公开(公告)号：CN109379322A

公开(公告)日：2019-02-22

申请号：CN201810466686.1

申请日：2018-05-16

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张玉臣 ,  汪永伟 ,  雷程 ,  刘小虎 ,  范钰丹 ,  张畅 ,  张任川 ,  刘璟 ,  孙怡峰 ,  周供伟 ,  谭晶磊

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明属于网络安全技术领域，具体涉及一种完全信息条件下网络动态变换的决策方法及其系统，该决策方法包括以下步骤：根据网络状态、攻击策略和防御策略得到状态转移概率；利用博弈理论描述移动目标防御的过程中攻防博弈双方的收益，结合所述状态转移概率构建基于马尔科夫博弈的移动目标防御模型；将所述移动目标防御模型的求解等价转化为目标函数，得到最优的移动目标防御策略。本发明根据状态转移概率和攻防博弈双方的收益构建基于马尔科夫博弈的移动目标防御模型，进而求解得到最优的移动目标防御策略，以实现网络性能开销和移动目标防御收益的平衡，解决了如何基于有限网络资源选取最优防御策略的技术问题。

公开(公告)号：CN111881447B

公开(公告)日：2022-12-06

申请号：CN202010594720.0

申请日：2020-06-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张宇 ,  李媛芳 ,  佟金龙 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明属于数字取证技术领域，特别涉及一种恶意代码片段智能取证方法及系统，通过提取存储介质底层数据特征，构建用于训练和测试的代码片段训练集和代码片段测试集；利用代码片段训练集中数据对设置的全连接神经网络模型进行训练，其中，输入是特征向量，输出是正常或恶意预测结果；针对代码片段测试集，利用训练后的全连接神经网络模型进行测试输出，以判断模型输入是否为恶意代码片段；将目标代码片段进行特征提取后输入经训练测试生成的全连接神经网络模型，获取其恶意代码智能识别结果。本发明能够针对计算机手机平板等存储介质以及RAW、E01、AFF等证据容器中恶意代码片段识别，在犯罪事件证据底层数据自动分析等数字取证领域具有较好应用前景。

公开(公告)号：CN109829313B

公开(公告)日：2020-11-24

申请号：CN201910152138.6

申请日：2019-02-28

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  原锦辉 ,  张玉臣 ,  汪永伟 ,  孙怡峰 ,  张畅 ,  胡浩

IPC: G06F21/57

Abstract: 本发明提供一种基于代码复用编程防御SGX侧信道攻击的方法及装置。该方法包括：构建代码基，代码基包含与指令模板对应的多个指令序列，指令模板表示用于实现特定业务的指令流，每个指令序列尾部附有标志指令；根据指令流和代码基生成执行逻辑，执行逻辑表示连接代码基内各指令序列以实现特定业务的控制逻辑；根据执行逻辑从代码基中读取相应的指令序列，并将各指令序列连接起来，形成指令流以完成业务。该装置包括：指令模板模块、翻译引擎模块、代码基模块、执行逻辑模块和执行引擎模块。本发明提出一种代码复用编程思想，从而使SGX程序具有代码不变而控制流发生改变的特点，干扰SGX侧信道分析，极大提高SGX侧信道攻击的难度。

公开(公告)号：CN109858253A

公开(公告)日：2019-06-07

申请号：CN201910015121.6

申请日：2019-01-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  原锦辉 ,  朱旭华 ,  张玉臣 ,  孙怡峰 ,  吴彊

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明提供一种基于LBR的栈缓冲区溢出攻击防御方法。通过使用设定的指令集替代原来的call指令和ret指令，将硬件因素引入到栈中返回地址的保护，存放到栈中的“地址”实际上是生成真正返回地址的软件因子，只有与处理器LBR所提供的硬件因子相结合以后，才能得到真正的返回地址，使得攻击者直接攻击栈中数据的方法失效。由于攻击者不具备直接攻击物理系统的能力，本发明可以合理的假设硬因子是无法被攻击篡改的。基于硬因子的可信性，结合随机因子防重放的设计，使得本发明所提出的栈数据保护方案的有效。不同于影子栈或者加密返回地址的方法，本发明不依赖过多的计算复杂性和冗余空间，只是增加若干条指令，运行效率得到了保证。

公开(公告)号：CN108769051A

公开(公告)日：2018-11-06

申请号：CN201810594522.7

申请日：2018-06-11

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  中国科学院软件研究所

Inventor： 胡浩 ,  刘玉岭 ,  张玉臣 ,  张红旗 ,  刘小虎 ,  汪永伟 ,  孙怡峰 ,  黄金垒

IPC: H04L29/06 ,  H04L12/24

CPC classification number: H04L63/1433 ,  H04L41/0631 ,  H04L41/145 ,  H04L63/0227 ,  H04L63/1416

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于告警融合的网络入侵态势意图评估方法，包含：收集网络环境信息，生成贝叶斯攻击图模型，该网络环境信息至少包含网络连通性、网络服务漏洞、主机网络配置和访问策略信息，该贝叶斯攻击图模型中包含攻击状态节点、原子攻击节点和告警证据节点；通过贝叶斯攻击图模型设置告警置信度和关联强度，提取有效告警证据；针对每个攻击状态节点，分别计算有效告警证据的告警置信度；评估各攻击状态节点被入侵概率，输出所有态势意图节点的威胁排序。本发明计算复杂度低，不过分依赖历史数据，操作简单方便，提高节点攻击概率预测的准确度，为防御决策提供可靠、有效的数据参考，为辅助网络安全防御决策提供可靠指导。

公开(公告)号：CN116318818A

公开(公告)日：2023-06-23

申请号：CN202211732878.5

申请日：2022-12-30

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 姜迎畅 ,  胡浩 ,  李飞扬 ,  谭晶磊 ,  张玉臣 ,  刘鹏程 ,  汪永伟 ,  周洪伟 ,  孙怡峰 ,  张恒巍

IPC: H04L9/40

Abstract: 本发明属于网络安全技术领域，特别涉及一种网络安全智能决策自动编排响应方法及系统，依据网络脆弱性攻击信息构建漏洞攻防知识图谱；对网络攻击行为进行告警检测，并通过匹配映射将告警检测结果的环境状态映射到漏洞攻防知识图谱状态节点上，其中，环境状态包含：网络环境及攻击信息；依据已知漏洞攻防知识图谱状态节点、响应安全决策集和攻击类型对告警信息进行响应，根据响应决策对防火墙进行配置。本发明集漏洞攻防知识图谱构建、网络攻击告警和策略剧本编排为一体来满足安全运维业务需要，能够实现在面对攻击时及时、高效进行响应，便于网络部署。

公开(公告)号：CN111596926B

公开(公告)日：2023-02-07

申请号：CN202010291071.7

申请日：2020-04-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张宇 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F8/53 ,  G06F16/901

Abstract: 本申请公开一种数据取证分析方法、装置及电子设备，涉及网络安全领域。其中，数据取证分析方法包括：对应用程序进行反编译得到所述应用程序中包含的各组件；构建各所述组件分别对应的数据流图以及控制流图；预测各组件中包括的用于组件间通信的通信字段，根据所述通信字段对各所述组件进行排序；根据各所述组件的排序结果，以及与各所述组件对应的数据流图、控制流图构建所述应用程序对应的程序间数据流图和程序间控制流图；基于所述程序间数据流图和程序间控制流图生成数据取证分析报告，以用于数据库解密。

公开(公告)号：CN112486922B

公开(公告)日：2022-12-06

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN114611401A

公开(公告)日：2022-06-10

申请号：CN202210269296.1

申请日：2022-03-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 孙怡峰 ,  吴疆 ,  汪永伟 ,  周洪伟 ,  李炳龙 ,  汤光明 ,  周跃 ,  黄维贵 ,  马军强

IPC: G06F30/27 ,  G06N3/04 ,  G06N3/08 ,  G06Q10/10 ,  G06F9/445

Abstract: 本发明提供一种多层级复杂业务智能仿真方法与系统。该方法包括：描述复杂业务的层级关系以确定每一层级中每个节点的上下级关系；确定每个节点的节点属性以得到每个节点的任务内容构成；构建基于深层神经网络的节点本级业务处理模型，得到本级节点完成上级任务的总耗时；构建上下级交互的业务模型，得到下级节点完成上级任务的总耗时；按多层级复杂业务情况想定各个节点的配置参数；调用节点本级业务处理模型和上下级交互的业务模型进行仿真，并记录仿真过程中各个节点完成业务活动的时间数据；调整各个节点的配置参数，并再次进行仿真；在仿真过程结束后，比较不同配置参数下的仿真时间数据，得到最佳配置参数。

公开(公告)号：CN114510691A

公开(公告)日：2022-05-17

申请号：CN202111654666.5

申请日：2021-12-30

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张畅 ,  韩继红 ,  张玉臣 ,  张恒巍 ,  周洪伟 ,  袁霖 ,  李福林 ,  汪永伟 ,  孙怡峰 ,  刘小虎

IPC: G06F21/31 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明属于身份认证识别技术领域，特别涉及一种基于孪生网络模型的击键身份认证识别方法及系统，基于孪生网络构建击键身份识别模型，并对模型进行训练测试；收集目标注册用户多个击键事件样本，利用击键身份识别模型提取每个击键事件特征序列并获取目标注册用户每个击键事件样本与其剩余击键事件样本特征相似度，将获取的目标注册用户相似度均值作为该目标注册用户的识别认证阈值；收集待认证识别用户多个击键事件样本，利用击键身份识别模型提取每个击键事件特征序列并获取待认证识别用户击键事件特征与目标注册用户击键事件特征相似度，根据目标注册用户识别认证阈值来判定该待认证识别用户是否为目标注册用户，提升准确率，便于实际场景应用。