公开(公告)号：CN108881323B

公开(公告)日：2020-08-21

申请号：CN201811085636.5

申请日：2018-09-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 扈红超 ,  王亚文 ,  刘文彦 ,  陈福才 ,  程国振 ,  霍树民 ,  梁浩 ,  李凌书 ,  仝青

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于群智理论的威胁检测系统及方法，该系统包含：异构静态检测器，内嵌于云环境中各云节点内部，通过监听云节点端口进行威胁检测；异构动态检测器，外挂于云环境中各云节点之中，以动态游走方式进行威胁检测；检测域构建模块，根据云环境下任务执行环境及安全防护需求，确定检测域并随上下文环境的变化对检测域进行动态调整，通过检测域信息共享实现检测域动态重构；群体协作模块，利用静态检测器和动态检测器在检测域内进行静态检测器预警和动态检测器联合判决的威胁闭合检测。本发明通过非中心化的检测架构和群体协作的检测器联动机制，提高云环境下威胁检测准确性和效率，提高网络的安全性和可靠性。

公开(公告)号：CN115801409A

公开(公告)日：2023-03-14

申请号：CN202211439897.9

申请日：2022-11-17

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 郭云飞 ,  史鑫 ,  王亚文 ,  扈红超 ,  何威振 ,  高振 ,  仝玉 ,  商珂 ,  范学云 ,  王庆丰

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/142

Abstract: 本发明提供一种面向折射网络的诱饵路由部署系统及方法。该方法包括：步骤1：构建网络资源池，包括审查区域AS集合和自由区域AS集合所述审查区域AS集合为服务目标用户所在国家/地区实际控制下的AS集合；所述自由区域AS集合为友好AS集合，用于部署诱饵路由，为目标用户提供所需的网络审查规避服务；步骤2：基于网络空间测绘技术实时监控和更新网络资源池中所有AS的状态；步骤3：基于网络资源池中所有AS的状态构建AS域间拓扑图；步骤4：根据所述AS域间拓扑图，采用设定的迭代求解算法生成诱饵路由部署策略；步骤5：将所述诱饵路由部署策略下发至网络资源池中对应的AS以控制其按照所述诱饵路由部署策略部署诱饵路由。

公开(公告)号：CN115766101A

公开(公告)日：2023-03-07

申请号：CN202211310763.7

申请日：2022-10-25

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 张帅 ,  扈红超 ,  沈娟 ,  程国振 ,  刘文彦 ,  史雪静 ,  商珂 ,  孔飞 ,  仝玉 ,  刘明

IPC: H04L9/40 ,  G06F21/57 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明提供一种基于eBPF技术的行为特征裁决方法及装置。该方法包括：针对并行运行系统编写eBPF监控程序，通过eBPF技术将eBPF监控程序挂载到并行运行系统中对应的内核态和用户态挂载点上；当执行体在运行中触发已挂载的eBPF监控程序时，eBPF监控程序获取执行体的运行状态数据；在用户态通过eBPF Maps接收eBPF监控程序获取的执行体的运行状态数据，通过预置规则对收集到的运行状态数据进行预处理，最终形成执行体的行为特征；在收集到多个执行体的行为特征后，通过运行状态的锚点对多个执行体的行为特征进行同步，接着通过策略裁决比对多个执行体的行为特征来发现疑似的攻击行为。通过eBPF技术能够以极低开销获取运行时状态并据此发现疑似攻击行为。

公开(公告)号：CN115689942A

公开(公告)日：2023-02-03

申请号：CN202211439917.2

申请日：2022-11-17

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 扈红超 ,  路致平 ,  霍树民 ,  李舒意 ,  王亚文 ,  程国振 ,  梁浩 ,  刘文彦

IPC: G06T5/00

Abstract: 本发明提供一种基于随机和冗余机制的对抗样本检测方法及装置。该方法包括：随机对原始图像进行遮掩，根据遮掩后的剩余像素信息进行图像重建；重复上一步骤直至满足设定的重建次数N；将原始图像和N个重建图像输入至目标人工智能模型进行预测；判断N个重建图像的预测标签的不一致个数是否超过第一设定阈值，若是，则标记为对抗样本；反之，则继续执行下一步骤；计算N个重建图像属于各类标签时的预测概率平均值；若所有的预测概率平均值中的最大值低于第二设定阈值，则标记为对抗样本；反之，则继续执行下一步骤；判断N个重建图像的平均预测标签与原始图像的预测标签是否一致，若否则标记为对抗样本；反之，将原始图像标记为良性样本。

公开(公告)号：CN109150831B

公开(公告)日：2021-03-23

申请号：CN201810779050.2

申请日：2018-07-16

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘文彦 ,  扈红超 ,  仝青 ,  程国振 ,  霍树民 ,  李凌书 ,  王亚文 ,  陈扬 ,  徐水灵

IPC: H04L29/06 ,  H04L29/08 ,  G06F9/455 ,  G06F9/50

Abstract: 本发明提供一种内生安全的云任务执行装置及方法。该装置包括：异构化云数据中心、执行体资源池和执行体资源池管理模块；异构化云数据中心包括多个异构化层次，每个异构化层次配置有至少一个资源；执行体资源池包括多个执行体，每个执行体通过将多个异构化层次的资源以预设执行体载体为载体进行资源组合得到；执行体资源池管理模块包括执行体资源池管理器、任务管理器和多个子任务管理器，执行体资源池管理器与执行体资源池连接，多个子任务管理器分别与执行体资源池管理器和任务管理器连接。该方法包括采用动态执行和拟态化组合机制，串联使用多重安全机制。因此，本发明能够提高云任务执行的可靠性和安全性。

公开(公告)号：CN108833417B

公开(公告)日：2020-12-15

申请号：CN201810645872.1

申请日：2018-06-21

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘文彦 ,  扈红超 ,  李凌书 ,  陈福才 ,  程国振 ,  霍树民 ,  梁浩 ,  仝青 ,  王亚文

IPC: H04L29/06 ,  H04L12/58

Abstract: 本发明涉及一种拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统，其中，该信息处理装置包含：由用户传送代理组件和服务器信箱组件构成的资源池；用户传动代理组件包含若干异构用户传送代理执行体，服务器信箱组件包含若干服务器信箱执行体；随机化从资源池中挑选各类组件构成的多个并行异构的邮件服务链；用于监控各执行体运行并对各类组件进行动态调度的动态反馈控制模块。本发明通过创建多样化的执行体，对多个处理结果进行拟态裁决输出，提升邮件系统服务的安全性能，提高邮件系统防御能力的主动性、变化性和随机性，有力解决隐私保护问题，可以提供更加安全的邮件服务器解决方案，对邮件系统安全技术具有重要的指导意义。

公开(公告)号：CN109150831A

公开(公告)日：2019-01-04

申请号：CN201810779050.2

申请日：2018-07-16

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘文彦 ,  扈红超 ,  仝青 ,  程国振 ,  霍树民 ,  李凌书 ,  王亚文 ,  陈扬 ,  徐水灵

IPC: H04L29/06 ,  H04L29/08 ,  G06F9/455 ,  G06F9/50

CPC classification number: H04L63/20 ,  G06F9/45558 ,  G06F9/5022 ,  G06F2009/45587 ,  H04L67/10

Abstract: 本发明提供一种内生安全的云任务执行装置及方法。该装置包括：异构化云数据中心、执行体资源池和执行体资源池管理模块；异构化云数据中心包括多个异构化层次，每个异构化层次配置有至少一个资源；执行体资源池包括多个执行体，每个执行体通过将多个异构化层次的资源以预设执行体载体为载体进行资源组合得到；执行体资源池管理模块包括执行体资源池管理器、任务管理器和多个子任务管理器，执行体资源池管理器与执行体资源池连接，多个子任务管理器分别与执行体资源池管理器和任务管理器连接。该方法包括采用动态执行和拟态化组合机制，串联使用多重安全机制。因此，本发明能够提高云任务执行的可靠性和安全性。

公开(公告)号：CN116126335A

公开(公告)日：2023-05-16

申请号：CN202211455879.X

申请日：2022-11-21

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 王庆丰 ,  扈红超 ,  梁浩 ,  王亚文 ,  程国振 ,  刘文彦 ,  仝玉 ,  吴燕鹏 ,  商珂 ,  霍树民 ,  范学云

IPC: G06F8/41

Abstract: 本发明公开一种基于浮点数类型转换和运算的不透明谓词代码混淆装置及方法，该装置包括浮点数类型转换精度损失数字收集模块、浮点数加法运算精度损失数字收集模块、浮点数乘法运算精度损失数字收集模块、不透明谓词数据库、混淆代码插入点收集模块、不透明谓词构造模块、不透明谓词代码混淆实施模块。本发明通过预先收集的符合条件的浮点数或者浮点数对，可以构造一系列不透明谓词用于对目标软件进行代码混淆。本发明可以对代码进行结构混淆，具有隐蔽性高、通用性好、具有可逆性、开销低等优点，本发明还可以在权衡软件性能要求和软件安全性要求，实现在产生较低开销的情况下增加按需对软件强化保护。

公开(公告)号：CN108366049B

公开(公告)日：2020-08-18

申请号：CN201810036160.X

申请日：2018-01-15

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 邬江兴 ,  扈红超 ,  程国振 ,  艾健健 ,  刘文彦 ,  霍树民 ,  梁浩

IPC: H04L29/06

Abstract: 本发明属于网络安全技术领域，特别是涉及一种异构功能等价执行体的实现方法，首先按执行体运行逻辑功能划分为关键组分子集和非关键组分子集，异构化关键组分子集；然后通过硬件或者软件的方式构建特定功能区域；最后部署冗余的功能等价的异构执行体，将功能等价的异构执行体的关键组分子集置于不同的特定功能区域中执行，并根据用户的不同安全需求，对特定功能区域设定不同的实施方案。该方法适用于功能结构简单的执行体场景，尤其适用于功能结构复杂的执行体场景，保护执行体不受恶意软件的攻击。

公开(公告)号：CN110768966A

公开(公告)日：2020-02-07

申请号：CN201910959245.X

申请日：2019-10-10

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 扈红超 ,  李凌书 ,  陈福才 ,  刘文彦 ,  程国振 ,  霍树民 ,  仝青 ,  徐水灵 ,  周梦丽 ,  倪思源

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于拟态防御的安全云管理系统构建方法和装置。该方法包括：利用多样化编译工具搭建多个云管理系统，多个云管理系统之间功能相同但结构不同；构建请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至多个云管理系统；构建请求代理裁决单元用于按照预设的请求处理及部署裁决流程对多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；构建响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和多个云管理系统对执行结果的响应进行处理。本发明可以保证管理员对网络的操作信息不被窃取和恶意篡改，保证对云系统的操作安全可靠。