公开(公告)号：CN106209893A

公开(公告)日：2016-12-07

申请号：CN201610595380.7

申请日：2016-07-27

Applicant: 中国人民解放军信息工程大学

Inventor： 郭渊博 ,  朱泰铭 ,  马骏 ,  琚安康 ,  王宸东 ,  张琦 ,  丁文博

IPC: H04L29/06 ,  G06F17/30

CPC classification number: H04L63/1416 ,  G06F17/30705 ,  H04L63/1425

Abstract: 本发明涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法，该检测系统包含模型挖掘模块、异常检测模块及异常分析模块，其中，模型挖掘模块根据业务系统中各业务事件的事件日志进行模型挖掘，获取业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据模型挖掘模块，检测业务活动实时运行过程产生的事件日志的逻辑异常、性能异常及行为异常；异常分析模块针对异常检测模块的检测结果进行解析，识别实施内部威胁的执行信息并输出。本发明构建一种基于业务过程模型挖掘的内部威胁检测方法，有效地检测业务执行过程中存在的内部威胁行为，为公司及各类组织机构防范内部威胁提供有力支撑，有效保证公司及机构的信息安全。

公开(公告)号：CN106790186B

公开(公告)日：2020-04-24

申请号：CN201611257755.5

申请日：2016-12-30

Applicant: 中国人民解放军信息工程大学

Inventor： 郭渊博 ,  琚安康 ,  马骏 ,  朱泰铭 ,  张琦 ,  王宸东 ,  丁文博

IPC: H04L29/06

Abstract: 本发明涉及一种基于多源异常事件关联分析的多步攻击检测方法。包含：首先通过特征检测和异常事件定义与识别；计算基于攻击链的安全事件评分，识别出异常主机，并以受害主机为线索聚合各类事件；然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进行关联重组；最后重构出多步攻击场景，输出预测攻击事件。本发明通过对分散孤立的安全事件进行关联聚合，生成相对完整的多步攻击场景，可提高安全管理人员的安全分析能力，拓展安全视角，帮助有效应对分布零散的多步攻击威胁，缩短攻击行为的发现时间，为应对APT等高级攻击手段提供一种有效的预测防御解决方案，降低系统安全风险，有效保网络信息安全。

公开(公告)号：CN107070702B

公开(公告)日：2019-12-10

申请号：CN201710146243.X

申请日：2017-03-13

Applicant: 中国人民解放军信息工程大学

Inventor： 王煦中 ,  刘琰 ,  常斌 ,  陈静 ,  丁文博 ,  郭晓宇 ,  谭挥毫 ,  谷天成 ,  项永明

IPC: H04L12/24 ,  G06K9/62

Abstract: 本发明涉及一种基于合作博弈支持向量机的用户账号关联方法及其装置，该方法包含：采用Pairwise思想通过源网络中的账号和目标网络中的账号构建出账号对集合，划分出训练集和测试集，使用高斯核支持向量机进行训练；对测试集中的账号对通过模型分别计算后验概率，并进行排序构建偏好顺序集；根据每个账号的偏好顺序集进行稳定匹配，得到所有账号之间的关联结果；在账号的偏好顺序基础上增加已关联账号作为先验知识，通过先验知识提升稳定匹配算法中的关联优先级，最终得到加强的账号关联结果。本发明方法简单，易于实现，能准确高效地发现用户关联的账号，为全面了解认识用户、充分管控检测用户提供了技术基础，具有较强的实际应用价值。

公开(公告)号：CN106790186A

公开(公告)日：2017-05-31

申请号：CN201611257755.5

申请日：2016-12-30

Applicant: 中国人民解放军信息工程大学

Inventor： 郭渊博 ,  琚安康 ,  马骏 ,  朱泰铭 ,  张琦 ,  王宸东 ,  丁文博

IPC: H04L29/06

Abstract: 本发明涉及一种基于多源异常事件关联分析的多步攻击检测方法。包含：首先通过特征检测和异常事件定义与识别；计算基于攻击链的安全事件评分，识别出异常主机，并以受害主机为线索聚合各类事件；然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进行关联重组；最后重构出多步攻击场景，输出预测攻击事件。本发明通过对分散孤立的安全事件进行关联聚合，生成相对完整的多步攻击场景，可提高安全管理人员的安全分析能力，拓展安全视角，帮助有效应对分布零散的多步攻击威胁，缩短攻击行为的发现时间，为应对APT等高级攻击手段提供一种有效的预测防御解决方案，降低系统安全风险，有效保网络信息安全。

公开(公告)号：CN105224593A

公开(公告)日：2016-01-06

申请号：CN201510526575.1

申请日：2015-08-25

Applicant: 中国人民解放军信息工程大学

Inventor： 刘琰 ,  罗军勇 ,  尹美娟 ,  常斌 ,  孙通 ,  丁文博 ,  刘悦蒙

IPC: G06F17/30

CPC classification number: G06F16/907

Abstract: 本发明涉及短暂上网事务中频繁共现账号挖掘方法，有效解决对单个上网账号的行为审计扩大到相关的多种应用、多个账号上，从而实现对用户上网行为的跨数据流跟踪和审计的问题，方法是，基于网络分流技术，在网络关口处镜像网络原始数据，基于浮动关键字匹配、正则表达式过滤，对网络中不同应用对应的数据流进行识别，提取社交应用的用户上网数据，按时间和上网地址进行汇总整理，形成上网短暂事务数据库，对待分析的用户上网原始流量所对应的事务数据库中的事务数据，找出频繁项集，计算项集间的重叠率，对频繁项集进行合并，得到归属于同一社会人的多个网络账号，本发明方法简单、易操作，能准确发现隐藏在网络通信流中网络帐号之间的关联性。

公开(公告)号：CN105224593B

公开(公告)日：2019-08-16

申请号：CN201510526575.1

申请日：2015-08-25

Applicant: 中国人民解放军信息工程大学

Inventor： 刘琰 ,  罗军勇 ,  尹美娟 ,  常斌 ,  孙通 ,  丁文博 ,  刘悦蒙

IPC: G06F16/907

Abstract: 本发明涉及短暂上网事务中频繁共现账号挖掘方法，有效解决对单个上网账号的行为审计扩大到相关的多种应用、多个账号上，从而实现对用户上网行为的跨数据流跟踪和审计的问题，方法是，基于网络分流技术，在网络关口处镜像网络原始数据，基于浮动关键字匹配、正则表达式过滤，对网络中不同应用对应的数据流进行识别，提取社交应用的用户上网数据，按时间和上网地址进行汇总整理，形成上网短暂事务数据库，对待分析的用户上网原始流量所对应的事务数据库中的事务数据，找出频繁项集，计算项集间的重叠率，对频繁项集进行合并，得到归属于同一社会人的多个网络账号，本发明方法简单、易操作，能准确发现隐藏在网络通信流中网络帐号之间的关联性。

公开(公告)号：CN105357228B

公开(公告)日：2018-03-20

申请号：CN201510952382.2

申请日：2015-12-19

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  罗军勇 ,  骆凯 ,  刘琰 ,  丁文博

IPC: H04L29/06

Abstract: 本发明涉及基于动态阈值的突发流量检测方法，可有效实现高速网络环境下突发流量的实时在线检测，解决采用固定阈值的方法不能很好适应动态变化的网络环境的问题，其解决解决的技术方案是，根据正常历史流量的源IP熵值动态调整阈值大小，并引入滑动窗口机制，通过比较当前检测值与滑动窗口中平均熵值的差值是否超过动态阈值来检测突发流量，步骤包括有：最初滑动窗口的生成，参考值的生成，当前检测值的生成，当前检测值异常判定及正常流量的处理和突发流量的处理，本发明检测方法快速、简单、检测率高，误报率低，有效保证网络安全，有很强的实用性，经济和社会效益巨大。

公开(公告)号：CN106411921A

公开(公告)日：2017-02-15

申请号：CN201610938684.9

申请日：2016-10-31

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  刘琰 ,  罗军勇 ,  胡倩 ,  郑燕 ,  丁文博 ,  韩冬

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1441

Abstract: 本发明涉及一种基于因果贝叶斯网络的多步攻击预测方法，首先采用频繁模式挖掘攻击场景样本中的多步攻击模式，通过因果贝叶斯网络模型刻画多步攻击模式，在此基础上通过攻击证据来计算未来攻击发生的概率，实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测。本发明优化了采用人工构建网络攻击结构图的多步攻击预测方法，基于频繁序列模式自动挖掘多步攻击模式，并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图，提高了对未知的、变化的多步攻击模式的攻击预测能力，能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，对保护网络和计算机信息安全具有重要的现实意义。

公开(公告)号：CN105357228A

公开(公告)日：2016-02-24

申请号：CN201510952382.2

申请日：2015-12-19

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  罗军勇 ,  骆凯 ,  刘琰 ,  丁文博

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1458

Abstract: 本发明涉及基于动态阈值的突发流量检测方法，可有效实现高速网络环境下突发流量的实时在线检测，解决采用固定阈值的方法不能很好适应动态变化的网络环境的问题，其解决的技术方案是，根据正常历史流量的源IP熵值动态调整阈值大小，并引入滑动窗口机制，通过比较当前检测值与滑动窗口中平均熵值的差值是否超过动态阈值来检测突发流量，步骤包括有：最初滑动窗口的生成，参考值的生成，当前检测值的生成，当前检测值异常判定及正常流量的处理和突发流量的处理，本发明检测方法快速、简单、检测率高，误报率低，有效保证网络安全，有很强的实用性，经济和社会效益巨大。

公开(公告)号：CN106411921B

公开(公告)日：2019-05-14

申请号：CN201610938684.9

申请日：2016-10-31

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  刘琰 ,  罗军勇 ,  胡倩 ,  郑燕 ,  丁文博 ,  韩冬

IPC: H04L29/06

Abstract: 本发明涉及一种基于因果贝叶斯网络的多步攻击预测方法，首先采用频繁模式挖掘攻击场景样本中的多步攻击模式，通过因果贝叶斯网络模型刻画多步攻击模式，在此基础上通过攻击证据来计算未来攻击发生的概率，实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测。本发明优化了采用人工构建网络攻击结构图的多步攻击预测方法，基于频繁序列模式自动挖掘多步攻击模式，并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图，提高了对未知的、变化的多步攻击模式的攻击预测能力，能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，对保护网络和计算机信息安全具有重要的现实意义。