公开(公告)号：CN116248367A

公开(公告)日：2023-06-09

申请号：CN202310091225.1

申请日：2023-01-20

Applicant: 上海交通大学 ,  北京瑞星网安技术股份有限公司

Inventor： 李高磊 ,  邵长捷 ,  李建华 ,  周志洪 ,  刘文杰 ,  张量

IPC: H04L9/40 ,  G06F18/25 ,  G06F18/214 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/0985

Abstract: 本发明涉及一种基于威胁特征融合与元学习的APT攻击检测方法，包括：特征融合：通过时间戳将系统日志syslog与网络流量进行对齐，通过Padding技术将不同维度的数据融合为元任务，并基于元学习将融合后的数据分拆为支持集和查询集；构建APT攻击检测模型；基于元学习预训练APT攻击检测模型：基于支持集训练模型，更新模型参数，用一组支持集学习初始化状态；基于查询集计算局部梯度，优化模型参数，提升模型泛化能力；基于按需微调机制优化预训练的APT攻击检测模型；基于训练完成的APT攻击检测模型进行APT攻击检测。与现有技术相比，本发明能够在攻击样本极少且类不平衡的条件下实现对高隐蔽未知APT的高效检测。

公开(公告)号：CN104700028B

公开(公告)日：2017-12-15

申请号：CN201510133311.X

申请日：2015-03-25

Applicant: 上海交通大学

Inventor： 李建华 ,  刘雨辰 ,  张爱新 ,  朱桦 ,  周志洪

IPC: G06F21/53 ,  G06F21/46 ,  G06F21/62

Abstract: 本发明公开了一种基于安全沙箱机制的智能密码钥匙密码算法检测系统，包含USB Key设备硬件层、USB Key设备驱动层、密码算法接口层、密码算法检测引擎层和用户界面层，所述USB Key设备硬件层用于为USB Key设备驱动层提供硬件支撑；所述USB Key设备驱动层为密码算法接口层提供驱动支撑；所述密码算法接口层用于根据测试用例完成密码算法计算功能；所述密码算法检测引擎层用于产生测试用例数据并分析计算结果；所述用户界面层用于为检测方提供输入检测参数、输出检测结果及操作提示。本发明克服了传统检测测试用例固定、耗费周期长，难以适应现场取证、现场分析的问题，具有稳定性高、鲁棒性强、检测力度大等优点。

公开(公告)号：CN101286895A

公开(公告)日：2008-10-15

申请号：CN200810037826.X

申请日：2008-05-22

Applicant: 上海交通大学

Inventor： 李建华 ,  黄鹏 ,  张月国 ,  蒋兴浩 ,  周志洪

IPC: H04L12/26 ,  H04L12/24

Abstract: 一种计算机网络技术领域的可动态配置的分布式网络数据监控系统及方法，本发明中，数据采集代理模块依照用户设定的配置文件对所属网络数据平台的数据进行采集，并对采到的数据进行预处理，预处理包括数据包过滤和数据包拆包操作，数据包过滤是指协议过滤操作，依据用户定义的协议过滤机制抛弃无效的数据包，数据包拆包操作是根据用户的展示内容提取数据包中的有用信息，并将用户所需的数据，以XML文件上报给数据中心模块；数据中心模块负责处理数据采集代理模块上报的XML形式的数据文件，并通过查询XML文件以及配置更新XML文件对数据采集代理进行动态管理。本发明简化系统设计，提高系统处理数据的能力以及系统的易用性和健壮性。

公开(公告)号：CN115396169B

公开(公告)日：2024-06-25

申请号：CN202210994619.3

申请日：2022-08-18

Applicant: 上海交通大学

Inventor： 赖柏希 ,  陈秀真 ,  马颖华 ,  马进 ,  周志洪 ,  裘炜程

IPC: H04L9/40

Abstract: 本发明提供了一种基于TTP的多步骤攻击检测与场景还原的方法及系统，包括如下步骤：离线训练步骤：在离线训练阶段，接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型；在线运行步骤：在在线运行阶段，接收来自终端检测和响应系统的安全告警事件，整理出安全告警事件中的攻击技术序列；将整理出的攻击技术序列进行处理后，输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。本发明通过对原始攻击技术进行子串抽取，达到了降低EDR工具产生的原始告警中误报数目的效果。

公开(公告)号：CN114051220B

公开(公告)日：2024-04-16

申请号：CN202111255214.X

申请日：2021-10-27

Applicant: 上海智能网联汽车技术中心有限公司 ,  上海交通大学

Inventor： 陈秀真 ,  殷承良 ,  侯书凝 ,  马进 ,  周志洪 ,  于海洋 ,  刘浩文

IPC: H04W4/40 ,  H04W12/122 ,  H04L9/40

Abstract: 本发明涉及一种基于本体的车联网动态贝叶斯攻击图生成方法，该方法包括以下步骤：步骤1：基于本体的车联网安全要素及其关系建模，从而构建车联网安全本体；步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；步骤3：通过基于边缘计算技术的车联网动态贝叶斯攻击图生成算法构建贝叶斯攻击图，用以将车联网网络风险可视化，与现有技术相比，本发明具有形成车联网安全知识的形式化规范表达、降低车联网动态拓扑变化特点带来的贝叶斯攻击图生成延迟以及直观综合地展现车联网系统中的潜在风险等优点。

公开(公告)号：CN117411699A

公开(公告)日：2024-01-16

申请号：CN202311414920.3

申请日：2023-10-27

Applicant: 上海交通大学

Inventor： 陈秀真 ,  周稚宜 ,  马颖华 ,  饶茜霖 ,  马进 ,  周志洪 ,  李建华

IPC: H04L9/40 ,  G06N3/043 ,  G06N3/0455 ,  G06N3/088

Abstract: 本发明提供了一种基于溯源图的异常点快速检测与攻击场景重构方法及系统，包括：步骤1：以事件的主体和客体作为节点，系统事件作为边，将原始日志建模为有向无环图的形式；步骤2：采用无监督离群值检测算法，以按边类别的节点出入度作为节点特征，应用经验累计分布函数计算每个节点的离群值，超出阈值标记为异常节点；步骤3：接收已知少量节点属性的溯源图，训练图神经网络模型执行节点分类任务，判断图中所有节点的属性，进而发掘本张溯源图中所有与已知异常节点相关联的节点。本发明基于经验累计分布函数的异常节点检测与基于异质图神经网络模型的攻击场景重构，做到在检测时能够快速发现异常节点，在重构时能够识别完整的攻击场景。

公开(公告)号：CN113268738A

公开(公告)日：2021-08-17

申请号：CN202110501038.7

申请日：2021-05-08

Applicant: 上海智能网联汽车技术中心有限公司 ,  上海交通大学

Inventor： 陈秀真 ,  于海洋 ,  马进 ,  周志洪 ,  李旭华

IPC: G06F21/57 ,  G06F21/62 ,  G06F21/64

Abstract: 本发明提供了一种智能汽车信息安全漏洞的评估方法及系统，包括如下步骤：识别智能汽车信息安全漏洞；获得智能汽车信息安全漏洞利用可行性评分；确定智能汽车信息安全漏洞影响范围；获得智能汽车信息安全漏洞影响基础评分；根据智能汽车信息安全漏洞影响范围和智能汽车信息安全漏洞影响基础评分获得智能汽车信息安全漏洞影响评分；根据智能汽车信息安全漏洞影响评分和智能汽车信息安全漏洞利用可行性评分对智能汽车信息安全漏洞进行综合评分。本发明对于智能汽车环境中的信息安全漏洞评价，提出“智能汽车安全要素”的评价指标，可以更加合理地评价智能汽车信息安全漏洞严重性。

公开(公告)号：CN103685298A

公开(公告)日：2014-03-26

申请号：CN201310717796.8

申请日：2013-12-23

Applicant: 上海交通大学无锡研究院

Inventor： 周志洪 ,  李建华 ,  潘理 ,  王文韬 ,  张之诚

IPC: H04L29/06

Abstract: 本发明公开了一种基于深度包检测的SSL中间人攻击发现方法，对用户和服务器接收的http报文头部进行特征检测，包括下述步骤：（1）对http报文进行分析，并设定评分标准；（2）在正常情况和被攻击情况下分别进行多次测试，进行计分，获得平均计分值；（3）针对两种平均计分值进行平均作为判断攻击的标准；（4）根据步骤（3）的判断标准进行攻击检测即对http报文进行评分，计分值超过标准阈值就发出攻击报警。本发明方法能够在用户遭受到SSLStrip中间人攻击时，能够在第一时间内向用户发出告警，防止用户受到进一步的损失。

公开(公告)号：CN101296227A

公开(公告)日：2008-10-29

申请号：CN200810039182.8

申请日：2008-06-19

Applicant: 上海交通大学

Inventor： 蒋兴浩 ,  周志洪 ,  张月国 ,  蔡伟 ,  黄鹏

IPC: H04L29/06 ,  H04L12/56

Abstract: 一种基于报文偏移量匹配的IPSec VPN协议深度检测方法，用于网络安全领域。本发明首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听，并且设置BPF过滤器抓取IPSec VPN报文。对IPSec VPN报文进行深度检测。该算法能够识别和分析IPSec VPN报文是否为伪造，是否是非标准格式报文，本方法既能检测标准的ISAKMP数据包，对于添加了未知长度填充数据的非标准IPSec的ISAKMP数据包也能正确解析，实现了一种通用的IPSec信息的检测方法。相同的思想可以推广到其他的协议检测上。

公开(公告)号：CN117539748A

公开(公告)日：2024-02-09

申请号：CN202311330989.8

申请日：2023-10-13

Applicant: 上海智能网联汽车技术中心有限公司 ,  上海交通大学

Inventor： 陈秀真 ,  李鑫浩 ,  马颖华 ,  李建华 ,  詹云帆 ,  殷承良 ,  于娜娜 ,  马进 ,  周志洪

IPC: G06F11/36

Abstract: 本发明提供一种基于场景和核查项的APP合规性检测方法及系统，涉及计算机测试技术领域，包括：测试流程生成步骤：定义合规性核查项、合规性测试场景以及测试项目，生成并执行测试流程；核查证据过滤和判决步骤：测试流程完成后，汇总测试流程中收集的证据，按各场景时间戳分类并进行过滤，按核查项的合规要求筛选不合规证据，并对证据进行确认和判决，完成软件合规性检测，最终输出合规性检测报告。本发明能够将合规性检测条目进行标准化处理，可用于隐私合规性检测、数据分级分类合规性检测等，方便进行各个模块自动检测方法的实现，达成合规性标准化检测的效果。