公开(公告)号：CN116738413A

公开(公告)日：2023-09-12

申请号：CN202310660997.2

申请日：2023-06-05

Applicant: 广州大学

Inventor： 仇晶 ,  胡铭浩 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  孙彦斌 ,  陈荣融 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: G06F21/55 ,  G06F11/34

Abstract: 本发明公开了基于溯源图的反向传播攻击调查的方法、系统及装置，所述方法包括：S1、获取溯源图，所述溯源图节点表示系统实体，边表示系统事件；S2、基于溯源图获取加权溯源图；S3、根据加权溯源图得到攻击场景子图。本发明可以实现基于溯源图的反向传播攻击调查。

公开(公告)号：CN116600135B

公开(公告)日：2024-02-13

申请号：CN202310669192.4

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  倪晓雅 ,  陈荣融 ,  胡铭浩 ,  田志宏 ,  殷丽华 ,  鲁辉 ,  肖千龙 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04N19/42 ,  H04N19/85

Abstract: 本发明提供了一种基于无损压缩的溯源图压缩方法及系统，其中，方法包括：将溯源图转化为无向图，并在无向图中采用随机游走算法获取θ组细化样本，将θ组细化样本估计值的平均值作为溯源图的平均度估计值；对溯源图建立节点映射和边映射，根据节点映射和边映射合并溯源图的节点及相应边，其中，节点映射记录溯源图中子节点与所有父节点的映射，边映射记录溯源图中一对节点间边的映射；对进行合并边的时间戳通过增量编码进行压缩，对溯源图中边的时间戳的数据类型为长整型的边通过哥伦布编码进行压缩。本申请采用无损压缩的方式，将所有节点的父节点合并，可以实现比删除冗余事件更好

公开(公告)号：CN116743556A

公开(公告)日：2023-09-12

申请号：CN202310669109.3

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  陈荣融 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  李默涵 ,  胡铭浩 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04L41/069 ,  H04L43/04 ,  H04L41/12

Abstract: 本说明书实施例提供了一种基于系统审计日志的溯源图构建与剪枝方法、装置及介质，其中，该方法包括获取不同操作系统审计日志，根据各审计日志信息获取主体信息，事件信息及客体信息，分别构成三元信息组，其中，主体为进程，客体为程序、文件或套接字；根据各三元信息组信息及对应的事件类型，确定对应的处理方法，计算获取各事件的主客体的唯一标识；根据各主客体的唯一标识判断各实体是否存在节点集合中，如果不存在，在节点集合中创建实体节点，且在边集合中创建对应主客体实体之间的边；如果存在，进行剪枝操作获得溯源图。本发明对系统生成的统一格式溯源图进行剪枝处理，在保证因果语义完整性的前提下，大大减少溯源图所需的系统空间。

公开(公告)号：CN116684147A

公开(公告)日：2023-09-01

申请号：CN202310669195.8

申请日：2023-06-06

Applicant: 广州大学

Inventor： 仇晶 ,  肖千龙 ,  陈荣融 ,  胡铭浩 ,  田志宏 ,  殷丽华 ,  苏申 ,  倪晓雅 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: H04L9/40

Abstract: 本发明提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质，其中，方法包括：收集底层审计日志生成溯源图；将溯源图通过POI报警时间进行剪枝后，基于时间权值、聚集权值以及异常权值对计算剪枝后的溯源图的边权值；根据溯源图的边权值通过POI节点获取最短路径；选取最短路径中的权值最小的N个节点，记作Top‑N节点，通过Top‑N节点对溯源图进行剪枝；将生成的剪枝后的溯源图通过BFS算法从Top‑N节点出发进行遍历获取遍历图。本发明通过对边进行压缩成功解决了依赖爆炸问题，并且在寻找攻击入口点的同时对攻击着最有可能的攻击路径进行了展示。解决了传统技术无法定位准确攻击路径和鲁棒性，可移植性较低的缺点。

公开(公告)号：CN118590275A

公开(公告)日：2024-09-03

申请号：CN202410659948.1

申请日：2024-05-27

Applicant: 广州大学

Inventor： 仇晶 ,  宗熠 ,  陈荣融 ,  蔡泳信 ,  陈玺名 ,  田志宏 ,  纪守领 ,  苏申 ,  徐光侠 ,  胡铭浩 ,  高成亮 ,  李思颖 ,  安西康 ,  倪晓雅 ,  邢家旭

IPC: H04L9/40 ,  G06F18/2433 ,  G06F18/2415 ,  G06F18/213 ,  G06N3/042 ,  G06N3/047 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明公开了一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法，包括离线训练阶段和在线检测阶段。本发明一方面为提升溯源图中节点的表达能力，通过结合节点的行为信息和语义信息构建节点特征向量，丰富节点信息表示，更有利于异常检测分析。为提升异常检测模型的性能，本发明另一方面在图神经网络的基础上，设计一个以盾立方的四蜜踩蜜日志作为先验知识的GAT‑DLA图注意力模块对异常检测模型进行改进，提升主机侧系统日志溯源图中异常行为的检测精度，提高对异常检测场景的动态适应性。还一方面，本发明不仅实现节点级别的异常检测，还会构建攻击场景图片，以便更准确直接地检测和识别攻击路径，帮助网络安全专家分析网络的潜在安全威胁。

公开(公告)号：CN117938420A

公开(公告)日：2024-04-26

申请号：CN202311646462.6

申请日：2023-12-01

Applicant: 广州大学

Inventor： 仇晶 ,  陈荣融 ,  李思颖 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  纪守领 ,  肖岩军 ,  张鹏 ,  胡铭浩 ,  高成亮 ,  安西康 ,  宗熠

IPC: H04L9/40 ,  G06F16/18 ,  G06F16/14

Abstract: 本发明公开了一种针对企业内网安全的及时因果分析方法、系统及介质，方法为：内核审计从企业内网各主机操作系统中检索获取系统事件，经数据流处理平台后存入事件数据库；使用参考模型构建器量化系统事件稀有性得到参考分数；将系统事件及其参考分数保存到参考数据库；当有系统事件触发警报时，使用因果关系追踪器启动依赖性分析，追溯行程依赖关系图：因果关系追踪器从事件数据库中搜索相关系统事件，并查询参考数据库获取对应参考分数；基于参考分数计算对应优先级分数，优先分析优先级分数高的系统事件得到依赖关系图。本发明通过量化系统事件稀有性计算优先级分数，加快系统事件的搜索效率，自动调查企业内网安全异常因果依赖关系。

公开(公告)号：CN116756272B

公开(公告)日：2024-02-23

申请号：CN202310741156.4

申请日：2023-06-20

Applicant: 广州大学

Inventor： 仇晶 ,  高成亮 ,  陈俊君 ,  汤菲 ,  邢家旭 ,  田志宏 ,  孙彦斌 ,  李默涵 ,  陈荣融 ,  郑东阳 ,  胡铭皓 ,  倪晓雅 ,  肖千龙

IPC: G06F16/33 ,  G06F40/211 ,  G06F40/253 ,  G06F40/268 ,  G06F40/289 ,  G06F40/30 ,  G06F40/242 ,  H04L9/40

Abstract: 焦核心威胁信息。本说明书实施例提供了一种面向中文威胁报告的ATT&CK模型映射方法及装置，其中，该方法包括获取威胁报告文本，通过中文开源自然语言处理工具对威胁报告文本分析，并进行中文断句、中文分词、词性标注、依存句法分析以及语义角色标注；基于预设的语义角色标签与攻击向量维度的映射关系表，抽取威胁报告文本中符合攻击向量所对应的语义角色标签类型的文本片段，将文本片段拼接成一个新的文本代表攻击向量；将攻击向量输入至ATT&CK映射模型，获得对应的(56)对比文件罗叶妮.基于本体的网络安全资源库的构建技术研究《.中国优秀硕士学位论文全文数据库信息科技辑》.2022,(第1期),第I138-3715页.Clemente Izurieta等.LeveragingSecDevOps to Tackle the Technical DebtAssociated with Cybersecurity AttackTactics《.2019 IEEE/ACM InternationalConference on Technical Debt (TechDebt)》.2019,第33-37页.

公开(公告)号：CN116738413B

公开(公告)日：2024-02-13

申请号：CN202310660997.2

申请日：2023-06-05

Applicant: 广州大学

Inventor： 仇晶 ,  胡铭浩 ,  肖千龙 ,  倪晓雅 ,  田志宏 ,  殷丽华 ,  孙彦斌 ,  陈荣融 ,  高成亮 ,  郑东阳 ,  陈俊君 ,  邢家旭 ,  汤菲

IPC: G06F21/55 ,  G06F11/34

Abstract: 本发明公开了基于溯源图的反向传播攻击调查的方法、系统及装置，所述方法包括：S1、获取溯源图，所述溯源图节点表示系统实体，边表示系统事件；S2、基于溯源图获取加权溯源图；S3、根据加权溯源图得到攻击场景子图。本发明可以实现基于溯源图的反向传播攻击调查。

公开(公告)号：CN116756272A

公开(公告)日：2023-09-15

申请号：CN202310741156.4

申请日：2023-06-20

Applicant: 广州大学

Inventor： 仇晶 ,  高成亮 ,  陈俊君 ,  汤菲 ,  邢家旭 ,  田志宏 ,  孙彦斌 ,  李默涵 ,  陈荣融 ,  郑东阳 ,  胡铭皓 ,  倪晓雅 ,  肖千龙

IPC: G06F16/33 ,  G06F40/211 ,  G06F40/253 ,  G06F40/268 ,  G06F40/289 ,  G06F40/30 ,  G06F40/242 ,  H04L9/40

Abstract: 本说明书实施例提供了一种面向中文威胁报告的ATT&CK模型映射方法及装置，其中，该方法包括获取威胁报告文本，通过中文开源自然语言处理工具对威胁报告文本分析，并进行中文断句、中文分词、词性标注、依存句法分析以及语义角色标注；基于预设的语义角色标签与攻击向量维度的映射关系表，抽取威胁报告文本中符合攻击向量所对应的语义角色标签类型的文本片段，将文本片段拼接成一个新的文本代表攻击向量；将攻击向量输入至ATT&CK映射模型，获得对应的TTP标签，根据TTP标签确定解除威胁的TTP决策。本发明以ATT&CK威胁框架为核心，可以精准定位攻击相关主题报告，过滤无关、冗余信息获取，聚焦核心威胁信息。

公开(公告)号：CN120086753A

公开(公告)日：2025-06-03

申请号：CN202411979866.1

申请日：2024-12-31

Applicant: 广州大学 ,  绿盟科技集团股份有限公司

Inventor： 仇晶 ,  陈彦豪 ,  邢家旭 ,  蔡泳信 ,  高成亮 ,  吴铁军 ,  纪守领 ,  李发堂 ,  程度 ,  殷丽华 ,  柴瑜晗 ,  冯绮颖 ,  孙一飞

IPC: G06F18/2433 ,  G06F18/25 ,  G06F18/241 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明公开了一种基于多模态融合和可解释性分析的异常行为检测方法，首先进行数据格式化，将非结构化行为数据转换为结构化的员工行为数据；接着，构建日员工行为序列提取日员工行为特征；构建日交互图并提取每个员工节点的嵌入表示；引入统计量分析得到日员工统计量特征；再将三个特征进行拼接得到日多模态特征融合向量；最后，通过LOF算法识别异常向量集，并采用SHAP值分析法进行重要性分析输出异常原因。本发明通过构建多角度、多层次的特征表示，更全面地捕捉行为多样性，提升对复杂用户行为的感知与表征；同时基于行为特征重要性分析进行融合检测，不仅能够锁定异常员工，还能追溯异常行为原因，增强了异常检测结果的可解释性。