公开(公告)号：CN112468347A

公开(公告)日：2021-03-09

申请号：CN202011475324.2

申请日：2020-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  张东雪 ,  张博洋 ,  杨纯 ,  杜莹莹 ,  郑阳 ,  文雨

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明提供一种云平台的安全管理方法、装置、电子设备及存储介质，属于信息安全技术领域，所述方法包括采集云平台中各实体的预设数据；根据所述预设数据构建实体关联图，所述实体关联图表示云平台中各实体之间的关联关系；根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。本发明通过构建实体关联图，找到异常实体攻击链，构建出由所述异常实体攻击链构成的云平台威胁模型，并基于所述云平台威胁模型过滤误报异常实体或/和发现未知异常实体，以实现云平台的安全管理。

公开(公告)号：CN110958220A

公开(公告)日：2020-04-03

申请号：CN201911019620.9

申请日：2019-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 文雨 ,  刘福承 ,  张东雪 ,  张博洋 ,  杨纯 ,  杜莹莹 ,  郑阳 ,  孟丹

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明实施例提供一种基于异构图嵌入的网络空间安全威胁检测方法及系统，包括：获取实体行为数据；根据元属性关联关系对所述实体行为数据中所有的数据项进行关联，获取数据项序列，并基于数据项序列构建异构图；基于图嵌入学习方法，将异构图中的每个节点转换成低维向量，获取每个节点的向量化表达；对所述向量化表达的特征进行分析处理，以判断所述向量化表达所对应的所述数据项是否为恶意行为。本实施例通过建立用于威胁检测的异构图，精简并向量化表示实体行为数据项，提供的针对网络空间安全的数据项级威胁检测，无需后期人工修正以及有标签的数据项作为训练样本，有效的提高了检测的精度和检测的可行性。

公开(公告)号：CN117332413A

公开(公告)日：2024-01-02

申请号：CN202311068892.4

申请日：2023-08-23

Applicant: 中国科学院信息工程研究所

Inventor： 文雨 ,  吴艳娜 ,  张博洋 ,  燕娜 ,  郑阳 ,  张东雪 ,  杨纯 ,  杜莹莹 ,  杨佳宁

IPC: G06F21/56 ,  G06N3/042 ,  G06N3/08 ,  G06N5/02

Abstract: 本发明提供一种基于图神经网络的高级威胁检测方法及装置，其中，方法包括：基于元路径库，提取目标溯源图中的行为链路；基于所述目标溯源图、所述目标溯源图中的行为链路以及训练好的恶意进程检测模型，确定所述目标溯源图中的恶意进程节点；其中，所述目标溯源图基于多个实体节点和所述多个实体节点之间的事件生成；所述恶意进程检测模型是基于带有恶意进程节点标签的样本溯源图和所述样本溯源图中的行为链路，对图神经网络MAGNN训练得到的。从而可以确定目标溯源图中的恶意进程节点，从而实现恶意实体节点的准确识别并降低误报率。

公开(公告)号：CN114637892A

公开(公告)日：2022-06-17

申请号：CN202210107372.9

申请日：2022-01-28

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  文雨 ,  徐志强 ,  张博洋 ,  杨纯 ,  郑阳 ,  张东雪 ,  杜莹莹 ,  吴艳娜

IPC: G06F16/901 ,  H04L9/40

Abstract: 本发明提供一种用于攻击调查和还原的系统日志依赖图的概要图生成方法，包括：确定待调查和还原的攻击事件的系统实体依赖关系图，依赖关系图包含与攻击事件相关联的系统实体节点和系统实体节点间的调用关系；系统实体节点包括进程节点和资源节点；在依赖关系图中的进程节点上执行分层随机行走，确定进程节点的行为表示；基于行为表示对进程节点进行聚类，基于聚类结果将依赖关系图划分为至少一个第一子图；压缩每个第一子图获取至少一个第二子图；生成每个第二子图对应的概要，获得依赖关系图对应的概要图。本发明通过将依赖关系图划分为多个子图并为每个子图提供简洁的概要生成概要图，便于查看相关系统活动的概要和与攻击相关的子图的概要信息。

公开(公告)号：CN112464248A

公开(公告)日：2021-03-09

申请号：CN202011412163.2

申请日：2020-12-04

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  张博洋 ,  郑阳 ,  文雨 ,  杜莹莹 ,  张东雪 ,  杨纯

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/55 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种处理器漏洞利用威胁检测方法及装置，该方法包括：从硬件性能计数器HPC采样时间序列中，提取HPC数据连续时间序列片段；对所述HPC数据连续时间序列片段进行数据清洗，得到目标HPC数据；将所述目标HPC数据输入预设编码‑解码检测模型，得到所述目标HPC数据的数据重构误差序列；根据预设决策机制对所述目标HPC数据的数据重构误差序列进行分析，得到威胁检测结果；其中，所述预设编码‑解码检测模型是通过正常进程的目标HPC样本数据训练得到的。通过提取HPC数据连续时间序列片段，能够提取在给定容忍度下HPC数据中的连续有效值，避免数据的干扰，并且通过预设编码‑解码检测模型实现威胁检测。