公开(公告)号：CN118153045A

公开(公告)日：2024-06-07

申请号：CN202410038095.X

申请日：2024-01-10

Applicant: 贵州大学

Inventor： 郭春 ,  赵永林 ,  申国伟 ,  崔允贺 ,  陈意 ,  周雪梅

IPC: G06F21/56 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请公开了一种基于ETW的勒索软件早期检测与阻断方法，属于入侵检测领域，包括：S100实时监控系统中是否有新启动进程，若是，执行步骤S200；S200捕获新启动进程的PID以及新启动进程运行初期所运行的ETW事件序列；S300构建学习模型并进行训练，通过训练后的学习模型对ETW事件序列进行判别；S400若判别的结果为ETW事件序列对应的新启动进程为勒索软件，则执行步骤S500，否则，返回步骤S100；S500根据PID立即阻断新启动进程，并返回步骤S100。本申请提供的方法，可应用于入侵检测与信息安全领域，能够在勒索软件完成对感染主机系统中全部文件加密前，及时且准确地将其检测出并实施阻断。

公开(公告)号：CN119172113A

公开(公告)日：2024-12-20

申请号：CN202411180205.2

申请日：2024-08-27

Applicant: 贵州大学

Inventor： 郭春 ,  杨家龙 ,  申国伟 ,  崔允贺 ,  陈意 ,  苏洁

IPC: H04L9/40

Abstract: 基于建立连接阶段流量的远控木马防御方法及装置，属于入侵检测与信息安全，尤其涉及远控木马的检测与终止；解决了现有基于网络流量的检测方法所存在对远控木马检测的及时性不佳、重检测轻阻断的缺点，进而不能在远控木马对受害主机发起攻击前，及时准确地将其检测出并实施终止的问题；所述方法包括：监控主机上的网卡，并实时捕获流经网卡的网络流量；对捕获的网络流量进行预处理，根据建立连接阶段内的会话流量，获得表征会话流量的马尔可夫矩阵；使用深度学习模型或机器学习模型，对生成的马尔可夫矩阵进行判别。所述的基于建立连接阶段流量的远控木马防御方法及装置，适用于远控木马的检测与终止。

公开(公告)号：CN116266799A

公开(公告)日：2023-06-20

申请号：CN202211455368.8

申请日：2022-11-21

Applicant: 贵州大学

Inventor： 郭春 ,  皮奔 ,  申国伟 ,  崔允贺 ,  陈意 ,  周雪梅

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/08

Abstract: 一种基于卷积神经网络的远程控制木马流量早期检测模型构建方法、装置和检测方法，涉及网络与信息安全、入侵检测与深度学习技术领域。解决了亟需一种能够通过远控木马在其开始运行初期少量流量，在满足卷积神经网络模型固定尺寸输入的同时，避免字节截断或图像压缩带来的信息丢失的远控木马流量早期检测系统的问题。方法包括：获取TCP流量样本并进行预处理，获取流量数据并构建数据集；设置端口发送的数据包数量阈值，提取阈值范围内的TCP包头与负载字节序列；根据所述TCP包头与负载字节序列构建Markov矩阵集合；利用深度学习模型训练矩阵集合，获取远控木马流量早期检测模型。本发明应用于检测网络与信息安全领域。

公开(公告)号：CN120017343A

公开(公告)日：2025-05-16

申请号：CN202510131606.7

申请日：2025-02-06

Applicant: 贵州大学

Inventor： 申国伟 ,  付玉杰 ,  唐仁治 ,  郭春 ,  崔允贺 ,  陈意

IPC: H04L9/40

Abstract: 一种融合威胁情报的自动化网络防御方法及系统，涉及自动化网络防御技术领域。解决了现有技术中如何在无需人工参与下，根据不断迭代的网络攻击动态更新防御策略的问题。所述方法包括：步骤1、度量威胁情报的相关性，筛选威胁情报；步骤2、根据步骤1所筛选的威胁情报中的行动方针和观测指标生成防御动作，扩展防御智能体防御动作空间，训练防御智能体并生成防御策略；步骤3、基于步骤2所生成的防御策略设计分层强化学习算法，训练防御智能体并生成防御策略，将训练好的分层强化学习防御智能体部署到网络系统中，并进行网络攻防测试，完成构建融合威胁情报的自动化网络防御系统。还适用于人工智能技术生成的防御策略领域。

公开(公告)号：CN119814710A

公开(公告)日：2025-04-11

申请号：CN202311303819.0

申请日：2023-10-09

Applicant: 贵州大学

Inventor： 崔允贺 ,  肖肇斌 ,  陈意 ,  郭春 ,  申国伟 ,  蒋朝慧

IPC: H04L49/901 ,  H04L49/9015 ,  H04L49/90 ,  H04L49/60

Abstract: 一种遥测数据结构及遥测方法，涉及网络通信技术领域。解决现有技术中交换机资源开销大、解析速度慢、计算效率低等问题。方法包括：解析数据包头部信息，获取头部信息获取数据包类型；对于用户数据包，根据解析的头部信息收集所需网络数据；将收集各种网络数据以遥测数据图的形式进行存储；更新同步控制块，用户数据包匹配流表并转发；对于遥测数据包，解析遥测头部，获取遥测数据图字段及数据类型，并更新同步控制块；内核态程序根据待写入遥测数据、MTU确定是否分片；嵌入数据到遥测数据包；更新遥测数据包头部信息；遥测数据包执行重校验；匹配流表并转发。应用于流量工程领域。