公开(公告)号：CN114117435B

公开(公告)日：2022-11-04

申请号：CN202111513319.0

申请日：2021-12-12

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  张先国 ,  徐军化 ,  杨天长 ,  刘恒讯 ,  唐然

IPC: G06F21/56 ,  G06F21/57

Abstract: 本发明公开了一种隔离通道感知和脆弱性测试方法，包括：以隔离网计算机可执行程序结合物理隔离信号接收器的形式来实现隔离通道感知和脆弱性测试功能；首先进行硬件检测，利用隔离网计算机可执行程序在目标计算机上运行，初始化后遍历计算机驱动程序，收集声卡、显示器、网卡驱动程序信息以及CPU信息，并检查相关硬件调用接口，确认隔离网络通道构建可用的硬件设备；进行通道检测，调用硬件接口，测试声卡、显示器、网卡和CPU的信息传输能力；判断是否具有传输通道，如果存在传输通道，进行通道脆弱性检测，测试特殊通道的信息携带能力，分析隔离网络计算机的安全性，避免隔离网络计算机被高级隔离网络远程控制技术威胁。

公开(公告)号：CN112769821B

公开(公告)日：2022-07-22

申请号：CN202110016211.4

申请日：2021-01-07

Applicant: 中国电子科技集团公司第十五研究所 ,  西安邮电大学

Inventor： 任传伦 ,  郭世泽 ,  冯景瑜 ,  张威 ,  刘晓影 ,  张先国 ,  俞赛赛 ,  乌吉斯古愣 ,  王玥 ,  闫慧 ,  孟祥頔 ,  夏建民 ,  金波 ,  刘文瀚

IPC: H04L9/40 ,  G06F21/53 ,  G06F21/55 ,  G06F21/56 ,  G06N20/00

Abstract: 本发明公开了一种基于威胁情报和ATT＆CK的威胁响应方法与装置，属于计算机网络安全技术领域。所述方法包括建立威胁情报库，从公开资源和传统安全设备中收集所述威胁情报，结合ATT＆CK框架解析攻击行为全生命周期，建立完整攻击链形式的攻击者机器学习模型；根据攻击者机器学习模型建立标签与处理规则的映射关系；使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别并根据流量实时特征的变化不断更改标签值；根据标签与处理规则的映射关系激活威胁防御。本发明解决了威胁情报信息单一且杂乱无序导致溯源过程缺乏有效证据，以及通常采取的封禁和阻塞策略系统负载开销大的问题。

公开(公告)号：CN114221804A

公开(公告)日：2022-03-22

申请号：CN202111518609.4

申请日：2021-12-12

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 张先国 ,  任传伦 ,  徐军化 ,  杨天长 ,  陈璐 ,  尹誉衡

IPC: H04L9/40

Abstract: 本发明公开了一种基于特征识别和交互验证的蜜罐识别方法，其步骤包括：根据互联网IP节点的信用信息，对可信IP节点进行过滤；通过蜜罐判别方法，利用开源的密罐特征，识别出IP节点中是否存在蜜罐的Dionaea、Conpot、kippo和t‑pot特征，则初步判断该IP节点中存在蜜罐；通过对其多端口和服务进行扫描，实现蜜罐探测识别；基于聚合效应，对得到互联网资产信息进行分析；通过登录验证方式和系统的操作命令交互验证方式对确认的蜜罐识别结果进行校验；如果经过若干次的登录，每次都可以成功登录该IP节点，则校验对蜜罐产品的确认结果为正确。本发明通过采用初步判断、判断、确认和校验的识别模式，提高了蜜罐识别技术速度和准确率。

公开(公告)号：CN114205152A

公开(公告)日：2022-03-18

申请号：CN202111513187.1

申请日：2021-12-12

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 张先国 ,  任传伦 ,  徐军化 ,  杨天长 ,  尹誉衡 ,  李宝静

IPC: H04L9/40

Abstract: 本发明公开了一种反溯源异构资源部署和最优路径规划方法，其具体包括反溯源异构资源部署和反溯源最优路径规划两个步骤；所述的反溯源异构资源部署，是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系，选取一系列基础网络资源，并对这些网络资源的属性进行配置，将该网络资源的属性的配置问题抽象为一个组合优化决策问题，通过决策方法求解该组合优化决策问题。本发明充分考虑多种影响反溯源异构网络节点选取条件，将反溯源异构网络构建问题抽象为组合优化决策问题，为反溯源异构网络构建提供模式化的解决方案，从网络构建层面上保障了反溯源异构网络的高安全性、高连通性和低代价。

公开(公告)号：CN114117454A

公开(公告)日：2022-03-01

申请号：CN202111506630.2

申请日：2021-12-10

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 杨天长 ,  张先国 ,  任传伦 ,  徐军化 ,  尹誉衡 ,  唐然

IPC: G06F21/57 ,  G06F11/36

Abstract: 本发明公开了一种基于漏洞预测模型的种子优化方法，构建漏洞预测模型，漏洞预测模型用于对目标程序中的函数脆弱性进行预测，通过筛选种子实现种子优化，使用动态二进制检测方法来跟踪目标程序的执行信息，根据漏洞预测模型所得的漏洞概率计算静态脆弱性分数SVS，将得分高于某阈值的测试用例存储到种子输入池中。利用种子选择策略选择测试用例存储到种子输入池中，已执行的可引发崩溃的测试用例也存储到种子输入池。通过对种子输入池中的输入进行变异，生成种子输入池的下一代输入。本发明方法充分考虑了目标程序基本块的漏洞预测概率，有利于实现针对目标程序的有效变异，提高测试用例的有效性，更易于挖掘漏洞。

公开(公告)号：CN113901452A

公开(公告)日：2022-01-07

申请号：CN202111165024.9

申请日：2021-09-30

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  郭世泽 ,  乌吉斯古愣 ,  俞赛赛 ,  刘晓影 ,  刘文瀚 ,  谭震 ,  王淮 ,  张先国

IPC: G06F21/55 ,  G06F21/56 ,  G06F16/2458

Abstract: 本发明公开了一种基于信息熵的子图模糊匹配安全事件识别方法，其步骤包括：告警事件语义图模型构建；定义告警事件的基本语义要素，构建告警事件语义图模型；告警事件格式化处理；定义告警事件关联图；将一个告警事件定义为告警事件关联图中一个节点，将告警事件之间的关系作为告警事件关联图中的连接边，构建告警事件关联图的各个节点之间的连接边；将新输入的告警事件添加到告警事件关联图中；构建安全事件语义图模型；基于信息熵的子图模糊匹配安全事件递归识别。本发明综合应用告警的图关联关系中有价值的关联信息进行联动推断，进一步提升多步攻击和关联告警的挖掘能力以及降低误报率，实现了网络安全事件的快速感知识别。

公开(公告)号：CN113364802B

公开(公告)日：2021-12-17

申请号：CN202110715857.1

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  王淮 ,  刘晓影 ,  乌吉斯古愣 ,  俞赛赛 ,  张先国 ,  王玥 ,  金波 ,  任秋洁

IPC: H04L29/06 ,  H04L12/24 ,  H04L29/12 ,  G06F16/36 ,  G06N5/02 ,  G06N5/04

Abstract: 本发明公开了一种安全告警威胁性研判方法及装置，属于网络安全技术领域。所述方法包括：基于历史情报库数据构建网络安全情报知识图谱，在此基础上形成安全告警数据的安全告警关联子图，对安全告警关联子图进行实体威胁系数计算，获取各威胁实体要素的实体威胁性系数，综合计算所述安全告警数据的安全告警威胁性程度。本发明将知识图谱技术应用到威胁情报领域，基于历史情报库数据构建网络安全情报知识图谱，在安全告警的威胁性研判中充分利用威胁实体要素的历史威胁行为，使得判断结果更为准确。

公开(公告)号：CN112910851B

公开(公告)日：2021-10-15

申请号：CN202110058724.1

申请日：2021-01-16

Applicant: 中国电子科技集团公司第十五研究所 ,  西安邮电大学

Inventor： 任传伦 ,  郭世泽 ,  张先国 ,  冯景瑜 ,  杨令 ,  夏建民 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  G06F16/36 ,  G06F16/35 ,  G06F16/953

Abstract: 本发明公开了一种基于知识图谱的数据包标记溯源装置，将入侵检测技术与攻击溯源技术结合起来，入侵检测技术主要是根据知识图谱技术描述网络流量的行为进行检测分析，绘制出通信双方的关联关系，统计出连接数，一旦超过设定的阈值便判断出现异常流量，并对异常行为实施相应的操作；溯源技术强调的是一种追本溯源的技术，根据追踪路径重现数据历史的溯源，路径溯源更多的是利用数据包中的标记信息确定数据包在网络传输过程中所转发的路径。当网络收到恶意数据包攻击时，利用标记设备可以准确又高效的实现数据包的溯源，这在一定程度上能够比较快捷的缓解或者防御分布式拒绝服务攻击或者恶意数据包攻击。

公开(公告)号：CN112788064B

公开(公告)日：2021-09-14

申请号：CN202110185647.6

申请日：2021-02-10

Applicant: 中国电子科技集团公司第十五研究所 ,  西安邮电大学

Inventor： 任传伦 ,  郭世泽 ,  张先国 ,  冯景瑜 ,  杨令 ,  夏建民 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  H04L12/24 ,  H04L9/08

Abstract: 本发明公开了一种基于知识图谱的加密网络异常流量检测方法，包括以下步骤：利用抓包软件抓取加密协议协商阶段的报文和密钥；利用密钥对加密的流量解密从而得到明文的数据报文；实时获取通信网络中所产生的各种数据报文；将数据报文中的各个实体作为顶点，实体间的关系属性作为边，构建知识图谱；由知识图谱中两个实体间的关系，统计两个实体间的连接数、交互信息数、实连接占比、虚连接占比；统计对所有实体的最终的检测值，判断各检测值是否大于其对应的阈值，若大于阈值则判断通信网络中存在异常流量，发出异常流量预警。本发明以数据流为对象，检测数据流的内部报文，并且用知识图谱来描述流量行为，提升了检测效率和准确度。

公开(公告)号：CN113364802A

公开(公告)日：2021-09-07

申请号：CN202110715857.1

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  王淮 ,  刘晓影 ,  乌吉斯古愣 ,  俞赛赛 ,  张先国 ,  王玥 ,  金波 ,  任秋洁

IPC: H04L29/06 ,  H04L12/24 ,  H04L29/12 ,  G06F16/36 ,  G06N5/02 ,  G06N5/04

Abstract: 本发明公开了一种安全告警威胁性研判方法及装置，属于网络安全技术领域。所述方法包括：基于历史情报库数据构建网络安全情报知识图谱，在此基础上形成安全告警数据的安全告警关联子图，对安全告警关联子图进行实体威胁系数计算，获取各威胁实体要素的实体威胁性系数，综合计算所述安全告警数据的安全告警威胁性程度。本发明将知识图谱技术应用到威胁情报领域，基于历史情报库数据构建网络安全情报知识图谱，在安全告警的威胁性研判中充分利用威胁实体要素的历史威胁行为，使得判断结果更为准确。