公开(公告)号：CN115032627A

公开(公告)日：2022-09-09

申请号：CN202210447621.9

申请日：2022-04-26

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 郭强 ,  刘策越 ,  李岩 ,  常亮 ,  周启晨 ,  张先国 ,  任传伦

IPC: G01S13/86 ,  G01S13/72

Abstract: 本申请公开了一种分布式多传感器多模态无人集群目标融合跟踪方法及系统，所述系统包括：雷达设备，用于发射电磁波，并通过对回波信号进行分析得到目标无人机的位姿信息，将所述位姿信息发送给控制设备；无线电设备，用于获取目标无人机遥控、图传信号，并对获取的信号进行特征提取；光电设备，所述光电设备对准所述目标无人机，所述光电设备用于采集所述目标无人机的图像信息；控制设备，用于根据所述位姿信息控制所述光电设备对准所述目标无人机；所述控制设备还用于根据所述位姿信息、所述信号特征信息、所述图像信息确定所述目标无人机的跟踪信息。本申请提供的方案能够降低探测的虚警率，从而提高了无人机探测的准确率。

公开(公告)号：CN114189459A

公开(公告)日：2022-03-15

申请号：CN202111506693.8

申请日：2021-12-10

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 张先国 ,  任传伦 ,  杨天长 ,  徐军化 ,  李宝静 ,  刘恒讯

IPC: H04L43/08 ,  H04L43/16 ,  H04L43/50 ,  H04L9/40

Abstract: 本发明公开了一种隔离网络通信安全性评估方法及装置，该方法包括：检测是否接收到攻击信号；当接收到攻击信号时，利用攻击信号对目标隔离网络进行测试，得到测试结果参数信息；利用预设的评估整合规则对测试结果参数信息进行处理，得到目标评估信息；目标评估信息用于指示对目标隔离网络通信安全性的判定。可见，本发明能够通过检测攻击信号，再利用攻击信号对目标隔离网络进行测试得到测试结果参数信息，并利用评估整合规则对测试结果参数信息进行处理得到用于指示对目标隔离网络通信安全性的判定的目标评估信息，有利于实现对目标网络的隔离网络通信安全性的评估，进而提高对隔离网络在监测隔离接入通道方面的检测能力。

公开(公告)号：CN114189382A

公开(公告)日：2022-03-15

申请号：CN202111506440.0

申请日：2021-12-10

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 张先国 ,  杨天长 ,  任传伦 ,  徐军化 ,  尹誉衡 ,  唐然

IPC: H04L9/40 ,  H04L43/18 ,  G06V10/762

Abstract: 本发明公开了一种基于模糊测试的网络协议自动化分析漏洞挖掘装置，将网络数据流输入本装置后，本装置通过对网络数据流进行分析，生成包含网络协议格式的规则树，以规则树为导向对测试目标进行模糊测试，将模糊测试结果反馈到规则树中，实现对测试目标的协议格式遍历，从而对未知协议格式的网络协议实现漏洞挖掘。本发明实现了对未知协议格式的自动化分析，引导模糊测试的执行路径，不需要依赖目标程序，操作简便，通用性强。本发明以规则树为导向对测试目标进行模糊测试，将模糊测试结果反馈到规则树中，实现对测试目标的协议格式遍历，能够方便地对未知协议格式的网络协议实现漏洞挖掘，满足了网络安全工作者对网络协议安全分析的需求。

公开(公告)号：CN113868656A

公开(公告)日：2021-12-31

申请号：CN202111164966.5

申请日：2021-09-30

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  郭世泽 ,  王玥 ,  刘晓影 ,  乌吉斯古愣 ,  俞赛赛 ,  刘文瀚 ,  谭震 ,  王淮 ,  张先国

IPC: G06F21/56 ,  G06F16/28 ,  G06F16/36

Abstract: 本发明公开了一种基于行为模式的APT事件同源判定方法，其步骤包括：构建基于行为模式的APT事件关联图；对APT事件关联图进行节点属性扩展；对APT事件关联图中的节点进行属性标注；对APT事件关联图中的节点进行属性标注，得到APT事件关联图节点的行为标签或线索标签；对APT事件关联图进行相似性判别；对APT事件关联图进行相似性判别，完成APT事件的同源判定；采用子图相似性度量函数，比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息，来确定两个APT事件关联图的同源性或相似性。本发明方法解决了现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题。

公开(公告)号：CN113254641B

公开(公告)日：2021-11-16

申请号：CN202110588184.8

申请日：2021-05-27

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  王淮 ,  刘晓影 ,  乌吉斯古愣 ,  俞赛赛 ,  张先国 ,  王玥

IPC: G06F16/35 ,  G06F40/295 ,  G06K9/62

Abstract: 本发明提供了一种情报数据融合方法与装置，采用决策树ID3算法训练生成Smart规则，通过对原始网络情报数据进行实体提取、实体分类、属性识别和属性提取，自动选择融合规则，实现网络情报数据的融合。本发明主要目的在于解决现有情报数据融合效率低、融合效果参差不齐的问题，实现对网络情报数据的高效、快速、标准化融合，降低网络情报数据融合对领域专家知识的依赖度。

公开(公告)号：CN112910842B

公开(公告)日：2021-10-01

申请号：CN202110051543.6

申请日：2021-01-14

Applicant: 中国电子科技集团公司第十五研究所

Inventor： 任传伦 ,  郭世泽 ,  吴栋 ,  官弼根 ,  刘文瀚 ,  刘晓影 ,  张先国 ,  俞赛赛 ,  乌吉斯古愣 ,  王玥 ,  闫慧 ,  孟祥頔

IPC: H04L29/06 ,  G06F9/54 ,  G06F16/25

Abstract: 本发明公开了一种基于流量还原的网络攻击事件取证方法与装置，属于网络安全技术领域。所述方法包括：针对原始的流量包数据，一方面运用文件分割技术经过tshark解析，经过多线程同步数据清洗，再通过rabbitmq和logstash将数据存到elasticsearch；另一方面通过suricata特征规则匹配，进行事件告警，根据协议解析的数据查询当前包的流信息从而分割pcap包，从而下载某个事件对应的流量片段。本发明针对流量包协议解析和入库较慢的问题，应用大文件分割和多线程同步解析入库的技术大大缩短了入库时间；通过对每一个告警事件进行解析，准确从原始数据包中分割该告警事件对应的完整流量片段，减少资源浪费。

公开(公告)号：CN113378165A

公开(公告)日：2021-09-10

申请号：CN202110711130.6

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  刘文瀚 ,  吕帅 ,  夏建民 ,  张先国 ,  刘晓影 ,  王淮 ,  俞赛赛 ,  乌吉斯古愣 ,  孟祥頔

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种基于Jaccard系数的恶意样本相似性判定方法，其具体包括：利用String命令对恶意样本Ⅰ和恶意样本Ⅱ分别进行解析并提取恶意样本字符串，将提取到的恶意样本字符串分别转化为样本字符串集合A和B；计算出样本字符串集合A和B之间的Jaccard系数；设定一个阈值，若计算得到的Jaccard系数值大于阈值，则判定恶意样本Ⅰ和恶意样本Ⅱ之间具有较强的相似性；对于具有较强的相似性的恶意样本Ⅰ和恶意样本Ⅱ，利用空间谱函数，找到恶意样本所在的字符串。本发明提供了一种新型的恶意样本相似性判定方法，无需进行恶意样本特征提取等复杂操作，可以提高恶意样本相似性判定的效率。

公开(公告)号：CN112769859B

公开(公告)日：2021-08-27

申请号：CN202110092582.0

申请日：2021-01-24

Applicant: 中国电子科技集团公司第十五研究所

Inventor： 任传伦 ,  郭世泽 ,  官弼根 ,  吴栋 ,  夏建民 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  G06F21/55 ,  G06N7/00

Abstract: 本发明公开了基于马尔可夫链的网络攻击阶段统计和预测方法，其具体步骤包括：建立基于马尔可夫链的状态转移矩阵，按照网络攻击杀伤链的攻击过程建立状态空间，对攻击过程中每一种攻击方法所发生的攻击状态转移进行概率统计，建立马尔可夫链状态转移矩阵；修正基于马尔可夫链的状态转移矩阵，修正基于马尔可夫链的状态转移矩阵中的由于统计数据不完整而导致缺失或者错误的状态数据；使用马尔可夫链模型对网络攻击杀伤链中攻击阶段进行预测。本发明将广泛使用的网络攻击链和马尔可夫链两者结合起来，使网络攻击事件统计更适合应用于预测中，从而提高了攻击预测模型的准确性。

公开(公告)号：CN112910842A

公开(公告)日：2021-06-04

申请号：CN202110051543.6

申请日：2021-01-14

Applicant: 中国电子科技集团公司第十五研究所

Inventor： 任传伦 ,  郭世泽 ,  吴栋 ,  官弼根 ,  刘文瀚 ,  刘晓影 ,  张先国 ,  俞赛赛 ,  乌吉斯古愣 ,  王玥 ,  闫慧 ,  孟祥頔

IPC: H04L29/06 ,  G06F9/54 ,  G06F16/25

Abstract: 本发明公开了一种基于流量还原的网络攻击事件取证方法与装置，属于网络安全技术领域。所述方法包括：针对原始的流量包数据，一方面运用文件分割技术经过tshark解析，经过多线程同步数据清洗，再通过rabbitmq和logstash将数据存到elasticsearch；另一方面通过suricata特征规则匹配，进行事件告警，根据协议解析的数据查询当前包的流信息从而分割pcap包，从而下载某个事件对应的流量片段。本发明针对流量包协议解析和入库较慢的问题，应用大文件分割和多线程同步解析入库的技术大大缩短了入库时间；通过对每一个告警事件进行解析，准确从原始数据包中分割该告警事件对应的完整流量片段，减少资源浪费。

公开(公告)号：CN112804232A

公开(公告)日：2021-05-14

申请号：CN202110046028.9

申请日：2021-01-13

Applicant: 中国电子科技集团公司第十五研究所

Inventor： 任传伦 ,  郭世泽 ,  任秋洁 ,  金波 ,  夏建民 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  H04L1/00

Abstract: 本发明公开了一种基于喷泉码网络信标的追踪溯源方法与装置，属于计算机网络安全技术领域。所述方法包括：将原始网络信标进行喷泉码编码，对企业网、电信网、省网、国际网等目标网络关口的网络数据流进行喷泉码编码网络信标植入；检测网络关口数据流，从中获取编码网络信标；对编码网络信标进行喷泉码译码，获取译码后网络信标，对比译码后网络信标与原始网络信标，获取流关联信息，并据此进行攻击路径追踪还原。本发明通过对原始网络信标进行喷泉码编码，解决现有技术中由于网络环境会影响网络信标的传输可靠性和检测识别准确率而导致的网络信标流量追踪溯源可靠性低的问题。