公开(公告)号：CN114900362B

公开(公告)日：2024-10-15

申请号：CN202210528503.0

申请日：2022-05-16

Applicant: 桂林电子科技大学

Inventor： 黄永忠 ,  罗勇成 ,  秦韬

IPC: H04L9/40 ,  G06F18/24 ,  G06F18/22 ,  G06N20/20

Abstract: 本发明公开了一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法，该方法首先采用主机行为的图表示形式，能够以网络通信图为基础架构，将与各个主机通过相关联的连接记录以通信关系关联在一起；其次基于自相似度进行数据减量，由于网络数据的冗余度高，需要进行数据减量来提高模型的训练效率，但是对连接记录进行数据减量很可能导致主机的行为模式的完整性被破坏；最后利用Weisfeiler Lehman图核端到端进行图嵌入和相似度计算。将其输出作为核方法的输入，结合集成学习，能够高效训练模型的同时不会引入更多误差。

公开(公告)号：CN114896394B

公开(公告)日：2024-04-05

申请号：CN202210404007.4

申请日：2022-04-18

Applicant: 桂林电子科技大学

Inventor： 黄永忠 ,  张晨昊 ,  秦韬

IPC: G06F16/35 ,  G06F40/289 ,  G06F40/30 ,  G06F40/49 ,  G06F18/22 ,  G06F18/214 ,  G06F16/33

Abstract: 本发明涉及自然语言处理技术领域，具体涉及一种基于多语言预训练模型的事件触发词检测与分类方法，首先构建事件触发词与事件要素的向量池，再使用现有的工具对事件进行语义角色标注，最后再以相似度计算方法将它们映射到给定的事件类型进行分类。本发明有效地减弱了人工进行事件标注的工作量，并且方便拓展到其他事件类型；使用多语言的预训练模型进行编码，让多种语言可以在一个向量池上进行相似性挖掘与预测，减少了一种语言训练一个模型的工作量；使用多语言的预训练模型，准备阶段中使用中英等外部新闻语料库丰富的数据量，避免了稀缺语言资源使用该方法却没有丰富新闻语料库扩充向量池的问题。

公开(公告)号：CN114707151A

公开(公告)日：2022-07-05

申请号：CN202210528096.3

申请日：2022-05-16

Applicant: 桂林电子科技大学

Inventor： 黄永忠 ,  罗勇成 ,  秦韬

IPC: G06F21/56 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于API调用和网络行为的僵尸软件检测方法，该方法包括主机行为模式提取层模块、网络行为模式提取层模块和聚合训练模块；其中主机行为模式提取层模块包括文件解析识别子模块、静态FCG提取子模块、样本分发子模块和调用上下文提取子模块，依次进行样本文件的解析和识别、样本分发、样本的静态分析和动态分析、FCG调用图压缩以及节点重标签；网络行为模式提前层模块包括网络行为监控和数据预处理子模块、LSTM表示学习子模块，进行网络行为收集和数据预处理，训练LSTM表示学习子模块；聚合训练模块将主机行为模式提取层模块、网络行为模式提取层模块的输出数据进行聚合训练，输入全连接分类网络中，最后得到分类结果。

公开(公告)号：CN114896394A

公开(公告)日：2022-08-12

申请号：CN202210404007.4

申请日：2022-04-18

Applicant: 桂林电子科技大学

Inventor： 黄永忠 ,  张晨昊 ,  秦韬

IPC: G06F16/35 ,  G06F40/289 ,  G06F40/30 ,  G06F40/49 ,  G06K9/62 ,  G06F16/33

Abstract: 本发明涉及自然语言处理技术领域，具体涉及一种基于多语言预训练模型的事件触发词检测与分类方法，首先构建事件触发词与事件要素的向量池，再使用现有的工具对事件进行语义角色标注，最后再以相似度计算方法将它们映射到给定的事件类型进行分类。本发明有效地减弱了人工进行事件标注的工作量，并且方便拓展到其他事件类型；使用多语言的预训练模型进行编码，让多种语言可以在一个向量池上进行相似性挖掘与预测，减少了一种语言训练一个模型的工作量；使用多语言的预训练模型，准备阶段中使用中英等外部新闻语料库丰富的数据量，避免了稀缺语言资源使用该方法却没有丰富新闻语料库扩充向量池的问题。

公开(公告)号：CN114707151B

公开(公告)日：2024-03-19

申请号：CN202210528096.3

申请日：2022-05-16

Applicant: 桂林电子科技大学

Inventor： 黄永忠 ,  罗勇成 ,  秦韬

IPC: G06F21/56 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明公开了一种基于API调用和网络行为的僵尸软件检测方法，该方法包括主机行为模式提取层模块、网络行为模式提取层模块和聚合训练模块；其中主机行为模式提取层模块包括文件解析识别子模块、静态FCG提取子模块、样本分发子模块和调用上下文提取子模块，依次进行样本文件的解析和识别、样本分发、样本的静态分析和动态分析、FCG调用图压缩以及节点重标签；网络行为模式提前层模块包括网络行为监控和数据预处理子模块、LSTM表示学习子模块，进行网络行为收集和数据预处理，训练LSTM表示学习子模块；聚合训练模块将主机行为模式提取层模块、网络行为模式提取层模块的输出数据进行聚合训练，输入全连接分类网络中，最后得到分类结果。

公开(公告)号：CN114900362A

公开(公告)日：2022-08-12

申请号：CN202210528503.0

申请日：2022-05-16

Applicant: 桂林电子科技大学

Inventor： 黄永忠 ,  罗勇成 ,  秦韬

IPC: H04L9/40 ,  G06K9/62 ,  G06N20/20

Abstract: 本发明公开了一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法，该方法首先采用主机行为的图表示形式，能够以网络通信图为基础架构，将与各个主机通过相关联的连接记录以通信关系关联在一起；其次基于自相似度进行数据减量，由于网络数据的冗余度高，需要进行数据减量来提高模型的训练效率，但是对连接记录进行数据减量很可能导致主机的行为模式的完整性被破坏；最后利用Weisfeiler Lehman图核端到端进行图嵌入和相似度计算。将其输出作为核方法的输入，结合集成学习，能够高效训练模型的同时不会引入更多误差。