公开(公告)号：CN114915452B

公开(公告)日：2022-12-06

申请号：CN202210374333.5

申请日：2022-04-11

Applicant: 中国信息通信研究院

Inventor： 石悦 ,  戴方芳 ,  杨刚 ,  辛冉 ,  陈琳 ,  何华康

IPC: H04L9/40 ,  G06F21/55

Abstract: 本公开提供一种网络实体威胁标签的标定方法、系统及存储介质，所述标定方法利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签，所述网络实体行为特征至少包括事件类型特征和时序行为特征，将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架、以及TCTF、ATT&CK中的至少一种，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定，提高了标定效率和准确率。

公开(公告)号：CN114915452A

公开(公告)日：2022-08-16

申请号：CN202210374333.5

申请日：2022-04-11

Applicant: 中国信息通信研究院

Inventor： 石悦 ,  戴方芳 ,  杨刚 ,  辛冉 ,  陈琳 ,  何华康

IPC: H04L9/40 ,  G06F21/55

Abstract: 本公开提供一种网络实体威胁标签的标定方法、系统及存储介质，所述标定方法利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签，所述网络实体行为特征至少包括事件类型特征和时序行为特征，将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架、以及TCTF、ATT&CK中的至少一种，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定，提高了标定效率和准确率。

公开(公告)号：CN118972104B

公开(公告)日：2025-01-28

申请号：CN202410979108.3

申请日：2024-07-22

Applicant: 中国信息通信研究院

Inventor： 孟楠 ,  周成胜 ,  谢玮 ,  赵勋 ,  石悦 ,  王桂温 ,  于传若

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/2411

Abstract: 本发明提出一种基于增量学习的加密对抗攻击检测方法和系统。其中，方法包括：提取加密流量特征数据；基于VAE模型和GAN模型对加密流量特征进行数据增强，得到原训练集；应用原训练集对SVM进行初始训练，得到初始训练SVM；通过增量样本构建原模型保留集和新增样本保留集；应用原模型保留集和新增样本保留集训练所述初始训练SVM，得到增量训练SVM；应用所述增量训练SVM进行加密对抗攻击检测，并重复上一步骤。本发明提出的方案能够通过数据增强技术生成多样化的训练样本，缓解数据稀缺和数据不平衡问题。采用增量学习策略，使得模型能够在新的加密流量出现时快速更新，无需重新训练整个模型，从而提高了分类效率和准确性。

公开(公告)号：CN118337533B

公开(公告)日：2024-09-20

申请号：CN202410757865.6

申请日：2024-06-13

Applicant: 中国信息通信研究院

Inventor： 魏亮 ,  孟楠 ,  周成胜 ,  赵勋 ,  石悦 ,  于传若 ,  王桂温 ,  崔枭飞

IPC: H04L9/40 ,  H04L43/026 ,  H04L43/028 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提出一种基于数据包表征学习的恶意加密流量检测方法和系统。其中，方法包括：以用丰富双向流会话作为划分的基本单位，对每一个加密流量Pcap文件进行划分，得到若干个会话；选取会话中的前预设值个数据包代表全局流量；选取每个数据包的若干参数作为检测特征；将所述检测特征输入深度学习网络，得到恶意加密流量识别结果。本发明提出的方案能够通过深入挖掘TLS协议数据包级别的特征，运用深度学习网络算法提取特征的序列信息，并加入多头自注意力机制来减少深度学习网络算法的传播信息损失以及提取序列信息中的关键信息进行检测，进而提升加密恶意流量的检测率。

公开(公告)号：CN118331750B

公开(公告)日：2024-09-06

申请号：CN202410763544.7

申请日：2024-06-14

Applicant: 中国信息通信研究院

Inventor： 林美玉 ,  孟楠 ,  周成胜 ,  谢玮 ,  于传若 ,  石悦 ,  王桂温 ,  赵勋

IPC: G06F9/50 ,  G06N5/01 ,  G06F18/241

Abstract: 本发明提供一种用于处理网络威胁的动态资源分配系统、电子设备及存储介质，其中，系统包括：资源指标采集模块获取服务插件实例资源分配情况指标与服务插件实例资源使用情况指标；资源数据分析与评估模块得到CPU负载等级、内存负载等级、响应时间等级、趋势性和平稳性指标的标签，并根据指标和标签训练评估预测模型；资源调度策略模块根据预测模型得到模型输出结果及权重函数；根据输出结果的权重函数，构造扩容策略函数和缩容策略函数；资源控制器根据策略函数，实施资源扩容或缩容的配置变更；资源调度策略模块判断扩容或缩容的配置变更效果。本发明具有保障服务处理插件有效运行；提升服务处理的响应速度；保障网络威胁业务正常开展。

公开(公告)号：CN118174971A

公开(公告)日：2024-06-11

申请号：CN202410598600.6

申请日：2024-05-15

Applicant: 中国信息通信研究院

Inventor： 魏亮 ,  谢玮 ,  林美玉 ,  孟楠 ,  周成胜 ,  石悦 ,  于传若 ,  赵勋 ,  王桂温

IPC: H04L9/40 ,  G06F18/15 ,  G06F18/25

Abstract: 本发明提出一种用于网络威胁的多源异构数据治理方法和系统。其中，方法包括：对所述多源异构网络威胁数据以数据仓库的形式临时存储；对数据仓库中多源异构网络威胁数据的进行数据探查，得到数据探查结果；根据数据探查结果，编辑多源异构网络威胁数据的数据标准；根据所述数据标准，配置自定义任务，所述自定义任务规范化处理数据仓库中的多源异构网络威胁数据，完成数据清洗、数据关联和数据回填工作，最终将处理后数据存储到对应的原始情报库中。本发明提出的方案能够实现对多源异构网络威胁数据的汇聚、清洗、关联、分发等全流程的处理，具备了一站式的数据治理能力和多源异构跨平台的数据适配能力。

公开(公告)号：CN118018323A

公开(公告)日：2024-05-10

申请号：CN202410398564.9

申请日：2024-04-03

Applicant: 中国信息通信研究院

Inventor： 石悦 ,  孟楠 ,  杨刚 ,  董航

IPC: H04L9/40 ,  H04L61/4511 ,  G06F18/213 ,  G06F18/243 ,  G06F18/2433 ,  G06F18/25 ,  G06V10/44 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/0464 ,  G06N20/20 ,  G06N5/01

Abstract: 本发明提供一种防护DNS随机子域名DDoS攻击的系统、电子设备及存储介质，其中，系统包括：在检测攻击源是否为攻击者方面，使用别名重定向验证算法，根据源IP行为，有效判断并过滤攻击工具对服务器发起的DNS随机子域名攻击。能够快速有效过滤大量攻击流量。在检测目标是否遭受随机子域名攻击方面，基于CNN和BiLSTM的深度学习技术进行DNS随机子域名DDoS攻击检测，综合分析流量的时空关联，实现精确检测。在攻击防御方面，使用随机森林的机器学习方法来进行攻击可能性评估。随机森林的方案综合考虑了多种维度的特征，能够取得较低的误报率和漏报率，整体计算速度也较快。

公开(公告)号：CN117155665B

公开(公告)日：2024-03-12

申请号：CN202311131372.3

申请日：2023-09-04

Applicant: 中国信息通信研究院

Inventor： 戴方芳 ,  石悦 ,  杨刚 ,  董航 ,  杨朋 ,  辛冉

IPC: H04L9/40

Abstract: 本发明提出一种攻击溯源方法和系统。其中，方法包括：收集溯源事件的通联日志和告警信息；根据通联日志，构建以IP为节点的拓扑图，得到IP间的连接关系，并为每个IP节点设置属性；根据威胁情报与告警信息计算各IP节点的4个属性值；计算IP节点属性值的加权平均值，作为IP节点的异常评分；根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。本发明提出的方案解决了需要通过先验攻击知识关联攻击过程的问题，使溯源流程更加高效、灵活，同时可以发现未知攻击模式的攻击。

公开(公告)号：CN116232742A

公开(公告)日：2023-06-06

申请号：CN202310252477.8

申请日：2023-03-08

Applicant: 中国信息通信研究院

Inventor： 石悦 ,  戴方芳 ,  杨刚 ,  辛冉 ,  董航

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提出基于状态估计的虚假数据攻击检测方法和系统。方法包括：采集电力系统变量，并将变量输入状态估计器，得到状态估计值；将所述状态估计值输入第一深度学习网络，得到频域及空域特征向量；将所述频域及空域特征向量输入第二深度学习网络，得到时域特征向量；将所述状态估计值、频域及空域特征向量和时域特征向量输入基于GAN网络的攻击检测器，得到攻击识别结果实现高准确度FDIA分类识别功能，实现基于生成对抗网络的攻击检测，为智能电网提供攻击检测的安全策略依据。

公开(公告)号：CN118018323B

公开(公告)日：2024-07-16

申请号：CN202410398564.9

申请日：2024-04-03

Applicant: 中国信息通信研究院

Inventor： 石悦 ,  孟楠 ,  杨刚 ,  董航

IPC: H04L9/40 ,  H04L61/4511 ,  G06F18/213 ,  G06F18/243 ,  G06F18/2433 ,  G06F18/25 ,  G06V10/44 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/0464 ,  G06N20/20 ,  G06N5/01

Abstract: 本发明提供一种防护DNS随机子域名DDoS攻击的系统、电子设备及存储介质，其中，系统包括：在检测攻击源是否为攻击者方面，使用别名重定向验证算法，根据源IP行为，有效判断并过滤攻击工具对服务器发起的DNS随机子域名攻击。能够快速有效过滤大量攻击流量。在检测目标是否遭受随机子域名攻击方面，基于CNN和BiLSTM的深度学习技术进行DNS随机子域名DDoS攻击检测，综合分析流量的时空关联，实现精确检测。在攻击防御方面，使用随机森林的机器学习方法来进行攻击可能性评估。随机森林的方案综合考虑了多种维度的特征，能够取得较低的误报率和漏报率，整体计算速度也较快。