公开(公告)号：CN117610026B

公开(公告)日：2024-04-26

申请号：CN202410085994.5

申请日：2024-01-22

申请人： 广州大学 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  蒋林宇 ,  邓向东 ,  阳长江 ,  刘园 ,  方滨兴 ,  鲁辉 ,  苏申 ,  李默涵 ,  孙彦斌 ,  徐光侠 ,  郑志彬 ,  崔宇 ,  姜誉 ,  仇晶 ,  谭庆丰 ,  王瑞

IPC分类号： G06F21/57 ,  G06F11/36 ,  G06F21/55 ,  H04L9/40

摘要： 本发明提供了一种基于大语言模型的蜜点漏洞生成方法，包括：根据蜜点仿真的服务信息与大语言模型交互选择蜜点漏洞模拟目标；结合大语言模型的知识库和蜜点漏洞模拟目标的漏洞信息确定请求响应规则集；生成漏洞模拟代码用于解析攻击者请求的数据包并与请求响应规则集进行匹配然后生成响应；根据漏洞模拟代码、蜜点漏洞模拟目标的配置信息与大语言模型交互以生成部署脚本和测试脚本，运行部署脚本启动蜜点实例，运行测试脚本验证蜜点实例以使蜜点实例成功启用。应用该方法能够减少对安全人员领域知识的依赖，减轻工作量，提升蜜点漏洞部署效率。大语言模型对蜜点服务的全面分析也可以解决模拟漏洞类型与服务场景不匹配的问题以提升欺骗性。

公开(公告)号：CN117614742B

公开(公告)日：2024-05-07

申请号：CN202410085984.1

申请日：2024-01-22

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  刘园 ,  易新凯 ,  黎清源 ,  周圆 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  徐天福 ,  郑志彬 ,  崔宇 ,  何群 ,  邱日轩

IPC分类号： H04L9/40 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895 ,  G06F18/241

摘要： 本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先，主要分析攻击者的恶意攻击行为，生成并部署模拟正常Web服务器接收攻击的蜜点；采集并处理全流量数据和攻击者触发蜜点后产生的数据；预训练阶段，自监督对比学习的编码器使用无标签的全流量数据训练；微调阶段，使用完成预训练的编码器处理白名单流量数据和蜜点数据，处理后的数据输入给MLP分类器进行训练和评估，以调整CNN编码器和MLP分类器的参数；将训练好的模型部署到全流量入口，以识别全流量数据中的恶意流量。实施本发明，可以使模型更全面地学习蜜点数据中的多种攻击行为，增强系统识别高隐蔽威胁行为的能力。

公开(公告)号：CN117614742A

公开(公告)日：2024-02-27

申请号：CN202410085984.1

申请日：2024-01-22

申请人： 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

发明人： 田志宏 ,  刘园 ,  易新凯 ,  黎清源 ,  周圆 ,  孙彦斌 ,  苏申 ,  鲁辉 ,  李默涵 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  徐天福 ,  郑志彬 ,  崔宇 ,  何群 ,  邱日轩

IPC分类号： H04L9/40 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895 ,  G06F18/241

摘要： 本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先，主要分析攻击者的恶意攻击行为，生成并部署模拟正常Web服务器接收攻击的蜜点；采集并处理全流量数据和攻击者触发蜜点后产生的数据；预训练阶段，自监督对比学习的编码器使用无标签的全流量数据训练；微调阶段，使用完成预训练的编码器处理白名单流量数据和蜜点数据，处理后的数据输入给MLP分类器进行训练和评估，以调整CNN编码器和MLP分类器的参数；将训练好的模型部署到全流量入口，以识别全流量数据中的恶意流量。实施本发明，可以使模型更全面地学习蜜点数据中的多种攻击行为，增强系统识别高隐蔽威胁行为的能力。

公开(公告)号：CN118802369A

公开(公告)日：2024-10-18

申请号：CN202411265988.4

申请日：2024-09-11

申请人： 国网江西省电力有限公司信息通信分公司 ,  广州大学

发明人： 田志宏 ,  姜云欣 ,  周盈海 ,  方滨兴 ,  徐天福 ,  何群 ,  邱日轩 ,  刘园 ,  李默涵 ,  鲁辉 ,  仇晶 ,  孙彦斌 ,  张乐君 ,  徐光侠 ,  姜誉 ,  苏申 ,  付矞飞 ,  黄刚

IPC分类号： H04L9/40 ,  H04L41/16 ,  G06N3/045 ,  G06N5/04 ,  G06F40/295 ,  G06F40/30 ,  G06F16/36

摘要： 本发明公开了一种面向APT知识图谱和大语言模型的协同增强方法，包括步骤：S1、构建专注于网络安全领域的APT知识图谱；S2、根据用户输入的问题设计链式提示语依次传递给大语言模型进行分步回答，大语言模型利用APT知识图谱提供的知识进行问题的查询与定位；S3、结合定位的APT知识节点与用户输入的问题内容，利用子图检索的强相关节点丰富上下文感知提示；S4、大语言模型根据上下文感知提示，为用户生成一个全面的答案。本发明增强了大语言模型在APT场景下的语义理解、推理和预测能力，大语言模型可以更好地分析和推断攻击者行为、攻击路径，提高在复杂网络环境中的准确性，增强了对APT攻击的防御和应对能力。

公开(公告)号：CN118590275A

公开(公告)日：2024-09-03

申请号：CN202410659948.1

申请日：2024-05-27

申请人： 广州大学

发明人： 仇晶 ,  宗熠 ,  陈荣融 ,  蔡泳信 ,  陈玺名 ,  田志宏 ,  纪守领 ,  苏申 ,  徐光侠 ,  胡铭浩 ,  高成亮 ,  李思颖 ,  安西康 ,  倪晓雅 ,  邢家旭

IPC分类号： H04L9/40 ,  G06F18/2433 ,  G06F18/2415 ,  G06F18/213 ,  G06N3/042 ,  G06N3/047 ,  G06N3/048 ,  G06N3/08

摘要： 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法，包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力，通过结合节点的行为信息和语义信息构建节点特征向量，丰富节点信息表示，更有利于异常检测分析。为提升异常检测模型的性能，本发明另一方面在图神经网络的基础上，设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进，提升主机侧系统日志溯源图中异常行为的检测精度，提高对异常检测场景的动态适应性。还一方面，本发明不仅实现节点级别的异常检测，还会构建攻击场景图片，以便更准确直接地检测和识别攻击路径，帮助网络安全专家分析网络的潜在安全威胁。

公开(公告)号：CN118138300A

公开(公告)日：2024-06-04

申请号：CN202410242657.2

申请日：2024-03-04

申请人： 广州大学

发明人： 鲁辉 ,  彭劲 ,  田志宏 ,  张曼 ,  陈可 ,  梁儒烽 ,  陈俊翰 ,  张浩楠 ,  孙彦斌 ,  苏申 ,  徐光侠 ,  黄迅 ,  郑晨聪

IPC分类号： H04L9/40

摘要： 本发明公开了一种基于请求混淆的渗透测试方法、系统、装置及存储介质，包括：获取客户端的第一渗透测试请求，对第一渗透测试请求进行请求混淆，得到第二渗透测试请求，进而将第二渗透测试请求发送至代理服务器；通过代理服务器接收第二渗透测试请求，并根据第二渗透测试请求确定请求协议和目标服务器；通过代理服务器对第二渗透测试请求进行流量打盹，并向目标服务器发送预设的无效数据包；通过代理服务器根据请求协议确定目标代理模式，进而根据目标代理模式将第二渗透测试请求转发至目标服务器。本发明有效地增强了渗透测试的隐蔽性，降低了安全产品对渗透测试的拦截影响，保证了渗透测试的稳定进行，可广泛应用于渗透测试技术领域。

公开(公告)号：CN118113678A

公开(公告)日：2024-05-31

申请号：CN202410133633.3

申请日：2024-01-30

申请人： 广州大学

发明人： 陈字龙 ,  孙彦斌 ,  田志宏 ,  李默涵 ,  徐光侠 ,  张乐君 ,  谭庆丰 ,  刘园 ,  鲁辉 ,  苏申 ,  姜誉

IPC分类号： G06F16/18 ,  G06F16/22 ,  G06F16/215 ,  G06F16/332

摘要： 本申请公开了一种基于大语言模型的蜜罐日志分析方法、系统及介质，方法包括：基于蜜罐技术获取目标系统的日志数据；对日志数据进行清洗处理，基于清洗处理后的日志数据构建向量索引库；响应于目标对象的输入文本，从向量索引库匹配获得目标日志条目；基于目标日志条目，通过预设模板整理得到提示文本；将提示文本输入预训练的语言模型进行回答响应，得到回答内容。本申请利用蜜罐技术精准收集相关日志数据，并利用大语言模型技术准确的文本分析和评估能力，解决现有日志分析工具在准确性、实时处理效率、数据处理能力以及灵活性等方面的缺陷。本申请实施例能够准确进行日志分析，可广泛应用于数据处理技术领域。

公开(公告)号：CN118018266A

公开(公告)日：2024-05-10

申请号：CN202410133488.9

申请日：2024-01-30

申请人： 广州大学

发明人： 孙彦斌 ,  田志宏 ,  李默涵 ,  姜誉 ,  徐光侠 ,  刘园 ,  鲁辉 ,  苏申 ,  谭庆丰 ,  张乐君 ,  冯桥彬

IPC分类号： H04L9/40 ,  H04L67/30

摘要： 本发明公开了一种基于蜜庭代理的账号蜜点引流方法、系统及存储介质，账号蜜点引流方法包括：通过修改所述配置文件中的全局块导入预获取的黑名单文件，通过修改配置文件中的location块引入账号检测模块；接收用户访问流量，基于蜜庭确定用户访问流量对应的用户IP地址是否为黑名单IP地址，根据判断结果将用户访问流量转发至账号蜜点或对用户访问流量进行登陆操作检测，得到用户登陆请求；通过账号检测模块确定加密和非加密的用户登陆请求是否包含蜜点账号，进而根据账号检测结果将对应的用户访问流量转发至真实业务服务器或账号蜜点。本发明能够实现与真实业务服务器隔离，安全性高且误报率低，可广泛应用于网络安全技术领域。

公开(公告)号：CN117997634A

公开(公告)日：2024-05-07

申请号：CN202410239594.5

申请日：2024-03-02

申请人： 广州大学

发明人： 刘园 ,  黄瑞信 ,  章淑洁 ,  田志宏 ,  孙彦斌 ,  鲁辉 ,  苏申 ,  李默涵 ,  徐光侠 ,  仇晶 ,  张乐君 ,  潘海彬 ,  雷志鹏

IPC分类号： H04L9/40 ,  H04L9/00 ,  G06Q20/06 ,  G06N5/04 ,  G06Q20/22

摘要： 本发明公开了一种区块链网络DoS(简称BDoS)缓解策略和效果分析方法，涉及网络分析技术领域。对于受到BDoS攻击并瘫痪的系统，本发明为其中节点提供了除“遇到攻击就一直停止工作”外的另一种策略“暂停后继续”，暂停时间为节点挖到区块的正常时间。就缓解策略实现而言，建议将该缓解策略作为新的协议内容(即当发布的新区块仅有区块头，且正常出块时间后没有该区块头的完整区块发布时，节点继续工作)，只要过半节点(算力)愿意升级，则说明通过了该新协议，本发明采用演化博弈的方式来建模区块链中节点之间的交互，降低对节点高理性的要求，能够反映节点选择某个策略占比随着时间的变化。

公开(公告)号：CN117851838A

公开(公告)日：2024-04-09

申请号：CN202410257971.8

申请日：2024-03-07

申请人： 广州大学

发明人： 乔成 ,  田志宏 ,  孙彦斌 ,  刘园 ,  鲁辉 ,  李默涵 ,  王瑞 ,  徐光侠 ,  仇晶 ,  姜誉 ,  谭庆丰 ,  苏申 ,  陈鹏 ,  郑志彬 ,  崔宇

IPC分类号： G06F18/22 ,  G06F18/2321 ,  G06N3/098

摘要： 本发明公开了一种协作学习过程中异构数据源的鉴定方法，涉及数据源鉴定技术领域，每个参与者或设备在本地数据上独立训练模型，包括微调全局模型或完全在本地数据上训练模型，节点收到节点的模型后，将节点与节点的本地模型进行对比，并计算节点与节点相似度，分析模型相似度矩阵，表示该数据源异构，通过对比模型的相似度，构建相似度矩阵，并将该对称高维矩阵转化成对KDE算法友好的低维矩阵。然后利用交叉验证的方法，搜索相应的最优带宽设置，从而正确地预估模型的个数，最终快速判断数据源的异构性。该方法具有计算复杂度低，预测精度高等优点。