公开(公告)号：CN116910013A

公开(公告)日：2023-10-20

申请号：CN202310873970.1

申请日：2023-07-17

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  魏少博 ,  林炜国 ,  彭春蕾 ,  李思琦 ,  崔金玉 ,  李德彪

IPC: G06F16/18 ,  G06F40/289 ,  G06F18/23213 ,  G06F18/24 ,  G06F40/30 ,  G06N3/0464 ,  G06N3/084

Abstract: 本发明公开一种基于语义流图挖掘的系统日志异常检测方法，主要解决了现有技术针对海量非结构化日志在异常检测任务中日志噪声去除难、系统变更导致检测效果不佳的问题。包括：1)对日志原始语句进行预处理，去除无意义符号并进行分词；2)利用Word2Vec结合日志语句中单词的重要度计算日志语句的词向量；3)利用基于注意力机制的双GRU网络，得到日志语句的句向量表示；4)对日志句向量进行聚类，将相似度高的日志语句划分为一类，构造语义流图；5)通过图卷积神经网络对语义流图进行特征提取和训练，实现异常检测。本方法能够有效解决日志噪声对异常检测的影响，并利用日志语句之间的空间结构信息提高异常检测的准确性。

公开(公告)号：CN116743342A

公开(公告)日：2023-09-12

申请号：CN202310754704.7

申请日：2023-06-26

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 方保坤 ,  林泽键 ,  李腾 ,  李德彪 ,  李思琦 ,  蒋啸峰 ,  林炜国

IPC: H04L9/00 ,  H04L9/40 ,  H04L9/08 ,  G06N3/0455 ,  G06N3/048 ,  G06N3/0495 ,  G06N3/084

Abstract: 本发明公开了一种基于自编码器的智能物联网设备密文数据异常检测方法，主要解决现有技术中数据在通讯过程及交予云平台进行异常检测时易被劫持和恶意篡改的问题。包括：1)对样本数据进行预处理并分组；2)构建自编码器神经网络模型，并在云端服务器中进行训练；3)智能物联网设备服务商利用TFTE算法对待测数据进行加密，并上传至云端服务器；4)云端服务器利用训练好的模型对加密数据进行异常检测，并发送结果；5)智能物联网服务商对检测结果进行解密，并计算数据差距，实现异常检测。本发明确保了异常检测的高性能，并在智能物联网设备数据发往云端及云端处理过程中始终保持密文态，显著提升了智能物联网设备的数据安全性。

公开(公告)号：CN119561756A

公开(公告)日：2025-03-04

申请号：CN202411732955.6

申请日：2024-11-29

Applicant: 西安电子科技大学

Inventor： 李腾 ,  苗涵 ,  谢亚轩 ,  王晨希 ,  党泽旭 ,  童小敏 ,  李德彪 ,  马卓

IPC: H04L9/40 ,  H04L61/5007 ,  H04L61/5076 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/092

Abstract: 本发明提出了一种基于入侵检测的深度强化学习移动目标防御系统及方法，主要解决现有方法对复杂网络环境下频繁IP跳变消耗资源过多且无法针对性防御的问题。方案包括：1)构建SDN网络拓扑并使用SDN控制器实时监控网络流量；2)构建基于CNN+LSTM并引入注意力机制的入侵检测模型，识别潜在威胁和异常行为；3)初始化IP资源并维护动态映射表和IP使用记录；4)构建基于深度强化学习的IP跳变模型并定义动作与奖励函数；5)通过策略更新完成模型优化；6)利用最优IP跳变策略实现移动目标防御。本发明能够提高复杂网络攻击的识别率，降低网络安全风险，同时减少数据处理的延迟，有效优化网络资源的利用率。

公开(公告)号：CN117201101A

公开(公告)日：2023-12-08

申请号：CN202311116839.7

申请日：2023-08-31

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  赵呈楠 ,  马瑞辰 ,  彭春蕾 ,  张嘉婧 ,  李德彪 ,  马卓

IPC: H04L9/40 ,  H04L12/40

Abstract: 本发明公开了一种基于增强型GAN模型的无人机CAN总线入侵检测方法，主要解决现有模型部署困难，且检测准确度不佳的问题。其实现步骤为：1)获取无人机受到攻击和未受到攻击的数据，处理后将其划分为训练集和测试集；2)构建由生成器和判别器组成的增强型GAN模型；3)利用训练集对所构建模型进行训练；4)根据训练结果计算损失函数，并对模型的权值、参数进行更新，得到训练好的检测模型；5)将检测模型中的判别器部署于无人机，获取机载CAN总线的实时检测结果。本发明能够有效降低入侵检测系统对无人机计算资源和能源的消耗，提高检测准确度，可用于无人机CAN总线入侵检测。

公开(公告)号：CN116760604A

公开(公告)日：2023-09-15

申请号：CN202310769347.1

申请日：2023-06-28

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  崔金玉 ,  李思琦 ,  林炜国 ,  方保坤 ,  马卓 ,  李德彪

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/0677 ,  H04L41/069 ,  H04L41/16 ,  G06N3/0455 ,  G06N3/048 ,  G06N3/0499 ,  G06N3/08

Abstract: 本发明提出了一种基于系统日志和深度学习的APT在线检测方法，主要解决现有技术中存在的APT攻击检测延迟、异常点定位准确性低以及难以适应新攻击模式的技术问题。方案包括：1)对系统日志进行预处理并迭代训练词向量模型；2)通过训练好的词向量模型将每组日志序列转换为向量数据集；3)构建Transformer模型并对其利用向量数据集对其进行迭代训练；3)获取日志索引序列并进行滞后扩充；4)搭建BiLSTM模型并利用扩充后的数据集对其进行迭代训练；4)利用训练好的两种模型在线检测及预测APT攻击。本发明提高了攻击检测模型的通用性与预测未知攻击的准确性，有效提升了检测效果，可用于网络攻击检测等场景。

公开(公告)号：CN116756341A

公开(公告)日：2023-09-15

申请号：CN202310754183.5

申请日：2023-06-26

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  李思琦 ,  崔金玉 ,  唐智亮 ,  任梓豪 ,  马卓 ,  李德彪

IPC: G06F16/36 ,  G06N5/02 ,  G06F40/30 ,  G06F18/22

Abstract: 本发明公开了一种基于多源漏洞数据的完备知识图谱构建方法，主要解决当前漏洞数据来源复杂、漏洞库中关系缺失的问题。包括：1)进行多源漏洞数据收集，数据来源于CVE、CWE、CAPEC以及安全社区中记录的非结构化漏洞数据；2)对描述非结构化漏洞信息的句子进行规范化处理，进行句子边界检测和名词短语归一化；3)对处理后的句子进行语义角色标记，提取句子角色构造数据三元组，并生成漏洞知识图谱；4)使用node2vec将漏洞知识图谱中的节点和关系表示到低维稠密的向量空间中，对图嵌入结果进行相似度计算；6)通过链接预测补全缺失关系，得到完备知识图谱。本发明能够建立完备漏洞数据库，有效提高漏洞检索效率。

公开(公告)号：CN119788397A

公开(公告)日：2025-04-08

申请号：CN202411994065.2

申请日：2024-12-31

Applicant: 西安电子科技大学

Inventor： 李腾 ,  张胜凯 ,  谢亚轩 ,  段洁 ,  李德彪 ,  肖勇才 ,  马卓 ,  马建峰

IPC: H04L9/40 ,  G06N3/0475 ,  G06N3/045 ,  G06N3/094 ,  G06N3/092 ,  G06N20/10

Abstract: 本发明公开了一种基于平行伴生网络强化学习的类免疫安全抗体生成方法及系统，属于网络安全技术领域，该方法根据网络威胁数据并结合编码技术构建抗原数据，对抗原数据进行拼接构建抗原序列；在平行伴生网络中加载对抗学习的生成网络#imgabs0#和判别网络#imgabs1#，生成网络的输入为抗原序列，输出为候选抗体序列，在对抗学习框架下，对生成网络#imgabs2#和判别网络#imgabs3#进行训练，交替更新生成网络和判别网络，直至生成网络的损失和判别网络的损失达到稳定；评估候选抗体序列和对应抗原序列的亲和性评分，选择评分最高的候选抗体序列作为特异性抗体；解决了现有技术中存在网络威胁检测困难、防御体系类免疫能力缺失的问题。

公开(公告)号：CN118074980A

公开(公告)日：2024-05-24

申请号：CN202410209726.X

申请日：2024-02-26

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  蒋啸峰 ,  谢亚轩 ,  李德彪 ,  马卓 ,  马建峰

IPC: H04L9/40

Abstract: 本发明提出了一种动态攻击溯源系统及方法，主要解决现有技术中复杂多步威胁攻击溯源效率低且准确性不佳的问题。系统包括模型生成模块、攻击定位模块与攻击追踪模块；首先通过标准化事件结构单元构建行为图模型，压缩事件并优化该模型；然后定位模型中存在的攻击事件，设计并行处理框架实现高效率攻击分析，同时借助抽象化环境统计计算实现事件关系的传递计算，通过迭代式计算完成全局上下文分析，准确区分真假攻击动作；最后利用攻击分析结果与动态标记技术进行攻击路径生成，得到带有攻击路径的图模型。本发明能够完成复杂事件关系下的高精度长链多分支攻击路径分析，实现高效攻击溯源。

公开(公告)号：CN116743468A

公开(公告)日：2023-09-12

申请号：CN202310757725.4

申请日：2023-06-26

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  唐智亮 ,  孙小敏 ,  方保坤 ,  林炜国 ,  马卓 ,  李德彪

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L41/14 ,  H04L41/16

Abstract: 本发明提出了一种基于强化学习的动态攻击路径生成方法，主要解决现有技术在内部网络环境下获取最优攻击路径效率低且结果不全面的问题。包括：1)构建用于模拟真实内部网络情况的网络拓扑结构；2)生成网络拓扑结构图，获取网络拓扑信息以及各主机漏洞信息；3)对主机漏洞信息进行权值计算，得到表示各节点间连通边的权值矩阵；4)利用前述步骤得到的信息构建基于强化学习的动态攻击路径生成模型；5)采用改进强化学习Q‑learning算法对模型进行迭代训练；6)根据训练后的攻击路径生成模型获取最优攻击路径结果。本发明能够应对复杂网络环境，高效输出符合真实网络环境特征的全部最优攻击路径结果。

公开(公告)号：CN119051923A

公开(公告)日：2024-11-29

申请号：CN202411093393.5

申请日：2024-08-09

Applicant: 西安电子科技大学

Inventor： 李腾 ,  谢亚轩 ,  汪凡卓 ,  魏至立 ,  张婷雨 ,  李德彪 ,  马卓 ,  马建峰

IPC: H04L9/40

Abstract: 本发明公开了一种基于日志图表示方法的APT攻击溯源方法及系统，该方法根据攻击事件的公开攻击日志构建溯源图；根据溯源图提取具有攻击特征的APT溯源图并构建APT溯源图样本库；根据具有攻击特征的APT溯源图对应的攻击行为产生的时间段前后的日志数据进行异常检测，提取与正常日志存在设定差异的节点，按照攻击组织对所有节点对应的统计数据进行分类，得到APT攻击组织的行为特征，根据APT攻击组织的行为特征构建行为特征样本库；获取待检测异常日志的具有攻击特征的APT溯源图，将该具有攻击特征的APT溯源图与APT溯源图样本库中的各样本进行匹配，根据匹配结果确定该异常日志是否为攻击行为，根据特征样本库识别APT攻击的组织身份。