公开(公告)号：CN116248367A

公开(公告)日：2023-06-09

申请号：CN202310091225.1

申请日：2023-01-20

Applicant: 上海交通大学 ,  北京瑞星网安技术股份有限公司

Inventor： 李高磊 ,  邵长捷 ,  李建华 ,  周志洪 ,  刘文杰 ,  张量

IPC: H04L9/40 ,  G06F18/25 ,  G06F18/214 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/0985

Abstract: 本发明涉及一种基于威胁特征融合与元学习的APT攻击检测方法，包括：特征融合：通过时间戳将系统日志syslog与网络流量进行对齐，通过Padding技术将不同维度的数据融合为元任务，并基于元学习将融合后的数据分拆为支持集和查询集；构建APT攻击检测模型；基于元学习预训练APT攻击检测模型：基于支持集训练模型，更新模型参数，用一组支持集学习初始化状态；基于查询集计算局部梯度，优化模型参数，提升模型泛化能力；基于按需微调机制优化预训练的APT攻击检测模型；基于训练完成的APT攻击检测模型进行APT攻击检测。与现有技术相比，本发明能够在攻击样本极少且类不平衡的条件下实现对高隐蔽未知APT的高效检测。

公开(公告)号：CN116301875A

公开(公告)日：2023-06-23

申请号：CN202211088884.1

申请日：2022-09-07

Applicant: 上海交通大学 ,  公安部第三研究所

Inventor： 伍军 ,  邵长捷 ,  裴蓓 ,  李高磊 ,  林夕

IPC: G06F8/41 ,  G06F16/35 ,  G06F21/56 ,  G06N3/044 ,  G06N3/08

Abstract: 本发明涉及一种基于学习模型可触发性的代码语义冗余度量验证方法，包括以下步骤：合成混合代码数据集，包含恶意代码和非恶意代码，将该混合代码数据集分为训练集和测试集；在训练集中插入触发器并作为第一训练集，对第一训练集进行代码语义表征，利用对抗扰动投毒，获取中毒的代码语义表征结果，并将中毒的代码语义表征结果处理为特征向量，将该特征向量输入良性神经网络模型进行训练，获取后门神经网络模型；在测试集中插入触发器，获取第一测试集，对第一测试集进行处理后，输入到后门神经网络模型中，根据后门神经网络模型的输出结果验证输入样本中是否包含语义冗余空间。与现有技术相比，该发明能够准确验证并度量代码数据的语义冗余空间。