公开(公告)号：CN115396169B

公开(公告)日：2024-06-25

申请号：CN202210994619.3

申请日：2022-08-18

Applicant: 上海交通大学

Inventor： 赖柏希 ,  陈秀真 ,  马颖华 ,  马进 ,  周志洪 ,  裘炜程

IPC: H04L9/40

Abstract: 本发明提供了一种基于TTP的多步骤攻击检测与场景还原的方法及系统，包括如下步骤：离线训练步骤：在离线训练阶段，接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型；在线运行步骤：在在线运行阶段，接收来自终端检测和响应系统的安全告警事件，整理出安全告警事件中的攻击技术序列；将整理出的攻击技术序列进行处理后，输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。本发明通过对原始攻击技术进行子串抽取，达到了降低EDR工具产生的原始告警中误报数目的效果。

公开(公告)号：CN116527288A

公开(公告)日：2023-08-01

申请号：CN202210073641.4

申请日：2022-01-21

Applicant: 上海交通大学

Inventor： 陈秀真 ,  马颖华 ,  赖柏希 ,  于海洋 ,  裘炜程 ,  杨华 ,  侯书凝

IPC: H04L9/40 ,  H04L43/045 ,  G06F16/36 ,  G06N5/04 ,  G06F16/338

Abstract: 本发明提供了一种基于知识图谱的网络攻击安全风险评估系统及方法，系统包括：网络空间安全知识图谱模块：将获取的入侵检测系统的告警信息输入知识图谱中，告警信息为入侵检测系统检测到网络攻击后生成的；推理引擎模块：根据预设规则和知识图谱，得到网络攻击对特定资产造成的攻击结果，并将攻击结果以及对应的推理路径发送至结果展示模块；结果展示模块：对攻击结果和推理路径进行可视化展示。与现有技术相比，本发明将知识图谱引入复杂网络攻击的关联识别领域，根据知识图谱及系统结构、实时告警等信息，推断出复杂网络攻击可能造成的后果，解决了入侵检测系统缺乏对长期、跨资产的复杂网络攻击的关联分析的问题。

公开(公告)号：CN115396169A

公开(公告)日：2022-11-25

申请号：CN202210994619.3

申请日：2022-08-18

Applicant: 上海交通大学

Inventor： 赖柏希 ,  陈秀真 ,  马颖华 ,  马进 ,  周志洪 ,  裘炜程

IPC: H04L9/40

Abstract: 本发明提供了一种基于TTP的多步骤攻击检测与场景还原的方法及系统，包括如下步骤：离线训练步骤：在离线训练阶段，接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型；在线运行步骤：在在线运行阶段，接收来自终端检测和响应系统的安全告警事件，整理出安全告警事件中的攻击技术序列；将整理出的攻击技术序列进行处理后，输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。本发明通过对原始攻击技术进行子串抽取，达到了降低EDR工具产生的原始告警中误报数目的效果。

公开(公告)号：CN114579761A

公开(公告)日：2022-06-03

申请号：CN202210203550.8

申请日：2022-03-02

Applicant: 上海交通大学

Inventor： 马颖华 ,  陈秀真 ,  裘炜程 ,  赖柏希 ,  于海洋 ,  马进 ,  段圣雄

IPC: G06F16/36 ,  G06F40/284 ,  G06F40/216 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种信息安全知识实体关系连接预测方法、系统及介质，包括数据处理模块：构成图数据，输入图卷积网络表示模块；对实体描述文本数据进行预处理，将输出作为Word2Vec表示模块的输入；图卷积网络表示模块：接收图数据，训练TextGCN模型，并生成文本的图卷积网络表示向量；Word2Vec表示模块：训练Word2Vec模型，并生成文本的Word2Vec表示向量；孪生网络表示模块：训练孪生网络模型，并生成孪生网络表示向量；连接判断模块：根据目标实体对各自的孪生网络表示向量，计算两者的欧氏距离，若距离小于阈值，则判断为有连接。本发明能够准确判断实体间是否有连接，确保补足数据的正确性、减少人工分析成本。