公开(公告)号：CN111683080A

公开(公告)日：2020-09-18

申请号：CN202010496807.4

申请日：2020-06-03

Applicant: 西安电子科技大学

Inventor： 李腾 ,  龙江山 ,  韦薇 ,  朱瑞风 ,  廖艾 ,  王禾 ,  张钰洁 ,  张岩 ,  龚逸儒 ,  陈可欣 ,  乔伟 ,  陈振哲 ,  李博洋 ,  姬祥 ,  李卓钊 ,  刘瑞洁 ,  江娅 ,  叶先志 ,  蒋心烛

IPC: H04L29/06 ,  H04L12/24 ,  G06F17/18

Abstract: 一种高危攻击路径动态预测及修复系统与方法，高危攻击路径预测模块依据攻击目标采用攻击子图生成算法生成攻击子图，然后使用改进的CVSS评分策略和专家知识库估计各攻击节点的攻击发动概率、攻击成功概率以及安全监测点的置信度，得到概率攻击图，最终通过最大概率攻击路径预测算法得到高危攻击路径。高危攻击路径动态修正模块以系统日志与安全监测点报警信息作为数据源建立起Gompertz数学模型，动态反映每一个攻击及其所在路径的利用概率随时间变化的特性。修复策略模块通过攻击综合影响评估算法评估攻击的客观影响范围、客观威胁性及攻击所处拓扑位置带来的安全需求，启示最大价值修复点。本发明预测精度高，具有更高的参考度。

公开(公告)号：CN112182567A

公开(公告)日：2021-01-05

申请号：CN202011052807.1

申请日：2020-09-29

Applicant: 西安电子科技大学

Inventor： 李腾 ,  乔伟 ,  王晓萌 ,  尹思薇 ,  林杨旭 ,  温子祺 ,  张翔宇 ,  魏大卫 ,  沈玉龙 ,  马建峰

IPC: G06F21/55 ,  G06F16/951 ,  G06F16/901 ,  G06F16/18 ,  G06K9/62

Abstract: 一种多步攻击溯源方法、系统、终端及可读存储介质，溯源方法包括以下步骤：格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；通过权重向量为事件关系图加权，得到带权关系图；将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质，本发明利用多个日志关联分析，能够解决因关系连接产生的状态爆炸问题，可以有效的分析多步攻击的攻击过程，可用于多种系统中基于多日志的攻击分析。

公开(公告)号：CN113382413A

公开(公告)日：2021-09-10

申请号：CN202110634005.X

申请日：2021-06-07

Applicant: 西安电子科技大学

Inventor： 李腾 ,  方保坤 ,  乔伟 ,  廖艾 ,  林杨旭 ,  孙小敏 ,  马卓 ,  马建峰

IPC: H04W12/121 ,  H04W12/00 ,  H04L29/06 ,  G06N3/04 ,  G06N3/08 ,  G06N20/10

Abstract: 基于机器学习的智能无人设备组网异常检测方法及系统，检测方法包括：获取智能无人设备组网中每一辆智能无人设备的行驶数据和组网中相互通信所产生的网络数据，抽取不同特征的数据以表示智能无人设备组网在行驶过程中的行驶状态和网络状态，并将其转化为特征向量；对特征向量进行降维，并对降维后的特征向量根据密度分布进行智能无人设备的行驶事件聚类，将智能无人设备组网中各智能无人设备的行驶事件划分为正常事件和异常事件；针对划分后的行驶事件，将对应的特征向量整合成相应的矩阵输入机器学习模型中，学习正常事件和异常事件的特征，再利用模型对智能无人设备组网实现异常检测。本发明结合了行驶数据和网络数据，能实现高效的异常检测。

公开(公告)号：CN111683080B

公开(公告)日：2021-08-10

申请号：CN202010496807.4

申请日：2020-06-03

Applicant: 西安电子科技大学

Inventor： 李腾 ,  龙江山 ,  韦薇 ,  朱瑞风 ,  廖艾 ,  王禾 ,  张钰洁 ,  张岩 ,  龚逸儒 ,  陈可欣 ,  乔伟 ,  陈振哲 ,  李博洋 ,  姬祥 ,  李卓钊 ,  刘瑞洁 ,  江娅 ,  叶先志 ,  蒋心烛

IPC: H04L29/06 ,  H04L12/24 ,  G06F17/18

Abstract: 一种高危攻击路径动态预测及修复系统与方法，高危攻击路径预测模块依据攻击目标采用攻击子图生成算法生成攻击子图，然后使用改进的CVSS评分策略和专家知识库估计各攻击节点的攻击发动概率、攻击成功概率以及安全监测点的置信度，得到概率攻击图，最终通过最大概率攻击路径预测算法得到高危攻击路径。高危攻击路径动态修正模块以系统日志与安全监测点报警信息作为数据源建立起Gompertz数学模型，动态反映每一个攻击及其所在路径的利用概率随时间变化的特性。修复策略模块通过攻击综合影响评估算法评估攻击的客观影响范围、客观威胁性及攻击所处拓扑位置带来的安全需求，启示最大价值修复点。本发明预测精度高，具有更高的参考度。

公开(公告)号：CN113382413B

公开(公告)日：2022-09-27

申请号：CN202110634005.X

申请日：2021-06-07

Applicant: 西安电子科技大学

Inventor： 李腾 ,  方保坤 ,  乔伟 ,  廖艾 ,  林杨旭 ,  孙小敏 ,  马卓 ,  马建峰

IPC: H04W12/121 ,  H04W12/00 ,  H04L9/40 ,  G06N3/04 ,  G06N3/08 ,  G06N20/10

Abstract: 基于机器学习的智能无人设备组网异常检测方法及系统，检测方法包括：获取智能无人设备组网中每一辆智能无人设备的行驶数据和组网中相互通信所产生的网络数据，抽取不同特征的数据以表示智能无人设备组网在行驶过程中的行驶状态和网络状态，并将其转化为特征向量；对特征向量进行降维，并对降维后的特征向量根据密度分布进行智能无人设备的行驶事件聚类，将智能无人设备组网中各智能无人设备的行驶事件划分为正常事件和异常事件；针对划分后的行驶事件，将对应的特征向量整合成相应的矩阵输入机器学习模型中，学习正常事件和异常事件的特征，再利用模型对智能无人设备组网实现异常检测。本发明结合了行驶数据和网络数据，能实现高效的异常检测。

公开(公告)号：CN112182567B

公开(公告)日：2022-12-27

申请号：CN202011052807.1

申请日：2020-09-29

Applicant: 西安电子科技大学

Inventor： 李腾 ,  乔伟 ,  王晓萌 ,  尹思薇 ,  林杨旭 ,  温子祺 ,  张翔宇 ,  魏大卫 ,  沈玉龙 ,  马建峰

IPC: G06F21/55 ,  G06F16/951 ,  G06F16/901 ,  G06F16/18 ,  G06K9/62

Abstract: 一种多步攻击溯源方法、系统、终端及可读存储介质，溯源方法包括以下步骤：格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；通过权重向量为事件关系图加权，得到带权关系图；将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质，本发明利用多个日志关联分析，能够解决因关系连接产生的状态爆炸问题，可以有效的分析多步攻击的攻击过程，可用于多种系统中基于多日志的攻击分析。