公开(公告)号：CN117914783A

公开(公告)日：2024-04-19

申请号：CN202410316102.8

申请日：2024-03-20

Applicant: 鹏城实验室

Inventor： 周琥晨 ,  王新刚 ,  景晓 ,  顾钊铨 ,  余涛 ,  周可 ,  向夏雨 ,  罗翠 ,  袁华平

IPC: H04L45/7453 ,  H04L47/125 ,  H04L12/46

Abstract: 本申请实施例提供了一种流量数据的实时处理方法、装置、设备及存储介质，属于数据处理技术领域。该方法包括：获取至少一个虚拟局域网内不同会话对应产生的流量数据；确定每个流量数据对应的目标主机地址，并基于预设的一致性哈希函数，对各个目标主机地址分别进行哈希计算，得到各个流量数据对应的哈希索引值，其中，同一会话下的流量数据之间的哈希索引值相同；在预设的哈希环上，根据哈希索引值的大小，将每一会话下的流量数据均匀索引到对应第一分配位置下的处理节点中；通过各个处理节点对相应会话下的流量数据进行处理，得到各个会话下的流量数据处理结果。本申请能够实现流量数据地快速处理，提高了流量数据的处理效率。

公开(公告)号：CN117057330A

公开(公告)日：2023-11-14

申请号：CN202310884339.1

申请日：2023-07-18

Applicant: 鹏城实验室 ,  电子科技大学(深圳)高等研究院 ,  四川亿览态势科技有限公司

Inventor： 顾钊铨 ,  赵昂霄 ,  方滨兴 ,  贾焰 ,  向夏雨 ,  廖清 ,  高翠芸 ,  景晓 ,  周可 ,  罗翠 ,  李润恒

IPC: G06F40/186 ,  G06F40/295 ,  G06F40/30 ,  G06N3/042

Abstract: 本发明实施例提供网络安全信息生成方法、装置、设备和存储介质，涉及信息安全技术领域。该方法首先将网络安全数据中的时空信息嵌入到语义实体向量中提升知识图谱的信息密度，然后融合实体向量和词向量增加语义信息，从而捕获更广泛的全局信息，实现有效的威胁信息挖掘，接着利用情景生成模型生成网络安全情景模板，再利用实体推荐模型为网络安全实体模板生成用于填充的实体，最后得到网络安全信息，通过这种方式整体提高网络安全信息挖掘准确率。

公开(公告)号：CN116756330A

公开(公告)日：2023-09-15

申请号：CN202310538747.1

申请日：2023-05-12

Applicant: 鹏城实验室

Inventor： 陈元 ,  景晓 ,  袁华平 ,  顾钊铨 ,  高鹏飞 ,  关华 ,  王新刚 ,  周可 ,  李鉴明 ,  张欢

IPC: G06F16/36 ,  G06N5/022 ,  H04L9/40

Abstract: 本申请实施例提供了一种知识图谱构建方法和装置、电子设备及存储介质，属于网络安全技术领域。知识图谱构建方法包括：对在网络安全领域的数据库中获取的网络安全多源数据进行预处理，得到结构化数据，根据预设的需求规则和预设的网络安全场景定义实体字段与属性的关系表，得到网络安全关系表，根据网络安全实体在预先建立的规则库中筛选相应的抽取规则，得到目标抽取规则，根据目标抽取规则在结构化数据中自动识别并抽取相应的属性数据，得到网络安全属性数据，根据网络安全属性数据构建网络安全实体，并将网络安全实体进行关联，以构建网络安全的知识图谱，得到目标知识图谱。本申请实施例能够提高构建多维度的网络安全知识图谱的速率。

公开(公告)号：CN116319076B

公开(公告)日：2023-08-25

申请号：CN202310540038.7

申请日：2023-05-15

Applicant: 鹏城实验室

Inventor： 顾钊铨 ,  谭昊 ,  贾焰 ,  方滨兴 ,  罗翠 ,  周可 ,  张欢 ,  张钧建 ,  王海燕

IPC: H04L9/40

Abstract: 本申请公开了一种恶意流量的检测方法、装置、设备及计算机可读存储介质，该方法包括：将待检测流量数据分别输入至不同恶意流量检测模型得到多个初步检测结果，其中，各恶意流量检测模型分别基于不同恶意流量对抗样本集训练得到；基于各初步检测结果以及各初步检测结果之间的相似度得到待检测流量数据的综合检测结果。即本申请使用多个不同恶意流量检测模型对待检测流量数据进行检测，再根据多个初步检测结果和各初步检测结果之间的相似度综合判断待检测流量数据是否为异常流量。在面对恶意流量的进攻时，各恶意流量检测模型之间可形成互补，有效避免恶意流量能够逃逸某一类型检测网络的检测，从而恶意流量的检测方法的鲁棒性。

公开(公告)号：CN116232776A

公开(公告)日：2023-06-06

申请号：CN202310515237.2

申请日：2023-05-09

Applicant: 鹏城实验室

Inventor： 顾钊铨 ,  贾焰 ,  方滨兴 ,  胡宁 ,  张钧建 ,  罗翠 ,  周可 ,  孟令逍 ,  王新刚 ,  关华

IPC: H04L9/40 ,  H04L49/20

Abstract: 本发明涉及网络安全的技术领域，尤其涉及一种跳板攻击检测方法、装置、终端设备及计算机存储介质，该方法包括：获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列，其中，所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值；基于预设的指数平滑模型获取预测流量时间序列，其中，所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值；根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。本发明提高了跳板攻击检测的效率。

公开(公告)号：CN119363485B

公开(公告)日：2025-03-25

申请号：CN202411926248.0

申请日：2024-12-25

Applicant: 鹏城实验室

Inventor： 罗翠 ,  袁华平 ,  顾钊铨 ,  余涛 ,  周密 ,  周可

IPC: H04L9/40

Abstract: 本申请实施例提供攻击数据多维度分析方法、装置、设备和存储介质，涉及网络安全技术领域。该方法对于每个源地址数据列表，基于攻击事件进行ATT&CK对应的攻击阶段映射得到攻击源地址对应的第一攻击分值，按照攻击目的地址对应的唯一资产标识确定资产类别得到攻击源地址的第二攻击分值，在至少一个攻击地址数据库中查找攻击源地址得到攻击源地址的第三攻击分值；根据第一攻击分值、第二攻击分值和第三攻击分值得到每个攻击源地址的分析结果。来对攻击源地址进行简单的攻击量化计算，进而准确指示攻击源地址的风险概率，在较短时间内生成异常源地址的风险分析结果，对潜在危险做出快速响应，减少数据处理的复杂性，提高系统的风险处理效率。

公开(公告)号：CN117354165A

公开(公告)日：2024-01-05

申请号：CN202311160386.8

申请日：2023-09-07

Applicant: 鹏城实验室

Inventor： 贾焰 ,  方滨兴 ,  胡宁 ,  郑涛 ,  马增协 ,  周可 ,  顾钊铨

IPC: H04L41/14 ,  H04L67/60

Abstract: 本申请实施例提供了一种网络靶场资源共享方法、系统、电子设备及存储介质，属于网络安全领域。方法包括：获取用于构建靶场的多个原子资源，并对多个原子资源进行一致性描述，得到每个原子资源对应的资源描述信息，其中，每个原子资源具有唯一对应的种类；对多个原子资源进行用途划分，将对应用途下的多个原子资源组成组合资源；基于至少一个组合资源建立第一网络靶场；响应于第二网络靶场的资源共享请求，在第一网络靶场中，确定对应的原子资源和组合资源中的至少一项为目标资源；根据目标资源下的各个资源描述信息生成资源共享信息，并向第二网络靶场发送资源共享信息。本申请能够降低网络靶场互联的工作量，提高资源共享的效率。

公开(公告)号：CN117278245A

公开(公告)日：2023-12-22

申请号：CN202310928294.3

申请日：2023-07-26

Applicant: 鹏城实验室 ,  广州大学 ,  四川亿览态势科技有限公司

Inventor： 顾钊铨 ,  贾焰 ,  方滨兴 ,  马昶昶 ,  景晓 ,  李润恒 ,  向夏雨 ,  周可 ,  罗翠 ,  袁华平

IPC: H04L9/40

Abstract: 本申请公开了针对互联网仿真场景的数据采集方法、装置及存储介质，方法包括：对互联网仿真场景进行漏洞扫描，并对扫描得到的漏洞进行分类，得到漏洞归集；将漏洞归集与预设的攻击类型分类数据集进行关联，得到与漏洞归集对应的基础攻击，攻击类型分类数据集包括漏洞与入侵攻击行为的对应关系；根据基础攻击和预设的攻击模型框架确定终端侧的数据源，以及根据基础攻击和预设的流量检测规则库确定流量侧的流量检测规则，攻击模型框架包括攻击类型与数据源的对应关系；基于漏洞归集与数据源、流量检测规则对应关系进行靶向数据采集。在本发明实施例中，能够仅针对漏洞或弱点进行数据采集来支撑入侵检测，从而减少数据采集的系统开销。

公开(公告)号：CN116545779B

公开(公告)日：2023-10-03

申请号：CN202310823366.8

申请日：2023-07-06

Applicant: 鹏城实验室

Inventor： 王海燕 ,  杨伟民 ,  顾钊铨 ,  鲍俊池 ,  周可 ,  廖文豪 ,  罗富财 ,  闫昊

IPC: H04L9/40 ,  H04L41/142 ,  H04L41/16 ,  G06F40/295 ,  G06F18/214 ,  G06F18/241

Abstract: 本申请实施例提供网络安全命名实体识别方法、装置、设备和存储介质，涉及网络安全技术领域。该方法利用标注样本同时输入原型网络模型、预训练模型和自训练模型，得到三个输出值输入相关性编码模型得到预测输出值，再根据预测输出值对命名实体识别网络进行训练，然后利用半监督的方式结合命名实体识别网络对未标注样本进行标注，更新标注样本集合后继续训练命名实体识别网络，直至训练完成，利用训练后的命名实体识别网络进行命名实体识别。本申请实施例通过半监督的学习方式对未标注样本进行标注，扩充样本集合，提高命名实体识别网络的训练精度，从而提升命名实体识别网络的识别准确率，能够更好地适应网络安全中小样本的命名实体识别场景。

公开(公告)号：CN116232776B

公开(公告)日：2023-08-25

申请号：CN202310515237.2

申请日：2023-05-09

Applicant: 鹏城实验室

Inventor： 顾钊铨 ,  贾焰 ,  方滨兴 ,  胡宁 ,  张钧建 ,  罗翠 ,  周可 ,  孟令逍 ,  王新刚 ,  关华

IPC: H04L9/40 ,  H04L49/20

Abstract: 本发明涉及网络安全的技术领域，尤其涉及一种跳板攻击检测方法、装置、终端设备及计算机存储介质，该方法包括：获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列，其中，所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值；基于预设的指数平滑模型获取预测流量时间序列，其中，所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值；根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。本发明提高了跳板攻击检测的效率。