公开(公告)号：CN119945799A

公开(公告)日：2025-05-06

申请号：CN202510421342.9

申请日：2025-04-07

Applicant: 浙江大学

Inventor： 李振源 ,  韦洋洋 ,  曾慧然 ,  纪守领

IPC: H04L9/40 ,  G06N3/0455

Abstract: 本方案提供了基于迭代预测校正的流式溯源图的异常检测方法及系统，包括步骤：S1：采集流式数据：S2：基于流式数据采样编码流式溯源图的每一节点的编码信息；S3：基于编码信息预测异常节点，本方案采用邻接表缓存流式事件且采用滑动时间窗口机制更新邻接表，采用高斯混合模型预测节点的预测节点状态后同当前的节点状态进行校正，并基于事件频率作为邻居节点的权重以加权聚合得到当前节点的编码信息，基于编码信息进行异常点的判断，通过流式的图神经网络采用流处理的方式进行实现实时检测，解决了系统规模化和检测精度的难题。

公开(公告)号：CN119583117A

公开(公告)日：2025-03-07

申请号：CN202411626829.2

申请日：2024-11-14

Applicant: 浙江大学 ,  南方电网科学研究院有限责任公司

Inventor： 李振源 ,  王征凯 ,  蒋屹新 ,  徐文倩 ,  梁志宏 ,  张帆 ,  赵新杰 ,  郭世泽

IPC: H04L9/40

Abstract: 本发明公开了一种基于标签和梯度反向传播的自适应溯源图实时攻击检测方法和系统，属于攻击检测领域。本发明引入了异常检测机制，为节点增添了行为标签，并设置了对应规则，在检测时额外考虑异常情况，同时扩展了检测事件类型与规则。本发明采用全良性数据进行检测模块的训练，针对训练过程中产生的误报情况，采用反向传播的方法和Adam优化算法进行传播速率、异常阈值、告警阈值以及行为标签分数、实体标签分数的优化调整，最终使用优化训练后的检测模块进行检测。本发明克服了现有技术中优化范围过于局限告警事件对应的节点和边，无法全面提升系统整体检测准确性的问题，从而减少了误报率，并显著提高了系统对复杂攻击场景的响应能力。

公开(公告)号：CN118827248B

公开(公告)日：2024-11-19

申请号：CN202411313350.3

申请日：2024-09-20

Applicant: 浙江大学

Inventor： 李振源 ,  纪守领 ,  韦洋洋 ,  曾慧然 ,  尹建伟

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/149 ,  G06F18/214 ,  G06F18/2433

Abstract: 本方案提供了一种基于标签传递和事件基线学习的实时攻击链检测方法及系统，设计了标签，将已存在的标签传播至当前事件对应的溯源图节点上并进行标签的更新，并将更新的标签缓存在异常路径键值索引结构中，其中标签的更新规则为：根据当前事件的事件向量更新标签中的事件向量，计算当前事件的异常路径分数，根据上一次传播的溯源图节点以及当前事件对应的溯源图节点之间的传播路径更新异常路径，设计事件基线学习模型取代传统的基于事件概率安全基线判断，并基于流处理和标签传递实现实时且准确的异常路径挖掘和攻击检测。

公开(公告)号：CN118827248A

公开(公告)日：2024-10-22

申请号：CN202411313350.3

申请日：2024-09-20

Applicant: 浙江大学

Inventor： 李振源 ,  纪守领 ,  韦洋洋 ,  曾慧然 ,  尹建伟

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/149 ,  G06F18/214 ,  G06F18/2433

Abstract: 本方案提供了一种基于标签传递和事件基线学习的实时攻击链检测方法及系统，设计了标签，将已存在的标签传播至当前事件对应的溯源图节点上并进行标签的更新，并将更新的标签缓存在异常路径键值索引结构中，其中标签的更新规则为：根据当前事件的事件向量更新标签中的事件向量，计算当前事件的异常路径分数，根据上一次传播的溯源图节点以及当前事件对应的溯源图节点之间的传播路径更新异常路径，设计事件基线学习模型取代传统的基于事件概率安全基线判断，并基于流处理和标签传递实现实时且准确的异常路径挖掘和攻击检测。

公开(公告)号：CN118094537A

公开(公告)日：2024-05-28

申请号：CN202410104068.8

申请日：2024-01-24

Applicant: 浙江大学 ,  郑州信大先进技术研究院

Inventor： 张帆 ,  周童 ,  赵新杰 ,  郭世泽 ,  许海涛 ,  李振源 ,  陈思 ,  孙晓盼

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/241 ,  G06F18/213 ,  G06F40/216 ,  G06F16/35

Abstract: 本发明公开了基于动态API的安卓高隐蔽型恶意软件检测方法与系统，所述方法包括：对待检测的安卓软件根据API选取标准进行特征提取，得到待检测的安卓软件的API行为序列；将待检测的安卓软件的API行为序列输入至预先训练好的类自然语言处理模型，预测得到API特征化序列向量；将API特征化序列向量输入至预先训练好的分类层，得到方法级API序列；利用词频‑逆文档频率法对方法级API序列进行编码，将编码后的方法级API序列输入至预先训练好的序列分类器，得到安卓软件判断结果。本发明在大规模检测安卓软件时，不局限于运行时长的限制，大大节约检测的时间成本，提升检测效率。

公开(公告)号：CN119691043A

公开(公告)日：2025-03-25

申请号：CN202411790952.8

申请日：2024-12-06

Applicant: 浙江大学

Inventor： 李振源 ,  顾羽桥 ,  纪守领 ,  许海涛 ,  张帆 ,  赵新杰

IPC: G06F16/25 ,  G06F16/22

Abstract: 本发明公开了一种基于多层数据融合的云平台细粒度溯源数据采集方法与系统，属于云原生技术领域。本发明采用eBPF hook方法从云平台的各个抽象层中收集原始的函数调用信息；针对云平台中不同的抽象层，eBPF根据函数调用的特征将函数调用信息存储在不同的关键映射表中，所述的关键映射表包括TCP映射表、容器编排映射表、容器映射表和文件映射表；对不同抽象层的函数调用信息进行追踪信息优化；根据不同映射表中的键和值，将优化后的不同抽象层的信息进行关联，得到跨层信息集合；根据跨层信息集合，生成跨层溯源图。本发明可以解决云平台中实体、函数和容器映射关系不明确、归属不清晰以及难以实现高效统一跨层攻击溯源的问题。

公开(公告)号：CN119577827A

公开(公告)日：2025-03-07

申请号：CN202411615328.4

申请日：2024-11-13

Applicant: 浙江大学 ,  南方电网科学研究院有限责任公司

Inventor： 张帆 ,  李超 ,  李振源 ,  蒋屹新 ,  徐文倩 ,  梁志宏 ,  张文瀚 ,  许海涛 ,  赵新杰 ,  郭世泽

IPC: G06F21/62 ,  G06F21/10 ,  G06F21/64

Abstract: 本发明公开了一种基于函数秘密分享的双服务器关键词私有信息检索方法、电子设备、介质，包括：当客户端查询关键词在数据库中的条目时，基于散列函数组得到对应索引；随机地对每一索引发起查询；当客户端对第i个索引Ii发起查询时，生成一对查询密钥#imgabs0#分别传输给第一服务器以及第二服务器；生成一掩码mi，并将掩码mi传输给第一服务器；客户端与第二服务器进行隐私集合求交，若数据库中存在关键词，则客户端收到的查询结果#imgabs1#若数据库中不存在关键词，则客户端收到的查询结果为空；其中，第一查询结果#imgabs2#是第一服务器根据第一查询密钥#imgabs3#以及对掩码mi打乱顺序后的掩码mj处理得到的；第二查询结果#imgabs4#是第二服务器根据第二查询密钥#imgabs5#处理得到的。

公开(公告)号：CN119577767A

公开(公告)日：2025-03-07

申请号：CN202510134951.6

申请日：2025-02-07

Applicant: 浙江大学

Inventor： 许海涛 ,  卢彦臣 ,  林虹妤 ,  李振源 ,  张帆 ,  赵新杰 ,  郭世泽 ,  蒋屹新

IPC: G06F21/56 ,  G06F18/2431 ,  G06F18/25 ,  G06F18/22 ,  G06N3/042 ,  G06N3/045 ,  G06N3/0442 ,  G06V10/80 ,  G06V10/56 ,  G06V30/14 ,  G06V30/18

Abstract: 本发明公开了一种基于用户界面转换图的违法安卓应用检测方法及电子设备，包括：对待检测的安卓应用进行动态分析，获取动态用户界面转换图；对待检测的安卓应用进行静态分析，获取静态用户界面转换图以及待检测的安卓应用的元数据；在静态用户界面转换图、动态用户界面转换图间建立映射，对静态用户界面转换图、动态用户界面转换图进行对齐和融合，得到混合用户界面转换图；对混合用户界面转换图进行链路预测，更新用户界面转换图；将待检测的安卓应用的元数据输入编码器进行编码，对编码得到的元数据特征向量和更新后的用户界面转换图进行拼接，得到混合特征图；将混合特征图输入图神经网络进行标签预测，得到待检测的安卓应用对应的类别。

公开(公告)号：CN119004476A

公开(公告)日：2024-11-22

申请号：CN202411040280.9

申请日：2024-07-31

Applicant: 浙江大学

Inventor： 纪守领 ,  林型双 ,  赵彬彬 ,  巫英才 ,  邓水光 ,  孙斌 ,  伍一鸣 ,  李振源

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明提出了一种基于不变式验证的智能合约功能性漏洞检测方法和系统，方法包括：定义拟检测的智能合约功能性漏洞类别；输入拟检测的智能合约源代码文件并预处理；使用大语言模型预分析潜在漏洞及其漏洞类型；使用大语言模型检测存在潜在漏洞的函数代码中的关键变量或关键语句，将采用这些关键变量和关键语句生成不变式检查器，并将检查器插入至智能合约源代码中；基于动态模糊测试原理，建立针对不变式检查器的验证模型；使用验证模型对插入了不变式检查器的源代码进验证，输出检测结果。本发明实现了对智能合约进行高效地自动化分析，解决了智能合约代码中逻辑关系分析难度大的技术挑战，提升了智能合约功能性漏洞检测的效率。

公开(公告)号：CN119004475A

公开(公告)日：2024-11-22

申请号：CN202411040279.6

申请日：2024-07-31

Applicant: 浙江大学

Inventor： 纪守领 ,  林型双 ,  赵彬彬 ,  巫英才 ,  邓水光 ,  孙斌 ,  伍一鸣 ,  李振源

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明提出了一种基于大语言模型的智能合约功能性漏洞检测的方法和系统，方法包括以下步骤：定义拟检测的智能合约主流的功能性漏洞类别；输入智能合约项目源代码；对输入的源代码进行基于合约层面和函数层面的过滤操作，提取出与业务相关的核心函数代码；使用基于审计者视角的大语言模型智能体对核心函数代码进行逐个检测分析；使用基于攻击者视角的大语言模型智能体对核心函数代码进行逐个检测分析；建立双视角的智能体的融合模型，对上述两个视角的智能体输出的结果进行融合，输出最终的功能性漏洞检测结果。该方法和系统具备较强的理解分析能力、推理能力，可实现对智能合约进行高效、可靠的功能性漏洞检测。