融合Focal Loss的网络威胁情报实体抽取

网络威胁情报（CTI）蕴含丰富的威胁行为知识,及时分析处理威胁情报能够促进网络攻防由被动防御向主动防御的转变。当前多数威胁情报以自然语言文本的形式存在,包含大量非结构化数据,需要利用实体抽取方法将其转换为结构化数据以便后续处理。然而,由于威胁情报中包含大量漏洞名称、恶意软件、APT组织等专业词汇,且实体分布极不平衡,导致通用领域的实体抽取方法应用于威胁情报时受到极大限制。为此,提出一种融合Focal Loss的实体抽取模型,通过引入平衡因子和调制系数改进交叉熵损失函数,平衡样本分布。此外,针对威胁情报结构复杂且来源广泛,包含大量专业词汇的问题,在模型中增加单词和字符特征,有效改善了威胁情报中的OOV问题。实验结果表明,相较于现有主流模型BiLSTM和BiLSTM-CRF,所提模型在F1分数上分别提高了7.07%和4.79%,验证了引入Focal Loss和字符特征的有效性。     

基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

基于深度学习的电力安全作业实体识别方法

针对电力现场作业、设备使用安全等大量文本采用非结构化的形式制定、存储,信息自动挖掘难以实现的问题,提出一种融合注意力机制与ALBERT-BiGRU-CRF的方法.首先将ALBERT作为文本的字向量语义编码层,其次多头注意力机制融合到BiGRU网络模型中作为字符实体信息标签预测层,最终CRF作为全局标签优化层.该方法能够准确捕获专业领域字符间的依赖权重、语境、上下文语义关联等全方位特征.电力安全作业文本实体识别实验结果表明,融合注意力机制与深度学习识别方法比目前常用的算法模型识别F1值高3.05％～11.62％,具有较高准确率,识别效果较好.     

一种基于特征检测的APT攻击防御方案

高级持续性威胁(APT)攻击具有持续渗透性,对网络的信息安全管理造成了严重威胁。在分析流量统计特征的基础上,提出了区分可信与非可信流量的方法,通过特征检测,实现对恶意攻击的识别,并建立了相应的APT攻击防御方案。以电力系统的管理网络为平台,验证了该方案的有效性,为防御APT攻击提供了一种可行的思路。     

融合知识的中文医疗实体识别模型

从医疗文本中抽取知识对构建医疗辅助诊断系统等应用具有重要意义.实体识别是其中的核心步骤.现有的实体识别模型大都是基于标注数据的深度学习模型,非常依赖高质量大规模的标注数据.为了充分利用已有的医疗领域词典和预训练语言模型,本文提出了融合知识的中文医疗实体识别模型.一方面基于领域词典提取领域知识,另一方面,引入预训练语言模型BERT作为通用知识,然后将领域知识和通用知识融入到模型中.此外,本文引入了卷积神经网络来提高模型的上下文建模能力.本文在多个数据集上进行实验,实验结果表明,将知识融合到模型中能够有效提高中文医疗实体识别的效果.     

基于超图Transformer的APT攻击威胁狩猎网络模型

针对物联网环境中高级持续性威胁（APT）具有隐蔽性强、持续时间长、更新迭代快等特点,传统被动检测模型难以对其进行有效搜寻的问题,提出了一种基于超图Transformer的APT攻击威胁狩猎（HTTN）模型,能够在时间跨度长、信息隐蔽复杂的物联网系统中快速定位和发现APT攻击痕迹。该模型首先将输入的网络威胁情报（CTI）日志图和物联网系统内核审计日志图编码为超图,经超图神经网络（HGNN）层计算日志图的全局信息和节点特征;然后由Transformer编码器提取超边位置特征;最后对超边进行匹配计算相似度分数,从而实现物联网系统网络环境下APT攻击的威胁狩猎。在物联网仿真环境下的实验结果表明,提出的HTTN模型与目前主流的图匹配神经网络相比均方误差降低约20%,Spearman等级相关系数提升约0.8%,匹配精度提升约1.2%。     

中英命名实体识别及对齐中的中文分词优化

中文分词结果对中英命名实体识别及对齐有着直接的影响,本文提出了一种命名实体识别及对齐中的中文分词优化方法.该方法利用实体词汇的对齐信息,首先修正命名实体识别结果,然后根据实体对齐结果调整分词粒度、修正错误分词.分词优化后的结果使得双语命名实体尽可能多地实现一一对应,进而提高中英命名实体翻译抽取和统计机器翻译的效果.实验结果表明了本文优化方法的有效性.     

一种基于One-Class SVM和GP安全事件关联规则生成方法研究

随着信息技术的快速发展,网络安全威胁造成的危害日愈严重.安全信息和事件管理（SIEM）在查找组织内部威胁,可疑行为及其它高级持续攻击（APT）中发挥了重要作用.SIEM的检测能力主要依赖于准确,可靠的关联规则.然而,传统的规则生成方式主要基于专家知识人工编写检测规则,因此成本高,效率低.本文给出了一种具备自适应能力的规则生成框架来自动生成关联规则.首先为了更好地识别未知攻击,提出一种基于单类支持向量机（One-Class SVM）的安全事件分类算法对安全事件进行有效分类,实验分类效果准确率高达97%.其次为了提高规则生成准确率,通过重新定义个体结构,交叉与变异方式,优化了基于遗传编程（GP）的规则生成算法,规则适应度高达94%.实验结果表明,本文提出的框架具备自适应能力来识别未知攻击,具备较高的检测准确率,可有效减少人工参与.同时该框架已经部署在实际生产环境中,和原系统相比可以检测更多攻击类型.     

APT发展趋势研究漫谈

高级持续威胁（AdvancedPersistentThreat,APT）,是针对特定组织的多方位、持续性的渗透攻击。APT不是一种单一的攻击手段,而是多种攻击手段的组合,因此无法通过单一的防护手段进行阻止和防御。     

基于本体引导的注塑知识图谱构建及缺陷溯因应用

针对大型注塑图谱缺失、成熟标注语料匮乏等导致的工业知识图谱构建代价高昂、质量不高等问题,该文提出一种基于本体引导的注塑知识图谱构建方法。首先,设计以缺陷-表观-原因-方案为导向的注塑本体,指导注塑网页的搜集;其次将本体信息融入至触发词中,以提升对半结构化网页的知识抽取性能;然后,结合本体中的属性相似度进行两级实体对齐,综合提高冗余知识的发现率。最后与已有方法对比,图谱知识正确率高于95%,可快速实现缺陷溯因。     

基于不同模型的中文命名实体识别方法研究

目的:比较条件随机场、长短期记忆模型、BiLSTM-CRF和使用Bert预训练字符向量的BiLSTM-CRF四种命名实体识别模型。方法:分析比较四种模型在人民日报数据集和MSRA数据集上对人名、地点和机构三类实体的识别性能。结果:单一神经网络LSTM在缺乏训练数据支持的结果表现不如CRF,而使用了Bert预训练字符向量的神经网络即使使用较少的训练数据仍能获得较其他模型更好的结果,在人民日报数据集和MSRA数据集上的F值均达到0.9。结论:单一神经网络模型在缺乏训练数据时有较大局限性,使用Bert预训练字符向量的神经网络模型在中文命名实体识别任务中存在较大优势。     

解读高级持续性威胁

2011年曝光的RSA令牌种子窃取事件,2013年曝光的韩国320大面积攻击事件及棱镜曝光的事件,2014年中国台湾爆大规模高级持续性威胁（Advanced Persistent Threat,APT）,近20家经济相关机构成为目标,近年来不断曝光的重大APT攻击事件,让APT攻击监测成为一项非常迫切的事情。APT泛化到民间的一些攻击事件：不仅仅是国家和组织对抗经常使用APT攻击手段,民间专业黑客组织也会利用APT攻击手段发起危害较大的攻击,     

一种基于实体描述和知识向量相似度的跨语言实体对齐模型

跨语言实体对齐旨在找到不同语言知识图谱中指向现实世界同一事物的实体.传统的跨语言实体对齐方法通常仅依靠知识图谱内部的结构信息,但实际上一些知识图谱提供的实体描述信息也可以被利用.本文提出了一种结合知识图谱的内部结构和实体描述信息共同进行跨语言实体对齐的模型.该模型首先通过训练基于知识图谱结构信息的知识向量找到可能被对齐的实体对,再结合实体描述信息利用改进后的共享参数模型选出最终的对齐实体,最后通过迭代对齐的方法重复前两个步骤找到更多的对齐实体直到训练结束.实验结果表明,与基准算法相比,本文所提模型在跨语言实体对齐任务上可以取得相对不错的结果.     

针对当前未知威胁APT攻防技术的浅析

从未知威胁尤其是APT检测体系上应该形成一个纵深且关联分析深入的防御体系。前期是完善地渗透攻击检测技术针对多样的攻击、0day漏洞和木马等恶意程序的防护,然后就是智能的事件及流量特征关联与分析上进行识别。这就是结合目前现有技术可以提出的一个更加完整,且针对未知威胁的检测体系。     

基于条件随机场的维吾尔语音乐实体识别

命名实体识别在自然语言处理实践中具有高度重要的作用,而且也是信息提取等各种自然语言方式的基础工具.本文采用条件随机场模型(Conditional Random Fields,CRF)对维吾尔语音乐实体识别进行初步的探讨.首先维吾尔语网站上收集数据,进行一系列预处理后得到纯文本,然后制定语料标注规则对实体进行人工标注,再利用上下文、关键字、词典等一系列特征进行训练,制定一个适合的模板来进行音乐实体的识别.实验结果证明,此方法在维吾尔语音乐领域不仅可行、而且有效.     

面向新闻领域的中文实体关系抽取

随着互联网技术的快速发展,人们能够及时地获取大量的新闻文本信息,如何从新闻中自动获取关键信息,把新闻中具有价值的信息转化为结构化数据,从而快速有效地获取有用的知识已是迫切需求.实体关系抽取是获取关键信息的方法之一,但目前关于中文的实体关系抽取工作较少.针对基于长短时记忆网络的中文实体识别模型难于提取长距离的依存关系特征和句法特征问题,提出利用双向树形长短时记忆神经网络提取依存句法树的结构特征.在提取的特征的基础上,使用条件随机场判断实体的类别和边界,并在实体识别模型中加入注意力机制提高模型的性能.在《人民日报》数据集和ACE 2005语料库上训练模型,验证了模型的有效性.     

面向红色文化的命名实体识别研究

针对通用领域的命名实体识别(Named Entity Recognition, NER)模型在红色文化的实体识别中难以完整准确地进行实体划分的问题，提出了一种基于双向长短期记忆(Bi-directional Long Short-Term Memory, BiLSTM)网络模型结合词汇增强和注意力机制方法的改进算法红色学习双向长短期记忆(Red Learing BiLSTM,RLBiLSTM)网络，用于红色文化的NER。对红色文化数据集中的重要词汇进行数据处理，构建一个包含红色文化特征的词表，将词表信息与BERT底层信息进行融合。使用BiLSTM网络和注意力机制考虑上下文和全局信息，并利用条件随机场进行实体识别。实验表明，将改进的算法应用于RedCulture-1数据集上取得了较好的识别效果，和传统的算法相比具有更高的准确率，有利于解决红色文化的实体识别问题。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

一种基于先验知识的实体关系联合抽取模型

不同于流水线方式的关系抽取方法,在实体关系联合抽取方式中虽然把实体识别和关系抽取两者结合起来,但损失部分实体特征信息.在以BERT预训练模型为核心的SpERT实体关系联合抽取模型输入阶段,融入置信度较高的词性标注和句法依存关系的先验特征;并在模型的关系抽取层中重用输入信息,为关系抽取任务提供更多的特征;在优化模型的损失...