公开(公告)号：CN118174971A

公开(公告)日：2024-06-11

申请号：CN202410598600.6

申请日：2024-05-15

Applicant: 中国信息通信研究院

Inventor： 魏亮 ,  谢玮 ,  林美玉 ,  孟楠 ,  周成胜 ,  石悦 ,  于传若 ,  赵勋 ,  王桂温

IPC: H04L9/40 ,  G06F18/15 ,  G06F18/25

Abstract: 本发明提出一种用于网络威胁的多源异构数据治理方法和系统。其中，方法包括：对所述多源异构网络威胁数据以数据仓库的形式临时存储；对数据仓库中多源异构网络威胁数据的进行数据探查，得到数据探查结果；根据数据探查结果，编辑多源异构网络威胁数据的数据标准；根据所述数据标准，配置自定义任务，所述自定义任务规范化处理数据仓库中的多源异构网络威胁数据，完成数据清洗、数据关联和数据回填工作，最终将处理后数据存储到对应的原始情报库中。本发明提出的方案能够实现对多源异构网络威胁数据的汇聚、清洗、关联、分发等全流程的处理，具备了一站式的数据治理能力和多源异构跨平台的数据适配能力。

公开(公告)号：CN117220991A

公开(公告)日：2023-12-12

申请号：CN202311319010.7

申请日：2023-10-12

Applicant: 中国信息通信研究院

Inventor： 靳文京 ,  卜哲 ,  宋倩倩 ,  卢泓宇 ,  刘双喜 ,  庄建滨 ,  罗成 ,  周成胜 ,  周智超 ,  崔枭飞 ,  赵勋

IPC: H04L9/40

Abstract: 本发明实施例公开了一种网络风险检测方法、装置、电子设备及存储介质，其中，方法包括：根据全量网络流量数据筛选目标加密流量数据；所述目标加密流量数据包括TLS加密流量数据和/或SSL加密流量数据；解析所述目标加密流量数据，以获取所述目标加密流量数据的建联消息集；其中，所述目标加密流量数据的建联消息集包括以下至少一项数据：ClientHello消息、ServerHello消息、服务器证书CA消息和服务器ChangeCipherSpec消息；对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果；根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果。本发明实施例的技术方案能够提高网络风险检测的准确率，进而提升网络安全监测预警的能力。

公开(公告)号：CN119544260A

公开(公告)日：2025-02-28

申请号：CN202411445256.3

申请日：2024-10-16

Applicant: 中国信息通信研究院

Inventor： 周成胜 ,  于传若 ,  孟楠 ,  林美玉 ,  赵勋 ,  王桂温

IPC: H04L9/40

Abstract: 本申请公开了一种网络攻击行为检测方法及装置、存储介质、计算机设备，该方法包括：获取多条网络数据，并基于所述多条网络数据，构建待分析图结构；基于预设攻击模式图，判断所述待分析图结构中是否存在与所述预设攻击模式图匹配的第一目标子图，并当存在时，确定所述待分析图结构中存在所述预设攻击模式图指示的网络攻击行为；根据所述第一目标子图以及对应的网络攻击行为，生成所述多条网络数据对应的网络攻击行为检测结果。本申请能够更全面、更准确地检测网络中的攻击行为，减少了误报和漏报的可能性；此外，可以快速定位到潜在的网络攻击行为，提高了检测的效率，有助于及时应对网络安全威胁。

公开(公告)号：CN118802385B

公开(公告)日：2024-11-22

申请号：CN202411292195.1

申请日：2024-09-14

Applicant: 中国信息通信研究院

Inventor： 周成胜 ,  于传若 ,  孟楠 ,  田慧蓉 ,  赵勋 ,  王桂温

IPC: H04L9/40 ,  H04L69/22

Abstract: 本发明提供一种基于穷举解密的TCP隐蔽隧道检测系统、电子设备及存储介质，其中，系统包括：通过单一算法（如异或、加法、减法、解码和解压缩）和组合算法（对异或、加法、减法、解码和解压缩进行两两组合）对传输的TCP载荷进行解密。通过分析解密后的数据中是否包含IP地址、计算机名、用户名、操作系统版本和MAC地址等系统信息，来判断TCP载荷中是否含有隐蔽隧道。本发明提出的方案能够效解决了简单加密TCP隐蔽隧道的检测困难问题，提高了检测准确性和可解释性，有助于精确识别恶意流量。

公开(公告)号：CN118972104A

公开(公告)日：2024-11-15

申请号：CN202410979108.3

申请日：2024-07-22

Applicant: 中国信息通信研究院

Inventor： 孟楠 ,  周成胜 ,  谢玮 ,  赵勋 ,  石悦 ,  王桂温 ,  于传若

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/2411

Abstract: 本发明提出一种基于增量学习的加密对抗攻击检测方法和系统。其中，方法包括：提取加密流量特征数据；基于VAE模型和GAN模型对加密流量特征进行数据增强，得到原训练集；应用原训练集对SVM进行初始训练，得到初始训练SVM；通过增量样本构建原模型保留集和新增样本保留集；应用原模型保留集和新增样本保留集训练所述初始训练SVM，得到增量训练SVM；应用所述增量训练SVM进行加密对抗攻击检测，并重复上一步骤。本发明提出的方案能够通过数据增强技术生成多样化的训练样本，缓解数据稀缺和数据不平衡问题。采用增量学习策略，使得模型能够在新的加密流量出现时快速更新，无需重新训练整个模型，从而提高了分类效率和准确性。

公开(公告)号：CN118331750A

公开(公告)日：2024-07-12

申请号：CN202410763544.7

申请日：2024-06-14

Applicant: 中国信息通信研究院

Inventor： 林美玉 ,  孟楠 ,  周成胜 ,  谢玮 ,  于传若 ,  石悦 ,  王桂温 ,  赵勋

IPC: G06F9/50 ,  G06N5/01 ,  G06F18/241

Abstract: 本发明提供一种用于处理网络威胁的动态资源分配系统、电子设备及存储介质，其中，系统包括：资源指标采集模块获取服务插件实例资源分配情况指标与服务插件实例资源使用情况指标；资源数据分析与评估模块得到CPU负载等级、内存负载等级、响应时间等级、趋势性和平稳性指标的标签，并根据指标和标签训练评估预测模型；资源调度策略模块根据预测模型得到模型输出结果及权重函数；根据输出结果的权重函数，构造扩容策略函数和缩容策略函数；资源控制器根据策略函数，实施资源扩容或缩容的配置变更；资源调度策略模块判断扩容或缩容的配置变更效果。本发明具有保障服务处理插件有效运行；提升服务处理的响应速度；保障网络威胁业务正常开展。