公开(公告)号：CN118573487B

公开(公告)日：2024-11-12

申请号：CN202411052561.6

申请日：2024-08-02

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  林梓浩 ,  张位勇 ,  鲁辉 ,  孙彦斌 ,  邱日轩 ,  苏申 ,  仇晶 ,  李默涵 ,  徐光侠 ,  张乐君 ,  刘园 ,  姜誉 ,  付矞飞 ,  蒋秋

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/25 ,  G06F18/214 ,  G06N3/088

Abstract: 本发明公开了一种孤立森林融合零正异常检测的网络异常检测方法及系统，其方法包括步骤：一、数据收集与预处理；二、特征提取与分析；三、模型集成与训练；四、威胁等级评估与自适应策略制定；五、实时监控与动态响应；六、模型更新与持续学习；七、性能评估与优化；其系统包括数据收集与预处理模块，特征提取与分析模块，模型集成与训练模块，威胁等级评估与自适应策略制定模块，实时监控与动态响应模块，模型更新与持续学习模块，以及性能评估与优化模块。本发明提升了对网络异常行为检测的全面性、准确性和效率，减少了系统资源消耗，实现了实时异常检测，确保对新出现的威胁能够迅速发现并采取有效措施。

公开(公告)号：CN118573487A

公开(公告)日：2024-08-30

申请号：CN202411052561.6

申请日：2024-08-02

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  林梓浩 ,  张位勇 ,  鲁辉 ,  孙彦斌 ,  邱日轩 ,  苏申 ,  仇晶 ,  李默涵 ,  徐光侠 ,  张乐君 ,  刘园 ,  姜誉 ,  付矞飞 ,  蒋秋

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/25 ,  G06F18/214 ,  G06N3/088

Abstract: 本发明公开了一种孤立森林融合零正异常检测的网络异常检测方法及系统，其方法包括步骤：一、数据收集与预处理；二、特征提取与分析；三、模型集成与训练；四、威胁等级评估与自适应策略制定；五、实时监控与动态响应；六、模型更新与持续学习；七、性能评估与优化；其系统包括数据收集与预处理模块，特征提取与分析模块，模型集成与训练模块，威胁等级评估与自适应策略制定模块，实时监控与动态响应模块，模型更新与持续学习模块，以及性能评估与优化模块。本发明提升了对网络异常行为检测的全面性、准确性和效率，减少了系统资源消耗，实现了实时异常检测，确保对新出现的威胁能够迅速发现并采取有效措施。

公开(公告)号：CN119854035A

公开(公告)日：2025-04-18

申请号：CN202510322439.4

申请日：2025-03-19

Applicant: 广州大学 ,  奇安信科技集团股份有限公司

Inventor： 田志宏 ,  赖宝汪 ,  张位勇 ,  鲁辉 ,  刘园 ,  孙彦斌 ,  李默涵 ,  苏申 ,  刘浩 ,  张乐君 ,  仇晶

IPC: H04L9/40

Abstract: 本发明提供了一种基于eBPF和XDP技术的端口欺骗防御方法及系统，涉及网络信息安全技术领域。所述端口欺骗防御方法包括以下步骤：编译eBPF程序并基于系统调用将eBPF程序挂载到XDP平面；当待保护端口接收到流量数据包时，XDP平面基于eBPF技术拦截扫描流量数据包，并识别扫描流量数据包的扫描方式；分别构建TCP全连接扫描、TCP半连接扫描、TCP隐蔽扫描及UDP扫描的响应策略；基于响应策略对扫描流量数据包做出响应。本发明提供的端口欺骗防御方法能够快速、准确识别，并拦截扫描数据包，模拟回复响应包或者不回复，使得扫描器误以为关闭端口是开放的，从而延缓攻击者的攻击节奏。

公开(公告)号：CN117729268A

公开(公告)日：2024-03-19

申请号：CN202311644149.9

申请日：2023-12-01

Applicant: 广州大学

Inventor： 田志宏 ,  张位勇 ,  苏申 ,  孙彦斌 ,  鲁辉 ,  仇晶 ,  李默涵 ,  刘园 ,  徐光侠 ,  张乐君 ,  姜誉 ,  蒋秋 ,  吕阳紫星

IPC: H04L69/22 ,  G06F18/241 ,  G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  H04L67/02

Abstract: 本发明提供了一种内核空间处理分类任务的方法及装置，其中，方法包括：获取请求数据包解析为HTTP请求数据包，过滤HTTP请求数据包冗余信息，清洗过滤后HTTP请求数据包，将清洗后HTTP请求数据包的信息存入哈希型eBPF map中；捕获与请求数据包对应的HTTP响应数据包，清洗HTTP响应数据包，将清洗后HTTP响应数据包与对应的清洗后HTTP请求数据包进行关联；对清洗后HTTP请求数据包和清洗后HTTP响应数据包进行特征提取，得到用户访问特征；将用户访问特征存入哈希型eBPF map中，将用户访问特征与要使用分类器模型的参数数据对应；在哈希型eBPF map中，将用户访问特征输入对应分类器模型得到分类结果，将分类结果放入数组型eBPF map中。

公开(公告)号：CN118900201A

公开(公告)日：2024-11-05

申请号：CN202411154713.3

申请日：2024-08-22

Applicant: 广州大学

Inventor： 田志宏 ,  蒋秋 ,  张位勇 ,  鲁辉 ,  苏申 ,  刘园 ,  孙彦斌 ,  刘浩 ,  李默涵

IPC: H04L9/40

Abstract: 本发明提供了一种基于ChatGPT模型的Docker攻击流量检测方法，涉及Docker容器安全技术领域。基于ChatGPT模型的Docker攻击流量检测方法包括以下步骤：获取并预处理流量数据得到网络安全数据集，基于所述网络安全数据集对ChatGPT模型进行训练与优化得到ChatGPT检测模型；获取所有访问Docker容器应用的网络数据包，基于所述ChatGPT检测模型对所述网络数据包进行异常检测得到检测结果。本发明通过研究ChatGPT模型可以学习并适应新的威胁和攻击模式，处理收集的流量数据并对ChatGPT模型进行训练与优化得到ChatGPT检测模型，利用ChatGPT检测模型对访问Docker容器应用的网络数据包进行异常检测，提高了面对新型威胁及对抗性攻击时的检测效率。

公开(公告)号：CN118612083A

公开(公告)日：2024-09-06

申请号：CN202410724784.6

申请日：2024-06-05

Applicant: 广州大学

Inventor： 田志宏 ,  张位勇 ,  蒋秋 ,  林梓浩 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  仇晶 ,  李默涵 ,  张乐君 ,  姜誉 ,  徐光侠 ,  吕阳紫星

IPC: H04L41/14 ,  H04L41/16 ,  H04L9/40 ,  H04L67/02

Abstract: 本申请涉及一种HTTP分布式拒绝服务攻击检测模型构建方法和装置。方法包括：使用高速数据包处理框架，收集数据；基于扩展的伯克利包过滤器，对所述数据进行分类，得到特征数据集；根据所述特征数据集，对预设算法模型训练，得到训练后算法模型；使用高速数据包处理框架，获取测试数据集；根据所述测试数据集，验证所述训练后算法模型，得到高斯朴素贝叶斯算法分类器模型。解决了现有技术需要大量数据作为训练数据，算法复杂对计算资源要求较高，检测结果受训练数据影响较大、适应性较低结果不稳定的问题。

公开(公告)号：CN119848879A

公开(公告)日：2025-04-18

申请号：CN202510322383.2

申请日：2025-03-19

Applicant: 广州大学 ,  奇安信科技集团股份有限公司

Inventor： 田志宏 ,  张新辉 ,  张位勇 ,  刘园 ,  姚胤楠 ,  鲁辉 ,  孙彦斌 ,  苏申 ,  刘浩 ,  仇晶 ,  李默涵

IPC: G06F21/57 ,  G06F18/214 ,  G06F21/56

Abstract: 本发明涉及计算机科学中的系统安全领域，尤其涉及一种动静分析结合的容器系统调用危险评估名单生成方法。本发明提供了一种动静分析结合的容器系统调用危险评估名单生成方法，重点是采用BM25算法计算漏洞利用代码系统调用名单中每个系统调用的得分并收集其数据，根据专家知识对所述漏洞利用代码系统调用名单中每个系统调用进行数据标记，利用所述BM25得分、收集的数据和数据标记作为训练集对XGBoost训练模型进行训练，通过在线学习和增量学习实时更新模型，根据所述数据标记对所有系统调用进行排序，实时输出危险度排名。目的是帮助安全人员，快速查找、响应、预防容器在运行时存在潜在风险的系统调用。