公开(公告)号：CN117544421B

公开(公告)日：2024-03-26

申请号：CN202410022133.2

申请日：2024-01-08

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王昊 ,  欧露

IPC分类号： H04L9/40

摘要： 本发明提供了一种网络威胁检测方法，包括：构建系统溯源图，系统溯源图包括m个节点；通过图卷积神经网络学习系统溯源图的特征表示，得到节点的表示构成系统活动子图；根据预设的时间窗口划分n张系统活动子图得到目标活动子图；通过局部‑全局互信息最大化学习目标活动子图中的样本表示，优化样本表示得到目标活动子图的合理表示；学习目标活动子图的图向量重建模型得到重建的图向量表示；根据目标活动子图的合理表示和重建的图向量表示计算重建误差；根据重建误差检测异常活动子图，以实现威胁检测。应用该方法进行网络威胁检测能够高效检测细微的攻击活动，并且保证对未知威胁的检查能力。

公开(公告)号：CN117544421A

公开(公告)日：2024-02-09

申请号：CN202410022133.2

申请日：2024-01-08

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王昊 ,  欧露

IPC分类号： H04L9/40

摘要： 本发明提供了一种网络威胁检测方法，包括：构建系统溯源图，系统溯源图包括m个节点；通过图卷积神经网络学习系统溯源图的特征表示，得到节点的表示构成系统活动子图；根据预设的时间窗口划分n张系统活动子图得到目标活动子图；通过局部‑全局互信息最大化学习目标活动子图中的样本表示，优化样本表示得到目标活动子图的合理表示；学习目标活动子图的图向量重建模型得到重建的图向量表示；根据目标活动子图的合理表示和重建的图向量表示计算重建误差；根据重建误差检测异常活动子图，以实现威胁检测。应用该方法进行网络威胁检测能够高效检测细微的攻击活动，并且保证对未知威胁的检查能力。

公开(公告)号：CN117081810A

公开(公告)日：2023-11-17

申请号：CN202311062110.6

申请日：2023-08-22

申请人： 广州大学

发明人： 田志宏 ,  吴未 ,  戚吴祺 ,  仇晶 ,  王昊 ,  王瑞 ,  鲁辉 ,  苏申 ,  刘园 ,  孙彦斌 ,  李默涵 ,  欧露

IPC分类号： H04L9/40

摘要： 本发明提供了一种开源威胁情报的可靠性评估方法及系统，涉及威胁情报可靠性评估技术领域，其中，方法包括：从公开网络资源中进行开源威胁情报的收集，为所收集的开源威胁情报新增来源信息与信息映射；基于用于描述网络威胁情报的STIX和UCO标准，构建知识图谱本体模型；根据收集的开源威胁情报以及来源信息与信息映射基于知识图谱本体模型构建不确定性网络安全知识图谱；根据不确定性网络安全知识图谱预测每个实体、关系或属性的置信度，从而对网络威胁情报知识图谱进行可靠性评估。本发明考虑了情报来源的差异，在开源情报信息语义维度之上又建立了一个来源维度，帮助网络安全知识图谱跟踪情报来源，增强该领域知识图谱的可信度。

公开(公告)号：CN118427636A

公开(公告)日：2024-08-02

申请号：CN202410654525.0

申请日：2024-05-24

申请人： 广州大学 ,  北京神州绿盟科技有限公司 ,  广州绿盟网络安全技术有限公司

发明人： 田志宏 ,  吴未 ,  刘园 ,  肖岩军 ,  仇晶 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  戚吴祺 ,  欧露 ,  王昊 ,  周梨 ,  王燕

IPC分类号： G06F18/22 ,  G06F16/35 ,  G06F18/214 ,  G06F18/2411 ,  G06F18/2413 ,  G06F40/216 ,  G06F40/289 ,  G06N3/0455 ,  G06N3/0499 ,  G06N3/082

摘要： 本发明提供的基于威胁情报的TTP信息挖掘方法包括：对待检测威胁情报进行标注得到正样本和负样本并选取训练数据集；根据训练数据集进行噪声信息识别；构建威胁情报分类模型，通过威胁情报分类模型得到关于TTP描述的关联语句；对关联语句进行攻击短语提取得到待检测TTP描述信息；计算待检测TTP描述信息的嵌入向量，获取TTP官方描述信息并计算嵌入向量；根据嵌入向量计算待检测TTP描述信息和TTP官方描述信息的相似度，根据相似度评估待检测TTP描述信息和TTP官方描述信息是否匹配成功，将匹配成功的信息关联以完成TTP信息挖掘。应用该方法将TTP识别任务采用分阶段处理的方法执行，能够更精确地处理每一步骤，提高整体任务的准确性和效率。

公开(公告)号：CN116910747A

公开(公告)日：2023-10-20

申请号：CN202310765864.1

申请日：2023-06-26

申请人： 广州大学

发明人： 田志宏 ,  欧露 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  王昊 ,  倪晓雅

IPC分类号： G06F21/55 ,  G06F21/56

摘要： 本发明公开了一种检测APT攻击的方法、系统及装置，包括：S1、构建分布式主机模型，所述分布式主机模型用于对系统事件进行分类，并在分布式主机模型中构建相应的节点；S2、根据分布式主机模型构建全局模型，所述全局模型用于给每个提供相同类型服务的主机拥有服务行为的全局视图，将全局模型发送到主机更新分布式主机模型；S3、客户端获取系统事件，基于全局模型查找是否存在匹配的节点，若没有匹配的节点则检测到APT攻击，将警报上报服务器；S4、将重复警报删除，相似警报聚义，并对警报进行优先级排序。本发明可以实现检测ATP攻击，成本低。