公开(公告)号：CN119484109A

公开(公告)日：2025-02-18

申请号：CN202411638079.0

申请日：2024-11-16

Applicant: 广州大学

Inventor： 田志宏 ,  任怡彤 ,  方滨兴 ,  刘园 ,  苏申 ,  孙彦斌 ,  鲁辉 ,  李默涵 ,  张乐君 ,  徐光侠 ,  姜誉 ,  仇晶 ,  王瑞 ,  周盈海

IPC: H04L9/40

Abstract: 本发明公开了一种基于界定组织攻击偏好的控守图决策方法及系统，其方法包括步骤：从蜜点的日志服务器收集攻击信息，通过威胁情报知识图谱与外部威胁情报库的联合搜索，归因界定攻击组织的行为模式，并对攻击组织的攻击偏好进行排序；从攻击者视角出发，通过目标网络中的拓扑信息、资产信息以及配置信息生成攻击图，并进行界定组织攻击偏好到攻击图节点的映射，生成控守图，再生成用于量化计算攻击图受攻击模式偏好影响的控守矩阵；基于攻击图的控守矩阵对界定组织攻击偏好的分析，有侧重点地生成蜜点服务，为防御措施的部署提供决策支持。本发明能够更加灵活化的快速自动生成蜜点服务类型，为欺骗防御的分析和部署极大的节省了人力与时间成本。

公开(公告)号：CN119071043A

公开(公告)日：2024-12-03

申请号：CN202411114899.X

申请日：2024-08-14

Applicant: 广州大学

Inventor： 田志宏 ,  易浩文 ,  方滨兴 ,  鲁辉 ,  刘园 ,  孙彦斌 ,  王瑞 ,  李默涵 ,  苏申 ,  徐光侠 ,  谭庆丰 ,  姜誉

IPC: H04L9/40

Abstract: 本发明提供了一种物联网设备的主动防御方法，包括：在物联网设备中设置主控管理器、预训练模型和终端控制器；主控管理器设置伪装信息，伪装信息包括物联网设备的伪装配置文件和伪装策略；预训练模型根据物联网设备的数据信息生成诱饵流量；终端控制器创建伪装实例、为伪装实例分配属性信息和按照设定规则切换伪装实例的信息；伪装实例包括伪装策略执行器和交互行为记录器，伪装策略执行器用于根据伪装策略主动释放诱饵流量吸引攻击者并与攻击者交互，交互行为记录器用于记录交互信息。应用该方法能够在网络环境中伪装真实的物联网终端并且主动释放诱饵流量进而吸引攻击者进行交互以此来发现潜在的攻击者，实现物联网设备的主动防御。

公开(公告)号：CN118740492A

公开(公告)日：2024-10-01

申请号：CN202410994045.9

申请日：2024-07-23

Applicant: 广州大学

Inventor： 田志宏 ,  李凡 ,  王瑞 ,  方滨兴 ,  苏申 ,  刘园 ,  孙彦斌 ,  鲁辉 ,  徐光侠 ,  仇晶 ,  周盈海

IPC: H04L9/40 ,  H04L61/5007 ,  H04L61/5061 ,  H04L61/5053 ,  H04L41/16 ,  H04L101/663

Abstract: 本发明提供了一种基于控守图的网络系统防御方法，涉及网络安全技术领域，包括：获取蜜点设备信息、网络资产设备信息和攻击路径信息生成具有多条路径的控守图；基于所述控守图对路径上最易被攻击的网络资产设备进行仿真后生成相应的蜜点设备，并基于所述蜜点设备获取攻击者的攻击意图信息；将所述攻击意图信息输入到防御收益模型进行训练调参后获得训练好的防御收益模型，基于所述训练后的防御收益模型输出使得防御者收益最大化的防护策略信息；防御者基于所述防护策略信息更换蜜点设备的IP地址或端口号进行防御。本发明在控守图的背景下，利用强化学习算法，动态调整防御策略，增加了攻击者的攻击成本，提高了网络系统的安全性。

公开(公告)号：CN118075035A

公开(公告)日：2024-05-24

申请号：CN202410479690.7

申请日：2024-04-22

Applicant: 广州大学 ,  杭州海康威视数字技术股份有限公司

Inventor： 田志宏 ,  易浩文 ,  方滨兴 ,  王滨 ,  刘园 ,  鲁辉 ,  孙彦斌 ,  王瑞 ,  李默涵

IPC: H04L9/40 ,  H04N23/60

Abstract: 本发明公开了一种基于主动防御的网络摄像头蜜点生成方法与装置，涉及网络摄像头安全技术领域，生成一个或者是多个摄像头蜜点诱饵，基于自身所模拟的不同厂商的摄像头设备，主动向外释放一些虚假的蜜饵流量，比如一些客户端访问摄像头的管理界面的时传输的流量、管理控制摄像头时所需使用的指令等，若是攻击者成功被吸引并且进行尝试，系统自身也能够进行一定程度的交互并且同时会记录下攻击者的访问流量并及时通知给管理员，该系统也能够与传统防御手段或者其它类型的蜜罐产品相结合使用，既能补足被动防御的缺陷又能增强蜜点的欺骗效果。

公开(公告)号：CN117786088A

公开(公告)日：2024-03-29

申请号：CN202410051928.6

申请日：2024-01-15

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC: G06F16/332 ,  G06F16/35 ,  G06F16/36 ,  G06N5/022 ,  G06F16/33 ,  G06F40/205

Abstract: 本发明提供了一种威胁的语言模型分析方法，包括：获取威胁情报，判断威胁情报的类型；根据威胁情报的类型选择对威胁情报进行语言模型分析的信息抽取方式；应用选择的信息抽取方式对威胁情报进行信息抽取；获取信息抽取结果从而得到对应威胁情报的威胁知识图谱。应用该方法能够从大量的非结构化网络威胁情报中高效抽取并整合信息,提高了信息处理的效率，增强对APT攻击的识别和分析能力；能够快速识别网络中的异常行为，并及时做出响应，有效减少网络攻击的风险；通过融合知识图谱增加了大型语言模型的可解释性，提升模型输出结果的可理解性和可靠性。

公开(公告)号：CN116846637A

公开(公告)日：2023-10-03

申请号：CN202310817781.2

申请日：2023-07-04

Applicant: 广州大学

Inventor： 田志宏 ,  易浩文 ,  方滨兴 ,  鲁辉 ,  孙彦斌 ,  王瑞 ,  李默涵 ,  刘园 ,  徐光侠 ,  谭庆丰 ,  姜誉

IPC: H04L9/40

Abstract: 本说明书实施例提供了一种流量绊线生成系统及方法，所述系统部署在内网中的任意一台设备之上，与蜜罐机配套使用，其特征在于，包括：环境扫描器、绊线控制器和绊线生成器；所述环境扫描器用于：通过主动扫描当前内网的网络环境，采集内网中的存活主机信息和服务器信息，并将扫描结果进行存储；所述绊线控制器用于：根据所述存活主机信息和服务器信息构造流量绊线数据包，并与所述绊线生成器进行交互；所述绊线生成器用于：根据所述流量绊线数据包，生成对应的流量绊线，并且维持与对端的通信。本发明能够增强网络中用户和业务机的隐蔽性，干扰攻击者对攻击目标的选择，保证了网络空间的安全。

公开(公告)号：CN119172117A

公开(公告)日：2024-12-20

申请号：CN202411188862.1

申请日：2024-08-28

Applicant: 广州大学

Inventor： 田志宏 ,  王晨光 ,  王瑞 ,  方滨兴 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  李默涵 ,  苏申 ,  徐光侠 ,  谭庆丰 ,  姜誉 ,  周盈海

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明提供了一种Web API的蜜点生成方法，属于网络安全领域。具体技术方案为：获取开源网站源代码预处理后构建训练集，基于训练集训练word2vec模型获得参数生成模型；解析用户提供的Web API信息获得请求参数及所述请求参数对应的请求方式，将所述请求参数输入参数生成模型得到欺骗性参数，基于欺骗性参数及所述欺骗性参数对应的请求方式构建欺骗性蜜点；受到攻击时解析流量获得攻击者的请求参数及对应的攻击方式，基于所述攻击者请求参数及对应的攻击方式更新所述训练集，基于更新后的训练集更新参生成模型，并更新欺骗性蜜点；本发明能够更全面有效的保护Web API，在网络安全领域提供了更为有效的解决方案。

公开(公告)号：CN117786088B

公开(公告)日：2024-08-30

申请号：CN202410051928.6

申请日：2024-01-15

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇

IPC: G06F16/332 ,  G06F16/35 ,  G06F16/36 ,  G06N5/022 ,  G06F16/33 ,  G06F40/205

Abstract: 本发明提供了一种威胁的语言模型分析方法，包括：获取威胁情报，判断威胁情报的类型；根据威胁情报的类型选择对威胁情报进行语言模型分析的信息抽取方式；应用选择的信息抽取方式对威胁情报进行信息抽取；获取信息抽取结果从而得到对应威胁情报的威胁知识图谱。应用该方法能够从大量的非结构化网络威胁情报中高效抽取并整合信息,提高了信息处理的效率，增强对APT攻击的识别和分析能力；能够快速识别网络中的异常行为，并及时做出响应，有效减少网络攻击的风险；通过融合知识图谱增加了大型语言模型的可解释性，提升模型输出结果的可理解性和可靠性。

公开(公告)号：CN117829141A

公开(公告)日：2024-04-05

申请号：CN202410251791.9

申请日：2024-03-06

Applicant: 广州大学

Inventor： 田志宏 ,  黄婕 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  王瑞 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC: G06F40/279 ,  G06N5/022 ,  H04L9/40

Abstract: 本发明公开了基于攻击模式的动态实体对齐方法，涉及网络安全防护技术领域，通过深度学习模型进行实体抽取和关系抽取，采用深度学习的Transformer标记文本中的命名实体，通过嵌入表示法将实体和关系映射到向量空间，CNN和RNN用于捕捉上下文信息，注意力机制提高信息关注度，多任务学习联合处理实体抽取和关系抽取后构建知识图谱，将提取出攻击模式抽象语义描述作为实体特征嵌入，将映射的标准化格式要点作为辅助实体属性标签，联合知识图谱中子图内多种关系信息，同时使用时间参数集合增加实体的时序特征，生成准确、唯一且具有动态特点的攻击实体“画像”。本发明解决了现有对齐手段的准确性不够高的问题，同时实现了实体对齐随时间变化而自发调整。

公开(公告)号：CN117560223A

公开(公告)日：2024-02-13

申请号：CN202410021371.1

申请日：2024-01-08

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  王梓宇 ,  周盈海 ,  刘园 ,  仇晶 ,  鲁辉 ,  李默涵 ,  孙彦斌 ,  何群 ,  徐天福 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王瑞 ,  任怡彤

IPC: H04L9/40 ,  H04L43/06 ,  G06N5/04

Abstract: 本发明提供了一种威胁的归因预测方法，包括：获取系统记录的网络访问信息，根据网络访问信息提取对应的IP数据；从威胁情报数据平台查询匹配IP数据的IP节点，根据IP节点获取IP威胁情报数据；根据IP威胁情报数据进行威胁组织归因推理，得到威胁的归因预测结果。进一步，还能够获取IP数据、IP威胁情报数据和归因预测结果，整合生成威胁的归因预测报告。应用本发明的方法能够实现网络安全防御阶段的有效前移，提升现有防御系统对新型和未知威胁的响应能力，增强整个网络安全体系的主动性和有效性，可以有效提升对早期潜在威胁的感知和反应能力，增强安全分析师对网络威胁的理解和响应效率。