公开(公告)号：CN111556017A

公开(公告)日：2020-08-18

申请号：CN202010217977.4

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于自编码机的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。本发明不依赖于流量标签，也不需要采集足够的攻击流量用于模型训练，更适用于大数据下分布式计算场景，其检测时效率与准确率远高于现有技术。

公开(公告)号：CN107682312A

公开(公告)日：2018-02-09

申请号：CN201710743670.6

申请日：2017-08-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  崔华俊 ,  安伟

IPC: H04L29/06

CPC classification number: H04L63/02 ,  H04L63/0227 ,  H04L63/1416

Abstract: 本发明提供一种安全防护系统及方法，所述系统包括入侵检测子系统、防火墙子系统和控制器子系统，其中：控制器子系统，用于更新入侵检测子系统规则和防火墙子系统规则，将更新后的入侵检测子系统规则和防火墙子系统规则分别下发至入侵检测子系统和防火墙子系统；入侵检测子系统，用于基于DPDK对任一数据包进行获取并检测，将检测结果中的非法数据上报给控制器子系统；防火墙子系统，用于基于DPDK对任一数据包进行过滤处理。本发明提供的一种安全防护系统及方法，部署灵活且可扩展性好，可以很好地适应虚拟化与云计算平台；具有减少报文拷贝，亲核性等特点，能够适应高吞吐网络环境；且向上层开放控制接口，具有良好的可控性，便于运维和管理。

公开(公告)号：CN118799157A

公开(公告)日：2024-10-18

申请号：CN202410777309.5

申请日：2024-06-17

Applicant: 中国科学院信息工程研究所

Inventor： 李玥琦 ,  张棪 ,  杨慧然 ,  张亚文 ,  王伟平

IPC: G06Q50/50 ,  G06Q10/0635 ,  G06F18/241 ,  G06F18/214 ,  G06N3/09 ,  G06F18/2433

Abstract: 本发明公开一种基于流量分析的工业终端信任评估方法及系统，该方法包括：形成已标记数据集U0和未标记数据集V0；基于已标注数据集Ui进行模型训练，得到工业终端信任评估模型Mi；基于工业终端信任评估模型Mi评估未标注数据集Vi中数据样本的可信度，并将高可信度数据样本和经过人工标注的低可信度数据样本加入到已标记数据集Ui来形成已标记数据集Ui+1，基于未标注数据集Vi中的其他数据样本形成未标注数据集Vi+1；进行迭代训练后，得到训练后的工业终端信任评估模型；基于训练后的工业终端信任评估模型对无法使用现有终端信任评估组件的工业终端进行信任评估，得到风险评估结果。本发明可以对无法使用现有终端信任评估组件的工业终端进行信任评估。

公开(公告)号：CN118175564A

公开(公告)日：2024-06-11

申请号：CN202410138371.X

申请日：2024-01-31

Applicant: 中国科学院信息工程研究所

Inventor： 徐超 ,  杨慧然 ,  肖天乐 ,  崔华俊 ,  陈鹏 ,  李冠宇 ,  张亚文 ,  张棪

IPC: H04W24/04 ,  H04W24/06 ,  H04L43/04 ,  G06F16/906 ,  G06F16/909 ,  G06F16/36

Abstract: 本发明公开了一种基于时序聚类模型的移动网络状态评估方法，其步骤包括：1)在每一设定业务服务区上部署一日志采集模块，用于采集对应业务服务区的拨测结果日志；2)日志预处理模块将所述拨测结果日志中的文字描述映射到向量空间序列，得到拨测结果日志对应的文本向量；根据每一业务服务区内各拨测结果日志的时间对该业务服务区内各拨测结果日志对应的文本向量进行排序得到该业务服务区的时序数列；然后对时序数列进行降维处理并存储到时序数据库中；3)从时序数据库中获取两个时序数列并计算其DTW距离；根据时序数列之间的DTW距离对时序数据库中的时序数列进行聚类，得到s个聚类簇；4)根据每一聚类簇输出一对应的告警内容。

公开(公告)号：CN117938408A

公开(公告)日：2024-04-26

申请号：CN202211303626.0

申请日：2022-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 崔华俊 ,  张棪 ,  杨慧然 ,  于光喜 ,  杨兴华 ,  王伟平 ,  李杨 ,  张亚文

IPC: H04L9/40 ,  H04L12/46 ,  H04L12/66

Abstract: 本发明涉及一种在Android设备中实施动态访问控制的方法和系统。该方法包括：VPN客户端与动态访问控制客户端通过协商确定数据交互端口与兴趣流；VPN客户端从TUN网卡第一次读取数据包，根据协商的数据交互端口与兴趣流将数据包转发至动态访问控制客户端；动态访问控制客户端进行第一次封装，由操作系统将封装后的数据包转发至TUN网卡；VPN客户端从TUN网卡第二次读取数据包，进行第二次封装，由操作系统将封装后的数据包转发至物理网卡，进而发送至VPN网关；VPN网关将第一次解封装后的数据包转发至动态访问控制网关；动态访问控制网关将第二次解封装后的数据包转发至应用服务端。本发明能够在Android设备虚拟网卡已被VPN客户端占用的情况下实现动态访问控制。

公开(公告)号：CN116170456A

公开(公告)日：2023-05-26

申请号：CN202111393135.5

申请日：2021-11-23

Applicant: 中国科学院信息工程研究所

Inventor： 范雨琳 ,  李杨 ,  崔华俊 ,  杨慧然 ,  张棪 ,  王伟平

IPC: H04L67/12 ,  H04L9/40 ,  G06F18/24 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/084

Abstract: 本发明公开了一种基于部分域适应的物联网入侵检测方法及装置，包括基于源域中的源域数据xs，获取源域特征提取器FS与入侵检测分类器C；基于具有私有标签的源域数据与具有共享标签的目标数据，获取分类器D；根据源域数据xs相应的源域分类器D输出，得到源域数据xs的权重ωs；基于源域特征提取器FS、权重ωs、源域数据xs、目标数据xt，获取目标域特征提取器Ft；依据目标域特征提取器Ft、分类器D与入侵检测分类器C，构建入侵检测模型；将待测试目标域数据输入入侵检测模型，获取入侵检测结果。本发明能在大量有标记数据样本的情况，不仅取得较好的检测攻击的性能，且能检测到未知的攻击。

公开(公告)号：CN117938409A

公开(公告)日：2024-04-26

申请号：CN202211304129.2

申请日：2022-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 崔华俊 ,  张棪 ,  杨慧然 ,  于光喜 ,  杨兴华 ,  王伟平 ,  李杨 ,  张亚文

IPC: H04L9/40 ,  H04L67/141

Abstract: 本发明涉及一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统。该方法包括：应用客户端将自身业务数据发送至本地回环地址的特定端口；动态访问控制客户端监听该端口并获取应用客户端的数据包；动态访问控制客户端向动态访问控制网关转发所获取的数据包；动态访问控制网关根据配置的转发规则将数据包转发至应用服务端。所述动态访问控制客户端包含的环境安全感知模块感知移动终端应用的运行环境安全状态，由访问控制策略中心根据感知结果动态生成访问控制策略以决定对用户访问行为放行或阻断。本发明在Android设备虚拟网卡不可使用的情况下，只需对原有应用客户端进行IP地址和端口配置等极少量信息的改造，即可实现动态访问控制功能。

公开(公告)号：CN116668558A

公开(公告)日：2023-08-29

申请号：CN202310495803.8

申请日：2023-05-05

Applicant: 中国科学院信息工程研究所

Inventor： 李玥琦 ,  崔华俊 ,  张棪 ,  杨慧然 ,  张亚文 ,  王伟平

IPC: H04L69/16 ,  H04L67/02 ,  H04L69/329

Abstract: 本公开涉及一种针对UDP协议流量实行动态访问控制的方法及系统。所述方法应用于动态访问控制网关，包括：接收隧道数据包，并对隧道数据包剥离SSL VPN隧道的封装，以得到数据包；获取该数据包的四元组信息及传输层协议类型，并基于所述传输层协议类型，对四元组信息中的IP和端口进行转换；特别地，针对承载于UDP协议的数据包，对其进行应用层解析，结合动态访问控制策略判断是否将数据包代理至服务端。本公开能够提升关键场景的生成效率。本发明在不颠覆已有的动态访问控制流程，且无需对应用客户端进行改造的同时，可实现对UDP协议流量的动态访问控制。

公开(公告)号：CN111556018B

公开(公告)日：2021-07-27

申请号：CN202010218396.2

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种基于CNN的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练CNN网络，判读各流袋中流量是否为正常流量。本发明通过提取具备缩放不变性和大小与序列不变性的袋特征和CNN学习特征表达，对未知攻击的检测能力得到大幅提升，更适用于大数据下分布式计算场景，提供了更灵活和快速的模型更新。

公开(公告)号：CN111556017B

公开(公告)日：2021-07-27

申请号：CN202010217977.4

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于自编码机的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。本发明不依赖于流量标签，也不需要采集足够的攻击流量用于模型训练，更适用于大数据下分布式计算场景，其检测时效率与准确率远高于现有技术。