公开(公告)号：CN117544421B

公开(公告)日：2024-03-26

申请号：CN202410022133.2

申请日：2024-01-08

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王昊 ,  欧露

IPC: H04L9/40

Abstract: 本发明提供了一种网络威胁检测方法，包括：构建系统溯源图，系统溯源图包括m个节点；通过图卷积神经网络学习系统溯源图的特征表示，得到节点的表示构成系统活动子图；根据预设的时间窗口划分n张系统活动子图得到目标活动子图；通过局部‑全局互信息最大化学习目标活动子图中的样本表示，优化样本表示得到目标活动子图的合理表示；学习目标活动子图的图向量重建模型得到重建的图向量表示；根据目标活动子图的合理表示和重建的图向量表示计算重建误差；根据重建误差检测异常活动子图，以实现威胁检测。应用该方法进行网络威胁检测能够高效检测细微的攻击活动，并且保证对未知威胁的检查能力。

公开(公告)号：CN117544421A

公开(公告)日：2024-02-09

申请号：CN202410022133.2

申请日：2024-01-08

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  徐天福 ,  何群 ,  邱日轩 ,  郑志彬 ,  崔宇 ,  王昊 ,  欧露

IPC: H04L9/40

Abstract: 本发明提供了一种网络威胁检测方法，包括：构建系统溯源图，系统溯源图包括m个节点；通过图卷积神经网络学习系统溯源图的特征表示，得到节点的表示构成系统活动子图；根据预设的时间窗口划分n张系统活动子图得到目标活动子图；通过局部‑全局互信息最大化学习目标活动子图中的样本表示，优化样本表示得到目标活动子图的合理表示；学习目标活动子图的图向量重建模型得到重建的图向量表示；根据目标活动子图的合理表示和重建的图向量表示计算重建误差；根据重建误差检测异常活动子图，以实现威胁检测。应用该方法进行网络威胁检测能够高效检测细微的攻击活动，并且保证对未知威胁的检查能力。

公开(公告)号：CN119603008A

公开(公告)日：2025-03-11

申请号：CN202411638046.6

申请日：2024-11-16

Applicant: 广州大学

Inventor： 田志宏 ,  王昊 ,  吴未 ,  刘园 ,  孙彦斌 ,  鲁辉 ,  苏申 ,  李默涵 ,  仇晶

IPC: H04L9/40 ,  G06F18/22

Abstract: 本发明提供了一种APT攻击检测方法、系统、存储介质及电子设备，该方法包括：采集多份已知攻击的攻击日志，并根据攻击日志构建攻击子图；基于注意力机制对攻击子图中的节点进行特征增强，得到与节点对应的特征向量，并根据特征向量对初始检测模型进行训练，得到最终检测模型；获取待检测主机日志，并根据待检测主机日志构建溯源图，对溯源图中的进程节点进行子图采样，得到至少一份目标子图；将至少一份目标子图分别进行特征增强，得到增强后的目标特征向量，并将目标特征向量依次输入最终检测模型中，得到与每份目标子图对应的检测结果。本发明能够提高检测的准确性和灵活性，减少误报或者漏报的情况。

公开(公告)号：CN119382973A

公开(公告)日：2025-01-28

申请号：CN202411504429.4

申请日：2024-10-26

Applicant: 广州大学

Inventor： 田志宏 ,  王昊 ,  吴未 ,  仇晶 ,  刘园 ,  鲁辉 ,  孙彦斌 ,  苏申 ,  徐光侠 ,  李默涵 ,  谭庆丰

IPC: H04L9/40

Abstract: 本发明提供了一种基于ChatGPT的安全防护软件的规则生成方法及系统，涉及网络安全威胁检测领域，具体方案：自动爬取其他安全设备平台已生成有效规则的威胁分析报告A，将所述威胁分析报告A的有效规则作为规则案例对ChatGPT进行指令微调，生成得到样例微调GPT模型；获取待保护安全设备的威胁分析报告B，基于所述样例微调GPT模型对ChatGPT发起请求，ChatGPT根据请求解析威胁分析报告B生成威胁检测规则，将所述威胁检测规则转换得安全防护软件的语法规则；基于所述语法规则进行模拟攻击测试和白盒测试，筛选掉未通过测试的语法规则，得到安全防护软件的通用语法规则。本发明改善了现有技术对攻击响应较慢的问题，并自动设计生成威胁检测规则，降低了使用成本。

公开(公告)号：CN119051943A

公开(公告)日：2024-11-29

申请号：CN202411167740.4

申请日：2024-08-23

Applicant: 广州大学

Inventor： 田志宏 ,  王燕 ,  吴未 ,  王昊 ,  吴睿 ,  刘园 ,  苏申 ,  孙彦斌 ,  鲁辉 ,  李默涵

IPC: H04L9/40

Abstract: 本发明提供了一种基于溯源图的威胁检测及响应模型的构建方法及系统，该方法包括：构建初始溯源图；定义初始溯源图中的数据结构，根据数据结构调取出第一预设规则，并根据第一预设规则获取标签值；根据预设标签衰减规则对标签值进行衰减控制，得到更新后的标签值，并根据更新后的标签值从预设数据库中获取对应的检测策略；根据检测策略获取与每种更新后的标签值对应的攻击行为信息，并根据攻击行为信息对初始溯源图进行标注，得到最终溯源图；构建网络安全知识图谱，并将网络安全知识图谱和最终溯源图输入初始威胁检测及响应模型中进行训练，得到最终威胁检测及响应模型。本申请能够提高网络安全威胁检测的精准度以及响应效率。

公开(公告)号：CN116910747A

公开(公告)日：2023-10-20

申请号：CN202310765864.1

申请日：2023-06-26

Applicant: 广州大学

Inventor： 田志宏 ,  欧露 ,  吴未 ,  仇晶 ,  戚吴祺 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  王昊 ,  倪晓雅

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明公开了一种检测APT攻击的方法、系统及装置，包括：S1、构建分布式主机模型，所述分布式主机模型用于对系统事件进行分类，并在分布式主机模型中构建相应的节点；S2、根据分布式主机模型构建全局模型，所述全局模型用于给每个提供相同类型服务的主机拥有服务行为的全局视图，将全局模型发送到主机更新分布式主机模型；S3、客户端获取系统事件，基于全局模型查找是否存在匹配的节点，若没有匹配的节点则检测到APT攻击，将警报上报服务器；S4、将重复警报删除，相似警报聚义，并对警报进行优先级排序。本发明可以实现检测ATP攻击，成本低。

公开(公告)号：CN117312526A

公开(公告)日：2023-12-29

申请号：CN202311378781.3

申请日：2023-10-23

Applicant: 广州大学

Inventor： 田志宏 ,  欧露 ,  吴未 ,  仇晶 ,  戚吴棋 ,  鲁辉 ,  孙彦斌 ,  苏申 ,  徐光侠 ,  刘园 ,  李默涵 ,  王昊

IPC: G06F16/332 ,  G06F18/232 ,  G06F18/2411 ,  G06F18/22 ,  G06F40/205

Abstract: 本发明涉及数据安全领域，公开了一种从审计日志中自动抽取出高级行为的方法，将待分析的审计日志解析为三元组，构造基于所述审计日志的三元组的溯源图；推断所述溯源图中各节点上下文的语义，并从所述溯源图中枚举用于表征对应行为实例的子图，从而基于所述语义和所述行为实例进行行为的语义聚合以得到行为实例的语义；根据预设规则将行为实例聚类成簇，并从每个簇中提取出最具代表性的行为实例的行为签名，从而获得高级行为的语义。本发明最终通过将行为聚类的方式辅助分析师进行审计日志分析，极大的减少了他们的工作量，同时无需依赖专家知识。

公开(公告)号：CN119728139A

公开(公告)日：2025-03-28

申请号：CN202411090842.0

申请日：2024-08-09

Applicant: 广州大学 ,  中国南方电网有限责任公司

Inventor： 田志宏 ,  周梨 ,  吴未 ,  苏扬 ,  陈清明 ,  仇晶 ,  鲁辉 ,  孙彦斌 ,  刘园 ,  苏申 ,  李默涵 ,  戚吴祺 ,  欧露 ,  王昊 ,  王燕

IPC: H04L9/40

Abstract: 本发明提供了一种网络威胁情报质量的定量评估方法，涉及网络安全技术领域，包括：确定网络威胁情报的质量评估领域，所述质量评估领域具有多个评估样本；获取所述质量评估领域对应的M个质量因素，任意选取N个所述质量因素作为目标质量因素，并基于所述目标质量因素对所述评估样本进行权重排序获得排序序列后建立网络威胁情报质量评估模型；将网络威胁情报质量评估模型应用于预设领域，并对所述网络威胁情报质量评估模型进行定量评估后获得所述预设领域的质量评估得分。本发明通过明确定义和量化威胁情报的评估指标，减少了专家主观判断对网络威胁情报质量评估结果的影响，提高了网络威胁情报质量评估结果的准确性和全面性。

公开(公告)号：CN119182585A

公开(公告)日：2024-12-24

申请号：CN202411255233.6

申请日：2024-09-09

Applicant: 广州大学

Inventor： 田志宏 ,  欧露 ,  倪晓雅 ,  吴未 ,  刘园 ,  戚吴祺 ,  王昊 ,  仇晶 ,  鲁辉 ,  孙彦斌 ,  苏申 ,  徐光侠 ,  李默涵

IPC: H04L9/40 ,  G06N5/04

Abstract: 本发明涉及网络安全的技术领域，具体为一种基于GPT4的网安领域知识增强方法和系统，将网安领域的知识图谱作为GPT‑4的外部知识库，通过与GPT‑4不断进行交互的方式来行成GPT‑4推理链，让它利用自身强大的推理能力逐步推理出知识图谱中与问题最相关的信息，同时结合GPT‑4强大的知识储备对获取到的有效信息继续解析和处理，从而实现对自身的网安领域知识增强；包括以下步骤：预处理知识图谱获取实体向量；获取用户所输入问题的关键要素，得到嵌入向量；获取所有实体向量与嵌入向量之间的语义相似度得分，语义相似度得分最高的实体为语义最相近实体；设置阈值，如果语义最相近实体的语义相似度得分仍然低于阈值，则转向大模型问答处理。

公开(公告)号：CN117081810A

公开(公告)日：2023-11-17

申请号：CN202311062110.6

申请日：2023-08-22

Applicant: 广州大学

Inventor： 田志宏 ,  吴未 ,  戚吴祺 ,  仇晶 ,  王昊 ,  王瑞 ,  鲁辉 ,  苏申 ,  刘园 ,  孙彦斌 ,  李默涵 ,  欧露

IPC: H04L9/40

Abstract: 本发明提供了一种开源威胁情报的可靠性评估方法及系统，涉及威胁情报可靠性评估技术领域，其中，方法包括：从公开网络资源中进行开源威胁情报的收集，为所收集的开源威胁情报新增来源信息与信息映射；基于用于描述网络威胁情报的STIX和UCO标准，构建知识图谱本体模型；根据收集的开源威胁情报以及来源信息与信息映射基于知识图谱本体模型构建不确定性网络安全知识图谱；根据不确定性网络安全知识图谱预测每个实体、关系或属性的置信度，从而对网络威胁情报知识图谱进行可靠性评估。本发明考虑了情报来源的差异，在开源情报信息语义维度之上又建立了一个来源维度，帮助网络安全知识图谱跟踪情报来源，增强该领域知识图谱的可信度。