公开(公告)号：CN119109714B

公开(公告)日：2025-04-25

申请号：CN202411579562.6

申请日：2024-11-07

Applicant: 江苏电力信息技术有限公司

Inventor： 刘小磊 ,  吴小虎 ,  张明远 ,  张小坚 ,  静柯

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/0895 ,  G06F18/2415

Abstract: 本发明公开了一种基于弱监督学习的互联网流量分类识别方法，该方法通过构造包含多种协议应用载荷特征的确定性有限状态机，然后将所述确定性有限状态机与互联网流量进行匹配，将与所述确定性有限状态机匹配成功的互联网流量作为已知流量并增加相应的应用类型标签，同时将未能与所述确定性有限状态机匹配成功的互联网流量作为未知流量，由此进行基于应用载荷匹配的互联网流量自动标记方法，通过本发明方法可以在未知流量众多的互联网环境中，通过构建高效的弱监督流量分类模型，来快速实现对互联网流量类型的识别和分类。

公开(公告)号：CN119155365A

公开(公告)日：2024-12-17

申请号：CN202411571962.2

申请日：2024-11-06

Applicant: 江苏电力信息技术有限公司

Inventor： 吴小虎 ,  张明远 ,  刘小磊 ,  张小坚 ,  静柯

IPC: H04L69/22 ,  H04L43/18

Abstract: 本发明公开了一种未知协议逆向分析与特征提取方法，包括提取混合未知协议数据包的报文，然后采用ABNF语法核心规则映射表，将所提取的报文按字节划分为具有附加属性的令牌；进行不同报文中令牌的相似性计算，得到不同报文之间令牌的令牌格式距离；基于所述令牌格式距离，采用文本相似度度量算法，获取不同报文之间的报文格式距离；基于所述报文格式距离，采用DBSCAN算法进行不同报文的聚类；对于聚类形成的每种报文类别，对报文中出现区域相似度值跃变的区域内容进行提取，并将其标记为未知协议的特征字符。该方法利用协议逆向技术，可以有效实现对未知协议的逆向分析和特征提取。

公开(公告)号：CN119250183B

公开(公告)日：2025-03-04

申请号：CN202411775252.1

申请日：2024-12-05

Applicant: 江苏电力信息技术有限公司

Inventor： 张明远 ,  张小坚 ,  刘小磊 ,  吴小虎 ,  静柯

IPC: G06F16/28 ,  G06F21/62 ,  G06N5/022

Abstract: 本发明公开了一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，包括实时获取开源威胁情报社区平台的网络安全情报；按照预定义的多维特征属性优化大语言模型的提示词，并对网络安全情报进行威胁情报的多维特征属性提取；根据提取到的威胁情报的多维特征属性，构建威胁情报的网状图形关系结构数据库；根据网状图形关系结构数据库，构建威胁情报知识图谱；查询威胁情报知识图谱，标记攻击行为特征，连接攻击行为特征点，生成攻击行为特征子图。本发明方法使得安全团队能够快速响应新兴威胁，提高了对网络安全威胁的应对能力。

公开(公告)号：CN119250183A

公开(公告)日：2025-01-03

申请号：CN202411775252.1

申请日：2024-12-05

Applicant: 江苏电力信息技术有限公司

Inventor： 张明远 ,  张小坚 ,  刘小磊 ,  吴小虎 ,  静柯

IPC: G06N5/022 ,  G06F21/62 ,  G06F16/28

Abstract: 本发明公开了一种基于大语言模型的威胁情报聚合与攻击异常特征智能生成方法，包括实时获取开源威胁情报社区平台的网络安全情报；按照预定义的多维特征属性优化大语言模型的提示词，并对网络安全情报进行威胁情报的多维特征属性提取；根据提取到的威胁情报的多维特征属性，构建威胁情报的网状图形关系结构数据库；根据网状图形关系结构数据库，构建威胁情报知识图谱；查询威胁情报知识图谱，标记攻击行为特征，连接攻击行为特征点，生成攻击行为特征子图。本发明方法使得安全团队能够快速响应新兴威胁，提高了对网络安全威胁的应对能力。

公开(公告)号：CN119484357A

公开(公告)日：2025-02-18

申请号：CN202510039425.1

申请日：2025-01-10

Applicant: 江苏电力信息技术有限公司

Inventor： 刘小磊 ,  吴小虎 ,  张明远 ,  张小坚 ,  静柯

IPC: H04L43/0876 ,  H04L43/04 ,  H04L9/40 ,  H04L41/149 ,  H04L41/16 ,  G08B31/00 ,  G06F18/2134 ,  G06F18/214 ,  G06N5/025

Abstract: 本发明公开了一种面向异构设备指纹的攻击异常特征抽取建模方法，该方法采用随机森林算法进行通信流量的多维属性学习，这一方法不仅能够处理大量数据，还能从中快速识别出潜在的攻击特征。本发明方法通过对每个设备的流量特征进行整合和抽取，构建了一个专属设备指纹库。该指纹库不仅包含了各类设备的独特指纹信息，还能够随着新设备的接入和流量特征的变化进行动态更新。这种针对性强的指纹库使得设备的识别更加精准，能够有效区分正常流量和潜在攻击流量。这种能力在异构设备环境中尤为重要，能够确保电力系统对各种设备的安全管控。

公开(公告)号：CN119109714A

公开(公告)日：2024-12-10

申请号：CN202411579562.6

申请日：2024-11-07

Applicant: 江苏电力信息技术有限公司

Inventor： 刘小磊 ,  吴小虎 ,  张明远 ,  张小坚 ,  静柯

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/0895 ,  G06F18/2415

Abstract: 本发明公开了一种基于弱监督学习的互联网流量分类识别方法，该方法通过构造包含多种协议应用载荷特征的确定性有限状态机，然后将所述确定性有限状态机与互联网流量进行匹配，将与所述确定性有限状态机匹配成功的互联网流量作为已知流量并增加相应的应用类型标签，同时将未能与所述确定性有限状态机匹配成功的互联网流量作为未知流量，由此进行基于应用载荷匹配的互联网流量自动标记方法，通过本发明方法可以在未知流量众多的互联网环境中，通过构建高效的弱监督流量分类模型，来快速实现对互联网流量类型的识别和分类。