公开(公告)号：CN118656384A

公开(公告)日：2024-09-17

申请号：CN202411132785.8

申请日：2024-08-19

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  任怡彤 ,  周盈海 ,  徐天福 ,  何群 ,  邱日轩 ,  仇晶 ,  李默涵 ,  孙彦斌 ,  鲁辉 ,  刘园 ,  王瑞 ,  徐光侠 ,  姜誉 ,  谭庆丰 ,  张乐君 ,  苏申 ,  付矞飞 ,  黄刚

IPC: G06F16/242 ,  G06F16/332 ,  G06F18/213 ,  G06F16/2457

Abstract: 本发明提供的一种大语言模型的调整优化方法包括：基于第一大语言模型根据问题输入所输出的答案收集用户反馈数据；对用户反馈数据进行数据的清洗和预处理并进行反馈特征提取，采用强化学习的方法优化第一大语言模型的答案生成策略得到第二大语言模型；应用第二大语言模型根据问题输入进行类型识别并转化为结构化查询语句，根据结构化查询语句进行查询扩展，根据扩展出的查询语句生成答案，生成的答案中包含解释性文本。应用该方法能够将用户反馈数据融入模型的训练过程中进行答案生成策略的优化；能够提供模型的输出依据和逻辑提升用户对模型输出的信任度以及促进模型决策过程的透明度，实现提升大型语言模型的用户个性化需求适应性和输出可靠性。

公开(公告)号：CN119484109A

公开(公告)日：2025-02-18

申请号：CN202411638079.0

申请日：2024-11-16

Applicant: 广州大学

Inventor： 田志宏 ,  任怡彤 ,  方滨兴 ,  刘园 ,  苏申 ,  孙彦斌 ,  鲁辉 ,  李默涵 ,  张乐君 ,  徐光侠 ,  姜誉 ,  仇晶 ,  王瑞 ,  周盈海

IPC: H04L9/40

Abstract: 本发明公开了一种基于界定组织攻击偏好的控守图决策方法及系统，其方法包括步骤：从蜜点的日志服务器收集攻击信息，通过威胁情报知识图谱与外部威胁情报库的联合搜索，归因界定攻击组织的行为模式，并对攻击组织的攻击偏好进行排序；从攻击者视角出发，通过目标网络中的拓扑信息、资产信息以及配置信息生成攻击图，并进行界定组织攻击偏好到攻击图节点的映射，生成控守图，再生成用于量化计算攻击图受攻击模式偏好影响的控守矩阵；基于攻击图的控守矩阵对界定组织攻击偏好的分析，有侧重点地生成蜜点服务，为防御措施的部署提供决策支持。本发明能够更加灵活化的快速自动生成蜜点服务类型，为欺骗防御的分析和部署极大的节省了人力与时间成本。

公开(公告)号：CN118890211A

公开(公告)日：2024-11-01

申请号：CN202411213807.3

申请日：2024-08-31

Applicant: 广州大学

Inventor： 田志宏 ,  姜云欣 ,  周盈海 ,  刘园 ,  孙彦斌 ,  鲁辉 ,  李默涵 ,  苏申

IPC: H04L9/40

Abstract: 本申请提供了一种APT攻击行为的检测方法、系统及可读存储介质，该方法包括：采集行为数据，并对行为数据进行静态分析，得到文件元数据，并根据文件元数据获取行为数据中的可疑文件；对可疑文件进行动态分析，以根据动态分析结果构建行为特征序列，并收集在动态分析时运行可疑文件时的日志数据、网络流量数据和主机数据；根据日志数据、网络流量数据和主机数据构建异常行为特征；根据行为特征序列构建行为图特征，并根据异常行为特征和行为图特征构建SVM模型，以根据SVM模型对监控数据进行检测，得到检测结果。本申请能够提高检测的准确性和效率。

公开(公告)号：CN118740492A

公开(公告)日：2024-10-01

申请号：CN202410994045.9

申请日：2024-07-23

Applicant: 广州大学

Inventor： 田志宏 ,  李凡 ,  王瑞 ,  方滨兴 ,  苏申 ,  刘园 ,  孙彦斌 ,  鲁辉 ,  徐光侠 ,  仇晶 ,  周盈海

IPC: H04L9/40 ,  H04L61/5007 ,  H04L61/5061 ,  H04L61/5053 ,  H04L41/16 ,  H04L101/663

Abstract: 本发明提供了一种基于控守图的网络系统防御方法，涉及网络安全技术领域，包括：获取蜜点设备信息、网络资产设备信息和攻击路径信息生成具有多条路径的控守图；基于所述控守图对路径上最易被攻击的网络资产设备进行仿真后生成相应的蜜点设备，并基于所述蜜点设备获取攻击者的攻击意图信息；将所述攻击意图信息输入到防御收益模型进行训练调参后获得训练好的防御收益模型，基于所述训练后的防御收益模型输出使得防御者收益最大化的防护策略信息；防御者基于所述防护策略信息更换蜜点设备的IP地址或端口号进行防御。本发明在控守图的背景下，利用强化学习算法，动态调整防御策略，增加了攻击者的攻击成本，提高了网络系统的安全性。

公开(公告)号：CN117786088A

公开(公告)日：2024-03-29

申请号：CN202410051928.6

申请日：2024-01-15

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC: G06F16/332 ,  G06F16/35 ,  G06F16/36 ,  G06N5/022 ,  G06F16/33 ,  G06F40/205

Abstract: 本发明提供了一种威胁的语言模型分析方法，包括：获取威胁情报，判断威胁情报的类型；根据威胁情报的类型选择对威胁情报进行语言模型分析的信息抽取方式；应用选择的信息抽取方式对威胁情报进行信息抽取；获取信息抽取结果从而得到对应威胁情报的威胁知识图谱。应用该方法能够从大量的非结构化网络威胁情报中高效抽取并整合信息,提高了信息处理的效率，增强对APT攻击的识别和分析能力；能够快速识别网络中的异常行为，并及时做出响应，有效减少网络攻击的风险；通过融合知识图谱增加了大型语言模型的可解释性，提升模型输出结果的可理解性和可靠性。

公开(公告)号：CN119210812A

公开(公告)日：2024-12-27

申请号：CN202411277019.0

申请日：2024-09-12

Applicant: 广州大学

Inventor： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  仇晶 ,  李默涵

IPC: H04L9/40 ,  G06F18/20 ,  G06F18/24 ,  G06F18/25

Abstract: 本发明提供了一种隐蔽攻击行为挖掘方法包括：对攻击情报数据进行数据归一化处理并进行信息提取得到攻击信息；对攻击信息进行文本向量化处理得到融合向量，基于融合向量进行非线性转化得到强度因子；确定相关实体，获取相关实体的历史依赖信息和非历史依赖信息以计算注意力权重用于选择候选实体；应用二元分类器从候选实体中确定关注实体集；计算关注实体集的预测概率，根据二元分类器的分类器结果和强度因子调控预测概率以得到预测实体，获取预测实体对应的攻击行为。应用该方法能够优化对相关实体的关注程度评估，提高预测精度；根据攻击信息深入理解攻击行为变化规律，捕获其中不明显的周期性特征，能够及时发现隐蔽性高的攻击手段。

公开(公告)号：CN118656384B

公开(公告)日：2024-12-20

申请号：CN202411132785.8

申请日：2024-08-19

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  任怡彤 ,  周盈海 ,  徐天福 ,  何群 ,  邱日轩 ,  仇晶 ,  李默涵 ,  孙彦斌 ,  鲁辉 ,  刘园 ,  王瑞 ,  徐光侠 ,  姜誉 ,  谭庆丰 ,  张乐君 ,  苏申 ,  付矞飞 ,  黄刚

IPC: G06F16/242 ,  G06F16/332 ,  G06F18/213 ,  G06F16/2457

Abstract: 本发明提供的一种大语言模型的调整优化方法包括：基于第一大语言模型根据问题输入所输出的答案收集用户反馈数据；对用户反馈数据进行数据的清洗和预处理并进行反馈特征提取，采用强化学习的方法优化第一大语言模型的答案生成策略得到第二大语言模型；应用第二大语言模型根据问题输入进行类型识别并转化为结构化查询语句，根据结构化查询语句进行查询扩展，根据扩展出的查询语句生成答案，生成的答案中包含解释性文本。应用该方法能够将用户反馈数据融入模型的训练过程中进行答案生成策略的优化；能够提供模型的输出依据和逻辑提升用户对模型输出的信任度以及促进模型决策过程的透明度，实现提升大型语言模型的用户个性化需求适应性和输出可靠性。

公开(公告)号：CN118611983A

公开(公告)日：2024-09-06

申请号：CN202411037261.0

申请日：2024-07-31

Applicant: 国网江西省电力有限公司信息通信分公司 ,  广州大学

Inventor： 田志宏 ,  王梓宇 ,  周盈海 ,  仇晶 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  刘园 ,  张乐君 ,  徐光侠 ,  苏申 ,  姜誉 ,  付矞飞 ,  黄刚

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/214 ,  G06F18/2111 ,  G06F18/20

Abstract: 本发明提供了一种网络攻击组织的行为基因识别方法包括：收集包括攻击组织行为基因知识图谱和系统进程数据的基础数据；提取系统进程数据中的进程行为序列数据进行行为基因同源推理以预测得到目标攻击组织；检索并整理目标攻击组织的高级行为基因信息然后转化为行为依赖模式集合，分析已知攻击事件的行为日志得到对应的行为依赖实例，将行为依赖实例与行为依赖模式集合进行对齐匹配从而识别出目标依赖模式；根据目标依赖模式构建威胁搜寻查询提示词用于与大语言模型交互以识别出与目标依赖模式行为基因语义一致的攻击行为。应用该方法能够实时解构行为基因数据并进行识别，能够进行多维度数据分析和高级行为基因识别提高了对识别精度和覆盖范围。

公开(公告)号：CN117829141B

公开(公告)日：2024-06-14

申请号：CN202410251791.9

申请日：2024-03-06

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC: G06F40/279 ,  G06N5/022 ,  H04L9/40

Abstract: 本发明公开了基于攻击模式的动态实体对齐方法，涉及网络安全防护技术领域，通过深度学习模型进行实体抽取和关系抽取，采用深度学习的Transformer标记文本中的命名实体，通过嵌入表示法将实体和关系映射到向量空间，CNN和RNN用于捕捉上下文信息，注意力机制提高信息关注度，多任务学习联合处理实体抽取和关系抽取后构建知识图谱，将提取出攻击模式抽象语义描述作为实体特征嵌入，将映射的标准化格式要点作为辅助实体属性标签，联合知识图谱中子图内多种关系信息，同时使用时间参数集合增加实体的时序特征，生成准确、唯一且具有动态特点的攻击实体“画像”。本发明解决了现有对齐手段的准确性不够高的问题，同时实现了实体对齐随时间变化而自发调整。

公开(公告)号：CN119696832A

公开(公告)日：2025-03-25

申请号：CN202411691598.3

申请日：2024-11-25

Applicant: 广州大学

Inventor： 田志宏 ,  李彦君 ,  周盈海 ,  王梓宇 ,  刘园 ,  孙彦斌 ,  鲁辉 ,  苏申 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉

IPC: H04L9/40 ,  G10L15/06 ,  G10L15/18

Abstract: 本发明提供了一种面向时序安全图谱的网络威胁检测方法，涉及攻击溯源技术领域，方案：获取并清洗安全事件数据得到实体数据并构建安全图，引入实体和关系增强历史构建时序安全图；将训练好的大语言模型微调后得正向预测模型，调整实体和关系的位置顺序，结合位置感知提示策略对正向预测模型进行优化得到逆向推理模型；关联当前事件与历史事件对时序安全图建立历史链条，基于所述逆向推理模型引入模式匹配机制对时序安全图进行逆向推理得到溯源攻击信息，基于正向预测模型对实体数据进行预测得到潜在攻击信息后结合溯源攻击信息输出威胁检测报告。本发明通过优化逆向推理，增强对历史事件的推断能力，以应对高级持续性威胁和变种攻击的检测需求。