公开(公告)号：CN117540367A

公开(公告)日：2024-02-09

申请号：CN202210909030.9

申请日：2022-07-29

Applicant: 国家电网有限公司信息通信分公司 ,  北京邮电大学 ,  国网河北省电力有限公司信息通信分公司

Inventor： 胡威 ,  高雅婷 ,  赵金梦 ,  王景初 ,  尚智婕 ,  李家威 ,  张茹 ,  刘建毅 ,  陈连栋 ,  程凯

IPC: G06F21/55 ,  G06F40/284 ,  G06F16/36 ,  G06F16/35 ,  G06N3/0455 ,  G06N3/0895

Abstract: 本发明公开一种基于行为序列和语言模型的攻击调查方法，通过将审计日志构建为行为序列，利用基于transformer的深度双向预训练模型(BERT)对行为序列进行自监督学习，并通过微调的方式实现攻击行为序列和正常行为序列的分类任务。包括：行为序列生成，从行为依赖图中抽取行为依赖子图，将子图转换为行为序列并利用词性还原方法对序列进行处理；预训练模型，采用自监督的方式对未标注的行为序列进行表示学习；针对下游任务微调，利用标注的数据对模型进行微调，得到训练后的模型，实现行为序列的分类任务。本发明通过构造基于行为序列和语言模型的方法，为攻击调查提供了新的设计思路。

公开(公告)号：CN111881935B

公开(公告)日：2023-04-18

申请号：CN202010567205.3

申请日：2020-06-19

Applicant: 北京邮电大学 ,  中国信息安全测评中心

Inventor： 刘建毅 ,  张茹 ,  田宇 ,  李娟 ,  李婧雯

IPC: G06N3/094 ,  G06N3/0475 ,  G06N3/045 ,  G06N3/0464

Abstract: 本发明公开一种基于内容感知GAN的对抗样本生成方法，在WGAN_GP的基础上改变训练过程，通过输入随机噪声直接生成有目标的对抗样本，增加内容特征提取部分，在不影响攻击效果的条件下约束生成样本的质量，使对抗样本能够尽量保留内容特征不做改变。包括生成器G，判别器D、目标模型f、扰动评估部分和特征提取网络，生成器负责从随机噪声中生成样本，根据判别器D、目标模型f、扰动评估部分和特征提取网络的损失函数对生成器进行训练，让生成器直接从噪声中生成不受限的对抗样本。本发明基于生成对抗网络，关注样本的语义信息，面向直接生成对抗样本的方式而不是叠加扰动的方式，使用非监督的GAN训练实现了指定目标的对抗样本的直接生成，加快样本生成速度，提高生成样本质量，在保持较高攻击成功率的同时减少了对抗样本在内容特征区域的变化。

公开(公告)号：CN113158390B

公开(公告)日：2023-03-24

申请号：CN202110473819.X

申请日：2021-04-29

Applicant: 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网山东省电力公司信息通信公司

Inventor： 张茹 ,  吕智帅 ,  刘建毅 ,  胡威 ,  李静 ,  曲延盛 ,  王婵

IPC: G06F30/18 ,  G06F30/27 ,  G06F18/24 ,  G06N3/0464 ,  G06N3/0475 ,  G06N3/048 ,  G06N3/08 ,  H04L41/14 ,  G06F111/02 ,  G06F111/08 ,  G06F119/10

Abstract: 本发明公开设计了一种基于辅助分类式生成对抗网络的网络攻击流量生成方法，该方法利用生成式对抗网络的原理能够实现根据已有的网络攻击流量数据集样本，来生成能够欺骗和逃避防御系统检测的恶意流量样本。本发明包括：多源异构数据融合处理模块，负责定义一种统一的数据格式；生成器网络，负责根据高斯噪声和来自判别器的反馈来生成网络统计流量样本；判别器网络，负责对生成器生成的攻击流量样本和原始网络流量样本进行分析，包括真伪分析和攻击流量类别分析；分类微调模块，负责调试生成模型生成特定类型流量样本的性能。本发明通过构造基于辅助分类式生成对抗网络的网络攻击流量生成模型，在生成网络流量时能够根据网络攻击的类型来生成特定类型的网络攻击流量样本，通过生成此类对抗样本可以模拟网络攻击来检测现有入侵检测系统的鲁棒性，为现有的流量生成器提供了新思路。

公开(公告)号：CN114662096A

公开(公告)日：2022-06-24

申请号：CN202210305603.7

申请日：2022-03-25

Applicant: 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网山东省电力公司信息通信公司

Inventor： 李家威 ,  程杰 ,  张茹 ,  刘建毅 ,  高雅婷 ,  王婵 ,  夏昂 ,  崔博 ,  孔汉章

IPC: G06F21/55 ,  G06K9/62 ,  G06F16/36 ,  G06F16/17

Abstract: 本发明公开一种基于图核聚类的威胁狩猎方法，通过将审计日志构建为行为依赖图，并设计图核聚类方法实现将正常行为与异常行为分离，且能够对行为依赖图进行威胁量化评估，发现未知攻击。包括：行为依赖图构造器，负责将审计日志构建为行为依赖图；图核聚类，负责将行为依赖图嵌入到高维空间并计算相似度，利用聚类方法实现攻击行为和异常行为的分离；威胁评估，负责判断哪些类簇中的行为依赖图表示异常行为，并对异常行为进行威胁评估，实现威胁狩猎。本发明通过构造基于行为依赖图和图核聚类的方法，为威胁狩猎提供了新的设计思路。

公开(公告)号：CN112073362B

公开(公告)日：2022-04-26

申请号：CN202010567204.9

申请日：2020-06-19

Applicant: 北京邮电大学 ,  国家电网有限公司信息通信分公司

Inventor： 刘建毅 ,  张茹 ,  李静 ,  程杰 ,  王婵 ,  郭邯 ,  孙文新 ,  闫晓帆

IPC: H04L9/40

Abstract: 本发明公开一种基于流量特征的APT组织流量识别方法，定义并计算DNS和TCP、HTTP/HTTPS流量中的APT组织特征，利用特征识别出APT组织流量，实现APT组织流量识别。定义的组织特征包括：Response_type，用于区分APT组织流量中的DNS隧道流量；包负载波动特征C2Load_fluct，用于计算DNS流量在时间窗口内，流量包簇在单位域名下的平均负载量；包相似特征Bad_rate，用于判断APT组织恶意流量产生时的网络状态。本发明通过构造组织流量特征进行APT组织流量识别，提出并定义的组织特征能够有效地将APT恶意流量和正常流量进行区分，提高了APT组织流量识别的准确性，为APT组织流量识别提供了新的设计思路。

公开(公告)号：CN114239737A

公开(公告)日：2022-03-25

申请号：CN202111573050.5

申请日：2021-12-21

Applicant: 国家电网有限公司信息通信分公司 ,  北京邮电大学 ,  国网河北省电力有限公司信息通信分公司

Inventor： 胡威 ,  庞进 ,  王景初 ,  张亚昊 ,  尹红珊 ,  张茹 ,  王岚婷 ,  刘建毅 ,  陈连栋 ,  程凯

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种基于时空特征与双层注意力的加密恶意流量检测方法，收集网卡节点处的原始流量，通过双层注意力机制结合时空特征对，采用端对端方法，直接输入原始加密流量，提取加密恶意特征，从而检测加密恶意流量，该过程包括：加密流量的提取与预处理、数据包内恶意特征提取层、数据流内恶意特征提取层。通过卷积神经网络提取数据包内空间特征，再基于数据包字段的注意力机制层提取包内重要恶意特征，通过循环神经网络提取数据流间的时间特征，再通过基于流中数据包的注意力机制层提取数据流中的重要恶意特征进行加密恶意流量检测模型的构建。本发明通过基于时空特征与双层注意力的加密恶意流量检测方法，结合时间空间特征，并且通过在数据包层面和数据流层面设置双层注意力机制，在多个层次上提取数据包和数据流中的恶意特征，能够有效检测加密恶意流量，提高了检测准确率。

公开(公告)号：CN113094860A

公开(公告)日：2021-07-09

申请号：CN202110475603.7

申请日：2021-04-29

Applicant: 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网江苏省电力有限公司信息通信分公司

Inventor： 张茹 ,  王岚婷 ,  刘建毅 ,  胡威 ,  庞进 ,  袁国泉 ,  史睿

IPC: G06F30/18 ,  G06F30/27 ,  G06N3/04 ,  G06N3/08 ,  G06F111/02

Abstract: 本发明公开一种基于注意力机制的工控网络流量建模方法，收集工控网络中上位机与下位机之间的通信流量生成工控网络流量矩阵，构建神经网络框架对工控网络流量进行建模，提取工控网络流量特征，通过输入历史工控网络流量，从而预测工控网络下一时刻的流量。包括：流量采集和预处理，负责收集和预处理工控网络流量数据，构建模型，通过卷积神经网络提取工控网络流量的空间特征，通过循环神经网络提取工控网络流量时间特征，通过注意力机制提取工控网络流量的重要特征，从而通过输入历史流量，完成对工控网络的流量预测。本发明通过构建基于注意力机制的工控网络流量建模方法，引入注意力机制进一步提取了工控网络流量中包含的重要特征，为工控网络流量的建模提供了新的思路。

公开(公告)号：CN111881935A

公开(公告)日：2020-11-03

申请号：CN202010567205.3

申请日：2020-06-19

Applicant: 北京邮电大学 ,  中国信息安全测评中心

Inventor： 刘建毅 ,  张茹 ,  田宇 ,  李娟 ,  李婧雯

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种基于内容感知GAN的对抗样本生成方法，在WGAN_GP的基础上改变训练过程，通过输入随机噪声直接生成有目标的对抗样本，增加内容特征提取部分，在不影响攻击效果的条件下约束生成样本的质量，使对抗样本能够尽量保留内容特征不做改变。包括生成器G，判别器D、目标模型f、扰动评估部分和特征提取网络，生成器负责从随机噪声中生成样本，根据判别器D、目标模型f、扰动评估部分和特征提取网络的损失函数对生成器进行训练，让生成器直接从噪声中生成不受限的对抗样本。本发明基于生成对抗网络，关注样本的语义信息，面向直接生成对抗样本的方式而不是叠加扰动的方式，使用非监督的GAN训练实现了指定目标的对抗样本的直接生成，加快样本生成速度，提高生成样本质量，在保持较高攻击成功率的同时减少了对抗样本在内容特征区域的变化。

公开(公告)号：CN106411527A

公开(公告)日：2017-02-15

申请号：CN201610872571.3

申请日：2016-09-30

Applicant: 北京邮电大学

Inventor： 魏金侠 ,  刘建毅 ,  张茹

IPC: H04L9/32 ,  H04L29/06

CPC classification number: H04L63/0428 ,  H04L9/32 ,  H04L9/3236

Abstract: 本发明公开了一种甚高频数据链传输数据认证方法，可以用于实现航空通信网络(ATN)中ADS-B类型协议VDL-4模式数据的认证过程。ADS-B是一种基于GPS全球卫星定位系统和地/空、空/空数据链通信的航空器运行监视技术，该发明中称发送者为广播者。空中交通管制中心为密钥生成中心KGC，负责为广播者生成私钥。该数据认证方法包括：配备ADS-B系统的广播者在对待处理数据广播之前，需通过向KGC注册获取自己私钥；利用该私钥对待处理的VDL-4消息每一部分进行数据处理操作，生成待发送结果，所述数据处理操作包括数据二进制转换以及签名计算；通过航空电信网络将所计算的签名结果广播出去；配备ADS-B的接收者收到所述签名结果之后，对该结果进行消息的验证与恢复。

公开(公告)号：CN103530735B

公开(公告)日：2016-08-17

申请号：CN201310501540.3

申请日：2013-10-23

Applicant: 北京邮电大学

Inventor： 刘建毅 ,  雷鸣涛 ,  朱小陆 ,  王枞

IPC: G06F19/00 ,  G06Q10/06

Abstract: 本发明提供的是一种灾备中心日常运维管理能力评估方法。本发明的关键在于全面合理设置灾备中心日常运维管理能力评估指标，并为不同的指标项设置合理的评估方法，从而使评估方法更加反映日常运维管理的需求。在评估过程中，对灾备中心日常运维管理能力评估进行分级，从而进行层层深入，使评估结果更加具有参考性，并可为日常运维管理的改进提供一定的依据。