公开(公告)号：CN118427636A

公开(公告)日：2024-08-02

申请号：CN202410654525.0

申请日：2024-05-24

申请人： 广州大学 ,  北京神州绿盟科技有限公司 ,  广州绿盟网络安全技术有限公司

发明人： 田志宏 ,  吴未 ,  刘园 ,  肖岩军 ,  仇晶 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  戚吴祺 ,  欧露 ,  王昊 ,  周梨 ,  王燕

IPC分类号： G06F18/22 ,  G06F16/35 ,  G06F18/214 ,  G06F18/2411 ,  G06F18/2413 ,  G06F40/216 ,  G06F40/289 ,  G06N3/0455 ,  G06N3/0499 ,  G06N3/082

摘要： 本发明提供的基于威胁情报的TTP信息挖掘方法包括：对待检测威胁情报进行标注得到正样本和负样本并选取训练数据集；根据训练数据集进行噪声信息识别；构建威胁情报分类模型，通过威胁情报分类模型得到关于TTP描述的关联语句；对关联语句进行攻击短语提取得到待检测TTP描述信息；计算待检测TTP描述信息的嵌入向量，获取TTP官方描述信息并计算嵌入向量；根据嵌入向量计算待检测TTP描述信息和TTP官方描述信息的相似度，根据相似度评估待检测TTP描述信息和TTP官方描述信息是否匹配成功，将匹配成功的信息关联以完成TTP信息挖掘。应用该方法将TTP识别任务采用分阶段处理的方法执行，能够更精确地处理每一步骤，提高整体任务的准确性和效率。

公开(公告)号：CN118784522A

公开(公告)日：2024-10-15

申请号：CN202410791487.3

申请日：2024-06-18

申请人： 广州大学

发明人： 田志宏 ,  杨佳庚 ,  方滨兴 ,  鲁辉 ,  刘园 ,  孙彦斌 ,  苏申 ,  李默涵

IPC分类号： H04L43/0805 ,  H04L43/0876

摘要： 本发明提供了一种基于多阶段载荷投递的失陷设备的判别方法，属于网络安全领域，包括：获取目标设别的相关信息；基于相关信息进行评估，获得失陷率；基于失陷率对目标设备进行失陷判别；判别结果共有三类：失陷设别、可疑设备和安全设备；当判别结果为可疑设别时，由浅层至深层依次获取目标设备的运行信息，并更新失陷率重新进行失陷判别。本发明提供的一种基于多阶段载荷投递的失陷设备的判别方法，通过分多个阶段向目标设备投递有效载荷，收集该设备在不同层面的设备和系统信息用以判别目标设备是否失陷，改善了获取目标设备信息困难的缺陷，并提高了失陷判别的准明性。

公开(公告)号：CN114091448B

公开(公告)日：2024-09-10

申请号：CN202111237436.9

申请日：2021-10-22

申请人： 广州大学

发明人： 张欢 ,  顾钊铨 ,  谢禹舜 ,  谭昊 ,  谢文嵘 ,  王泽世 ,  朱梓萁 ,  王乐 ,  唐可可 ,  张登辉 ,  李默涵 ,  田志宏

IPC分类号： G06F40/289 ,  G06F40/253 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/094

摘要： 本发明公开了文本对抗样本生成方法、系统、计算机设备和存储介质。所述方法包括：对获取的数据集中的单词进行tf‑idf得分计算，得到所述数据集的词性词典和不同标签对应的攻击词集；从所述数据集中选择与原始样本的标签相对应的攻击词集，并从中选择攻击得分最高的单词作为攻击词；根据预设的句子模板，选择所述攻击词的词性对应的句法规则，从所述词性词典中选择规则对应的单词，与所述攻击词共同构成符合所述句法规则的句子；根据预设的添加条件，将所述句子添加到所述原始样本中，得到新样本；根据预设的迭代条件对所述新样本进行多轮迭代计算，得到对抗样本。本发明能够避免拼写和语法错误，具有低修改率和高攻击性，提高了攻击效率。

公开(公告)号：CN118612083A

公开(公告)日：2024-09-06

申请号：CN202410724784.6

申请日：2024-06-05

申请人： 广州大学

发明人： 田志宏 ,  张位勇 ,  蒋秋 ,  林梓浩 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  仇晶 ,  李默涵 ,  张乐君 ,  姜誉 ,  徐光侠 ,  吕阳紫星

IPC分类号： H04L41/14 ,  H04L41/16 ,  H04L9/40 ,  H04L67/02

摘要： 本申请涉及一种HTTP分布式拒绝服务攻击检测模型构建方法和装置。方法包括：使用高速数据包处理框架，收集数据；基于扩展的伯克利包过滤器，对所述数据进行分类，得到特征数据集；根据所述特征数据集，对预设算法模型训练，得到训练后算法模型；使用高速数据包处理框架，获取测试数据集；根据所述测试数据集，验证所述训练后算法模型，得到高斯朴素贝叶斯算法分类器模型。解决了现有技术需要大量数据作为训练数据，算法复杂对计算资源要求较高，检测结果受训练数据影响较大、适应性较低结果不稳定的问题。

公开(公告)号：CN118611983A

公开(公告)日：2024-09-06

申请号：CN202411037261.0

申请日：2024-07-31

申请人： 国网江西省电力有限公司信息通信分公司 ,  广州大学

发明人： 田志宏 ,  王梓宇 ,  周盈海 ,  仇晶 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  刘园 ,  张乐君 ,  徐光侠 ,  苏申 ,  姜誉 ,  付矞飞 ,  黄刚

IPC分类号： H04L9/40 ,  G06F18/2433 ,  G06F18/214 ,  G06F18/2111 ,  G06F18/20

摘要： 本发明提供了一种网络攻击组织的行为基因识别方法包括：收集包括攻击组织行为基因知识图谱和系统进程数据的基础数据；提取系统进程数据中的进程行为序列数据进行行为基因同源推理以预测得到目标攻击组织；检索并整理目标攻击组织的高级行为基因信息然后转化为行为依赖模式集合，分析已知攻击事件的行为日志得到对应的行为依赖实例，将行为依赖实例与行为依赖模式集合进行对齐匹配从而识别出目标依赖模式；根据目标依赖模式构建威胁搜寻查询提示词用于与大语言模型交互以识别出与目标依赖模式行为基因语义一致的攻击行为。应用该方法能够实时解构行为基因数据并进行识别，能够进行多维度数据分析和高级行为基因识别提高了对识别精度和覆盖范围。

公开(公告)号：CN118101346B

公开(公告)日：2024-07-09

申请号：CN202410501791.X

申请日：2024-04-25

申请人： 广州大学

发明人： 李默涵 ,  吴杰 ,  孙彦斌 ,  田志宏 ,  刘园 ,  方滨兴 ,  鲁辉 ,  徐光侠 ,  苏申

IPC分类号： H04L9/40 ,  G06F40/289 ,  G06F40/30

摘要： 本发明公开了一种面向蜜点部署的攻击图交互规则自动生成方法，涉及蜜点部署技术领域，由大语言模型从漏洞的自然语言描述中提取出攻击实体，通过Word2Vec计算词的余弦相似度解决近义词或同义词问题，用BERT模型解决提取出的攻击实体列表，利用大语言模型根据攻击实体列表生成交互规则。本发明减少对安全专家的依赖，利用基于大语言模型生成攻击图交互规则，大幅提升规则制定的扩展性与效率，在分析大规模网络和漏洞数据时保持处理速度，自动化流程相比手工生成缩短规则制定时间，更好地部署蜜点防范漏洞利用，自动化交互规则维护，适应网络安全环境的快速变化，降低维护工作的复杂度，确保规则的时效性和准确性，从而有效部署蜜点。

公开(公告)号：CN118278013A

公开(公告)日：2024-07-02

申请号：CN202410157480.6

申请日：2024-02-02

申请人： 广州大学

发明人： 孙彦斌 ,  田志宏 ,  李默涵 ,  姜誉 ,  鲁辉 ,  仇晶 ,  谭庆丰 ,  苏申 ,  徐光侠 ,  刘园 ,  张乐君 ,  徐庚辰 ,  张耀其

IPC分类号： G06F21/57 ,  G06N3/0442 ,  G06N3/088 ,  G06F18/23213

摘要： 本发明公开了基于机器学习MulVAL交互规则生成方法及装置，方法包括：获取漏洞描述；利用网络安全语言模型，对漏洞描述进行向量化处理，获得词序列；其中，网络安全语言模型基于词向量模型通过先验数据集训练生成；利用攻击实体提取模型，对词序列进行实体提取，获得攻击实体；其中，攻击实体提取模型基于双向长短期记忆网络通过已标注实体类型的标记数据集训练生成；基于攻击实体，通过逻辑回归以及与先验规则的相似度匹配，获得攻击实体值；进而基于攻击实体值进行攻击实体的缺失值填补，得到目标攻击实体；基于目标攻击实体，构建获得MulVAL交互规则。本发明实施例能够高效准确构建MulVAL交互规则，可广泛应用于计算机技术领域。

公开(公告)号：CN118233223A

公开(公告)日：2024-06-21

申请号：CN202410653279.7

申请日：2024-05-24

申请人： 广州大学

发明人： 田志宏 ,  李泽鑫 ,  吴椿强 ,  苏申 ,  方滨兴 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  仇晶 ,  徐光侠 ,  李默涵 ,  姜誉 ,  张乐君

IPC分类号： H04L9/40

摘要： 本发明公开了面向四蜜动态防御体系的控守图构建方法，涉及网络安全防护技术领域，根据报警信息重构攻击路径，分析流量信息，推测攻击意图，根据实际资产信息等进行博弈决策阵图变换策略，进入资源库变换蜜点、蜜洞、蜜庭资源配置，依据网络结构复杂程度生成相应管理策略。控守图技术有针对性的高甜度迷惑攻击者，使其更容易陷入蜜点环境，从而主动干扰攻击者的活动。攻击者受到的干扰越多，其侦测和渗透真实网络的难度就越大，提高了网络的整体安全性。

公开(公告)号：CN117829141B

公开(公告)日：2024-06-14

申请号：CN202410251791.9

申请日：2024-03-06

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC分类号： G06F40/279 ,  G06N5/022 ,  H04L9/40

摘要： 本发明公开了基于攻击模式的动态实体对齐方法，涉及网络安全防护技术领域，通过深度学习模型进行实体抽取和关系抽取，采用深度学习的Transformer标记文本中的命名实体，通过嵌入表示法将实体和关系映射到向量空间，CNN和RNN用于捕捉上下文信息，注意力机制提高信息关注度，多任务学习联合处理实体抽取和关系抽取后构建知识图谱，将提取出攻击模式抽象语义描述作为实体特征嵌入，将映射的标准化格式要点作为辅助实体属性标签，联合知识图谱中子图内多种关系信息，同时使用时间参数集合增加实体的时序特征，生成准确、唯一且具有动态特点的攻击实体“画像”。本发明解决了现有对齐手段的准确性不够高的问题，同时实现了实体对齐随时间变化而自发调整。

公开(公告)号：CN118101332A

公开(公告)日：2024-05-28

申请号：CN202410480016.0

申请日：2024-04-22

申请人： 广州大学

发明人： 李默涵 ,  李顺泉 ,  孙彦斌 ,  方滨兴 ,  田志宏 ,  刘园 ,  鲁辉 ,  徐光侠 ,  苏申

IPC分类号： H04L9/40

摘要： 本发明公开了一种基于攻击图的自适应蜜点部署方法，涉及蜜点部署技术领域，在易受攻击路径以及各个路径入口部署蜜点，蜜点未被触发的状态为一般状态，在这个状态下，系统疑似被攻击，通过收集疑似攻击信息来建模攻击情况，提高蜜点的捕获概率，当蜜点被触发时，认定系统被攻击，利用蜜点捕获攻击者的动向，通过对蜜点进行动态的部署，减少防守资源的浪费。这弥补了现有工作不能根据系统的实际情况动态部署蜜点，保证蜜点的作用最大化，学习系统被攻击的经验，提高蜜点捕获的概率。了解攻击者的攻击手段，捕获攻击者的位置，提升分析攻击的颗粒度。以往方法对攻击只关注最后高危的操作，将攻击细化为攻击动作和攻击事件进行全面的分析。