公开(公告)号：CN113139189A

公开(公告)日：2021-07-20

申请号：CN202110471943.2

申请日：2021-04-29

Applicant: 广州大学

Inventor： 李树栋 ,  张倩青 ,  吴晓波 ,  蒋来源 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  秦丹一

IPC: G06F21/56 ,  G06F40/216 ,  G06F40/30 ,  G06K9/62 ,  G06N20/20

Abstract: 本发明公开了一种挖矿恶意软件的识别方法、系统和存储介质，所述方法包括以下步骤：不同维度的数据预处理；文本特征提取并向量化；基于Stacking构建多模型集成的挖矿恶意软件识别模型；得到预测结果。本发明是目前为数不多的针对二进制文件进行挖矿恶意软件检测的方法，针对性强，实现过程简单，效率高；且本发明通过多个角度对挖矿软件特征进行了多维度特征提取，并对不同维度的特征设计了多模型集成的方法，构造了挖矿恶意软件识别组合模型，该模型识别准确率高，误报率低。

公开(公告)号：CN112804231B

公开(公告)日：2021-09-24

申请号：CN202110042899.3

申请日：2021-01-13

Applicant: 广州大学

Inventor： 蒋来源 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  秦丹一

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种面向大规模网络的攻击图分布式构建方法、系统和介质，包括下述步骤：采用社区发现算法将大规模网络划分成为一个个子网络，各子网络内部连接紧密，子网络之间连接稀疏；在各个子网络上根据子网络内部的漏洞的依赖关系建立子攻击图；通过子网络之间的漏洞依赖关系将各个子网络的子攻击图融合成为整个网络的攻击图。本发明在面对大规模网络建立攻击图的时候，首先使用社区发现的方法将大网络划分为多个子网络，然后并行构建攻击图，最后在合并的过程中，由于社区结构的特性，子网络之间连接较少，所以合并子攻击图更快，这样大大减少了构建大规模网络攻击图所用的时间。

公开(公告)号：CN113225337A

公开(公告)日：2021-08-06

申请号：CN202110492799.0

申请日：2021-05-07

Applicant: 广州大学

Inventor： 李树栋 ,  秦丹一 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  蒋来源

IPC: H04L29/06 ,  G06N5/02

Abstract: 本发明公开了一种多步攻击警报关联方法、系统和存储介质，该方法的步骤包括：对经过误告警分析后的真实告警进行数据预处理；根据真实告警信息建立反应攻击行为特征序列；进行攻击行为序列模式的挖掘；对挖掘出的攻击行为序列模式进行过滤；将过滤后的攻击行为序列模式存储在树形模型中；对新接收的安全事件告警信息进行多步攻击预测。本发明将经典的报警关联方法结合，使其互相去长补短，使模型更适合进行网络安全事件分析，原始事件中包含大量误告警和重复告警，利用模糊积分找出因果关系强的频繁项过滤部分无意义的频繁项集，而对频繁项集取代原始报警进行模糊积分计算提高了效率。

公开(公告)号：CN112257066A

公开(公告)日：2021-01-22

申请号：CN202011188125.3

申请日：2020-10-30

Applicant: 广州大学

Inventor： 范美华 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  蒋来源 ,  秦丹一

IPC: G06F21/56 ,  G06N3/04

Abstract: 本发明公开了一种面向带权异质图的恶意行为识别方法、系统和存储介质，方法包括以下步骤：构建归纳式图神经网络模型，所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；对归纳式图神经网络模型进行训练学习，子图抽取，学习子图中节点的潜在向量表示，得到子图对应的多个子图特征向量，多个子图特征向量融合，融合获得的节点特征向量在分类学习模块进行分类学习；利用训练完成的归纳式图神经网络模型进行恶意行为识别。本发明充分结合和利用异质图所包含的丰富的拓扑特征信息和属性信息，在此基础上设计归纳式学习的图神经网络模型完成异质图中的特征抽取和表示学习，最终实现恶意行为的识别。

公开(公告)号：CN113139189B

公开(公告)日：2021-10-26

申请号：CN202110471943.2

申请日：2021-04-29

Applicant: 广州大学

Inventor： 李树栋 ,  张倩青 ,  吴晓波 ,  蒋来源 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  秦丹一

IPC: G06F21/56 ,  G06F40/216 ,  G06F40/30 ,  G06K9/62 ,  G06N20/20

Abstract: 本发明公开了一种挖矿恶意软件的识别方法、系统和存储介质，所述方法包括以下步骤：不同维度的数据预处理；文本特征提取并向量化；基于Stacking构建多模型集成的挖矿恶意软件识别模型；得到预测结果。本发明是目前为数不多的针对二进制文件进行挖矿恶意软件检测的方法，针对性强，实现过程简单，效率高；且本发明通过多个角度对挖矿软件特征进行了多维度特征提取，并对不同维度的特征设计了多模型集成的方法，构造了挖矿恶意软件识别组合模型，该模型识别准确率高，误报率低。

公开(公告)号：CN112257066B

公开(公告)日：2021-09-07

申请号：CN202011188125.3

申请日：2020-10-30

Applicant: 广州大学

Inventor： 范美华 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  蒋来源 ,  秦丹一

IPC: G06F21/56 ,  G06N3/04

Abstract: 本发明公开了一种面向带权异质图的恶意行为识别方法、系统和存储介质，方法包括以下步骤：构建归纳式图神经网络模型，所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；对归纳式图神经网络模型进行训练学习，子图抽取，学习子图中节点的潜在向量表示，得到子图对应的多个子图特征向量，多个子图特征向量融合，融合获得的节点特征向量在分类学习模块进行分类学习；利用训练完成的归纳式图神经网络模型进行恶意行为识别。本发明充分结合和利用异质图所包含的丰富的拓扑特征信息和属性信息，在此基础上设计归纳式学习的图神经网络模型完成异质图中的特征抽取和表示学习，最终实现恶意行为的识别。

公开(公告)号：CN112804231A

公开(公告)日：2021-05-14

申请号：CN202110042899.3

申请日：2021-01-13

Applicant: 广州大学

Inventor： 蒋来源 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  秦丹一

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种面向大规模网络的攻击图分布式构建方法、系统和介质，包括下述步骤：采用社区发现算法将大规模网络划分成为一个个子网络，各子网络内部连接紧密，子网络之间连接稀疏；在各个子网络上根据子网络内部的漏洞的依赖关系建立子攻击图；通过子网络之间的漏洞依赖关系将各个子网络的子攻击图融合成为整个网络的攻击图。本发明在面对大规模网络建立攻击图的时候，首先使用社区发现的方法将大网络划分为多个子网络，然后并行构建攻击图，最后在合并的过程中，由于社区结构的特性，子网络之间连接较少，所以合并子攻击图更快，这样大大减少了构建大规模网络攻击图所用的时间。