-
公开(公告)号:CN118590275A
公开(公告)日:2024-09-03
申请号:CN202410659948.1
申请日:2024-05-27
Applicant: 广州大学
IPC: H04L9/40 , G06F18/2433 , G06F18/2415 , G06F18/213 , G06N3/042 , G06N3/047 , G06N3/048 , G06N3/08
Abstract: 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力,通过结合节点的行为信息和语义信息构建节点特征向量,丰富节点信息表示,更有利于异常检测分析。为提升异常检测模型的性能,本发明另一方面在图神经网络的基础上,设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进,提升主机侧系统日志溯源图中异常行为的检测精度,提高对异常检测场景的动态适应性。还一方面,本发明不仅实现节点级别的异常检测,还会构建攻击场景图片,以便更准确直接地检测和识别攻击路径,帮助网络安全专家分析网络的潜在安全威胁。
-
Patent Agency Ranking
公开(公告)号:CN118590274A
公开(公告)日:2024-09-03
申请号:CN202410659946.2
申请日:2024-05-27
Applicant: 广州大学
IPC: H04L9/40 , G06F18/214 , G06F18/2433 , G06N3/0464 , G06F18/213 , G06F18/2415
Abstract: 本发明公开了一种基于蜜点情报阈值调整的溯源图异常节点检测方法,通过将离线训练阶段得到的异常检测模型用于在线检测阶段,实现对溯源图异常节点的检测及攻击场景还原。一方面,本发明针对传统单模型异常检测区别不够敏感、易产生误报信息等问题,设计了多模型框架模块,通过多个子模型进行异常检测,并使用增加的概率校验模块提升子模型的分类信心,从而提高主机侧系统日志溯源图中异常行为的检测精确度。另一方面,本发明针对动态检测场景适应差的问题,使用基于盾立方四蜜情报的概率校验模块进行子模型的检测结果进行校验,盾立方四蜜情报实时捕获的攻击信息会实时影响异常检测时的分类置信度,从而提高异常检测中的动态场景适应性。
-
公开(公告)号:CN118536508A
公开(公告)日:2024-08-23
申请号:CN202410365412.9
申请日:2024-03-28
Applicant: 广州大学
IPC: G06F40/295 , G06F40/284 , G06F40/211 , G06F18/2415 , G06F18/2431 , G06F18/27 , G06N3/045 , G06N3/0442 , G06N3/08 , G06F21/56 , H04L9/40
Abstract: 本发明公开了一种基于自回归标签子序列的威胁实体抽取方法,方法包括下述步骤:获取威胁情报文本集合,包括多个句子序列;每一个句子序列中包含多个令牌;构建命名实体识别模型,包括令牌编码器、词性编码器、标签编码器及双向序列注意力模块;将威胁情报文本集合输入令牌编码器中通过子序列特征提取得到令牌特征;把威胁情报文本集合输入词性编码器中提炼和增强每个令牌的词性特征;使用标签编码器随机初始化标签嵌入表并编码标签序列得到序列顺序依赖性特征;将令牌特征、词性特征及序列顺序依赖性特征输入双向序列注意力模块中得到命名实体标签;基于命名实体标签构建威胁实体的攻击指纹图。
-
公开(公告)号:CN119692438A
公开(公告)日:2025-03-25
申请号:CN202411678818.9
申请日:2024-11-22
Applicant: 广州大学
IPC: G06N5/01 , G06F18/213 , G06F18/25 , G06N3/042 , G06N3/08
Abstract: 本发明公开了一种基于蜜点情报与邻域特征非线性交互的节点特征构造方法,首先获取原始溯源图并基于盾立方进行数据筛选得到良性溯源图;使用良性溯源图进行特征提取训练得到训练后的特征提取器;使用该特征提取器提取原始溯源图中每一节点的初始特征向量;然后依据目标节点及其L阶范围邻居节点的初始特征向量,构建目标节点的多跳特征子图;最后使用图神经网络对目标节点的多跳特征子图进行特征表示的融合更新,更新后的特征表示作为目标节点的特征。本方法不仅提取了更长距离的邻域信息,还关注了超大型异质图中的节点和边的隐性连接,提高了输出特征的特征表达能力和鲁棒性,为复杂图结构的学习提供了更具表现力的特征表示。
-
公开(公告)号:CN119561769A
公开(公告)日:2025-03-04
申请号:CN202411775602.4
申请日:2024-12-05
Applicant: 广州大学
Abstract: 本发明公开了一种基于逻辑攻击图与密码评估的企业网络弱口令评估方法,首先采集企业内网的网络拓扑结构、安全策略及系统配置,结合ATT&CK知识库映射的推理规则,使用MulVAL工具进行逻辑推理得到逻辑攻击图;接着获取各主机的系统账户密码信息,计算密码熵并模拟密码爆破时间评估得到密码风险值;之后将密码风险值与逻辑攻击图关联结合,生成新的包含密码风险值的带权值攻击图;同时识别带权值攻击图中的攻击起始点和攻击目标点;然后使用深度优先搜索算法遍历带权值攻击图中的所有攻击路径,计算每条攻击路径上及弱口令风险值;最后将弱口令风险值最高的攻击路径作为最佳攻击路径,生成并可视化处理,提升企业的网络安全防御水平。
-
公开(公告)号:CN119128877A
公开(公告)日:2024-12-13
申请号:CN202411231543.4
申请日:2024-09-04
Applicant: 广州大学
IPC: G06F21/55 , G06F16/35 , G06F18/2433 , G06F18/2321 , G06F16/33 , G06F40/295 , G06F18/10 , G06N3/0455 , G06N3/048 , G06N3/08
Abstract: 本发明公开了一种结合审计日志和踩蜜日志的异常行为检测方法,首先通过采集审计日志、合并简化审计日志、提取结构化日志信息并以进程为主体、在进程控制流的指导下构建用户行为实例;然后通过提取冗余信息模板进行降噪;最后通过构建溯源图,采用transR算法提取实体和关系特征并连接得到审计日志的特征向量;再结合盾立方中的四蜜日志采用无监督和弱监督学习方式训练序列编码网络,获取降噪后用户行为实例的特征;最后采用DBSCAN算法进行聚类分析得到异常用户行为。本发明通过审计日志的行为语义信息和四蜜日志的恶意信息,使用无监督和弱监督学习方式对异常行为和正常行为进行学习,提高用户行为特征提取的精度,提升异常检测的效率和精度。
-
-
-
-
-
Search Results
6
records
(took 0.021 seconds)
