公开(公告)号：CN118378250A

公开(公告)日：2024-07-23

申请号：CN202410546130.9

申请日：2024-05-06

申请人： 广州大学

发明人： 李树栋 ,  安琪 ,  吴晓波 ,  朱子枫 ,  吕洋 ,  喻卓成 ,  贾焰 ,  方滨兴 ,  唐可可 ,  张登辉 ,  韩伟红 ,  田志宏

IPC分类号： G06F21/56 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/086 ,  G06F18/24

摘要： 本发明公开了一种针对Windows恶意软件检测器的对抗样本生成方法及装置，包括：向良性软件中添加恶意代码，具体为：读取良性软件的PE结构，获取填充区间的地址与大小；在恶意代码中添加跳转命令和可扰动字节形成注入代码，并计算注入代码的长度；根据所述注入代码的长度和填充区间的大小，选择是否扩大填充区间；选择其中一个填充区间填充注入代码，当无法利用当前填充区间生成对抗样本时，进行添加扰动；所述添加扰动，具体为：利用遗传算法对可扰动字节进行更新；并检查对抗样本是否造成误分类时。本发明通过向良性软件中添加代码，由此产生对抗样本；并使用遗传算法添加扰动，使得算法能够适当地探索可行解的空间。

公开(公告)号：CN118378188A

公开(公告)日：2024-07-23

申请号：CN202410546128.1

申请日：2024-05-06

申请人： 广州大学

发明人： 李树栋 ,  吕洋 ,  吴晓波 ,  安琪 ,  喻卓成 ,  朱子枫 ,  贾焰 ,  方滨兴 ,  唐可可 ,  张登辉 ,  韩伟红 ,  田志宏

IPC分类号： G06F18/2433 ,  G06F18/213 ,  G06N3/0455 ,  G06N3/0895 ,  G06F16/901 ,  G06F18/22

摘要： 本发明公开了一种基于对比表示学习的系统级溯源图中异常节点检测方法及装置，包括：通过不同的日志采集工具对不同系统内核级审计日志进行采集；对采集得到的审计日志进行解析后构造溯源图，并对溯源图的溯源数据进行存储；对所述溯源图中的节点进行处理，包括赋予节点标签和获取节点特征；将经过节点数据处理后的节点输入对比自编码器进行训练，得到训练好的对比自编码器；将待检测溯源图节点集合输入至预先训练好的对比编码器进行编码，在编码后的低维潜在空间中进行基于绝对中位差的异常节点检测。本发明通过对比自编码器的表示学习，有效检测溯源图中异常节点，解决了模型鲁棒性不足及性能退化问题。

公开(公告)号：CN118473728A

公开(公告)日：2024-08-09

申请号：CN202410551742.7

申请日：2024-05-07

申请人： 广州大学

发明人： 李树栋 ,  朱子枫 ,  吴晓波 ,  安琪 ,  吕洋 ,  喻卓成 ,  贾焰 ,  方滨兴 ,  唐可可 ,  张登辉 ,  韩伟红 ,  田志宏

IPC分类号： H04L9/40 ,  H04L43/08 ,  H04L41/14 ,  H04L41/142

摘要： 本发明公开了一种网络安全态势评估方法、系统、设备及介质，包括：将底层态势要素按照att&ck制定的战术阶段对威胁进行分类，得到威胁种类，对所述威胁种类进行威胁值赋值；并根据不同战术阶段的威胁和自身的网络结构建立威胁传播图；根据所述威胁传播图对博弈攻防双方建立马尔科夫博弈模型，所述马尔科夫博弈模型包括博弈攻防双方的存在形式、博弈攻防双方的状态和行为集合以及状态的转移概率；对所述马尔科夫博弈模型进行博弈分析，得到分析结果；根据所述分析结果进行量化评估，得到整体的安全态势指数。本发明通过马尔科夫博弈的方式得到信息系统的安全态势，能够客观准确对目标网络场景实施准确评估。

公开(公告)号：CN114756860A

公开(公告)日：2022-07-15

申请号：CN202210160225.8

申请日：2022-02-22

申请人： 广州大学

发明人： 李树栋 ,  喻卓成 ,  吴晓波 ,  韩伟红

IPC分类号： G06F21/56 ,  G06F16/901 ,  G06N3/04 ,  G06N3/08

摘要： 本发明涉及恶意软件检测技术领域，且公开了一种基于元路径的恶意软件检测方法，包括以下步骤：S1、收集足够多恶意软件和良性软件样本，抽取各个软件特征构建异质信息网络；S2、根据算法获得异质信息网络各个顶点的向量表示；S3、根据算法生成各个恶意软件和良性软件的图片表示，并输入进神经网络进行训练得到检测模型；S4.按算法生成待检测软件的图片表示，输入进检测模型进行检测，本发明使用异质信息网络描述应用程序关系之间丰富的语义特征，并使用基于专家先验知识定义的meta‑path，结合更高层次的语义来建立应用程序的语义关联性，解决背景技术中存在的问题。

公开(公告)号：CN118690360A

公开(公告)日：2024-09-24

申请号：CN202410546132.8

申请日：2024-05-06

申请人： 广州大学

发明人： 李树栋 ,  喻卓成 ,  吴晓波 ,  安琪 ,  朱子枫 ,  吕洋 ,  贾焰 ,  方滨兴 ,  唐可可 ,  张登辉 ,  韩伟红 ,  田志宏

IPC分类号： G06F21/56 ,  G06F18/213 ,  G06F18/243 ,  G06F18/2411 ,  G06F18/2413 ,  G06F18/241 ,  G06N3/084 ,  G06N5/01 ,  G06N20/10 ,  G06N20/20 ,  G06F18/25

摘要： 本发明公开了一种基于语义特征融合的恶意软件集成检测方法及装置，方法包括：解析PE文件并提取三类静态统计特征，所述三类静态统计特征包括字节直方图特征、字节熵直方图特征和字符串特征；定义并构造异构图；使用基于元路径引导的随机游走算法获得一系列游走序列以构造语料库，接着使用skip‑gram算法训练得到异构图中各个顶点的向量表示，得到语义特征；构造集成检测模型，使用字节直方图特征、字节熵直方图特征、字符串特征和语义特征对检测模型进行训练，得到训练好的集成检测模型；利用训练好的集成检测模型对待测软件进行检测，得到对应的检测结果。本发明可以在短时间内完成检测输出结果、并且能保证高准确率。

公开(公告)号：CN118573412A

公开(公告)日：2024-08-30

申请号：CN202410551582.6

申请日：2024-05-07

申请人： 广州大学

发明人： 李树栋 ,  喻卓成 ,  吴晓波 ,  安琪 ,  朱子枫 ,  吕洋 ,  贾焰 ,  方滨兴 ,  唐可可 ,  张登辉 ,  韩伟红 ,  田志宏

IPC分类号： H04L9/40 ,  G06N3/045 ,  G06N3/088 ,  G06N3/042 ,  H04L41/16

摘要： 本发明公开了一种基于超图的网络异常行为事件检测方法，步骤为：使用软件收集系统日志数据，解析并构造溯源图；对溯源图进行预处理，并进行图表示学习得到节点嵌入向量；构建异常行为事件检测模型，包括事件内单节点对比学习子模型、事件内多节点对比学习子模型和事件间对比学习子模型；基于超图从溯源图中提取行为事件输入异常行为事件检测模型进行对比学习，得到训练好的异常行为事件检测模型；使用训练好的异常行为事件检测模型对网络异常行为事件进行检测与预警。本发明基于超图提取溯源图中的行为事件，再构建检测模型基于对比学习训练学习事件内及事件间节点的交互关系，深度挖掘溯源图中丰富的语义信息，提升异常行为事件的检测准确性。

公开(公告)号：CN118413372A

公开(公告)日：2024-07-30

申请号：CN202410551586.4

申请日：2024-05-07

申请人： 广州大学

发明人： 李树栋 ,  喻卓成 ,  吴晓波 ,  安琪 ,  朱子枫 ,  吕洋 ,  贾焰 ,  方滨兴 ,  唐可可 ,  张登辉 ,  韩伟红 ,  田志宏

IPC分类号： H04L9/40 ,  G06N3/042 ,  G06N3/08 ,  H04L41/16

摘要： 本发明公开了一种基于溯源图的APT攻击检测方法、系统、设备及介质，包括：采集系统审计日志；在系统审计日志中抽取多类系统实体和多种交互关系构造溯源图，并使用三元组描述单条审计日志并组织成知识图谱KG；对知识图谱KG进行降噪，削减图规模；将溯源图中的节点映射到多维向量空间中，得到节点向量表示；利用自适应的广度优先子图采样方法遍历每个节点向量表示，得到聚合知识图谱KG中的上下文语义信息的图像，并将所述图像作为训练集；将训练集输入至轻量化神经网络模型进行训练，将待检测的节点图像输入至训练好的神经网络模型进行预测，并输出结果。本发明通过溯源图可以自然地将上下文信息流关联起来，进而实时重构APT攻击场景，检测攻击。