公开(公告)号：CN116614263A

公开(公告)日：2023-08-18

申请号：CN202310481049.2

申请日：2023-04-27

Applicant: 鹏城实验室 ,  广州大学

Inventor： 王乐 ,  张志强 ,  顾钊铨 ,  邓建宇 ,  刘云晖 ,  谭灏南 ,  罗翠 ,  周可 ,  陈元

IPC: H04L9/40 ,  H04L41/16

Abstract: 本申请实施例提供了一种网络入侵检测的协同推演方法及装置、存储介质，根据不同主机之间的通信关系图构建目标元胞自动机，相比于传统的元胞自动机，目标元胞自动机的每个元胞配置有元胞数据属性，因此能够根据元胞数据属性对目标元胞自动机的所有元胞进行入侵检测，并且结合了模式匹配算法和隐马尔可夫模型基于元胞自身状态的时序关系和邻居元胞状态的空间关系进行协同推理预测，可以基于对目标元胞自动机上进行的状态计算和状态推理演化而实现入侵检测协同推演，不仅能够检测入侵攻击还能够预测入侵攻击的发展趋势，有利于提高网络入侵的攻击检测效率，从而为防御方的防御工作提供帮助。

公开(公告)号：CN116707859A

公开(公告)日：2023-09-05

申请号：CN202310451491.0

申请日：2023-04-20

Applicant: 鹏城实验室 ,  四川亿览态势科技有限公司

Inventor： 顾钊铨 ,  张志强 ,  王乐 ,  谭灏南 ,  邓建宇 ,  刘云晖 ,  李润恒 ,  王海燕

IPC: H04L9/40 ,  G06F18/23 ,  G06F18/214 ,  G06F18/24 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请实施例提供了一种特征规则提取方法和装置、网络入侵检测方法和装置，属于网络安全技术领域。方法包括：获取入侵检测样本；对样本中特征数据进行扩展，得到扩展特征数据；根据扩展特征数据对标签数据的重要性程度及扩展特征数据之间的关联关系，选取得到候选特征数据集合；对多个候选特征数据集合进行聚类处理，得到多个聚类中心；计算候选特征数据的中心偏移值；根据中心偏移值在候选特征数据集合中确定目标特征数据；获取目标特征数据对应的特征扩展规则作为目标特征扩展规则。该方法能够提取到最适合入侵检测模型的特征扩展规则，从而可以提升从网络数据包中提取的特征的质量，进而提升了网络入侵检测的准确性。

公开(公告)号：CN116319077A

公开(公告)日：2023-06-23

申请号：CN202310542342.5

申请日：2023-05-15

Applicant: 鹏城实验室

Inventor： 袁华平 ,  王海燕 ,  周可 ,  顾钊铨 ,  罗翠 ,  陈元 ,  余涛 ,  杜磊 ,  张志强

IPC: H04L9/40

Abstract: 本申请实施例提供了一种网络攻击检测方法和装置、设备、存储介质和产品，属于网络检测技术领域。该方法包括：获取至少两台安全设备的告警日志数据；根据预设的字段融合规则将每一所述告警日志数据进行融合处理，得到目标日志数据；其中，每一所述安全设备的所述目标日志数据的格式相同；从所述目标日志数据提取出实体信息和关系数据；根据所述实体信息和所述关系数据构建实体关系数据；将所述实体关系数据导入至预设的数据库；获取待检测的攻击节点信息；基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找，得到目标关联攻击关系。本申请实施例能够提升网络攻击检测的关联性。

公开(公告)号：CN118353723B

公开(公告)日：2024-10-01

申请号：CN202410781217.4

申请日：2024-06-18

Applicant: 鹏城实验室

Inventor： 顾钊铨 ,  李鉴明 ,  贾焰 ,  闫昊 ,  陈元 ,  张志强 ,  刘浩 ,  杜磊

IPC: H04L9/40 ,  G06N20/00

Abstract: 本公开实施例提供了一种攻击检测方法、装置、设备及介质，属于网络安全技术领域。通过在当前增量步中，获取待检测的多个网络数据，并分别将各个网络数据输入到预设的攻击检测模型中，得到对应的攻击评估值；当攻击评估值的大小在预设的边界范围之内时，将相关的网络数据作为第一网络数据并添加到边界集中，否则，将相关的网络数据作为第二网络数据并添加到剩余集中；基于当前剩余集中的第二网络数据对当前增量步中的攻击检测模型进行微调，得到微调后的攻击检测模型；在下一个增量步到达之后，将边界集中的所述第一网络数据输入到微调后的攻击检测模型中，得到新的攻击评估值，根据新的攻击评估值确定攻击检测结果，能够提高攻击检测的效率。

公开(公告)号：CN118353723A

公开(公告)日：2024-07-16

申请号：CN202410781217.4

申请日：2024-06-18

Applicant: 鹏城实验室

Inventor： 顾钊铨 ,  李鉴明 ,  贾焰 ,  闫昊 ,  陈元 ,  张志强 ,  刘浩 ,  杜磊

IPC: H04L9/40 ,  G06N20/00

Abstract: 本公开实施例提供了一种攻击检测方法、装置、设备及介质，属于网络安全技术领域。通过在当前增量步中，获取待检测的多个网络数据，并分别将各个网络数据输入到预设的攻击检测模型中，得到对应的攻击评估值；当攻击评估值的大小在预设的边界范围之内时，将相关的网络数据作为第一网络数据并添加到边界集中，否则，将相关的网络数据作为第二网络数据并添加到剩余集中；基于当前剩余集中的第二网络数据对当前增量步中的攻击检测模型进行微调，得到微调后的攻击检测模型；在下一个增量步到达之后，将边界集中的所述第一网络数据输入到微调后的攻击检测模型中，得到新的攻击评估值，根据新的攻击评估值确定攻击检测结果，能够提高攻击检测的效率。

公开(公告)号：CN116319077B

公开(公告)日：2023-08-22

申请号：CN202310542342.5

申请日：2023-05-15

Applicant: 鹏城实验室

Inventor： 袁华平 ,  王海燕 ,  周可 ,  顾钊铨 ,  罗翠 ,  陈元 ,  余涛 ,  杜磊 ,  张志强

IPC: H04L9/40

Abstract: 本申请实施例提供了一种网络攻击检测方法和装置、设备、存储介质和产品，属于网络检测技术领域。该方法包括：获取至少两台安全设备的告警日志数据；根据预设的字段融合规则将每一所述告警日志数据进行融合处理，得到目标日志数据；其中，每一所述安全设备的所述目标日志数据的格式相同；从所述目标日志数据提取出实体信息和关系数据；根据所述实体信息和所述关系数据构建实体关系数据；将所述实体关系数据导入至预设的数据库；获取待检测的攻击节点信息；基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找，得到目标关联攻击关系。本申请实施例能够提升网络攻击检测的关联性。

公开(公告)号：CN116502088A

公开(公告)日：2023-07-28

申请号：CN202310476240.8

申请日：2023-04-26

Applicant: 鹏城实验室 ,  四川亿览态势科技有限公司 ,  广州大学

Inventor： 王乐 ,  张志强 ,  顾钊铨 ,  李润恒 ,  景晓 ,  余涛 ,  陈元 ,  孟令逍 ,  谢敏容

IPC: G06F18/214 ,  G06F18/2415 ,  G06F18/25 ,  G06N3/006 ,  H04L9/40

Abstract: 本发明公开了一种网络入侵检测方法、系统、电子设备及存储介质，该方法通过将待检测数据输入至多个训练好的分类器中进行网络入侵检测，获得每个训练好的分类器输出的入侵检测结果；对每个第一萤火虫种群采用萤火虫算法进行萤火虫位置优化，获得目标萤火虫个体；将每个第一萤火虫种群的目标萤火虫个体组成新种群，找出新种群中符合目标条件的目标萤火虫个体，并将新种群中的目标萤火虫个体加入每个第一萤火虫种群中作为下一次迭代的第二萤火虫种群，直到萤火虫算法达到最大迭代次数，得到目标萤火虫个体的位置；根据多个权重系数和每个训练好的分类器输出的入侵检测结果，计算得到最终的入侵检测结果。本发明能够提高网络入侵检测的精确度。