公开(公告)号：CN106411921B

公开(公告)日：2019-05-14

申请号：CN201610938684.9

申请日：2016-10-31

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  刘琰 ,  罗军勇 ,  胡倩 ,  郑燕 ,  丁文博 ,  韩冬

IPC: H04L29/06

Abstract: 本发明涉及一种基于因果贝叶斯网络的多步攻击预测方法，首先采用频繁模式挖掘攻击场景样本中的多步攻击模式，通过因果贝叶斯网络模型刻画多步攻击模式，在此基础上通过攻击证据来计算未来攻击发生的概率，实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测。本发明优化了采用人工构建网络攻击结构图的多步攻击预测方法，基于频繁序列模式自动挖掘多步攻击模式，并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图，提高了对未知的、变化的多步攻击模式的攻击预测能力，能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，对保护网络和计算机信息安全具有重要的现实意义。

公开(公告)号：CN105407103A

公开(公告)日：2016-03-16

申请号：CN201510952381.8

申请日：2015-12-19

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  罗军勇 ,  邱庆云 ,  唐梓淇 ,  赵志强

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/1441

Abstract: 本发明涉及基于多粒度异常检测的网络威胁评估方法，可有效解决现有基于网络数据包或基于网络流量的威胁态势评估技术不能很好地适应高速网络环境下快速准确识别攻击事件、感知威胁态势的问题，方法是，利用基于包的粗粒度异常检测，分析出含有异常网络流量的时间片；再通过基于流的细粒度异常检测，对异常时间片的网络流量，进行流重组、提取流特征属性，利用流特征的异常检测算法判断出攻击类型；最后，对检测出的威胁事件，量化评估当前网络受威胁的严重程度，本发明方法易操作，可高精度实时检测出网络遭受的威胁事件的严重程度，有助于网络工作人员及时掌握当前网络遭受的安全威胁，有时采取有效地应急响应措施。

公开(公告)号：CN101359351B

公开(公告)日：2010-11-10

申请号：CN200810141454.5

申请日：2008-09-25

Applicant: 中国人民解放军信息工程大学

Inventor： 庞建民 ,  张靖博 ,  赵荣彩 ,  付文 ,  刘晓楠 ,  王强 ,  白莉莉 ,  韩小素

IPC: G06F21/00

Abstract: 本发明涉及一种在恶意行为检测中，应用多层语义标注技术记录分析中间结果，并在此基础上分层检测标注信息的方法。所述模型包括两个部分，标注子模块和检测子模块。其中标注子模块包括二进制语义层、线性指令语义层、控制流图语义层、过程调用图语义层和应用程序级语义层。每一层针对特定的分析目标对象进行标注。检测子模块基于相应的分析策略和算法对标注信息在多个层面对恶意行为进行检测。其优点在于：能够有效地将恶意行为检测的复杂性分解，充分利用各种不同检测机制具有的优点，避开不同机制固有的缺陷，从而提高恶意行为检测的适应性和准确性。

公开(公告)号：CN104537105B

公开(公告)日：2017-09-26

申请号：CN201510018744.0

申请日：2015-01-14

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  骆凯 ,  罗军勇 ,  罗向阳 ,  胡倩

IPC: G06F17/30

Abstract: 本发明涉及一种基于Web地图的网络实体地标自动挖掘方法，属于网络应用技术领域。本发明首先采用不同的Web地图获取各地区的特定类型机构的信息作为候选地标，接着利用搜索引擎或Google地图，进一步获取机构的Web服务主页域名；然后利用域名解析技术，获取机构Web服务器的IP地址；对机构Web服务器的IP地址和WWW域名的映射关系、承载Web服务的主机为共享主机的可能性进行评估，得到候选地标的可信度，最后输出可信度高于设定值的地标作为挖掘出的有效网络实体地标。通过上述过程，本发明可以获得数量充足、精度较高的地标信息，有效地弥补了传统人工标注或获取地标信息方法带来的地标密度不高、地理位置精度不够等不足。

公开(公告)号：CN103324463B

公开(公告)日：2015-08-19

申请号：CN201310172629.X

申请日：2013-05-10

Applicant: 中国人民解放军信息工程大学

Inventor： 庞建民 ,  单征 ,  刘晓楠 ,  岳峰 ,  金久真 ,  梁光辉

IPC: G06F9/30

Abstract: 本发明涉及一种基于区域优先级的寄存器分配方法，该基于区域优先级的寄存器分配方法具体含有下列步骤：步骤1：将寄存器分配问题转换为一种矩阵填充模型；步骤2：设计贪婪式的填充方法，用该贪婪式的填充方法将一个空的矩阵填充为一个满足要求的非空矩阵；该贪婪式的填充方法的贪婪性存在于划分循环区域、构建长度优先级队列和溢出权重优先级排队的过程中；步骤3：根据步骤2的填充来实现寄存器的分配，具体含有以下四个步骤：步骤3.1:区域划分及变量生命域间隔分裂；步骤3.2:长度和溢出权值优先级队列构造；步骤3.3:寄存器分配；步骤3.4:寄存器析构；本发明提供了一种分配速度快、产生代码质量高的基于区域优先级的寄存器分配方法。

公开(公告)号：CN103324463A

公开(公告)日：2013-09-25

申请号：CN201310172629.X

申请日：2013-05-10

Applicant: 中国人民解放军信息工程大学

Inventor： 庞建民 ,  单征 ,  刘晓楠 ,  岳峰 ,  金久真 ,  梁光辉

IPC: G06F9/30

Abstract: 本发明涉及一种基于区域优先级的寄存器分配方法，该基于区域优先级的寄存器分配方法具体含有下列步骤：步骤1：将寄存器分配问题转换为一种矩阵填充模型；步骤2：设计贪婪式的填充方法，用该贪婪式的填充方法将一个空的矩阵填充为一个满足要求的非空矩阵；该贪婪式的填充方法的贪婪性存在于划分循环区域、构建长度优先级队列和溢出权重优先级排队的过程中；步骤3：根据步骤2的填充来实现寄存器的分配，具体含有以下四个步骤：步骤3.1:区域划分及变量生命域间隔分裂；步骤3.2:长度和溢出权值优先级队列构造；步骤3.3:寄存器分配；步骤3.4:寄存器析构；本发明提供了一种分配速度快、产生代码质量高的基于区域优先级的寄存器分配方法。

公开(公告)号：CN101359351A

公开(公告)日：2009-02-04

申请号：CN200810141454.5

申请日：2008-09-25

Applicant: 中国人民解放军信息工程大学

Inventor： 庞建民 ,  张靖博 ,  赵荣彩 ,  付文 ,  刘晓楠 ,  王强 ,  白莉莉 ,  韩小素

IPC: G06F21/00

Abstract: 本发明涉及一种在恶意行为检测中，应用多层语义标注技术记录分析中间结果，并在此基础上分层检测标注信息的方法。所述模型包括两个部分，标注子模块和检测子模块。其中标注子模块包括二进制语义层、线性指令语义层、控制流图语义层、过程调用图语义层和应用程序级语义层。每一层针对特定的分析目标对象进行标注。检测子模块基于相应的分析策略和算法对标注信息在多个层面对恶意行为进行检测。其优点在于：能够有效地将恶意行为检测的复杂性分解，充分利用各种不同检测机制具有的优点，避开不同机制固有的缺陷，从而提高恶意行为检测的适应性和准确性。

公开(公告)号：CN105407103B

公开(公告)日：2018-06-29

申请号：CN201510952381.8

申请日：2015-12-19

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  罗军勇 ,  邱庆云 ,  唐梓淇 ,  赵志强

IPC: H04L29/06

Abstract: 本发明涉及基于多粒度异常检测的网络威胁评估方法，可有效解决现有基于网络数据包或基于网络流量的威胁态势评估技术不能很好地适应高速网络环境下快速准确识别攻击事件、感知威胁态势的问题，方法是，利用基于包的粗粒度异常检测，分析出含有异常网络流量的时间片；再通过基于流的细粒度异常检测，对异常时间片的网络流量，进行流重组、提取流特征属性，利用流特征的异常检测算法判断出攻击类型；最后，对检测出的威胁事件，量化评估当前网络受威胁的严重程度，本发明方法易操作，可高精度实时检测出网络遭受的威胁事件的严重程度，有助于网络工作人员及时掌握当前网络遭受的安全威胁，有时采取有效地应急响应措施。

公开(公告)号：CN105357228B

公开(公告)日：2018-03-20

申请号：CN201510952382.2

申请日：2015-12-19

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  罗军勇 ,  骆凯 ,  刘琰 ,  丁文博

IPC: H04L29/06

Abstract: 本发明涉及基于动态阈值的突发流量检测方法，可有效实现高速网络环境下突发流量的实时在线检测，解决采用固定阈值的方法不能很好适应动态变化的网络环境的问题，其解决解决的技术方案是，根据正常历史流量的源IP熵值动态调整阈值大小，并引入滑动窗口机制，通过比较当前检测值与滑动窗口中平均熵值的差值是否超过动态阈值来检测突发流量，步骤包括有：最初滑动窗口的生成，参考值的生成，当前检测值的生成，当前检测值异常判定及正常流量的处理和突发流量的处理，本发明检测方法快速、简单、检测率高，误报率低，有效保证网络安全，有很强的实用性，经济和社会效益巨大。

公开(公告)号：CN106411921A

公开(公告)日：2017-02-15

申请号：CN201610938684.9

申请日：2016-10-31

Applicant: 中国人民解放军信息工程大学

Inventor： 尹美娟 ,  刘晓楠 ,  刘琰 ,  罗军勇 ,  胡倩 ,  郑燕 ,  丁文博 ,  韩冬

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1441

Abstract: 本发明涉及一种基于因果贝叶斯网络的多步攻击预测方法，首先采用频繁模式挖掘攻击场景样本中的多步攻击模式，通过因果贝叶斯网络模型刻画多步攻击模式，在此基础上通过攻击证据来计算未来攻击发生的概率，实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测。本发明优化了采用人工构建网络攻击结构图的多步攻击预测方法，基于频繁序列模式自动挖掘多步攻击模式，并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图，提高了对未知的、变化的多步攻击模式的攻击预测能力，能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，对保护网络和计算机信息安全具有重要的现实意义。