公开(公告)号：CN108737336A

公开(公告)日：2018-11-02

申请号：CN201710253620.X

申请日：2017-04-18

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 程叶霞 ,  杨凯 ,  何申 ,  彭晋

IPC: H04L29/06

CPC classification number: H04L63/02 ,  H04L63/1416

Abstract: 本发明实施例公开了一种基于区块链的威胁行为处理方法及装置、设备及存储介质，应用于包括防火墙的电子设备中基于区块链的威胁行为处理方法包括：分析威胁行为的疑似数据流，获取疑似数据流的数据特征；提取区块链中记录的威胁行为特征，其中，区块链在多个防火墙之间共享；基于数据特征和威胁行为特征，形成判断结果；其中，数据特征，用于当确定疑似数据流为威胁行为的数据流时更新区块链。在本实施例中基于区块链记录的威胁行为特征，可以辅助防火墙进一步确定其基于当前的攻击规则无法精确识别的疑似数据流是否为攻击行为的数据流，打破防火墙之间的信息隔阂，提高了单个及防火墙整体的威胁行为的拦截能力，从而提升了安防能力。

公开(公告)号：CN108289075A

公开(公告)日：2018-07-17

申请号：CN201710013274.8

申请日：2017-01-09

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 程叶霞 ,  何申 ,  杨凯 ,  杭小勇

IPC: H04L29/06

Abstract: 本发明提供一种攻击识别方法和装置，其中该方法包括：根据当前用户访问预定对象的访问过程信息，构建访问过程图；计算所述访问过程图的重心；将计算获得的所述重心与预定访问过程图的重心进行比较，当计算获得的所述重心与所述预定访问过程图的重心不匹配时，则确定所述当前用户访问所述预定对象属于攻击访问，其中所述预定访问过程图为根据正常用户访问所述预定对象的访问过程信息所构建。本发明提供一种基于用户访问过程构建访问过程图，并计算该访问过程图的图重心，利用所计算获得的图重心进行攻击识别的方式。相较于现有技术的方式，更加简单、方便，易于实现。

公开(公告)号：CN104717057B

公开(公告)日：2018-06-05

申请号：CN201310687123.2

申请日：2013-12-13

Applicant: 中国移动通信集团公司

Inventor： 程叶霞 ,  何申 ,  杨光华 ,  孙楠 ,  秦瑞 ,  杨凯 ,  陈磊 ,  胡海涛

IPC: H04L9/08

Abstract: 本发明公开了一种秘密共享方法和秘密共享系统，该方法包括：确定待共享秘密对应的二进制秘密序列；根据所述秘密序列以及共享用户数t，生成s个互异的二进制子秘密序列；其中，所述子秘密序列与所述秘密序列位数相同，且所述子秘密序列与所述秘密序列至少存在1位不同，s≥t；根据所述子秘密序列的数量s以及共享用户数t对所述子秘密序列进行分发。在本发明中，提高了秘密共享的灵活性、可控性和抗抵赖性。

公开(公告)号：CN108092941A

公开(公告)日：2018-05-29

申请号：CN201611043405.9

申请日：2016-11-23

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 程叶霞 ,  杨凯 ,  何申

IPC: H04L29/06 ,  H04L12/803

Abstract: 本发明涉及互联网安全领域，尤其涉及一种网络安全防护方法、装置及系统，该方法为，通过设置一个前置WAF，先基于第一预设攻击规则集合对接收的所有流量数据集中进行预处理，然后通过负载均衡设备，将预处理后得到的流量数据进行分流，并分发给若干个后置WAF针对第二预设攻击规则进行过滤处理，这样，能够有效提高WAF的检测效率，进而提高了设备的资源利用率，由于第一预设攻击规则集合并不是包含了所有的攻击规则，而是根据网络安全的实时动态和实际需求进行调整的，因此，具备一定的灵活性和安全自适应性，能够将最新的网络安全态势应用到当前网络中，有效的提高了网络安全的防护效率。

公开(公告)号：CN104660563B

公开(公告)日：2018-05-04

申请号：CN201310595077.3

申请日：2013-11-21

Applicant: 中国移动通信集团公司

Inventor： 何申 ,  程叶霞 ,  杨光华 ,  刘钢庭 ,  蔡伟文 ,  李启文

IPC: H04L29/06

Abstract: 本发明公开了一种主动探测响应的处理方法、设备和系统，该方法包括：本端设备在收到来自远端设备的主动探测请求之后，获取所述远端设备的IP地址，并获得所述主动探测请求对应的正向逻辑的主动探测响应；所述本端设备判断所述IP地址是否位于IP地址可信域范围内；如果是，所述本端设备将所述正向逻辑的主动探测响应发送给远端设备；如果否，所述本端设备对所述正向逻辑的主动探测响应进行负逻辑处理，得到负逻辑的主动探测响应，将所述负逻辑的主动探测响应发送给远端设备。本发明实施例中，可以避免攻击者从主动探测响应中挖掘出关键的网络数据，进而无法发动攻击行为，提高网络安全性，避免正向逻辑所带来的不安全性、信息泄露性等。

公开(公告)号：CN104580069B

公开(公告)日：2017-09-12

申请号：CN201310475669.1

申请日：2013-10-12

Applicant: 中国移动通信集团公司

Inventor： 何申 ,  程叶霞 ,  杨光华 ,  刘钢庭 ,  王丹弘 ,  何坚安

IPC: H04L29/06

Abstract: 本发明公开了一种基于NLS负逻辑系统的安全防御的方法、设备和系统，主要内容包括：负逻辑处理中心接收输入的一种条目信息，并根据预设的条目信息与至少两个逻辑状态值之间的对应关系，为接收到的所述条目信息配置至少两个逻辑状态值，并随机输出配置的一个逻辑状态值，这样打破了现有正逻辑系统采用的条目信息与逻辑状态值之间一对一的关系，实现攻防双方信息不对称，增加了攻击者网络开销和代价，提供了网络防御的安全性，降低了网络防御的代价，节省了网络防御的资源。