公开(公告)号：CN117294486B

公开(公告)日：2024-08-13

申请号：CN202311206749.7

申请日：2023-09-18

Applicant: 广州大学

Inventor： 殷丽华 ,  罗熙 ,  首鑫 ,  方滨兴 ,  周凯 ,  于城 ,  王智明

IPC: H04L9/40 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/084

Abstract: 本说明书实施例提供了一种基于图嵌入的恶意流量检测方法及系统，其中，方法包括：S1.根据原始流量报文中网络数据包的五元组信息将网络数据包划分为数据包流，对所述数据包流进行预处理得到数据包流的流量信息；S2.基于所述流量信息，以网络数据包的源套接字和目标套接字为节点，以套接字之间的流量为边，以流量信息为边的属性构建属性图；S3.对属性图进行嵌入学习，通过图神经网络GNN迭代传播来自邻居节点的嵌入，利用边缘图注意网络，通过递归嵌入式传播和基于注意的聚合提取图嵌入信息，对GNN模型进行训练；S4.将预处理后流量信息输入到构建的GNN模型中，实现恶意流量检测。本发明提高了恶意流量检测地面性能。

公开(公告)号：CN118233196B

公开(公告)日：2025-03-28

申请号：CN202410427058.8

申请日：2024-04-09

Applicant: 广州大学

Inventor： 罗熙 ,  殷丽华 ,  周凯 ,  于城 ,  王智明 ,  孙皓 ,  段紫桐

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/048 ,  G06N3/042

Abstract: 本发明提供了一种基于图神经网络的DNS流量异构图中C&C服务器检测方法，属于网络安全技术领域，该方法包括：获取DNS流量数据，通过GRU模型判断所述DNS流量数据中域名是否为恶意域名，并将对应的判断标签添加至流量数据对应的域名节点；根据DNS流量数据构建DNS流量异构图，对所述DNS流量异构图进行聚合投影以及语义融合处理后，获得异构图每个节点的最终嵌入向量；将所述每个节点的最终嵌入向量通过线性层和Sigmoid激活函数进行二分类，确定所述服务器IP节点属于良性服务器还是C&C服务器。本发明采用图神经网络分析流量异构图的方式，大大提高了对C&C服务器的检测效率与检测准确性。

公开(公告)号：CN117294486A

公开(公告)日：2023-12-26

申请号：CN202311206749.7

申请日：2023-09-18

Applicant: 广州大学

Inventor： 殷丽华 ,  罗熙 ,  首鑫 ,  方滨兴 ,  周凯 ,  于城 ,  王智明

IPC: H04L9/40 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/084

Abstract: 本说明书实施例提供了一种基于图嵌入的恶意流量检测方法及系统，其中，方法包括：S1.根据原始流量报文中网络数据包的五元组信息将网络数据包划分为数据包流，对所述数据包流进行预处理得到数据包流的流量信息；S2.基于所述流量信息，以网络数据包的源套接字和目标套接字为节点，以套接字之间的流量为边，以流量信息为边的属性构建属性图；S3.对属性图进行嵌入学习，通过图神经网络GNN迭代传播来自邻居节点的嵌入，利用边缘图注意网络，通过递归嵌入式传播和基于注意的聚合提取图嵌入信息，对GNN模型进行训练；S4.将预处理后流量信息输入到构建的GNN模型中，实现恶意流量检测。本发明提高了恶意流量检测地面性能。

公开(公告)号：CN118233196A

公开(公告)日：2024-06-21

申请号：CN202410427058.8

申请日：2024-04-09

Applicant: 广州大学

Inventor： 罗熙 ,  殷丽华 ,  周凯 ,  于城 ,  王智明 ,  孙皓 ,  段紫桐

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/048 ,  G06N3/042

Abstract: 本发明提供了一种基于图神经网络的DNS流量异构图中C&C服务器检测方法，属于网络安全技术领域，该方法包括：获取DNS流量数据，通过GRU模型判断所述DNS流量数据中域名是否为恶意域名，并将对应的判断标签添加至流量数据对应的域名节点；根据DNS流量数据构建DNS流量异构图，对所述DNS流量异构图进行聚合投影以及语义融合处理后，获得异构图每个节点的最终嵌入向量；将所述每个节点的最终嵌入向量通过线性层和Sigmoid激活函数进行二分类，确定所述服务器IP节点属于良性服务器还是C&C服务器。本发明采用图神经网络分析流量异构图的方式，大大提高了对C&C服务器的检测效率与检测准确性。

公开(公告)号：CN117596066A

公开(公告)日：2024-02-23

申请号：CN202311668792.5

申请日：2023-12-06

Applicant: 广州大学

Inventor： 殷丽华 ,  罗熙 ,  孙皓 ,  段紫桐 ,  于城 ,  王智明

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/0442

Abstract: 本发明属于网络安全领域，公开了一种基于二级域名的轻量级物联网僵尸主机检测方法，包括S1，获取待检测的主机的dns查询数据，对dns查询数据进行过滤，获取响应代码为NXDOMAIN的查询记录；S2，对响应代码为NXDOMAIN的查询记录进行划分，得到查询序列；S3，通过预设的神经网络模型分别计算每个查询序列的恶意分数；S4，判断是否存在至少一个大于预设的恶意分数阈值的恶意分数，若是，则表示待检测的主机为僵尸主机，若否，则表示待检测的主机不属于僵尸主机。本发明实现了僵尸主机的准确检测。