公开(公告)号：CN117993497A

公开(公告)日：2024-05-07

申请号：CN202410296311.0

申请日：2024-03-15

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  姜云欣 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  任怡彤 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC分类号： G06N5/022 ,  G06F16/36 ,  G06N3/042 ,  G06N3/0985 ,  G06N5/04

摘要： 本发明提供了一种基于元关系学习的知识图谱补全方法，包括：基于知识图谱数据进行嵌入表示学习，得到知识图谱中的实体和关系的静态嵌入表示；根据静态嵌入表示进行元任务训练得到学习到的参数，对学习到的参数进行元任务测试以选择出元关系学习参数；将静态嵌入表示与元关系学习参数进行融合得到综合实体表示，使用综合实体表示计算关系路径，利用图神经网络对所述关系路径进行更新得到得到关系路径上节点的更新后的表示并生成最终的路径表示，利用路径表示进行实体间的关系预测得到实体间关系的预测结果以实现知识图谱补全。应用该方法能够快速适应新任务，选择合适的元任务，以确保学到的元关系参数对于多样化的实体和关系具有泛化能力。

公开(公告)号：CN117560223B

公开(公告)日：2024-04-16

申请号：CN202410021371.1

申请日：2024-01-08

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  王梓宇 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  何群 ,  徐天福 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王瑞 ,  任怡彤

IPC分类号： H04L9/40 ,  H04L43/06 ,  G06N5/04

摘要： 本发明提供了一种威胁的归因预测方法，包括：获取系统记录的网络访问信息，根据网络访问信息提取对应的IP数据；从威胁情报数据平台查询匹配IP数据的IP节点，根据IP节点获取IP威胁情报数据；根据IP威胁情报数据进行威胁组织归因推理，得到威胁的归因预测结果。进一步，还能够获取IP数据、IP威胁情报数据和归因预测结果，整合生成威胁的归因预测报告。应用本发明的方法能够实现网络安全防御阶段的有效前移，提升现有防御系统对新型和未知威胁的响应能力，增强整个网络安全体系的主动性和有效性，可以有效提升对早期潜在威胁的感知和反应能力，增强安全分析师对网络威胁的理解和响应效率。

公开(公告)号：CN117829141B

公开(公告)日：2024-06-14

申请号：CN202410251791.9

申请日：2024-03-06

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC分类号： G06F40/279 ,  G06N5/022 ,  H04L9/40

摘要： 本发明公开了基于攻击模式的动态实体对齐方法，涉及网络安全防护技术领域，通过深度学习模型进行实体抽取和关系抽取，采用深度学习的Transformer标记文本中的命名实体，通过嵌入表示法将实体和关系映射到向量空间，CNN和RNN用于捕捉上下文信息，注意力机制提高信息关注度，多任务学习联合处理实体抽取和关系抽取后构建知识图谱，将提取出攻击模式抽象语义描述作为实体特征嵌入，将映射的标准化格式要点作为辅助实体属性标签，联合知识图谱中子图内多种关系信息，同时使用时间参数集合增加实体的时序特征，生成准确、唯一且具有动态特点的攻击实体“画像”。本发明解决了现有对齐手段的准确性不够高的问题，同时实现了实体对齐随时间变化而自发调整。

公开(公告)号：CN117573142B

公开(公告)日：2024-04-23

申请号：CN202410050617.8

申请日：2024-01-15

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  唐鹏威 ,  鲁辉 ,  伍郭成 ,  刘昊 ,  苏申 ,  刘园 ,  孙彦斌 ,  李镇山 ,  郭帅 ,  黎伟杰 ,  鲁健安 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC分类号： G06F8/53 ,  G06F8/30 ,  G06F21/56

摘要： 本发明公开了基于模拟执行的JAVA代码反混淆器，涉及反混淆器技术领域，通过反编译模块将JAR文件反编译为JAVA字节码，通过模拟执行模块对JAVA字节码进行解密，进而进行指令执行，并将执行结果保存，分析模块分析模拟执行模块的执行结果，从而简化混淆的反编译代码，不仅提高了恶意软件的检测准确性，也有助于揭示隐藏在代码中的潜在威胁。提高安全分析效率：借助自动化的反混淆过程，显著减少人工分析的需求，从而提升安全专家在处理大量混淆代码时的工作效率。动态分析与高适应性：本发明不仅能处理静态的混淆模式，还能适应和解析动态生成的代码和复杂的执行流程，能够快速适应并提供有效的反混淆结果。

公开(公告)号：CN117786088A

公开(公告)日：2024-03-29

申请号：CN202410051928.6

申请日：2024-01-15

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC分类号： G06F16/332 ,  G06F16/35 ,  G06F16/36 ,  G06N5/022 ,  G06F16/33 ,  G06F40/205

摘要： 本发明提供了一种威胁的语言模型分析方法，包括：获取威胁情报，判断威胁情报的类型；根据威胁情报的类型选择对威胁情报进行语言模型分析的信息抽取方式；应用选择的信息抽取方式对威胁情报进行信息抽取；获取信息抽取结果从而得到对应威胁情报的威胁知识图谱。应用该方法能够从大量的非结构化网络威胁情报中高效抽取并整合信息,提高了信息处理的效率，增强对APT攻击的识别和分析能力；能够快速识别网络中的异常行为，并及时做出响应，有效减少网络攻击的风险；通过融合知识图谱增加了大型语言模型的可解释性，提升模型输出结果的可理解性和可靠性。

公开(公告)号：CN117786088B

公开(公告)日：2024-08-30

申请号：CN202410051928.6

申请日：2024-01-15

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC分类号： G06F16/332 ,  G06F16/35 ,  G06F16/36 ,  G06N5/022 ,  G06F16/33 ,  G06F40/205

摘要： 本发明提供了一种威胁的语言模型分析方法，包括：获取威胁情报，判断威胁情报的类型；根据威胁情报的类型选择对威胁情报进行语言模型分析的信息抽取方式；应用选择的信息抽取方式对威胁情报进行信息抽取；获取信息抽取结果从而得到对应威胁情报的威胁知识图谱。应用该方法能够从大量的非结构化网络威胁情报中高效抽取并整合信息,提高了信息处理的效率，增强对APT攻击的识别和分析能力；能够快速识别网络中的异常行为，并及时做出响应，有效减少网络攻击的风险；通过融合知识图谱增加了大型语言模型的可解释性，提升模型输出结果的可理解性和可靠性。

公开(公告)号：CN117614742B

公开(公告)日：2024-05-07

申请号：CN202410085984.1

申请日：2024-01-22

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  刘园 ,  易新凯 ,  黎清源 ,  周圆 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  徐天福 ,  郑志彬 ,  崔宇 ,  何群 ,  邱日轩

IPC分类号： H04L9/40 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895 ,  G06F18/241

摘要： 本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先，主要分析攻击者的恶意攻击行为，生成并部署模拟正常Web服务器接收攻击的蜜点；采集并处理全流量数据和攻击者触发蜜点后产生的数据；预训练阶段，自监督对比学习的编码器使用无标签的全流量数据训练；微调阶段，使用完成预训练的编码器处理白名单流量数据和蜜点数据，处理后的数据输入给MLP分类器进行训练和评估，以调整CNN编码器和MLP分类器的参数；将训练好的模型部署到全流量入口，以识别全流量数据中的恶意流量。实施本发明，可以使模型更全面地学习蜜点数据中的多种攻击行为，增强系统识别高隐蔽威胁行为的能力。

公开(公告)号：CN117560223A

公开(公告)日：2024-02-13

申请号：CN202410021371.1

申请日：2024-01-08

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  王梓宇 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  何群 ,  徐天福 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王瑞 ,  任怡彤

IPC分类号： H04L9/40 ,  H04L43/06 ,  G06N5/04

摘要： 本发明提供了一种威胁的归因预测方法，包括：获取系统记录的网络访问信息，根据网络访问信息提取对应的IP数据；从威胁情报数据平台查询匹配IP数据的IP节点，根据IP节点获取IP威胁情报数据；根据IP威胁情报数据进行威胁组织归因推理，得到威胁的归因预测结果。进一步，还能够获取IP数据、IP威胁情报数据和归因预测结果，整合生成威胁的归因预测报告。应用本发明的方法能够实现网络安全防御阶段的有效前移，提升现有防御系统对新型和未知威胁的响应能力，增强整个网络安全体系的主动性和有效性，可以有效提升对早期潜在威胁的感知和反应能力，增强安全分析师对网络威胁的理解和响应效率。

公开(公告)号：CN117544421B

公开(公告)日：2024-03-26

申请号：CN202410022133.2

申请日：2024-01-08

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王昊 ,  欧露

IPC分类号： H04L9/40

摘要： 本发明提供了一种网络威胁检测方法，包括：构建系统溯源图，系统溯源图包括m个节点；通过图卷积神经网络学习系统溯源图的特征表示，得到节点的表示构成系统活动子图；根据预设的时间窗口划分n张系统活动子图得到目标活动子图；通过局部‑全局互信息最大化学习目标活动子图中的样本表示，优化样本表示得到目标活动子图的合理表示；学习目标活动子图的图向量重建模型得到重建的图向量表示；根据目标活动子图的合理表示和重建的图向量表示计算重建误差；根据重建误差检测异常活动子图，以实现威胁检测。应用该方法进行网络威胁检测能够高效检测细微的攻击活动，并且保证对未知威胁的检查能力。

公开(公告)号：CN117614742A

公开(公告)日：2024-02-27

申请号：CN202410085984.1

申请日：2024-01-22

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  刘园 ,  易新凯 ,  黎清源 ,  周圆 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  徐天福 ,  郑志彬 ,  崔宇 ,  何群 ,  邱日轩

IPC分类号： H04L9/40 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895 ,  G06F18/241

摘要： 本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先，主要分析攻击者的恶意攻击行为，生成并部署模拟正常Web服务器接收攻击的蜜点；采集并处理全流量数据和攻击者触发蜜点后产生的数据；预训练阶段，自监督对比学习的编码器使用无标签的全流量数据训练；微调阶段，使用完成预训练的编码器处理白名单流量数据和蜜点数据，处理后的数据输入给MLP分类器进行训练和评估，以调整CNN编码器和MLP分类器的参数；将训练好的模型部署到全流量入口，以识别全流量数据中的恶意流量。实施本发明，可以使模型更全面地学习蜜点数据中的多种攻击行为，增强系统识别高隐蔽威胁行为的能力。