根据攻防过程中的实时网络安全态势动态调整蜜点部署策略。

公开(公告)号：CN118972145A

公开(公告)日：2024-11-15

申请号：CN202411205327.2

申请日：2024-08-30

Applicant: 广州大学

Inventor： 孙彦斌 ,  田志宏 ,  李默涵 ,  鲁辉 ,  刘园 ,  苏申 ,  谭庆丰 ,  徐光侠 ,  石家豪

IPC: H04L9/40

Abstract: 本发明公开了一种基于前置蜜庭的三重访问控制方法，通过扩展IP黑白名单功能，建立IP黑白名单库，根据用户需要，自定义黑白名单IP，根据请求的源IP进行过滤，阻断黑名单IP对业务系统的访问，放行白名单IP对业务系统的访问，无需经过白协议模块以及信誉分数的访问控制。通过扩展白协议功能，访问请求在经过IP黑白名单过滤通过后，若不为白名单IP，则需要再经过白协议的访问控制。通过扩展信誉分数计算功能，根据请求的行为、蜜洞服务器的身份验证结果、白协议功能的反馈以及用户设定，灵活调整IP地址的信誉分数，基于信誉分数开放对业务系统的访问权限，实现灵活的访问控制。本发明通过这种多层次的过滤机制，提高了网络的防御能力。

公开(公告)号：CN118611983B

公开(公告)日：2024-11-12

申请号：CN202411037261.0

申请日：2024-07-31

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  王梓宇 ,  周盈海 ,  仇晶 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  刘园 ,  张乐君 ,  徐光侠 ,  苏申 ,  姜誉 ,  付矞飞 ,  黄刚

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/214 ,  G06F18/2111 ,  G06F18/20

Abstract: 本发明提供了一种网络攻击组织的行为基因识别方法包括：收集包括攻击组织行为基因知识图谱和系统进程数据的基础数据；提取系统进程数据中的进程行为序列数据进行行为基因同源推理以预测得到目标攻击组织；检索并整理目标攻击组织的高级行为基因信息然后转化为行为依赖模式集合，分析已知攻击事件的行为日志得到对应的行为依赖实例，将行为依赖实例与行为依赖模式集合进行对齐匹配从而识别出目标依赖模式；根据目标依赖模式构建威胁搜寻查询提示词用于与大语言模型交互以识别出与目标依赖模式行为基因语义一致的攻击行为。应用该方法能够实时解构行为基因数据并进行识别，能够进行多维度数据分析和高级行为基因识别提高了对识别精度和覆盖范围。

公开(公告)号：CN118802369A

公开(公告)日：2024-10-18

申请号：CN202411265988.4

申请日：2024-09-11

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  姜云欣 ,  周盈海 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  刘园 ,  李默涵 ,  鲁辉 ,  仇晶 ,  孙彦斌 ,  张乐君 ,  徐光侠 ,  姜誉 ,  苏申 ,  付矞飞 ,  黄刚

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/045 ,  G06N5/04 ,  G06F40/295 ,  G06F40/30 ,  G06F16/36

Abstract: 本发明公开了一种面向APT知识图谱和大语言模型的协同增强方法，包括步骤：S1、构建专注于网络安全领域的APT知识图谱；S2、根据用户输入的问题设计链式提示语依次传递给大语言模型进行分步回答，大语言模型利用APT知识图谱提供的知识进行问题的查询与定位；S3、结合定位的APT知识节点与用户输入的问题内容，利用子图检索的强相关节点丰富上下文感知提示；S4、大语言模型根据上下文感知提示，为用户生成一个全面的答案。本发明增强了大语言模型在APT场景下的语义理解、推理和预测能力，大语言模型可以更好地分析和推断攻击者行为、攻击路径，提高在复杂网络环境中的准确性，增强了对APT攻击的防御和应对能力。

公开(公告)号：CN118590275A

公开(公告)日：2024-09-03

申请号：CN202410659948.1

申请日：2024-05-27

Applicant: 广州大学

Inventor： 仇晶 ,  宗熠 ,  陈荣融 ,  蔡泳信 ,  陈玺名 ,  田志宏 ,  纪守领 ,  苏申 ,  徐光侠 ,  胡铭浩 ,  高成亮 ,  李思颖 ,  安西康 ,  倪晓雅 ,  邢家旭

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/2415 ,  G06F18/213 ,  G06N3/042 ,  G06N3/047 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法，包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力，通过结合节点的行为信息和语义信息构建节点特征向量，丰富节点信息表示，更有利于异常检测分析。为提升异常检测模型的性能，本发明另一方面在图神经网络的基础上，设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进，提升主机侧系统日志溯源图中异常行为的检测精度，提高对异常检测场景的动态适应性。还一方面，本发明不仅实现节点级别的异常检测，还会构建攻击场景图片，以便更准确直接地检测和识别攻击路径，帮助网络安全专家分析网络的潜在安全威胁。

公开(公告)号：CN118138300A

公开(公告)日：2024-06-04

申请号：CN202410242657.2

申请日：2024-03-04

Applicant: 广州大学

Inventor： 鲁辉 ,  彭劲 ,  田志宏 ,  张曼 ,  陈可 ,  梁儒烽 ,  陈俊翰 ,  张浩楠 ,  孙彦斌 ,  苏申 ,  徐光侠 ,  黄迅 ,  郑晨聪

IPC: H04L9/40

Abstract: 本发明公开了一种基于请求混淆的渗透测试方法、系统、装置及存储介质，包括：获取客户端的第一渗透测试请求，对第一渗透测试请求进行请求混淆，得到第二渗透测试请求，进而将第二渗透测试请求发送至代理服务器；通过代理服务器接收第二渗透测试请求，并根据第二渗透测试请求确定请求协议和目标服务器；通过代理服务器对第二渗透测试请求进行流量打盹，并向目标服务器发送预设的无效数据包；通过代理服务器根据请求协议确定目标代理模式，进而根据目标代理模式将第二渗透测试请求转发至目标服务器。本发明有效地增强了渗透测试的隐蔽性，降低了安全产品对渗透测试的拦截影响，保证了渗透测试的稳定进行，可广泛应用于渗透测试技术领域。

公开(公告)号：CN118113678A

公开(公告)日：2024-05-31

申请号：CN202410133633.3

申请日：2024-01-30

Applicant: 广州大学

Inventor： 陈字龙 ,  孙彦斌 ,  田志宏 ,  李默涵 ,  徐光侠 ,  张乐君 ,  谭庆丰 ,  刘园 ,  鲁辉 ,  苏申 ,  姜誉

IPC: G06F16/18 ,  G06F16/22 ,  G06F16/215 ,  G06F16/332

Abstract: 本申请公开了一种基于大语言模型的蜜罐日志分析方法、系统及介质，方法包括：基于蜜罐技术获取目标系统的日志数据；对日志数据进行清洗处理，基于清洗处理后的日志数据构建向量索引库；响应于目标对象的输入文本，从向量索引库匹配获得目标日志条目；基于目标日志条目，通过预设模板整理得到提示文本；将提示文本输入预训练的语言模型进行回答响应，得到回答内容。本申请利用蜜罐技术精准收集相关日志数据，并利用大语言模型技术准确的文本分析和评估能力，解决现有日志分析工具在准确性、实时处理效率、数据处理能力以及灵活性等方面的缺陷。本申请实施例能够准确进行日志分析，可广泛应用于数据处理技术领域。

公开(公告)号：CN118018266A

公开(公告)日：2024-05-10

申请号：CN202410133488.9

申请日：2024-01-30

Applicant: 广州大学

Inventor： 孙彦斌 ,  田志宏 ,  李默涵 ,  姜誉 ,  徐光侠 ,  刘园 ,  鲁辉 ,  苏申 ,  谭庆丰 ,  张乐君 ,  冯桥彬

IPC: H04L9/40 ,  H04L67/30

Abstract: 本发明公开了一种基于蜜庭代理的账号蜜点引流方法、系统及存储介质，账号蜜点引流方法包括：通过修改所述配置文件中的全局块导入预获取的黑名单文件，通过修改配置文件中的location块引入账号检测模块；接收用户访问流量，基于蜜庭确定用户访问流量对应的用户IP地址是否为黑名单IP地址，根据判断结果将用户访问流量转发至账号蜜点或对用户访问流量进行登陆操作检测，得到用户登陆请求；通过账号检测模块确定加密和非加密的用户登陆请求是否包含蜜点账号，进而根据账号检测结果将对应的用户访问流量转发至真实业务服务器或账号蜜点。本发明能够实现与真实业务服务器隔离，安全性高且误报率低，可广泛应用于网络安全技术领域。

公开(公告)号：CN117997634A

公开(公告)日：2024-05-07

申请号：CN202410239594.5

申请日：2024-03-02

Applicant: 广州大学

Inventor： 刘园 ,  黄瑞信 ,  章淑洁 ,  田志宏 ,  孙彦斌 ,  鲁辉 ,  苏申 ,  李默涵 ,  徐光侠 ,  仇晶 ,  张乐君 ,  潘海彬 ,  雷志鹏

IPC: H04L9/40 ,  H04L9/00 ,  G06Q20/06 ,  G06N5/04 ,  G06Q20/22

Abstract: 本发明公开了一种区块链网络DoS(简称BDoS)缓解策略和效果分析方法，涉及网络分析技术领域。对于受到BDoS攻击并瘫痪的系统，本发明为其中节点提供了除“遇到攻击就一直停止工作”外的另一种策略“暂停后继续”，暂停时间为节点挖到区块的正常时间。就缓解策略实现而言，建议将该缓解策略作为新的协议内容(即当发布的新区块仅有区块头，且正常出块时间后没有该区块头的完整区块发布时，节点继续工作)，只要过半节点(算力)愿意升级，则说明通过了该新协议，本发明采用演化博弈的方式来建模区块链中节点之间的交互，降低对节点高理性的要求，能够反映节点选择某个策略占比随着时间的变化。