-
公开(公告)号:CN116738413A
公开(公告)日:2023-09-12
申请号:CN202310660997.2
申请日:2023-06-05
申请人: 广州大学
摘要: 本发明公开了基于溯源图的反向传播攻击调查的方法、系统及装置,所述方法包括:S1、获取溯源图,所述溯源图节点表示系统实体,边表示系统事件;S2、基于溯源图获取加权溯源图;S3、根据加权溯源图得到攻击场景子图。本发明可以实现基于溯源图的反向传播攻击调查。
-
公开(公告)号:CN116720501A
公开(公告)日:2023-09-08
申请号:CN202310680849.7
申请日:2023-06-08
申请人: 广州大学
IPC分类号: G06F40/205 , G06F40/253 , G06F40/30
摘要: 本说明书实施例提供了一种面向开源网络威胁情报的攻击实体及关系抽取方法及系统,其中,方法包括:S1.对网络威胁情报的文本信息进行分句处理,将所述文本信息拆分为单句;S2.基于信息抽取UIE框架与文本标注工具doccano,对所述单句内容是否与攻击行为相关进行分类标注,并删除与攻击行为无关的文本内容,保留攻击文本;S3.基于Spacy依存语法树规则与攻击实体保护机制结合,对攻击文本进行解析;S4.基于语义角色标注SRL获取文本信息中攻击实体以及攻击实体间的关系。本发明提高了CTI情报攻击语义信息抽取的准确率,能够更好地加强纵深防御,实现了主动防御、攻击检测、应急响应和溯源取证。
-
公开(公告)号:CN116600135A
公开(公告)日:2023-08-15
申请号:CN202310669192.4
申请日:2023-06-06
申请人: 广州大学
摘要: 本发明提供了一种基于无损压缩的溯源图压缩方法及系统,其中,方法包括:将溯源图转化为无向图,并在无向图中采用随机游走算法获取θ组细化样本,将θ组细化样本估计值的平均值作为溯源图的平均度估计值;对溯源图建立节点映射和边映射,根据节点映射和边映射合并溯源图的节点及相应边,其中,节点映射记录溯源图中子节点与所有父节点的映射,边映射记录溯源图中一对节点间边的映射;对进行合并边的时间戳通过增量编码进行压缩,对溯源图中边的时间戳的数据类型为长整型的边通过哥伦布编码进行压缩。本申请采用无损压缩的方式,将所有节点的父节点合并,可以实现比删除冗余事件更好的压缩效果。
-
公开(公告)号:CN116600135B
公开(公告)日:2024-02-13
申请号:CN202310669192.4
申请日:2023-06-06
申请人: 广州大学
摘要: 本发明提供了一种基于无损压缩的溯源图压缩方法及系统,其中,方法包括:将溯源图转化为无向图,并在无向图中采用随机游走算法获取θ组细化样本,将θ组细化样本估计值的平均值作为溯源图的平均度估计值;对溯源图建立节点映射和边映射,根据节点映射和边映射合并溯源图的节点及相应边,其中,节点映射记录溯源图中子节点与所有父节点的映射,边映射记录溯源图中一对节点间边的映射;对进行合并边的时间戳通过增量编码进行压缩,对溯源图中边的时间戳的数据类型为长整型的边通过哥伦布编码进行压缩。本申请采用无损压缩的方式,将所有节点的父节点合并,可以实现比删除冗余事件更好
-
公开(公告)号:CN116743556A
公开(公告)日:2023-09-12
申请号:CN202310669109.3
申请日:2023-06-06
申请人: 广州大学
IPC分类号: H04L41/069 , H04L43/04 , H04L41/12
摘要: 本说明书实施例提供了一种基于系统审计日志的溯源图构建与剪枝方法、装置及介质,其中,该方法包括获取不同操作系统审计日志,根据各审计日志信息获取主体信息,事件信息及客体信息,分别构成三元信息组,其中,主体为进程,客体为程序、文件或套接字;根据各三元信息组信息及对应的事件类型,确定对应的处理方法,计算获取各事件的主客体的唯一标识;根据各主客体的唯一标识判断各实体是否存在节点集合中,如果不存在,在节点集合中创建实体节点,且在边集合中创建对应主客体实体之间的边;如果存在,进行剪枝操作获得溯源图。本发明对系统生成的统一格式溯源图进行剪枝处理,在保证因果语义完整性的前提下,大大减少溯源图所需的系统空间。
-
公开(公告)号:CN116684147A
公开(公告)日:2023-09-01
申请号:CN202310669195.8
申请日:2023-06-06
申请人: 广州大学
IPC分类号: H04L9/40
摘要: 本发明提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质,其中,方法包括:收集底层审计日志生成溯源图;将溯源图通过POI报警时间进行剪枝后,基于时间权值、聚集权值以及异常权值对计算剪枝后的溯源图的边权值;根据溯源图的边权值通过POI节点获取最短路径;选取最短路径中的权值最小的N个节点,记作Top‑N节点,通过Top‑N节点对溯源图进行剪枝;将生成的剪枝后的溯源图通过BFS算法从Top‑N节点出发进行遍历获取遍历图。本发明通过对边进行压缩成功解决了依赖爆炸问题,并且在寻找攻击入口点的同时对攻击着最有可能的攻击路径进行了展示。解决了传统技术无法定位准确攻击路径和鲁棒性,可移植性较低的缺点。
-
公开(公告)号:CN118590275A
公开(公告)日:2024-09-03
申请号:CN202410659948.1
申请日:2024-05-27
申请人: 广州大学
IPC分类号: H04L9/40 , G06F18/2433 , G06F18/2415 , G06F18/213 , G06N3/042 , G06N3/047 , G06N3/048 , G06N3/08
摘要: 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力,通过结合节点的行为信息和语义信息构建节点特征向量,丰富节点信息表示,更有利于异常检测分析。为提升异常检测模型的性能,本发明另一方面在图神经网络的基础上,设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进,提升主机侧系统日志溯源图中异常行为的检测精度,提高对异常检测场景的动态适应性。还一方面,本发明不仅实现节点级别的异常检测,还会构建攻击场景图片,以便更准确直接地检测和识别攻击路径,帮助网络安全专家分析网络的潜在安全威胁。
-
公开(公告)号:CN117938420A
公开(公告)日:2024-04-26
申请号:CN202311646462.6
申请日:2023-12-01
申请人: 广州大学
摘要: 本发明公开了一种针对企业内网安全的及时因果分析方法、系统及介质,方法为:内核审计从企业内网各主机操作系统中检索获取系统事件,经数据流处理平台后存入事件数据库;使用参考模型构建器量化系统事件稀有性得到参考分数;将系统事件及其参考分数保存到参考数据库;当有系统事件触发警报时,使用因果关系追踪器启动依赖性分析,追溯行程依赖关系图:因果关系追踪器从事件数据库中搜索相关系统事件,并查询参考数据库获取对应参考分数;基于参考分数计算对应优先级分数,优先分析优先级分数高的系统事件得到依赖关系图。本发明通过量化系统事件稀有性计算优先级分数,加快系统事件的搜索效率,自动调查企业内网安全异常因果依赖关系。
-
公开(公告)号:CN116756272B
公开(公告)日:2024-02-23
申请号:CN202310741156.4
申请日:2023-06-20
申请人: 广州大学
IPC分类号: G06F16/33 , G06F40/211 , G06F40/253 , G06F40/268 , G06F40/289 , G06F40/30 , G06F40/242 , H04L9/40
摘要: 焦核心威胁信息。本说明书实施例提供了一种面向中文威胁报告的ATT&CK模型映射方法及装置,其中,该方法包括获取威胁报告文本,通过中文开源自然语言处理工具对威胁报告文本分析,并进行中文断句、中文分词、词性标注、依存句法分析以及语义角色标注;基于预设的语义角色标签与攻击向量维度的映射关系表,抽取威胁报告文本中符合攻击向量所对应的语义角色标签类型的文本片段,将文本片段拼接成一个新的文本代表攻击向量;将攻击向量输入至ATT&CK映射模型,获得对应的(56)对比文件罗叶妮.基于本体的网络安全资源库的构建技术研究《.中国优秀硕士学位论文全文数据库信息科技辑》.2022,(第1期),第I138-3715页.Clemente Izurieta等.LeveragingSecDevOps to Tackle the Technical DebtAssociated with Cybersecurity AttackTactics《.2019 IEEE/ACM InternationalConference on Technical Debt (TechDebt)》.2019,第33-37页.
-
公开(公告)号:CN116738413B
公开(公告)日:2024-02-13
申请号:CN202310660997.2
申请日:2023-06-05
申请人: 广州大学
摘要: 本发明公开了基于溯源图的反向传播攻击调查的方法、系统及装置,所述方法包括:S1、获取溯源图,所述溯源图节点表示系统实体,边表示系统事件;S2、基于溯源图获取加权溯源图;S3、根据加权溯源图得到攻击场景子图。本发明可以实现基于溯源图的反向传播攻击调查。
-
-
-
-
-
-
-
-
-