公开(公告)号：CN110519276A

公开(公告)日：2019-11-29

申请号：CN201910807836.5

申请日：2019-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 陈明毅 ,  王天 ,  姚叶鹏 ,  刘俊荣 ,  姜波 ,  苏莉娅 ,  卢志刚

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明提出一种检测内网横向移动攻击的方法，通过收集内网设备的流量及日志数据；提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

公开(公告)号：CN113094707B

公开(公告)日：2024-05-14

申请号：CN202110347685.7

申请日：2021-03-31

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  王天 ,  姜波 ,  刘俊荣 ,  刘松 ,  董璞

IPC: G06F21/56 ,  G06F21/55 ,  G06F21/44 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895

Abstract: 本发明涉及一种基于异质图网络的横向移动攻击检测方法及系统。该方法基于内网的认证日志，将用户与主机之间的登录行为图结构化，构建用户登录图和源主机路径图，之后在图上进行两阶段异常检测。第一阶段基于用户登录图，使用互信息最大化的图神经网络算法学习主机的行为模式，再通过局部异常因子算法计算得到部分异常样本；第二阶段基于源主机路径图和第一阶段得到的有标签样本，使用异质图注意力网络算法进行半监督学习，检测横向移动攻击行为。本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为，效果超过了大部分有监督学习的方法，具有高召回率和低误报率。

公开(公告)号：CN109857917B

公开(公告)日：2021-07-13

申请号：CN201811569400.9

申请日：2018-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王天 ,  姜波 ,  江钧 ,  杜翔宇 ,  卢志刚 ,  姜政伟

IPC: G06F16/9038 ,  G06F16/904 ,  G06F16/953 ,  G06F9/54

Abstract: 本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。

公开(公告)号：CN113094707A

公开(公告)日：2021-07-09

申请号：CN202110347685.7

申请日：2021-03-31

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  王天 ,  姜波 ,  刘俊荣 ,  刘松 ,  董璞

IPC: G06F21/56 ,  G06F21/55 ,  G06F21/44 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于异质图网络的横向移动攻击检测方法及系统。该方法基于内网的认证日志，将用户与主机之间的登录行为图结构化，构建用户登录图和源主机路径图，之后在图上进行两阶段异常检测。第一阶段基于用户登录图，使用互信息最大化的图神经网络算法学习主机的行为模式，再通过局部异常因子算法计算得到部分异常样本；第二阶段基于源主机路径图和第一阶段得到的有标签样本，使用异质图注意力网络算法进行半监督学习，检测横向移动攻击行为。本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为，效果超过了大部分有监督学习的方法，具有高召回率和低误报率。

公开(公告)号：CN109857917A

公开(公告)日：2019-06-07

申请号：CN201811569400.9

申请日：2018-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王天 ,  姜波 ,  江钧 ,  杜翔宇 ,  卢志刚 ,  姜政伟

IPC: G06F16/9038 ,  G06F16/904 ,  G06F16/953 ,  G06F9/54

Abstract: 本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。