公开(公告)号：CN116738413A

公开(公告)日：2023-09-12

申请号：CN202310660997.2

申请日：2023-06-05

Applicant: 广州大学

Inventor： 仇晶 ,  胡铭浩 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  孙彦斌 ,  陈荣融 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: G06F21/55 ,  G06F11/34

Abstract: 本发明公开了基于溯源图的反向传播攻击调查的方法、系统及装置，所述方法包括：S1、获取溯源图，所述溯源图节点表示系统实体，边表示系统事件；S2、基于溯源图获取加权溯源图；S3、根据加权溯源图得到攻击场景子图。本发明可以实现基于溯源图的反向传播攻击调查。

公开(公告)号：CN116600135B

公开(公告)日：2024-02-13

申请号：CN202310669192.4

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  倪晓雅 ,  陈荣融 ,  胡铭浩 ,  田志宏 ,  殷丽华 ,  鲁辉 ,  肖千龙 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04N19/42 ,  H04N19/85

Abstract: 本发明提供了一种基于无损压缩的溯源图压缩方法及系统，其中，方法包括：将溯源图转化为无向图，并在无向图中采用随机游走算法获取θ组细化样本，将θ组细化样本估计值的平均值作为溯源图的平均度估计值；对溯源图建立节点映射和边映射，根据节点映射和边映射合并溯源图的节点及相应边，其中，节点映射记录溯源图中子节点与所有父节点的映射，边映射记录溯源图中一对节点间边的映射；对进行合并边的时间戳通过增量编码进行压缩，对溯源图中边的时间戳的数据类型为长整型的边通过哥伦布编码进行压缩。本申请采用无损压缩的方式，将所有节点的父节点合并，可以实现比删除冗余事件更好

公开(公告)号：CN116743556A

公开(公告)日：2023-09-12

申请号：CN202310669109.3

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  陈荣融 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  李默涵 ,  胡铭浩 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04L41/069 ,  H04L43/04 ,  H04L41/12

Abstract: 本说明书实施例提供了一种基于系统审计日志的溯源图构建与剪枝方法、装置及介质，其中，该方法包括获取不同操作系统审计日志，根据各审计日志信息获取主体信息，事件信息及客体信息，分别构成三元信息组，其中，主体为进程，客体为程序、文件或套接字；根据各三元信息组信息及对应的事件类型，确定对应的处理方法，计算获取各事件的主客体的唯一标识；根据各主客体的唯一标识判断各实体是否存在节点集合中，如果不存在，在节点集合中创建实体节点，且在边集合中创建对应主客体实体之间的边；如果存在，进行剪枝操作获得溯源图。本发明对系统生成的统一格式溯源图进行剪枝处理，在保证因果语义完整性的前提下，大大减少溯源图所需的系统空间。

公开(公告)号：CN116684147A

公开(公告)日：2023-09-01

申请号：CN202310669195.8

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  肖千龙 ,  陈荣融 ,  胡铭浩 ,  田志宏 ,  殷丽华 ,  苏申 ,  倪晓雅 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04L9/40

Abstract: 本发明提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质，其中，方法包括：收集底层审计日志生成溯源图；将溯源图通过POI报警时间进行剪枝后，基于时间权值、聚集权值以及异常权值对计算剪枝后的溯源图的边权值；根据溯源图的边权值通过POI节点获取最短路径；选取最短路径中的权值最小的N个节点，记作Top‑N节点，通过Top‑N节点对溯源图进行剪枝；将生成的剪枝后的溯源图通过BFS算法从Top‑N节点出发进行遍历获取遍历图。本发明通过对边进行压缩成功解决了依赖爆炸问题，并且在寻找攻击入口点的同时对攻击着最有可能的攻击路径进行了展示。解决了传统技术无法定位准确攻击路径和鲁棒性，可移植性较低的缺点。

公开(公告)号：CN118590275A

公开(公告)日：2024-09-03

申请号：CN202410659948.1

申请日：2024-05-27

Applicant: 广州大学

Inventor： 仇晶 ,  宗熠 ,  陈荣融 ,  蔡泳信 ,  陈玺名 ,  田志宏 ,  纪守领 ,  苏申 ,  徐光侠 ,  胡铭浩 ,  高成亮 ,  李思颖 ,  安西康 ,  倪晓雅 ,  邢家旭

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/2415 ,  G06F18/213 ,  G06N3/042 ,  G06N3/047 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法，包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力，通过结合节点的行为信息和语义信息构建节点特征向量，丰富节点信息表示，更有利于异常检测分析。为提升异常检测模型的性能，本发明另一方面在图神经网络的基础上，设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进，提升主机侧系统日志溯源图中异常行为的检测精度，提高对异常检测场景的动态适应性。还一方面，本发明不仅实现节点级别的异常检测，还会构建攻击场景图片，以便更准确直接地检测和识别攻击路径，帮助网络安全专家分析网络的潜在安全威胁。

公开(公告)号：CN116756272B

公开(公告)日：2024-02-23

申请号：CN202310741156.4

申请日：2023-06-20

Applicant: 广州大学

Inventor： 仇晶 ,  高成亮 ,  陈俊君 ,  汤菲 ,  邢家旭 ,  田志宏 ,  孙彦斌 ,  李默涵 ,  陈荣融 ,  郑东阳 ,  胡铭皓 ,  倪晓雅 ,  肖千龙

IPC: G06F16/33 ,  G06F40/211 ,  G06F40/253 ,  G06F40/268 ,  G06F40/289 ,  G06F40/30 ,  G06F40/242 ,  H04L9/40

Abstract: 焦核心威胁信息。本说明书实施例提供了一种面向中文威胁报告的ATT&CK模型映射方法及装置，其中，该方法包括获取威胁报告文本，通过中文开源自然语言处理工具对威胁报告文本分析，并进行中文断句、中文分词、词性标注、依存句法分析以及语义角色标注；基于预设的语义角色标签与攻击向量维度的映射关系表，抽取威胁报告文本中符合攻击向量所对应的语义角色标签类型的文本片段，将文本片段拼接成一个新的文本代表攻击向量；将攻击向量输入至ATT&CK映射模型，获得对应的(56)对比文件罗叶妮.基于本体的网络安全资源库的构建技术研究《.中国优秀硕士学位论文全文数据库信息科技辑》.2022,(第1期),第I138-3715页.Clemente Izurieta等.LeveragingSecDevOps to Tackle the Technical DebtAssociated with Cybersecurity AttackTactics《.2019 IEEE/ACM InternationalConference on Technical Debt (TechDebt)》.2019,第33-37页.

公开(公告)号：CN116738413B

公开(公告)日：2024-02-13

申请号：CN202310660997.2

申请日：2023-06-05

Applicant: 广州大学

Inventor： 仇晶 ,  胡铭浩 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  孙彦斌 ,  陈荣融 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: G06F21/55 ,  G06F11/34

Abstract: 本发明公开了基于溯源图的反向传播攻击调查的方法、系统及装置，所述方法包括：S1、获取溯源图，所述溯源图节点表示系统实体，边表示系统事件；S2、基于溯源图获取加权溯源图；S3、根据加权溯源图得到攻击场景子图。本发明可以实现基于溯源图的反向传播攻击调查。

公开(公告)号：CN116756272A

公开(公告)日：2023-09-15

申请号：CN202310741156.4

申请日：2023-06-20

Applicant: 广州大学

Inventor： 仇晶 ,  高成亮 ,  陈俊君 ,  汤菲 ,  邢家旭 ,  田志宏 ,  孙彦斌 ,  李默涵 ,  陈荣融 ,  郑东阳 ,  胡铭皓 ,  倪晓雅 ,  肖千龙

IPC: G06F16/33 ,  G06F40/211 ,  G06F40/253 ,  G06F40/268 ,  G06F40/289 ,  G06F40/30 ,  G06F40/242 ,  H04L9/40

Abstract: 本说明书实施例提供了一种面向中文威胁报告的ATT&CK模型映射方法及装置，其中，该方法包括获取威胁报告文本，通过中文开源自然语言处理工具对威胁报告文本分析，并进行中文断句、中文分词、词性标注、依存句法分析以及语义角色标注；基于预设的语义角色标签与攻击向量维度的映射关系表，抽取威胁报告文本中符合攻击向量所对应的语义角色标签类型的文本片段，将文本片段拼接成一个新的文本代表攻击向量；将攻击向量输入至ATT&CK映射模型，获得对应的TTP标签，根据TTP标签确定解除威胁的TTP决策。本发明以ATT&CK威胁框架为核心，可以精准定位攻击相关主题报告，过滤无关、冗余信息获取，聚焦核心威胁信息。

公开(公告)号：CN119692438A

公开(公告)日：2025-03-25

申请号：CN202411678818.9

申请日：2024-11-22

Applicant: 广州大学

Inventor： 仇晶 ,  宗熠 ,  陈荣融 ,  胡铭浩 ,  陈玺名 ,  田志宏 ,  纪守领 ,  张乐君 ,  刘园 ,  高成亮 ,  肖千龙 ,  邢家旭 ,  蔡泳信 ,  安西康 ,  李思颖

IPC: G06N5/01 ,  G06F18/213 ,  G06F18/25 ,  G06N3/042 ,  G06N3/08

Abstract: 本发明公开了一种基于蜜点情报与邻域特征非线性交互的节点特征构造方法，首先获取原始溯源图并基于盾立方进行数据筛选得到良性溯源图；使用良性溯源图进行特征提取训练得到训练后的特征提取器；使用该特征提取器提取原始溯源图中每一节点的初始特征向量；然后依据目标节点及其L阶范围邻居节点的初始特征向量，构建目标节点的多跳特征子图；最后使用图神经网络对目标节点的多跳特征子图进行特征表示的融合更新，更新后的特征表示作为目标节点的特征。本方法不仅提取了更长距离的邻域信息，还关注了超大型异质图中的节点和边的隐性连接，提高了输出特征的特征表达能力和鲁棒性，为复杂图结构的学习提供了更具表现力的特征表示。

公开(公告)号：CN119561769A

公开(公告)日：2025-03-04

申请号：CN202411775602.4

申请日：2024-12-05

Applicant: 广州大学

Inventor： 仇晶 ,  贺禧龙 ,  李发堂 ,  陈玺名 ,  蔡泳信 ,  田志宏 ,  殷丽华 ,  冯琦颖 ,  柴瑜晗 ,  纪守领 ,  吴铁军 ,  汤菲 ,  陈彦豪 ,  邢家旭

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开了一种基于逻辑攻击图与密码评估的企业网络弱口令评估方法，首先采集企业内网的网络拓扑结构、安全策略及系统配置，结合ATT&CK知识库映射的推理规则，使用MulVAL工具进行逻辑推理得到逻辑攻击图；接着获取各主机的系统账户密码信息，计算密码熵并模拟密码爆破时间评估得到密码风险值；之后将密码风险值与逻辑攻击图关联结合，生成新的包含密码风险值的带权值攻击图；同时识别带权值攻击图中的攻击起始点和攻击目标点；然后使用深度优先搜索算法遍历带权值攻击图中的所有攻击路径，计算每条攻击路径上及弱口令风险值；最后将弱口令风险值最高的攻击路径作为最佳攻击路径，生成并可视化处理，提升企业的网络安全防御水平。