公开(公告)号：CN116094824B

公开(公告)日：2024-02-20

申请号：CN202310101380.7

申请日：2023-02-07

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  胡佳 ,  张小松 ,  姚领风 ,  何朝旭

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/214 ,  G06N5/01 ,  G06N3/0475 ,  G06N3/0985

Abstract: 本发明公开了一种针对少样本恶意流量的检测系统及方法，属于恶意流量检测技术领域，主旨在于解决恶意流量检测系统在处理少样本时缺乏足够的先验样本难以构建合适的特征空间及决策超平面的问题。主要方案包括流量数据处理模块将流量数据的Pcap包提取成特征向量，然后进行特征筛选、独热编码和归一化处理；处理好的特征向量通过数据增强模块完成对少样本数据的特征向量扩充；扩充后的特征向量传入到任务集构造模块，得到多样本的元测试集和元训练集；通过多样本的元训练集训练得到模型参数后，将其作为元测试集分类器模型的初始参数，并且用元测试集对模型进行微调，得到最后的分类器模型。

公开(公告)号：CN116074092A

公开(公告)日：2023-05-05

申请号：CN202310101364.8

申请日：2023-02-07

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  何朝旭 ,  张小松 ,  刘星宇 ,  段治秦

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/214

Abstract: 本发明公开了一种基于异构图注意力网络的攻击场景重构系统，属于攻击检测技术领域，主旨在于解决攻击检测系统缺乏对多步攻击的关联分析问题。主要方案包括：先收集系统审计日志数据，以系统实体(如进程、文件)为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；然后输入到训练好的异构图注意力网络中得到进程节点的语义特征，之后通过余弦相似计算方法与数据库中已经学习到的进程特征对比，得到相似度，若相似度低于阈值则判断其为异常节点；接着以异常节点为基点，通过改进后的DFS算法提取攻击路径，若有多条路径则通过设置的判别条件如时间跨度等对其进行排序，最终得到威胁度最高得攻击路径。

公开(公告)号：CN116074092B

公开(公告)日：2024-02-20

申请号：CN202310101364.8

申请日：2023-02-07

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  何朝旭 ,  张小松 ,  刘星宇 ,  段治秦

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/214

Abstract: 本发明公开了一种基于异构图注意力网络的攻击场景重构系统，属于攻击检测技术领域，主旨在于解决攻击检测系统缺乏对多步攻击的关联分析问题。主要方案包括：先收集系统审计日志数据，以系统实体(如进程、文件)为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；然后输入到训练好的异构图注意力网络中得到进程节点的语义特征，之后通过余弦相似计算方法与数据库中已经学习到的进程特征对比，得到相似度，若相似度低于阈值则判断其为异常节点；接着以异常节点为基点，通过改进后的DFS算法提取攻击路径，若有多条路径则通过设置的判别条件如时间跨度等对其进行排序，最终得到威胁度最高得攻击路径。

公开(公告)号：CN116094824A

公开(公告)日：2023-05-09

申请号：CN202310101380.7

申请日：2023-02-07

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  胡佳 ,  张小松 ,  姚领风 ,  何朝旭

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/214 ,  G06N5/01 ,  G06N3/0475 ,  G06N3/0985

Abstract: 本发明公开了一种针对少样本恶意流量的检测系统及方法，属于恶意流量检测技术领域，主旨在于解决恶意流量检测系统在处理少样本时缺乏足够的先验样本难以构建合适的特征空间及决策超平面的问题。主要方案包括流量数据处理模块将流量数据的Pcap包提取成特征向量，然后进行特征筛选、独热编码和归一化处理；处理好的特征向量通过数据增强模块完成对少样本数据的特征向量扩充；扩充后的特征向量传入到任务集构造模块，得到多样本的元测试集和元训练集；通过多样本的元训练集训练得到模型参数后，将其作为元测试集分类器模型的初始参数，并且用元测试集对模型进行微调，得到最后的分类器模型。

公开(公告)号：CN116070137A

公开(公告)日：2023-05-05

申请号：CN202310102130.5

申请日：2023-02-08

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  姚领风 ,  张小松 ,  胡佳 ,  何朝旭

IPC: G06F18/24 ,  G06N3/0475 ,  G06N3/094

Abstract: 本发明公开了一种针对恶意流量检测的开集识别装置及方法，属于恶意流量检测技术领域，主旨在于解决恶意流量检测系统在出现新类攻击时检测性能下降的问题。主要方案包括：利用带标签的生成器模型，生成更加接近真实样本的图像；改进判别器结构，使其具备两个输出：判别分数层和分类层，将真实图像和生成器生成的扩充图像输入判别器对抗训练；基于判别器分数，使生成器和判别器相互对抗，基于分类层结果，训练得到开集识别模型。本申请的实施引入开集识别，该开集识别的目标是对已知攻击类别正确分类，同时也能识别出未知类别。