公开(公告)号：CN116614263A

公开(公告)日：2023-08-18

申请号：CN202310481049.2

申请日：2023-04-27

申请人： 鹏城实验室 ,  广州大学

发明人： 王乐 ,  张志强 ,  顾钊铨 ,  邓建宇 ,  刘云晖 ,  谭灏南 ,  罗翠 ,  周可 ,  陈元

IPC分类号： H04L9/40 ,  H04L41/16

摘要： 本申请实施例提供了一种网络入侵检测的协同推演方法及装置、存储介质，根据不同主机之间的通信关系图构建目标元胞自动机，相比于传统的元胞自动机，目标元胞自动机的每个元胞配置有元胞数据属性，因此能够根据元胞数据属性对目标元胞自动机的所有元胞进行入侵检测，并且结合了模式匹配算法和隐马尔可夫模型基于元胞自身状态的时序关系和邻居元胞状态的空间关系进行协同推理预测，可以基于对目标元胞自动机上进行的状态计算和状态推理演化而实现入侵检测协同推演，不仅能够检测入侵攻击还能够预测入侵攻击的发展趋势，有利于提高网络入侵的攻击检测效率，从而为防御方的防御工作提供帮助。

公开(公告)号：CN116502088A

公开(公告)日：2023-07-28

申请号：CN202310476240.8

申请日：2023-04-26

申请人： 鹏城实验室 ,  四川亿览态势科技有限公司 ,  广州大学

发明人： 王乐 ,  张志强 ,  顾钊铨 ,  李润恒 ,  景晓 ,  余涛 ,  陈元 ,  孟令逍 ,  谢敏容

IPC分类号： G06F18/214 ,  G06F18/2415 ,  G06F18/25 ,  G06N3/006 ,  H04L9/40

摘要： 本发明公开了一种网络入侵检测方法、系统、电子设备及存储介质，该方法通过将待检测数据输入至多个训练好的分类器中进行网络入侵检测，获得每个训练好的分类器输出的入侵检测结果；对每个第一萤火虫种群采用萤火虫算法进行萤火虫位置优化，获得目标萤火虫个体；将每个第一萤火虫种群的目标萤火虫个体组成新种群，找出新种群中符合目标条件的目标萤火虫个体，并将新种群中的目标萤火虫个体加入每个第一萤火虫种群中作为下一次迭代的第二萤火虫种群，直到萤火虫算法达到最大迭代次数，得到目标萤火虫个体的位置；根据多个权重系数和每个训练好的分类器输出的入侵检测结果，计算得到最终的入侵检测结果。本发明能够提高网络入侵检测的精确度。

公开(公告)号：CN116707859A

公开(公告)日：2023-09-05

申请号：CN202310451491.0

申请日：2023-04-20

申请人： 鹏城实验室 ,  四川亿览态势科技有限公司

发明人： 顾钊铨 ,  张志强 ,  王乐 ,  谭灏南 ,  邓建宇 ,  刘云晖 ,  李润恒 ,  王海燕

IPC分类号： H04L9/40 ,  G06F18/23 ,  G06F18/214 ,  G06F18/24 ,  G06N3/04 ,  G06N3/08

摘要： 本申请实施例提供了一种特征规则提取方法和装置、网络入侵检测方法和装置，属于网络安全技术领域。方法包括：获取入侵检测样本；对样本中特征数据进行扩展，得到扩展特征数据；根据扩展特征数据对标签数据的重要性程度及扩展特征数据之间的关联关系，选取得到候选特征数据集合；对多个候选特征数据集合进行聚类处理，得到多个聚类中心；计算候选特征数据的中心偏移值；根据中心偏移值在候选特征数据集合中确定目标特征数据；获取目标特征数据对应的特征扩展规则作为目标特征扩展规则。该方法能够提取到最适合入侵检测模型的特征扩展规则，从而可以提升从网络数据包中提取的特征的质量，进而提升了网络入侵检测的准确性。

公开(公告)号：CN116319077A

公开(公告)日：2023-06-23

申请号：CN202310542342.5

申请日：2023-05-15

申请人： 鹏城实验室

发明人： 袁华平 ,  王海燕 ,  周可 ,  顾钊铨 ,  罗翠 ,  陈元 ,  余涛 ,  杜磊 ,  张志强

IPC分类号： H04L9/40

摘要： 本申请实施例提供了一种网络攻击检测方法和装置、设备、存储介质和产品，属于网络检测技术领域。该方法包括：获取至少两台安全设备的告警日志数据；根据预设的字段融合规则将每一所述告警日志数据进行融合处理，得到目标日志数据；其中，每一所述安全设备的所述目标日志数据的格式相同；从所述目标日志数据提取出实体信息和关系数据；根据所述实体信息和所述关系数据构建实体关系数据；将所述实体关系数据导入至预设的数据库；获取待检测的攻击节点信息；基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找，得到目标关联攻击关系。本申请实施例能够提升网络攻击检测的关联性。

公开(公告)号：CN118353723B

公开(公告)日：2024-10-01

申请号：CN202410781217.4

申请日：2024-06-18

申请人： 鹏城实验室

发明人： 顾钊铨 ,  李鉴明 ,  贾焰 ,  闫昊 ,  陈元 ,  张志强 ,  刘浩 ,  杜磊

IPC分类号： H04L9/40 ,  G06N20/00

摘要： 本公开实施例提供了一种攻击检测方法、装置、设备及介质，属于网络安全技术领域。通过在当前增量步中，获取待检测的多个网络数据，并分别将各个网络数据输入到预设的攻击检测模型中，得到对应的攻击评估值；当攻击评估值的大小在预设的边界范围之内时，将相关的网络数据作为第一网络数据并添加到边界集中，否则，将相关的网络数据作为第二网络数据并添加到剩余集中；基于当前剩余集中的第二网络数据对当前增量步中的攻击检测模型进行微调，得到微调后的攻击检测模型；在下一个增量步到达之后，将边界集中的所述第一网络数据输入到微调后的攻击检测模型中，得到新的攻击评估值，根据新的攻击评估值确定攻击检测结果，能够提高攻击检测的效率。

公开(公告)号：CN118353723A

公开(公告)日：2024-07-16

申请号：CN202410781217.4

申请日：2024-06-18

申请人： 鹏城实验室

发明人： 顾钊铨 ,  李鉴明 ,  贾焰 ,  闫昊 ,  陈元 ,  张志强 ,  刘浩 ,  杜磊

IPC分类号： H04L9/40 ,  G06N20/00

摘要： 本公开实施例提供了一种攻击检测方法、装置、设备及介质，属于网络安全技术领域。通过在当前增量步中，获取待检测的多个网络数据，并分别将各个网络数据输入到预设的攻击检测模型中，得到对应的攻击评估值；当攻击评估值的大小在预设的边界范围之内时，将相关的网络数据作为第一网络数据并添加到边界集中，否则，将相关的网络数据作为第二网络数据并添加到剩余集中；基于当前剩余集中的第二网络数据对当前增量步中的攻击检测模型进行微调，得到微调后的攻击检测模型；在下一个增量步到达之后，将边界集中的所述第一网络数据输入到微调后的攻击检测模型中，得到新的攻击评估值，根据新的攻击评估值确定攻击检测结果，能够提高攻击检测的效率。

公开(公告)号：CN116319077B

公开(公告)日：2023-08-22

申请号：CN202310542342.5

申请日：2023-05-15

申请人： 鹏城实验室

发明人： 袁华平 ,  王海燕 ,  周可 ,  顾钊铨 ,  罗翠 ,  陈元 ,  余涛 ,  杜磊 ,  张志强

IPC分类号： H04L9/40

摘要： 本申请实施例提供了一种网络攻击检测方法和装置、设备、存储介质和产品，属于网络检测技术领域。该方法包括：获取至少两台安全设备的告警日志数据；根据预设的字段融合规则将每一所述告警日志数据进行融合处理，得到目标日志数据；其中，每一所述安全设备的所述目标日志数据的格式相同；从所述目标日志数据提取出实体信息和关系数据；根据所述实体信息和所述关系数据构建实体关系数据；将所述实体关系数据导入至预设的数据库；获取待检测的攻击节点信息；基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找，得到目标关联攻击关系。本申请实施例能够提升网络攻击检测的关联性。

公开(公告)号：CN116527296A

公开(公告)日：2023-08-01

申请号：CN202211610531.3

申请日：2022-12-14

申请人： 广州大学 ,  中国电力科学研究院有限公司 ,  国网上海市电力公司

发明人： 王乐 ,  张志强 ,  顾钊铨 ,  黄坤鑫 ,  马丽婷 ,  亓玉璐 ,  马昶昶 ,  刘云晖

IPC分类号： H04L9/40

摘要： 本发明涉及机器学习和网络安全领域，且公开了一种多层次网络安全态势评估方法，包括以下步骤：对各个不同的攻击风险分指标的数据预先将其进行归一化、属性规约、数据清洗以及缺失值处理；利用LightGBM算法对攻击风险分指标评估；利用LightBGM算法对攻击风险分指标与权重相结合求出攻击风险指数；利用基于模拟退火算法对攻击风险分指标权重的迭代优化，该多层次网络安全态势评估方法，能针对各个不同的攻击风险分指标的数据维度大，范围广，需将其进行归一化、属性规约、数据清洗、缺失值处理。对各攻击风险分指标子特征数据通过多进程并行输入到各自的LightGBM模型中进行训练，从而得到攻击风险分指标的分数。

公开(公告)号：CN115495779A

公开(公告)日：2022-12-20

申请号：CN202211115765.0

申请日：2022-09-14

申请人： 广州大学

发明人： 王乐 ,  李钊华 ,  顾钊铨 ,  陈光耀 ,  黄坤鑫 ,  马丽婷 ,  张志强 ,  田志宏

IPC分类号： G06F21/62 ,  G06N3/08

摘要： 本发明涉及人工智能技术领域，公开了一种联邦学习过程中泄露输入信息的风险评估指标方法，包括以下步骤：S1：参与方选取一批个数为B的待训练样本(X,Y),并计算批样本梯度G和其中各样本的梯度G(i)；S2：选取某一样本x(i)，计算所选样本的梯度信息比InfoR(x(i))；S3：通过梯度信息比InfoR(x(i))，获取样本x(i)被批样本梯度G所泄露的风险程度，以达到输入样本特征泄露风险的评估。本发明可以满足参与方针对隐私重要性较高的样本给予更小的隐私预算，即不同样本给予不同的隐私保护强度，从而满足差异化隐私保护的目的，从而减小了隐私保护策略对模型训练和可用性的影响。

公开(公告)号：CN115459965A

公开(公告)日：2022-12-09

申请号：CN202211014966.1

申请日：2022-08-23

申请人： 广州大学 ,  中国电力科学研究院有限公司 ,  国网上海市电力公司

发明人： 顾钊铨 ,  杨举 ,  朱亚运 ,  王乐 ,  陈光耀 ,  缪思薇 ,  蔺子卿 ,  张晓娟 ,  梁栩健 ,  张志强 ,  马丽婷

IPC分类号： H04L9/40 ,  H04L41/0631 ,  H04L41/069

摘要： 本发明涉及网络安全技术领域，且公开了一种面向电力系统网络安全的多步攻击检测方法，包括以下步骤：多源异构告警数据的匹配和融合；告警信息的聚合与关联；基于因果知识和时空规则的攻击链模板抽取；基于攻击链模板和时空规则约束的多步攻击检测。本发明将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合，解决不同入侵检测系统在攻击知识库方面异构的问题；对原始的告警信息进行特征筛选和重构，形成统一的十元组形式的告警日志，便于综合分析，以充分发挥不同入侵检测系统融合的优势；对告警信息根据地址相关性进行聚合，得到不同类簇，将不同的攻击行为独立划分，有利于针对不同类簇的数据并行挖掘和分析，可提高系统分析的速率。