公开(公告)号：CN115481397A

公开(公告)日：2022-12-16

申请号：CN202211062373.2

申请日：2022-08-31

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC: G06F21/56

Abstract: 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN115051836A

公开(公告)日：2022-09-13

申请号：CN202210543006.8

申请日：2022-05-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 董书琴 ,  刘小虎 ,  张玉臣 ,  李福林 ,  袁霖 ,  陈康 ,  付秋兴 ,  王世豪 ,  赵子辰

IPC: H04L9/40 ,  H04L9/32 ,  G06F21/60

Abstract: 本发明提供一种基于SDN的APT攻击动态防御方法及系统。该方法设置有三层防御层，从浅层到深层依次分别为：IPS与蜜罐协同防御层、欺骗空间防御层和动态防御层；在所述IPS与蜜罐协同防御层中，IPS通过攻击特征匹配过滤掉攻击数据，并将攻击数据引诱至蜜罐主机以供所述蜜罐主机采集攻击特征并发送至数据处理中心进行分析和学习，所述数据处理中心将分析和学习的结果再反馈至IPS；在所述欺骗空间防御层中，利用复杂拓扑结构和欺骗主机空间对绕过所述IPS与蜜罐协同防御层的攻击数据进行二次阻挡与预警；在所述动态防御层中，基于SDN的动态IP跳变策略对内部网络的IP地址进行动态分配使得绕过所述欺骗空间防御层后进入内部网络的攻击者无法找到目标服务器。

公开(公告)号：CN111464503B

公开(公告)日：2022-03-01

申请号：CN202010163934.2

申请日：2020-03-11

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张恒巍 ,  谭晶磊 ,  张红旗 ,  张玉臣 ,  胡浩 ,  刘小虎 ,  胡瑞钦 ,  徐东 ,  李朝阳

IPC: H04L9/40 ,  H04L9/06 ,  H04L9/08 ,  G06F21/55

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于随机多维变换的网络动态防御方法、装置及系统，该方法包含：对合法用户身份进行注册并将用户属性信息保存到数据库；通过访问用户属性信息判定端节点用户是否为注册用户；利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址，依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证；将加密后的服务资源列表发送给验证通过的用户节点，用户节点利用私钥解密后访问相应安全级别的服务资源。本发明针对地址变换易碰撞分发低效等问题，通过全网端节点的持续变换构建动态网络视图，增加网络结构和目标节点不确定性，实现无检测防御和对全网节点变换的有效管理。

公开(公告)号：CN113392279A

公开(公告)日：2021-09-14

申请号：CN202110640014.X

申请日：2021-06-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张玉臣 ,  黄金明 ,  周洪伟 ,  汪永伟 ,  孙怡峰 ,  胡浩

IPC: G06F16/901 ,  G06F16/903 ,  G06N3/04

Abstract: 本发明属于判断有向子图相似性技术领域，具体涉及一种基于主观逻辑和前馈神经网络的相似有向子图搜索方法及系统，无需定义代价函数，而是基于观察法，利用主观逻辑理论，给出两个少节点有向图(含有1个节点或2个节点)的相似度意见，然后运用主观逻辑增量合意算子综合多位专家的意见，采用基于贪心算法和主观逻辑传递算子逐步扩大相似子图的规模，在保证了相似度意见的客观性和准确性，解决了代价函数的不同定义给编辑距离带来的不确定性，同时算法的时间复杂度不会由于两图含有的节点数目的增加而快速增加。

公开(公告)号：CN110602047B

公开(公告)日：2021-08-03

申请号：CN201910747155.4

申请日：2019-08-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 胡浩 ,  张玉臣 ,  冷强 ,  赵昌军 ,  金辉 ,  孙怡峰 ,  周洪伟 ,  张畅 ,  汪永伟 ,  程相然

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明属于网络安全技术领域，特别涉及一种面向网络攻防的多步攻击动态防御决策选取方法及系统，该方法包含：通过分析网络安全要素信息，生成网络属性攻击图；基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略。本发明围绕网络生存性实施攻防策略，能够依据网络动态变化的攻防态势，调整形势预判和防御策略，为网络安全管理人员提供易于理解、合理的防御决策，提高网络防御能力，具有较好的应用前景，对网络安全技术具有重要指导意义和价值。

公开(公告)号：CN109995793B

公开(公告)日：2021-08-03

申请号：CN201910292299.5

申请日：2019-04-12

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 张红旗 ,  胡浩 ,  张玉臣 ,  冷强 ,  刘玉岭 ,  杨峻楠 ,  金辉 ,  韩卫东 ,  冀会芬 ,  张任川

IPC: H04L29/06

Abstract: 本发明属于网络安全技术领域，特别涉及一种网络动态威胁跟踪量化方法及系统，该方法包含：结合目标网络系统配置、漏洞及网络节点间服务存取访问关系，构建系统动态威胁属性攻击图；基于属性攻击图，对网络系统多告警信息进行融合，并通过推断告警强度量化攻击威胁，绘制用于描述安全威胁变化态势的动态威胁跟踪图。本发明利用图论知识构建系统动态威胁属性攻击图；基于权限提升原则通过前件推断系统、后件预测系统和综合告警信息推断系统进行多告警信息的融合与威胁分析，生成网络动态威胁跟踪图进行威胁变化态势的可视化展示；可以实现网络安全的动态预警监察，提升对大规模潜在威胁行为的持续监控跟踪和深度溯源能力。

公开(公告)号：CN109218305B

公开(公告)日：2020-12-08

申请号：CN201811063114.5

申请日：2018-09-12

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张玉臣 ,  胡浩 ,  张红旗 ,  汪永伟 ,  刘小虎 ,  张任川 ,  杨峻楠

IPC: H04L29/06

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于报警聚合的网络取证方法及装置，该方法包含：构建攻击图；并获取网络关键节点的入侵检测数据，将该入侵检测数据作为网络取证分析的报警证据集；将报警证据集合中报警证据映射到攻击图中，并获取报警证据链；对报警证据链进行聚类，构建网络入侵场景，恢复网络犯罪现场。本发明针对利用入侵检测系统进行网络取证时存在的漏报和误报问题，通过进行报警证据映射、证据链生成、证据链聚类和入侵场景构建，能准确完整地展现攻击者的入侵全貌，提高网络取证效率；与入侵场景相关报警数据成为重要电子证据，具有较强的实用性和可操作性，为收集网络数据证据，重返犯罪现场及诉讼案件提供可靠依据。

公开(公告)号：CN109379322A

公开(公告)日：2019-02-22

申请号：CN201810466686.1

申请日：2018-05-16

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张玉臣 ,  汪永伟 ,  雷程 ,  刘小虎 ,  范钰丹 ,  张畅 ,  张任川 ,  刘璟 ,  孙怡峰 ,  周供伟 ,  谭晶磊

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明属于网络安全技术领域，具体涉及一种完全信息条件下网络动态变换的决策方法及其系统，该决策方法包括以下步骤：根据网络状态、攻击策略和防御策略得到状态转移概率；利用博弈理论描述移动目标防御的过程中攻防博弈双方的收益，结合所述状态转移概率构建基于马尔科夫博弈的移动目标防御模型；将所述移动目标防御模型的求解等价转化为目标函数，得到最优的移动目标防御策略。本发明根据状态转移概率和攻防博弈双方的收益构建基于马尔科夫博弈的移动目标防御模型，进而求解得到最优的移动目标防御策略，以实现网络性能开销和移动目标防御收益的平衡，解决了如何基于有限网络资源选取最优防御策略的技术问题。

公开(公告)号：CN109302424A

公开(公告)日：2019-02-01

申请号：CN201811420939.8

申请日：2018-11-27

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  原锦辉 ,  张玉臣 ,  张来顺

IPC: H04L29/06 ,  H04L29/08 ,  H04W4/38 ,  H04W12/06 ,  H04L12/715

Abstract: 本发明提供一种传感器网络簇头监视节点秘密选择协议，包括：步骤1、在簇头节点O确定之后，由簇头节点O发起节点群构建子协议，建立节点群；步骤2、各节点在明确备选节点身份后，发起令牌生成子协议，建立其所持有令牌集；步骤3、节点群中序列号最小的备选节点发起节点秘密选择子协议，结合各备选节点所持有令牌集确定下一个监视周期中的簇头监视节点；步骤4、进入监视周期，在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其令牌集；步骤5、重复执行步骤3至步骤4；步骤6、在监视周期内，若簇头节点失去簇头地位，簇头节点发起节点群撤消子协议，协议中止。本发明能够极大地增加攻击者的攻击难度，从而提高网络安全性能。

公开(公告)号：CN108363930A

公开(公告)日：2018-08-03

申请号：CN201810236835.5

申请日：2018-03-21

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  原锦辉 ,  张玉臣 ,  刘磊 ,  肖锐 ,  曹旭杨

IPC: G06F21/62 ,  G06F21/78

Abstract: 本发明提供一种内存数据保护方法及系统。该方法包括：当待保护内存数据写入目标页面时，获取目标页面的页面标识；根据页面标识，若判断获知目标页面为敏感页面，则为待保护内存数据分配与敏感页面对偶的影子页面；对待保护内存数据进行蜜罐化处理，确定待保护内存数据的虚假数据，并将虚假数据写入影子页面；将敏感页面的页表项信息从初始页表中转移至影子页表，初始页表用于存储目标页面的页表项信息，影子页表用于存储敏感页面和影子页面的页表项信息。该系统包括用户接口、页面标识单元和页面反转单元。本发明通过构造影子页面隐藏待保护内存数据的页面，从而实现对内存数据的保护，操作简单快捷，不会过多影响系统整体性能。