公开(公告)号：CN116232708A

公开(公告)日：2023-06-06

申请号：CN202310124597.X

申请日：2023-02-02

Applicant: 中国科学院软件研究所

Inventor： 田润 ,  连一峰 ,  彭媛媛 ,  张海霞 ,  黄克振 ,  张立武

IPC: H04L9/40

Abstract: 本发明提出一种基于文本型威胁情报的攻击链构建与攻击溯源方法和系统。该方法包括：采集已知攻击组织的攻击事件的文本型威胁情报，对采集的数据进行数据预处理操作，使其符合后续分析需求；其次，利用采集的文本型威胁情报抽取网络安全实体与关系，构成网络安全事件描述三元组；然后，对于网络安全事件描述三元组，基于时间线与逻辑顺序，构建安全事件攻击链；最后，利用安全事件攻击链训练攻击组织特征模型，并基于该模型进行未知来源攻击事件的溯源预测。本发明从文本型威胁情报出发，从中抽取网络安全事件攻击链，并结合已知攻击来源，为攻击组织刻画攻击特征模型，能够有效服务于网络安全人员对未知来源的网络安全事件的溯源与追责工作。

公开(公告)号：CN110808947B

公开(公告)日：2022-03-04

申请号：CN201910898367.2

申请日：2019-09-23

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司 ,  中国科学院软件研究所

Inventor： 张颖君 ,  杨维永 ,  黄克振 ,  唐云善 ,  廖鹏 ,  连一峰

IPC: H04L9/40 ,  H04L67/02 ,  G06N20/00 ,  G06K9/62

Abstract: 本发明提供了一种自动化的脆弱性量化评估方法及系统，通过对现有风险评估的信息进行研究，提取关键特征，并结合人工智能相关算法进行自动化的风险量化分析，客观反映脆弱性的影响大小，简化打分因素，并解决随着时间变化对风险评估产生的影响。本发明的优点在于，通过对CVSS打分进行学习，与网络搜索的客观结果相结合，自动化的得到脆弱性评估值，简化了打分步骤，降低了主观因素对评估结果的影响。

公开(公告)号：CN102447695A

公开(公告)日：2012-05-09

申请号：CN201110359347.1

申请日：2011-11-14

Applicant: 中国科学院软件研究所

Inventor： 吴迪 ,  冯登国 ,  连一峰 ,  陈恺

IPC: H04L29/06

Abstract: 本发明公开了一种识别业务系统中关键攻击路径的方法，属于网络信息安全技术领域。本方法为：1)综合业务系统数据流、系统脆弱性、安全威胁和安全措施各要素，创建业务系统的攻击模型；2)对所建攻击模型进行分析，并基于模型分析结果构建包含所有攻击路径的脆弱性利用图；3)将脆弱性利用图转换为标准有向图，采用最短路径方法对标准有向图进行分析，识别出攻击者能到达各目标的关键攻击路径。本发明具有比传统攻击图更好的可扩展性，同时能有效降低关键攻击路径识别的计算复杂度。

公开(公告)号：CN101820413A

公开(公告)日：2010-09-01

申请号：CN201010033849.0

申请日：2010-01-08

Applicant: 中国科学院软件研究所

Inventor： 刘玉岭 ,  冯登国 ,  连一峰 ,  黄亮

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种网络安全最佳防护策略的选择方法，属于网络安全技术领域。本方法为：1)解析用户配置信息，并采集攻防过程中的主机信息、链路信息、服务信息、防护系统信息，以及经济成本信息和资产重要性信息；2)对采集的信息进行统计分析和关联分析，输出分析结果；3)根据分析结果计算防护策略绩效和攻击策略绩效；4)根据用户配置信息和3)中的计算结果，建立攻防双方的静态贝叶斯博弈模型；5)根据所建立的静态贝叶斯博弈模型计算贝叶斯纳什均衡，将贝叶斯纳什均衡时的防护策略确定网络安全防护策略。相对于现有技术，本发明综合各种因素为网络安全管理员提供最佳的防护策略。

公开(公告)号：CN115114498B

公开(公告)日：2024-09-10

申请号：CN202110286268.6

申请日：2021-03-17

Applicant: 中国科学院软件研究所

Inventor： 彭媛媛 ,  张海霞 ,  连一峰 ,  黄克振 ,  刘倩

IPC: G06F16/951 ,  G06F16/9535

Abstract: 本发明公开了一种基于多维度的网络空间人物画像方法，其步骤包括：1)构建网络空间的人物画像体系，所述人物画像体系包括人物的基本信息、个人经历、社交信息、用户标签和社会关系；2)对于一目标人物，爬取该目标人物的基本信息和社交信息计算该目标人物的社交影响指数；3)获取该目标人物的个人经历；4)利用该目标人物的年龄阶段、职业所涉及行业作为目标人物标记身份标签人物标记身份标签；5)根据该目标人物在社交媒体Twitter和微博中发布的消息数量，计算权重γTwitter、γWeibo，并计算消息中词语的TF‑IDF值与对应权重相乘，选取TF‑IDF值靠前若干词语作为该目标人物的兴趣标签。

公开(公告)号：CN116662557A

公开(公告)日：2023-08-29

申请号：CN202210141506.9

申请日：2022-02-16

Applicant: 中国科学院软件研究所

Inventor： 张静 ,  张海霞 ,  连一峰 ,  黄克振 ,  刘倩

IPC: G06F16/36 ,  G06F16/35 ,  G06F40/295 ,  G06F40/284 ,  G06F40/216 ,  G06F40/30 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/08

Abstract: 本发明公开一种网络安全领域内的实体关系抽取方法及装置，涉及网络安全领域，本发明依据网络安全领域关注目标的特征，通过穷举多源异构网络安全数据的句子中达到一定长度的片段，生成每个片段的语义矩阵，从而提升实体识别模型的准确度；并在此基础上对实体对向量进行重新编码，将实体主客体边界、实体类型与属性特征补充到关系抽取模型的输入中，以获得结果更准确的关系抽取模型，减少错误传播的方法。进一步地，本发明通过对无法识别出实体类型且出现频率较高的片段进行筛选判断，将其补充到实体类型集合和实体关系集合中，进行持续优化和反馈，提高模型的识别广度和准确率。

公开(公告)号：CN116599929A

公开(公告)日：2023-08-15

申请号：CN202310524079.7

申请日：2023-05-10

Applicant: 中国科学院软件研究所

Inventor： 韩鹏 ,  倪彦波 ,  连一峰 ,  张海霞 ,  刘倩 ,  聂榕

IPC: H04L61/5007 ,  H04L69/16 ,  G06F18/213 ,  G06F18/214 ,  G06N3/084

Abstract: 本发明公开了一种基于图嵌入与生成模型的IP地址定位方法，其步骤包括：1)采集多个已知IP设备的地理位置以及辅助定位特征；2)根据所述辅助定位特征构建由各IP节点构成的图结构；3)利用图嵌入模型生成所述图结构中每个IP节点的特征向量；4)对每一IP设备的地理位置信息进行离散化处理，将同一区域内的IP设备设置相同的地理信息离散编码；5)使用生成模型对每个IP节点的特征向量进行特征降维，并用该IP节点对应的地理信息离散编码进行监督训练优化生成模型，将优化后的生成模型作为降维网络；6)对于一待定位的IP设备k，生成该IP设备k的特征向量并将其输入降维网络，预测得到该IP设备k的定位结果。

公开(公告)号：CN116318831A

公开(公告)日：2023-06-23

申请号：CN202310054002.8

申请日：2023-02-03

Applicant: 中国科学院软件研究所

Inventor： 张静 ,  张海霞 ,  彭媛媛 ,  连一峰 ,  田润

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开了一种基于网络安全知识图谱的僵尸网络传播预测方法，其步骤包括：1)基于网络安全数据构建网络安全知识图谱，并在所述网络安全知识图谱上标注出历史网络安全数据中各僵尸网络事件涉及的节点；2)计算所述网络安全知识图谱中每个节点的状态，根据每一僵尸网络事件中各节点的状态生成对应僵尸网络的僵尸网络传播拓扑图；3)对目标僵尸网络的所述僵尸网络传播拓扑图中的节点进行分层，并为每一层中的节点设置一对应的影响力值Ks；4)根据目标僵尸网络中各节点的状态及对应的影响力值Ks，构建该目标僵尸网络的传播模型；5)根据所述传播模型生成该目标僵尸网络传播过程的动态拓扑图，预测该目标僵尸网络下一时刻的传播情况。

公开(公告)号：CN102447695B

公开(公告)日：2015-12-09

申请号：CN201110359347.1

申请日：2011-11-14

Applicant: 中国科学院软件研究所

Inventor： 吴迪 ,  冯登国 ,  连一峰 ,  陈恺

IPC: H04L29/06

Abstract: 本发明公开了一种识别业务系统中关键攻击路径的方法，属于网络信息安全技术领域。本方法为：1)综合业务系统数据流、系统脆弱性、安全威胁和安全措施各要素，创建业务系统的攻击模型；2)对所建攻击模型进行分析，并基于模型分析结果构建包含所有攻击路径的脆弱性利用图；3)将脆弱性利用图转换为标准有向图，采用最短路径方法对标准有向图进行分析，识别出攻击者能到达各目标的关键攻击路径。本发明具有比传统攻击图更好的可扩展性，同时能有效降低关键攻击路径识别的计算复杂度。

公开(公告)号：CN101867498B

公开(公告)日：2012-10-10

申请号：CN200910082181.6

申请日：2009-04-17

Applicant: 中国科学院软件研究所

Inventor： 韦勇 ,  连一峰 ,  冯登国

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种网络安全态势评估方法，属于网络安全技术领域。本发明方法为：1)对输入的告警信息进行相关性分析得到主机攻击图；2)根据输入的主机漏洞信息对主机攻击图进行关联分析，得到主机的期望状态图；3)利用入侵的期望威胁和主机期望状态图计算主机威胁值；4)利用各主机提供服务的权重信息和各主机的威胁值计算主机综合安全态势；5)利用网络组件性能信息和各网络组件权重值计算网络组件综合安全态势；6)利用主机综合安全态势和网络组件综合安全态势进行加权计算，得到网络安全态势。本发明可更加准确地分析攻击对网络主机和网络组件的实际影响，以及对未知攻击造成的威胁进行分析，比传统方法更准确地反映了网络的安全态势。