公开(公告)号：CN112929380B

公开(公告)日：2022-04-15

申请号：CN202110198784.3

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  贾梓健 ,  姚叶鹏 ,  汪秋云 ,  任房利 ,  刘宝旭

IPC: H04L9/40 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为：1)构建一元学习网络，将木马流量样本输入元学习网络的嵌入部分，得到样本的特征向量；2)挑选出C个类别，并为每个类别挑选出K个样本并划分为支持集和查询集；3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量，将该条向量作为对应类别的代表向量；4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层，得到关系得分，然后根据该关系得分计算损失值，迭代优化元学习网络；5)对于一待识别的流量数据，将其输入训练后的所述元学习网络，根据所得关系得分确定该流量数据对应的类别。

公开(公告)号：CN111859966B

公开(公告)日：2022-04-15

申请号：CN202010535333.X

申请日：2020-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 苏长鑫 ,  江钧 ,  杨沛安 ,  姜政伟 ,  李小萌 ,  王旭仁

IPC: G06F40/295 ,  G06F40/211 ,  G06F16/955

Abstract: 本发明提供一种面向网络威胁情报的标注语料生成方法及电子装置，包括：提取结构化威胁情报数据训练集中的安全实体，将各结构化威胁情报数据映射为 三元组，得到头实体集合与尾实体集合；提取待标注文本中的安全实体，获取包含至少一个属于头实体集合的安全实体与至少一个属于尾实体集合的安全实体的句子；判断句子中包含的关系类型；对所有句子的各 三元组进行标注，得到初始标注数据集，进而得到去噪标注数据集。本发明根据远程监督理论，利用已有结构化网络威胁情报数据对未标注语料进行标注，生成大规模训练语料，并提出自动去噪和交叉校验方法解决标注语料存在噪音数据的问题。

公开(公告)号：CN110717049B

公开(公告)日：2020-12-04

申请号：CN201910805363.5

申请日：2019-08-29

Applicant: 四川大学 ,  中国科学院信息工程研究所

Inventor： 黄诚 ,  方勇 ,  姜政伟 ,  彭嘉毅 ,  杨悦

IPC: G06F16/36 ,  G06F16/35 ,  H04L29/06

Abstract: 本发明为一种面向文本数据的威胁情报知识图谱构建方法。实现了从文本威胁情报数据中自动化提取出关键信息，构建威胁情报知识图谱的功能。提出了一种面向文本数据的威胁情报知识图谱构建方法。该方法首先定义威胁情报领域的本体结构，利用基于多因素的威胁情报命名实体识别模型与基于图神经网络的威胁情报实体关系抽取模型从文本数据中获取威胁情报实体与关系三元组，最后通过图数据库存储信息，构成威胁情报知识图谱。

公开(公告)号：CN111709272A

公开(公告)日：2020-09-25

申请号：CN202010339306.5

申请日：2020-04-26

Applicant: 中国科学院信息工程研究所 ,  国网浙江省电力有限公司信息通信分公司 ,  国网雄安金融科技集团有限公司 ,  国家电网有限公司

Inventor： 汪秋云 ,  姜政伟 ,  李小萌 ,  方舟 ,  王栋 ,  赵丽花

IPC: G06K9/00 ,  G06K9/46 ,  G06K9/62

Abstract: 本发明提供一种基于小面积指纹的指纹采集方法、身份认证方法及电子装置，将用户的小面积指纹内所有特征点数据及小面积指纹与全指纹中心点的距离、全指纹数量、采集全指纹顺序和用户标识作为该用户指纹信息，对用户身份进行认证。本发明从全指纹出发，尽可能地选取整个全指纹的最优部分作为认证凭据，处理过程简洁，处理速度快。

公开(公告)号：CN109672674A

公开(公告)日：2019-04-23

申请号：CN201811554318.9

申请日：2018-12-19

Applicant: 中国科学院信息工程研究所

Inventor： 杜翔宇 ,  姜政伟 ,  韩瑶鹏 ,  江钧 ,  宋秉华 ,  刘宝旭

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种网络威胁情报可信度识别方法，本发明步骤包括：1)构建网络威胁情报的关联图模型，图上的节点是网络威胁指标；2)每个网络威胁指标都有一个初始信誉值，计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分；3)为关联图模型中的每一个边计算权重；4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播，进而与每个网络威胁指标的初始信誉值结合计算得到最终信誉值；5)根据网络威胁指标的最终信誉值确定网络威胁情报可信度。本发明能够更好的评估网络威胁情报质量。

公开(公告)号：CN107360155A

公开(公告)日：2017-11-17

申请号：CN201710556348.2

申请日：2017-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 李强 ,  杨泽明 ,  刘宝旭 ,  姜政伟

IPC: H04L29/06

CPC classification number: H04L63/145 ,  H04L63/1408

Abstract: 本发明提供一种基于威胁情报和沙箱技术的网络攻击自动溯源方法，步骤包括：获取网络攻击恶意样本，分析样本类型并获取所述样本所需系统和应用环境参数；利用沙箱配置满足所述参数的虚拟机环境，运行所述样本并记录样本的指纹信息；根据所述指纹信息进行溯源，如果达到溯源目的，则停止溯源，否则提取攻击指标信息；根据所述攻击指标信息，调用威胁情报数据，根据所述威胁情报数据进行溯源。本发明还提供一种基于威胁情报和沙箱技术的网络攻击自动溯源系统，包括分析服务器、情报中继服务器和沙箱服务器。

公开(公告)号：CN117951691A

公开(公告)日：2024-04-30

申请号：CN202311793830.X

申请日：2023-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  延俊杰 ,  江钧 ,  张开 ,  凌志婷 ,  杨沛安 ,  王健

IPC: G06F21/55 ,  G06F18/213 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/042

Abstract: 本发明提供一种基于图卷积神经网络的系统日志攻击调查方法及系统，属于计算机网络安全领域，通过获取终端侧系统日志；将系统日志节点依据时间顺序、系统调用关系生成起源图；训练系统日志节点的向量表示；根据给定候选系统日志节点，生成候选系统日志节点的起源子图；根据起源子图中包含的系统日志节点之间的相似性，修剪冗余节点；基于图核算法与系统日志节点的向量相似度计算平衡训练数据集；基于注意力机制训练起源子图的类型与方向矩阵向量表示；基于图卷积神经网络学习起源子图的攻击行为模式特征，识别潜在的攻击节点。本发明无需引入专家知识，能够自动化学习攻击行为模式特征，提高分析调查速度，有效识别包括新型攻击在内的攻击活动。

公开(公告)号：CN112187716B

公开(公告)日：2021-07-20

申请号：CN202010870776.4

申请日：2020-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  靖蓉琦 ,  汪姝玮 ,  姜政伟 ,  江钧

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，得到新内容并确定该新内容的分类、属性和实例信息；2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量，并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤；然后对目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度；3)对目标恶意代码图谱中的恶意代码进行家族分类，然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算；然后对目标恶意代码图谱进行分层的布局和渲染展示。

公开(公告)号：CN109857917B

公开(公告)日：2021-07-13

申请号：CN201811569400.9

申请日：2018-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王天 ,  姜波 ,  江钧 ,  杜翔宇 ,  卢志刚 ,  姜政伟

IPC: G06F16/9038 ,  G06F16/904 ,  G06F16/953 ,  G06F9/54

Abstract: 本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。

公开(公告)号：CN112926327A

公开(公告)日：2021-06-08

申请号：CN202110230354.5

申请日：2021-03-02

Applicant: 首都师范大学 ,  中国科学院信息工程研究所

Inventor： 王旭仁 ,  熊子晗 ,  刘润时 ,  何松恒 ,  姜政伟 ,  施智平 ,  江钧 ,  凌志婷 ,  李小萌 ,  刘宝旭 ,  熊梦博 ,  朱新帅 ,  张小庆 ,  陈蓉

IPC: G06F40/295 ,  G06F40/30 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提供了一种实体识别方法、装置、设备及存储介质，该方法包括：获取原始威胁情报文本；针对每一原始威胁情报文本，按照分词所属实体的实体类型，对该原始威胁情报文本中的每一个分词进行标记，得到训练样本；将训练样本输入实体识别模型，利用该训练样本中的每一个分词以及该分词对应的所述实体标记，对该实体识别模型进行训练，得到训练好的实体识别模型，其中，实体识别模型在训练过程中使用的损失函数用于减小所属实体标记相同的分词之间的空间距离以及增大所属实体标记不同的分词之间的空间距离；将待识别的威胁情报文本输入训练好的实体识别模型中，得到实体识别结果。可以提高对威胁情报领域内特定类型实体的识别准确度。