公开(公告)号：CN117313091A

公开(公告)日：2023-12-29

申请号：CN202311318884.0

申请日：2023-10-12

Applicant: 福建福海创石油化工有限公司 ,  福州大学

Inventor： 吴绿滨 ,  蔡忠武 ,  刘延华 ,  李嘉琪 ,  沈婷招

IPC: G06F21/56 ,  G06V10/84 ,  G06V10/82 ,  G06N3/0464 ,  G06V10/764

Abstract: 本发明涉及一种面向恶意代码图像的可解释性评估方法。增强基于恶意代码图像的检测模型结果的可信度，为恶意代码家族分类结果提供可解释性评估。首先，经过数据预处理生成恶意代码样本对应的灰度图像和马尔可夫图像。利用生成的恶意代码图像数据，构建基于卷积神经网络判别模型。接着，利用梯度加权类激活映射Grad‑CAM方法，根据输入数据生成对应的热图，并将属于同一家族的热图进行叠加，得到代表家族特征的累积热图。然后，基于图像余弦相似度对家族内部和不同家族之间的样本数据进行热图相似性计算。最后，通过观察各家族累积热图特征并对比家族内部和不同家族之间的平均热图相似性，为基于恶意代码图像的恶意代码家族分类结果提供可解释性评估。

公开(公告)号：CN113645286B

公开(公告)日：2022-08-05

申请号：CN202110879142.X

申请日：2021-08-02

Applicant: 福州大学

Inventor： 刘延华 ,  刘志煌 ,  郭文忠

IPC: H04L67/02 ,  H04L9/40 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明涉及一种面向数据泄露的Web安全事件取证方法及系统。该方法包括：首先，经过数据预处理之后，将多源日志划分为前端Web流量、Web有效载荷和后端Web数据库访问三个层次，分别基于iForest、BLSTM‑CNN和Canopy‑kmeans三种方法进行异常识别。然后对Web前后端各个层次的异常检测结果进行决策融合，为攻击建模阶段锁定Web数据泄露事件的主要时间段、参与的异常主机以及对应的异常类型。再构建能够反映时间序列和异常事件因果关系的攻击网格图，完成攻击场景建模。最后审计攻击网格图中的相关日志数据，从而完成数据泄露场景的取证还原。

公开(公告)号：CN113645286A

公开(公告)日：2021-11-12

申请号：CN202110879142.X

申请日：2021-08-02

Applicant: 福州大学

Inventor： 刘延华 ,  刘志煌 ,  郭文忠

IPC: H04L29/08 ,  H04L29/06 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明涉及一种面向数据泄露的Web安全事件取证方法及系统。该方法包括：首先，经过数据预处理之后，将多源日志划分为前端Web流量、Web有效载荷和后端Web数据库访问三个层次，分别基于iForest、BLSTM‑CNN和Canopy‑kmeans三种方法进行异常识别。然后对Web前后端各个层次的异常检测结果进行决策融合，为攻击建模阶段锁定Web数据泄露事件的主要时间段、参与的异常主机以及对应的异常类型。再构建能够反映时间序列和异常事件因果关系的攻击网格图，完成攻击场景建模。最后审计攻击网格图中的相关日志数据，从而完成数据泄露场景的取证还原。

公开(公告)号：CN112217838B

公开(公告)日：2021-08-31

申请号：CN202011200596.1

申请日：2020-11-02

Applicant: 福州大学

Inventor： 刘延华 ,  郭文忠 ,  吴克栋 ,  陈辉

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及一种基于云模型理论的网络攻击面评估方法。该方法：首先，借鉴系统攻击面的三元组体系，根据影响网络攻击面的因素构建了层次型评估指标体系，结合攻击扫描数据定义了基础指标量化方式；其次，通过AHP的判断矩阵和专家经验法，计算各指标权重值，建立各指标和网络攻击面的关联性；最终，通过云模型相关法算法和设定的评语集对各指标及网络攻击面进行量化分析，得到量化值和评估结果。本发明有助于防御者直观了解网络攻击面及其组成元素的危害性大小，能直观判断面向网络攻击的动态防御机制的有效性。

公开(公告)号：CN112217838A

公开(公告)日：2021-01-12

申请号：CN202011200596.1

申请日：2020-11-02

Applicant: 福州大学

Inventor： 刘延华 ,  郭文忠 ,  吴克栋 ,  陈辉

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及一种基于云模型理论的网络攻击面评估方法。该方法：首先，借鉴系统攻击面的三元组体系，根据影响网络攻击面的因素构建了层次型评估指标体系，结合攻击扫描数据定义了基础指标量化方式；其次，通过AHP的判断矩阵和专家经验法，计算各指标权重值，建立各指标和网络攻击面的关联性；最终，通过云模型相关法算法和设定的评语集对各指标及网络攻击面进行量化分析，得到量化值和评估结果。本发明有助于防御者直观了解网络攻击面及其组成元素的危害性大小，能直观判断面向网络攻击的动态防御机制的有效性。

公开(公告)号：CN105096101B

公开(公告)日：2018-08-17

申请号：CN201510390803.7

申请日：2015-07-06

Applicant: 福州大学

Inventor： 刘延华 ,  郭文忠 ,  陈国龙 ,  谢莉莉

IPC: G06F17/00 ,  G06Q10/10 ,  G06F17/30 ,  H04L12/58

Abstract: 本发明涉及一种基于LDA模型及中心度算法的邮件网络取证分析方法，包括以下步骤：读取邮件数据，对邮件数据进行基于一犯罪主题的查询，得到查询结果；根据查询结果，构造以邮件用户为节点，以用户通信关系为边的邮件网络图；对查询结果中的每一封邮件，基于LDA模型计算其主题分布；计算查询结果中的每一封邮件基于犯罪主题的关联值；计算每条边基于犯罪主题的关联值；根据邮件网络图中每条边的关联值，计算每个节点的中心值；根据上一步得到的所有节点的中心值求节点的影响因子，影响因子大于设定阈值的即为基于所述犯罪主题的可疑对象。本发明协助调查取证人员查找可疑人群及分析核心成员角色，为计算机犯罪案件取证提供辅助和支持。

公开(公告)号：CN106970957A

公开(公告)日：2017-07-21

申请号：CN201710159858.6

申请日：2017-03-17

Applicant: 福州大学

Inventor： 刘延华 ,  郭文忠 ,  陈国龙

IPC: G06F17/30 ,  G06N5/02 ,  G06N5/04

Abstract: 本发明涉及一种数字证据链综合分析系统及方法，该方法包括：基于主体关联度、客体关联度、时间关联度、内容关联度和因果关联度等数字证据链构造方法，并定义了具体关联度计算方法，以实验实例验证了方法的可行性和有效性。与已有研究相比，提出的基于LDA算法的内容关联度方法和带有多条件约束的因果关联度方法具有鲜明的研究特色。