公开(公告)号：CN114970664A

公开(公告)日：2022-08-30

申请号：CN202210301232.5

申请日：2022-03-25

Applicant: 广州大学

Inventor： 李树栋 ,  赵传彧 ,  吴晓波 ,  韩伟红

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明涉及信息技术领域，且公开了基于特征工程和图结构的社交机器人检测方法，基于特征工程和图结构的社交机器人检测方法，包括以下步骤：S1：收集足够多的机器人和人类社交网络行为样本；S2：根据算法获得二阶特征，编码特征和相似度特征；S3：利用二阶特征，编码特征和相似度特征，用LightGBM算法得到全部用户的预测结果(结果1)；S4：用Louvain Method算法和规则方法得到部分用户的预测结果(结果2)；S5：用结果2覆盖结果1，形成最终预测结果。本方法使用的二阶特征和编码特征对高基数变量具有优越的效果，对于图结构，本方法通过嵌入方法生成节点向量，然后利用无监督方法扩散标签以提高性能。

公开(公告)号：CN114143024A

公开(公告)日：2022-03-04

申请号：CN202111245092.6

申请日：2021-10-26

Applicant: 广州大学

Inventor： 李树栋 ,  李正阳 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  厉源 ,  肖林鹤 ,  张海鹏 ,  许娜 ,  赵传彧

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法及装置，方法包括下述步骤：根据PE文件结构特性设计基于集成策略的恶意软件对抗性扰动方法，该扰动方法添加扰动的方式为:修改DOS头、节区末尾填充、文件末尾填充；构建基于生成对抗网络的黑盒恶意软件对抗样本生成模型；在模型攻击过程中，输入恶意软件到黑盒恶意软件对抗样本生成模型，利用训练过的生成器模型G在很短的时间内生成对抗性样本。本发明添加对抗性扰动到恶意软件的非功能区域，从而实现了保留恶意功能和样本的真实性，这样不仅可以省去检验恶意软件样本在沙箱中的动态分析方法以确保二进制文件的功能不受损害的高成本过程，还可以高效的生成恶意软件对抗样本。

公开(公告)号：CN115174160A

公开(公告)日：2022-10-11

申请号：CN202210677928.8

申请日：2022-06-16

Applicant: 广州大学

Inventor： 李树栋 ,  赵传彧 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  唐可可 ,  李默涵

IPC: H04L9/40 ,  H04L47/2441 ,  G06K9/62

Abstract: 本发明公开了一种基于流级和主机级的恶意加密流量分类方法及装置，方法包括下述步骤：获取加密流量样本集，提取主机级特征和多个不同类型的流级特征；所述主机级特征提取自主机产生的所有流量包；所述流级特征提取自三次握手和四次挥手之间的所有数据包；所述流级特征包括统计特征和序列特征；将主机级特征使用RandomForest算法进行处理，输出主机级特征的分类概率；将多个不同类型的流级特征以流的序号为主键拼接后使用XGBoost算法进行处理，输出流级特征的分类概率；基于主机级特征的分类概率和流级特征的分类概率确定最终的恶意加密流量分类结果。本发明不需要对加密数据包进行解密，只需根据数据包的可观察特征就能适用于恶意加密流量的分类。

公开(公告)号：CN113704762B

公开(公告)日：2022-06-21

申请号：CN202111024464.2

申请日：2021-09-02

Applicant: 广州大学

Inventor： 李树栋 ,  赵传彧 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  仇晶 ,  唐可可 ,  李默涵

IPC: G06F21/56 ,  G06F21/55 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于集成学习的恶意软件加密流量检测方法，方法包括下述步骤：收集加密流量样本集，所述加密流量样本集包括多个异构特征；基于加密流量样本集的多个异构特征，构建相应的多个特征分类器；基于所述多个特征分类器构建恶意软件加密流量检测模型，所述恶意软件加密流量检测模型利用多个特征分类器的多数投票来判断主机是否感染恶意软件。本发明可解决现有恶意软件流量检测系统检出率低，误报率高的问题，相对于深度报文检测DPI技术，本发明不需要对加密数据包进行解密，只需根据数据包的可观察特征就能适用于恶意加密流量的检测，并且具有高检出率，低误报率的特性。

公开(公告)号：CN114970664B

公开(公告)日：2024-09-10

申请号：CN202210301232.5

申请日：2022-03-25

Applicant: 广州大学

Inventor： 李树栋 ,  赵传彧 ,  吴晓波 ,  韩伟红

IPC: G06F18/243 ,  G06F18/213 ,  G06F18/22 ,  G06F18/2323 ,  G06N5/01 ,  G06N20/20

Abstract: 本发明涉及信息技术领域，且公开了基于特征工程和图结构的社交机器人检测方法，基于特征工程和图结构的社交机器人检测方法，包括以下步骤：S1：收集足够多的机器人和人类社交网络行为样本；S2：根据算法获得二阶特征，编码特征和相似度特征；S3：利用二阶特征，编码特征和相似度特征，用LightGBM算法得到全部用户的预测结果(结果1)；S4：用Louvain Method算法和规则方法得到部分用户的预测结果(结果2)；S5：用结果2覆盖结果1，形成最终预测结果。本方法使用的二阶特征和编码特征对高基数变量具有优越的效果，对于图结构，本方法通过嵌入方法生成节点向量，然后利用无监督方法扩散标签以提高性能。

公开(公告)号：CN115174160B

公开(公告)日：2023-10-20

申请号：CN202210677928.8

申请日：2022-06-16

Applicant: 广州大学

Inventor： 李树栋 ,  赵传彧 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  唐可可 ,  李默涵

IPC: H04L9/40 ,  H04L47/2441 ,  G06F18/214 ,  G06F18/2431

Abstract: 本发明公开了一种基于流级和主机级的恶意加密流量分类方法及装置，方法包括下述步骤：获取加密流量样本集，提取主机级特征和多个不同类型的流级特征；所述主机级特征提取自主机产生的所有流量包；所述流级特征提取自三次握手和四次挥手之间的所有数据包；所述流级特征包括统计特征和序列特征；将主机级特征使用RandomForest算法进行处理，输出主机级特征的分类概率；将多个不同类型的流级特征以流的序号为主键拼接后使用XGBoost算法进行处理，输出流级特征的分类概率；基于主机级特征的分类概率和流级特征的分类概率确定最终的恶意加密流量分类结果。本发明不需要对加密数据包进行解密，只需根据数据包的可观察特征就能适用于恶意加密流量的分类。

公开(公告)号：CN114386511B

公开(公告)日：2023-06-23

申请号：CN202210035910.8

申请日：2022-01-11

Applicant: 广州大学

Inventor： 李树栋 ,  厉源 ,  吴晓波 ,  李正阳 ,  韩伟红 ,  张海鹏 ,  肖林鹤 ,  许娜 ,  赵传彧 ,  方滨兴 ,  田志宏 ,  顾钊铨 ,  殷丽华

IPC: G06F18/241 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提供基于多维度特征融合和模型集成的恶意软件家族分类方法，包括S1获取恶意软件PE文件，根据获取的PE文件提取多个维度的恶意软件特征；其中恶意软件特征包括：Ember特征、TF‑IDF特征和Asm2Vec；S2根据提取的恶意软件特征进行特征融合和特征选择处理，得到恶意软件家族分类特征集；S3以XGBoost作为基础模型，根据得到的恶意软件家族分类特征集中的特征分别单独训练基础模型，并根据训练好的基础模型对训练集样本进行预测，根据得到预测结果计算各特征在对应各家族上的权重值；并采用加权软投票的方式来计算恶意软件家族分类预测结果。本发明有助于提高恶意软件家族分类的性能和泛化能力。

公开(公告)号：CN114143024B

公开(公告)日：2022-07-26

申请号：CN202111245092.6

申请日：2021-10-26

Applicant: 广州大学

Inventor： 李树栋 ,  李正阳 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  厉源 ,  肖林鹤 ,  张海鹏 ,  许娜 ,  赵传彧

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法及装置，方法包括下述步骤：根据PE文件结构特性设计基于集成策略的恶意软件对抗性扰动方法，该扰动方法添加扰动的方式为:修改DOS头、节区末尾填充、文件末尾填充；构建基于生成对抗网络的黑盒恶意软件对抗样本生成模型；在模型攻击过程中，输入恶意软件到黑盒恶意软件对抗样本生成模型，利用训练过的生成器模型G在很短的时间内生成对抗性样本。本发明添加对抗性扰动到恶意软件的非功能区域，从而实现了保留恶意功能和样本的真实性，这样不仅可以省去检验恶意软件样本在沙箱中的动态分析方法以确保二进制文件的功能不受损害的高成本过程，还可以高效的生成恶意软件对抗样本。

公开(公告)号：CN114386511A

公开(公告)日：2022-04-22

申请号：CN202210035910.8

申请日：2022-01-11

Applicant: 广州大学

Inventor： 李树栋 ,  厉源 ,  吴晓波 ,  李正阳 ,  韩伟红 ,  张海鹏 ,  肖林鹤 ,  徐娜 ,  赵传彧 ,  方滨兴 ,  田志宏 ,  顾钊铨 ,  殷丽华

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供基于多维度特征融合和模型集成的恶意软件家族分类方法，包括S1获取恶意软件PE文件，根据获取的PE文件提取多个维度的恶意软件特征；其中恶意软件特征包括：Ember特征、TF‑IDF特征和Asm2Vec；S2根据提取的恶意软件特征进行特征融合和特征选择处理，得到恶意软件家族分类特征集；S3以XGBoost作为基础模型，根据得到的恶意软件家族分类特征集中的特征分别单独训练基础模型，并根据训练好的基础模型对训练集样本进行预测，根据得到预测结果计算各特征在对应各家族上的权重值；并采用加权软投票的方式来计算恶意软件家族分类预测结果。本发明有助于提高恶意软件家族分类的性能和泛化能力。

公开(公告)号：CN113704762A

公开(公告)日：2021-11-26

申请号：CN202111024464.2

申请日：2021-09-02

Applicant: 广州大学

Inventor： 李树栋 ,  赵传彧 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  仇晶 ,  唐可可 ,  李默涵

IPC: G06F21/56 ,  G06F21/55 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于集成学习的恶意软件加密流量检测方法，方法包括下述步骤：收集加密流量样本集，所述加密流量样本集包括多个异构特征；基于加密流量样本集的多个异构特征，构建相应的多个特征分类器；基于所述多个特征分类器构建恶意软件加密流量检测模型，所述恶意软件加密流量检测模型利用多个特征分类器的多数投票来判断主机是否感染恶意软件。本发明可解决现有恶意软件流量检测系统检出率低，误报率高的问题，相对于深度报文检测DPI技术，本发明不需要对加密数据包进行解密，只需根据数据包的可观察特征就能适用于恶意加密流量的检测，并且具有高检出率，低误报率的特性。