-
公开(公告)号:CN118590275A
公开(公告)日:2024-09-03
申请号:CN202410659948.1
申请日:2024-05-27
Applicant: 广州大学
IPC: H04L9/40 , G06F18/2433 , G06F18/2415 , G06F18/213 , G06N3/042 , G06N3/047 , G06N3/048 , G06N3/08
Abstract: 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力,通过结合节点的行为信息和语义信息构建节点特征向量,丰富节点信息表示,更有利于异常检测分析。为提升异常检测模型的性能,本发明另一方面在图神经网络的基础上,设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进,提升主机侧系统日志溯源图中异常行为的检测精度,提高对异常检测场景的动态适应性。还一方面,本发明不仅实现节点级别的异常检测,还会构建攻击场景图片,以便更准确直接地检测和识别攻击路径,帮助网络安全专家分析网络的潜在安全威胁。
-
公开(公告)号:CN117938420A
公开(公告)日:2024-04-26
申请号:CN202311646462.6
申请日:2023-12-01
Applicant: 广州大学
Abstract: 本发明公开了一种针对企业内网安全的及时因果分析方法、系统及介质,方法为:内核审计从企业内网各主机操作系统中检索获取系统事件,经数据流处理平台后存入事件数据库;使用参考模型构建器量化系统事件稀有性得到参考分数;将系统事件及其参考分数保存到参考数据库;当有系统事件触发警报时,使用因果关系追踪器启动依赖性分析,追溯行程依赖关系图:因果关系追踪器从事件数据库中搜索相关系统事件,并查询参考数据库获取对应参考分数;基于参考分数计算对应优先级分数,优先分析优先级分数高的系统事件得到依赖关系图。本发明通过量化系统事件稀有性计算优先级分数,加快系统事件的搜索效率,自动调查企业内网安全异常因果依赖关系。
-
公开(公告)号:CN118590274A
公开(公告)日:2024-09-03
申请号:CN202410659946.2
申请日:2024-05-27
Applicant: 广州大学
IPC: H04L9/40 , G06F18/214 , G06F18/2433 , G06N3/0464 , G06F18/213 , G06F18/2415
Abstract: 本发明公开了一种基于蜜点情报阈值调整的溯源图异常节点检测方法,通过将离线训练阶段得到的异常检测模型用于在线检测阶段,实现对溯源图异常节点的检测及攻击场景还原。一方面,本发明针对传统单模型异常检测区别不够敏感、易产生误报信息等问题,设计了多模型框架模块,通过多个子模型进行异常检测,并使用增加的概率校验模块提升子模型的分类信心,从而提高主机侧系统日志溯源图中异常行为的检测精确度。另一方面,本发明针对动态检测场景适应差的问题,使用基于盾立方四蜜情报的概率校验模块进行子模型的检测结果进行校验,盾立方四蜜情报实时捕获的攻击信息会实时影响异常检测时的分类置信度,从而提高异常检测中的动态场景适应性。
-
Patent Agency Ranking
公开(公告)号:CN118536508A
公开(公告)日:2024-08-23
申请号:CN202410365412.9
申请日:2024-03-28
Applicant: 广州大学
IPC: G06F40/295 , G06F40/284 , G06F40/211 , G06F18/2415 , G06F18/2431 , G06F18/27 , G06N3/045 , G06N3/0442 , G06N3/08 , G06F21/56 , H04L9/40
Abstract: 本发明公开了一种基于自回归标签子序列的威胁实体抽取方法,方法包括下述步骤:获取威胁情报文本集合,包括多个句子序列;每一个句子序列中包含多个令牌;构建命名实体识别模型,包括令牌编码器、词性编码器、标签编码器及双向序列注意力模块;将威胁情报文本集合输入令牌编码器中通过子序列特征提取得到令牌特征;把威胁情报文本集合输入词性编码器中提炼和增强每个令牌的词性特征;使用标签编码器随机初始化标签嵌入表并编码标签序列得到序列顺序依赖性特征;将令牌特征、词性特征及序列顺序依赖性特征输入双向序列注意力模块中得到命名实体标签;基于命名实体标签构建威胁实体的攻击指纹图。
-
公开(公告)号:CN119692438A
公开(公告)日:2025-03-25
申请号:CN202411678818.9
申请日:2024-11-22
Applicant: 广州大学
IPC: G06N5/01 , G06F18/213 , G06F18/25 , G06N3/042 , G06N3/08
Abstract: 本发明公开了一种基于蜜点情报与邻域特征非线性交互的节点特征构造方法,首先获取原始溯源图并基于盾立方进行数据筛选得到良性溯源图;使用良性溯源图进行特征提取训练得到训练后的特征提取器;使用该特征提取器提取原始溯源图中每一节点的初始特征向量;然后依据目标节点及其L阶范围邻居节点的初始特征向量,构建目标节点的多跳特征子图;最后使用图神经网络对目标节点的多跳特征子图进行特征表示的融合更新,更新后的特征表示作为目标节点的特征。本方法不仅提取了更长距离的邻域信息,还关注了超大型异质图中的节点和边的隐性连接,提高了输出特征的特征表达能力和鲁棒性,为复杂图结构的学习提供了更具表现力的特征表示。
-
公开(公告)号:CN119670810A
公开(公告)日:2025-03-21
申请号:CN202411678816.X
申请日:2024-11-22
Applicant: 广州大学
Abstract: 本发明公开了一种基于蜜点情报与邻域权重自适应更新的节点特征构造方法,首先对输入溯源图中的节点和边进行特征提取生成每个节点的初始特征向量;接着对溯源图中的目标节点,采用均值聚合方法将其L阶范围内邻居节点的初始特征向量进行聚合,生成固定维度的邻居特征矩阵;最后采用基于注意力机制的特征更新方法将邻居特征矩阵与目标节点的初始特征向量相结合进行更新,并引入邻域自适应权重动态调节每阶邻域特征在注意力分数中的权重,得到更新后目标节点的特征。由此,本发明不仅在特征聚合过程中动态调整权重,还将图中节点的实时变化融入到特征更新中,使得节点特征能够及时反映场景的动态变化,从而显著提升节点特征的差异化表达能力。
-
公开(公告)号:CN119561769A
公开(公告)日:2025-03-04
申请号:CN202411775602.4
申请日:2024-12-05
Applicant: 广州大学
Abstract: 本发明公开了一种基于逻辑攻击图与密码评估的企业网络弱口令评估方法,首先采集企业内网的网络拓扑结构、安全策略及系统配置,结合ATT&CK知识库映射的推理规则,使用MulVAL工具进行逻辑推理得到逻辑攻击图;接着获取各主机的系统账户密码信息,计算密码熵并模拟密码爆破时间评估得到密码风险值;之后将密码风险值与逻辑攻击图关联结合,生成新的包含密码风险值的带权值攻击图;同时识别带权值攻击图中的攻击起始点和攻击目标点;然后使用深度优先搜索算法遍历带权值攻击图中的所有攻击路径,计算每条攻击路径上及弱口令风险值;最后将弱口令风险值最高的攻击路径作为最佳攻击路径,生成并可视化处理,提升企业的网络安全防御水平。
-
公开(公告)号:CN119128877A
公开(公告)日:2024-12-13
申请号:CN202411231543.4
申请日:2024-09-04
Applicant: 广州大学
IPC: G06F21/55 , G06F16/35 , G06F18/2433 , G06F18/2321 , G06F16/33 , G06F40/295 , G06F18/10 , G06N3/0455 , G06N3/048 , G06N3/08
Abstract: 本发明公开了一种结合审计日志和踩蜜日志的异常行为检测方法,首先通过采集审计日志、合并简化审计日志、提取结构化日志信息并以进程为主体、在进程控制流的指导下构建用户行为实例;然后通过提取冗余信息模板进行降噪;最后通过构建溯源图,采用transR算法提取实体和关系特征并连接得到审计日志的特征向量;再结合盾立方中的四蜜日志采用无监督和弱监督学习方式训练序列编码网络,获取降噪后用户行为实例的特征;最后采用DBSCAN算法进行聚类分析得到异常用户行为。本发明通过审计日志的行为语义信息和四蜜日志的恶意信息,使用无监督和弱监督学习方式对异常行为和正常行为进行学习,提高用户行为特征提取的精度,提升异常检测的效率和精度。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.017 seconds)
