公开(公告)号：CN118802369A

公开(公告)日：2024-10-18

申请号：CN202411265988.4

申请日：2024-09-11

申请人： 国网江西省电力有限公司信息通信分公司 ,  广州大学

发明人： 田志宏 ,  姜云欣 ,  周盈海 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  刘园 ,  李默涵 ,  鲁辉 ,  仇晶 ,  孙彦斌 ,  张乐君 ,  徐光侠 ,  姜誉 ,  苏申 ,  付矞飞 ,  黄刚

IPC分类号： H04L9/40 ,  H04L41/16 ,  G06N3/045 ,  G06N5/04 ,  G06F40/295 ,  G06F40/30 ,  G06F16/36

摘要： 本发明公开了一种面向APT知识图谱和大语言模型的协同增强方法，包括步骤：S1、构建专注于网络安全领域的APT知识图谱；S2、根据用户输入的问题设计链式提示语依次传递给大语言模型进行分步回答，大语言模型利用APT知识图谱提供的知识进行问题的查询与定位；S3、结合定位的APT知识节点与用户输入的问题内容，利用子图检索的强相关节点丰富上下文感知提示；S4、大语言模型根据上下文感知提示，为用户生成一个全面的答案。本发明增强了大语言模型在APT场景下的语义理解、推理和预测能力，大语言模型可以更好地分析和推断攻击者行为、攻击路径，提高在复杂网络环境中的准确性，增强了对APT攻击的防御和应对能力。

公开(公告)号：CN117993497A

公开(公告)日：2024-05-07

申请号：CN202410296311.0

申请日：2024-03-15

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  姜云欣 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  任怡彤 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC分类号： G06N5/022 ,  G06F16/36 ,  G06N3/042 ,  G06N3/0985 ,  G06N5/04

摘要： 本发明提供了一种基于元关系学习的知识图谱补全方法，包括：基于知识图谱数据进行嵌入表示学习，得到知识图谱中的实体和关系的静态嵌入表示；根据静态嵌入表示进行元任务训练得到学习到的参数，对学习到的参数进行元任务测试以选择出元关系学习参数；将静态嵌入表示与元关系学习参数进行融合得到综合实体表示，使用综合实体表示计算关系路径，利用图神经网络对所述关系路径进行更新得到得到关系路径上节点的更新后的表示并生成最终的路径表示，利用路径表示进行实体间的关系预测得到实体间关系的预测结果以实现知识图谱补全。应用该方法能够快速适应新任务，选择合适的元任务，以确保学到的元关系参数对于多样化的实体和关系具有泛化能力。

公开(公告)号：CN117560223B

公开(公告)日：2024-04-16

申请号：CN202410021371.1

申请日：2024-01-08

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  王梓宇 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  何群 ,  徐天福 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王瑞 ,  任怡彤

IPC分类号： H04L9/40 ,  H04L43/06 ,  G06N5/04

摘要： 本发明提供了一种威胁的归因预测方法，包括：获取系统记录的网络访问信息，根据网络访问信息提取对应的IP数据；从威胁情报数据平台查询匹配IP数据的IP节点，根据IP节点获取IP威胁情报数据；根据IP威胁情报数据进行威胁组织归因推理，得到威胁的归因预测结果。进一步，还能够获取IP数据、IP威胁情报数据和归因预测结果，整合生成威胁的归因预测报告。应用本发明的方法能够实现网络安全防御阶段的有效前移，提升现有防御系统对新型和未知威胁的响应能力，增强整个网络安全体系的主动性和有效性，可以有效提升对早期潜在威胁的感知和反应能力，增强安全分析师对网络威胁的理解和响应效率。

公开(公告)号：CN118540166B

公开(公告)日：2024-10-01

申请号：CN202411008367.8

申请日：2024-07-26

申请人： 国网江西省电力有限公司信息通信分公司 ,  南昌工程学院

发明人： 邱日轩 ,  徐天福 ,  田志宏 ,  赵嘉 ,  何群 ,  罗志远 ,  陈福军 ,  刘园 ,  姚安素

IPC分类号： H04L9/40 ,  H04L41/147 ,  H04L41/16

摘要： 本发明提供了一种蜜罐的网络安全态势预测方法及系统，涉及电力系统中网络安全技术领域，具体技术方案为：S1采集并预处理蜜罐网络安全数据得到态势数据；S2构建初始集成模型和初始加权模型，基于态势数据训练初始集成模型获得集成模型和预测值；K等分所述预测值，基于K折交叉验证对初始加权模型进行交叉训练，平衡过拟合和预测的误差后得到加权模型；基于多目标狼群算法优化集成模型和加权模型；S3基于优化后的集成模型和优化后的加权模型搭建预测模型；基于预测模型输入蜜罐运行数据得到网络安全态势感知值。预测模型融合多个具有不同核函数的核岭回归模型，兼顾不同核函数的优势，提高模型的灵活性和泛化能力，保证网络安全态势感知的准确性。

公开(公告)号：CN118611983A

公开(公告)日：2024-09-06

申请号：CN202411037261.0

申请日：2024-07-31

申请人： 国网江西省电力有限公司信息通信分公司 ,  广州大学

发明人： 田志宏 ,  王梓宇 ,  周盈海 ,  仇晶 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  刘园 ,  张乐君 ,  徐光侠 ,  苏申 ,  姜誉 ,  付矞飞 ,  黄刚

IPC分类号： H04L9/40 ,  G06F18/2433 ,  G06F18/214 ,  G06F18/2111 ,  G06F18/20

摘要： 本发明提供了一种网络攻击组织的行为基因识别方法包括：收集包括攻击组织行为基因知识图谱和系统进程数据的基础数据；提取系统进程数据中的进程行为序列数据进行行为基因同源推理以预测得到目标攻击组织；检索并整理目标攻击组织的高级行为基因信息然后转化为行为依赖模式集合，分析已知攻击事件的行为日志得到对应的行为依赖实例，将行为依赖实例与行为依赖模式集合进行对齐匹配从而识别出目标依赖模式；根据目标依赖模式构建威胁搜寻查询提示词用于与大语言模型交互以识别出与目标依赖模式行为基因语义一致的攻击行为。应用该方法能够实时解构行为基因数据并进行识别，能够进行多维度数据分析和高级行为基因识别提高了对识别精度和覆盖范围。

公开(公告)号：CN117829141B

公开(公告)日：2024-06-14

申请号：CN202410251791.9

申请日：2024-03-06

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC分类号： G06F40/279 ,  G06N5/022 ,  H04L9/40

摘要： 本发明公开了基于攻击模式的动态实体对齐方法，涉及网络安全防护技术领域，通过深度学习模型进行实体抽取和关系抽取，采用深度学习的Transformer标记文本中的命名实体，通过嵌入表示法将实体和关系映射到向量空间，CNN和RNN用于捕捉上下文信息，注意力机制提高信息关注度，多任务学习联合处理实体抽取和关系抽取后构建知识图谱，将提取出攻击模式抽象语义描述作为实体特征嵌入，将映射的标准化格式要点作为辅助实体属性标签，联合知识图谱中子图内多种关系信息，同时使用时间参数集合增加实体的时序特征，生成准确、唯一且具有动态特点的攻击实体“画像”。本发明解决了现有对齐手段的准确性不够高的问题，同时实现了实体对齐随时间变化而自发调整。

公开(公告)号：CN118694612A

公开(公告)日：2024-09-24

申请号：CN202411170851.0

申请日：2024-08-26

申请人： 国网江西省电力有限公司信息通信分公司

发明人： 田志宏 ,  徐天福 ,  何群 ,  邱日轩 ,  罗志远 ,  井思桐

IPC分类号： H04L9/40 ,  G06N3/006 ,  G06N20/00

摘要： 本发明提供了一种基于改进多目标萤火虫算法的蜜点部署方法，涉及网络安全技术领域，包括：映射并编码电力系统网络节点和蜜点位置后生成二维栅格地图；获取网络节点的探查信息和攻击动作信息生成攻击图；将探查信息和攻击动作信息组合，分解为多个目标模态分量后获取初始预测模型；基于探查信息、攻击动作信息和真实蜜点位置信息建立训练集；基于非线性调整因子和自适应邻域获得改进后的多目标萤火虫算法，利用训练集和改进后的多目标萤火虫算法对初始预测模型进行训练，获取多个训练好的预测模型，基于训练好的预测模型输出预测蜜点位置信息。本发明考虑将攻击动作信息进行分解，并利用多个训练好的预测模型捕捉攻击动作特征，提高网络防御效率。

公开(公告)号：CN118646607A

公开(公告)日：2024-09-13

申请号：CN202411116828.3

申请日：2024-08-15

申请人： 国网江西省电力有限公司信息通信分公司 ,  广州大学

发明人： 田志宏 ,  姜云欣 ,  周盈海 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  鲁辉 ,  李默涵 ,  仇晶 ,  刘园 ,  孙彦斌 ,  张乐君 ,  徐光侠 ,  苏申 ,  姜誉 ,  付矞飞 ,  黄刚

IPC分类号： H04L9/40 ,  G06N5/025 ,  G06N5/045

摘要： 本发明公开了一种基于APT知识图谱关联数据的大语言模型增强方法，包括：收集网络安全领域的相关数据，基于APT攻击的特点构建APT知识图谱；根据用户输入的问题进行APT知识图谱查询；利用查询到的数据片段，生成针对特定查询的增强提示，大语言模型为用户生成更准确更深入的回答。本发明设计了一个专注于APT攻击的知识图谱本体，将APT知识图谱整合到大语言模型中，能够提高对潜在威胁的检测效率和准确性，还能够为防护策略的制定和实时响应提供有力支持，极大地强化了网络安全的整体防御体系。

公开(公告)号：CN117786088B

公开(公告)日：2024-08-30

申请号：CN202410051928.6

申请日：2024-01-15

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC分类号： G06F16/332 ,  G06F16/35 ,  G06F16/36 ,  G06N5/022 ,  G06F16/33 ,  G06F40/205

摘要： 本发明提供了一种威胁的语言模型分析方法，包括：获取威胁情报，判断威胁情报的类型；根据威胁情报的类型选择对威胁情报进行语言模型分析的信息抽取方式；应用选择的信息抽取方式对威胁情报进行信息抽取；获取信息抽取结果从而得到对应威胁情报的威胁知识图谱。应用该方法能够从大量的非结构化网络威胁情报中高效抽取并整合信息,提高了信息处理的效率，增强对APT攻击的识别和分析能力；能够快速识别网络中的异常行为，并及时做出响应，有效减少网络攻击的风险；通过融合知识图谱增加了大型语言模型的可解释性，提升模型输出结果的可理解性和可靠性。

公开(公告)号：CN117614742B

公开(公告)日：2024-05-07

申请号：CN202410085984.1

申请日：2024-01-22

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  刘园 ,  易新凯 ,  黎清源 ,  周圆 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  徐天福 ,  郑志彬 ,  崔宇 ,  何群 ,  邱日轩

IPC分类号： H04L9/40 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895 ,  G06F18/241

摘要： 本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先，主要分析攻击者的恶意攻击行为，生成并部署模拟正常Web服务器接收攻击的蜜点；采集并处理全流量数据和攻击者触发蜜点后产生的数据；预训练阶段，自监督对比学习的编码器使用无标签的全流量数据训练；微调阶段，使用完成预训练的编码器处理白名单流量数据和蜜点数据，处理后的数据输入给MLP分类器进行训练和评估，以调整CNN编码器和MLP分类器的参数；将训练好的模型部署到全流量入口，以识别全流量数据中的恶意流量。实施本发明，可以使模型更全面地学习蜜点数据中的多种攻击行为，增强系统识别高隐蔽威胁行为的能力。