公开(公告)号：CN116416453A

公开(公告)日：2023-07-11

申请号：CN202211572991.1

申请日：2022-12-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 谢记超 ,  段通 ,  张震 ,  陆杰 ,  伊鹏 ,  马海龙 ,  于婧 ,  张鹏 ,  周锟 ,  李鹏坤

IPC: G06V10/764 ,  G06V10/774 ,  G06V10/82 ,  G06N3/08 ,  G06N5/04

Abstract: 本发明涉及目标检测对抗样本防御领域，公开一种基于图像掩膜的对抗样本防御系统及方法，该系统包括目标检测与定位模块、重点目标提取模块、重点目标图像截取模块、目标掩膜处理模块、图像掩膜处理模块、图像分类模块、加权表决模块；该方法无需对目标检测器进行修改，仅需要对输入图像进行处理。本发明能够广泛兼容现有的目标检测器，具备良好的通用性，有效提升目标检测系统抵抗对抗样本攻击的能力，全面提高系统的鲁棒性和安全性。

公开(公告)号：CN114915534B

公开(公告)日：2023-06-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN114915534A

公开(公告)日：2022-08-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN113132352A

公开(公告)日：2021-07-16

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。

公开(公告)号：CN110380961B

公开(公告)日：2021-05-07

申请号：CN201910603728.6

申请日：2019-07-05

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  珠海高凌信息科技股份有限公司

Inventor： 马海龙 ,  伊鹏 ,  江逸茗 ,  冯志峰 ,  郭义伟 ,  张鹏 ,  陈祥 ,  韩伟涛 ,  鲍尚策

IPC: H04L12/707 ,  H04L12/771 ,  H04L12/801 ,  H04L29/06

Abstract: 本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法，该装置包括：传统路由器，作为路由计算主执行体；多个异构路由计算执行体，作为路由计算副执行体；数据分合路单元，用于对输入数据进行操作后分流转发，并将来自不同单元的数据进行合路输出；输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及中央控制单元，用于管理其他单元。本发明通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。

公开(公告)号：CN111669342A

公开(公告)日：2020-09-15

申请号：CN202010335971.7

申请日：2020-04-25

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 张震 ,  伊鹏 ,  马海龙 ,  申涓 ,  罗伟 ,  张鹏 ,  刘迪洋

IPC: H04L12/931 ,  H04L29/06

Abstract: 本发明属于网络交换机安全技术领域，特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机，对抓取的网络交换机协议报文复制n份并分发至面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体；各异构执行体依据接收的协议报文进行响应；针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。本发明利用广义鲁棒控制机制，通过构建覆盖三个层面的异构执行体，实现“感知-决策-适配”一体的积极防御，提升以太网交换机面对未知漏洞/后门的处理能力和交换机内部安全稳定性，增强局域网应对外部入侵和内部渗透能力。

公开(公告)号：CN110149309A

公开(公告)日：2019-08-20

申请号：CN201910272300.8

申请日：2019-04-04

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 于婧 ,  马海龙 ,  陈祥 ,  陈博 ,  韩伟涛 ,  白冰 ,  周锟 ,  张鹏 ,  袁征 ,  李路晗

IPC: H04L29/06

Abstract: 本发明提供一种路由器威胁感知方法及系统。该方法包括：威胁感知系统与被监测路由器输入一致；被监测路由器的输出数据同时送至威胁感知系统；被监测路由器的配置信息要同步配置到威胁感知系统；被监测路由器的状态信息要及时收集到威胁感知系统。将被监测路由器的输出数据、状态与威胁感知系统的输出数据、状态进行对比，若两者的输出数据或状态存在不一致的情况，则表示被监测路由器可能存在威胁，需要向管理系统发出告警信息。威胁感知系统包括：输入处理单元、功能等价执行体单元、状态比较单元、输出比较单元和分析告警单元。本发明可应对漏洞及攻击技术手段多样导致的对路由器威胁进行判定难度较大的问题，并可感知未知漏洞及零日攻击。

公开(公告)号：CN115426133B

公开(公告)日：2024-07-05

申请号：CN202210962767.7

申请日：2022-08-11

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 马海龙 ,  张鹏 ,  江逸茗 ,  曲彦泽 ,  胡涛 ,  王亮 ,  卜佑军 ,  何元康 ,  袁征 ,  田乐

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/24 ,  G06N3/08 ,  G06N5/02

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统，针对同一网络流，利用专家知识抽取若干类别的网络安全特征数据，由每类网络安全特征数据构造对应的数据特征簇；为每类数据特征簇构建对应分支的异常检测模型，利用该类下的数据特征簇来组建异构特征数据集，并利用该异构特征数据集对分支异常检测模型进行训练；针对每个分支的异常检测模型输出，利用拟态裁决来确定最终网络异常检测结果。本发明基于同一网络系统导出的异构数据集，对多特征簇分别进行异常检测并通过综合仲裁输出，以能够准确、全面反映网络状态信息，有效屏蔽单检测器可能产生的检测错误，提升检测准确率。

公开(公告)号：CN117113246A

公开(公告)日：2023-11-24

申请号：CN202310905446.8

申请日：2023-07-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 马海龙 ,  江逸茗 ,  胡涛 ,  尹梓诺 ,  韩伟涛 ,  张鹏 ,  任权 ,  李鹏坤 ,  陈祥 ,  王文博

IPC: G06F18/2433 ,  G06F18/2413 ,  G06F18/2415 ,  G06F18/214 ,  G06F18/23213 ,  G06N3/045 ,  G06N3/047 ,  G06N3/048 ,  G06N3/08 ,  H04L9/40

Abstract: 本发明提供一种基于孪生神经网络的流量异常检测方法及系统。该方法包括：步骤1：针对已标注有“正常”或“攻击”标签的每类流量数据集，利用K‑medoids算法将该类流量数据集聚类为M个子类，随机从每个子类中抽取一个样本以构建得到该类流量的训练集；步骤2：将所有类别流量的训练集组合在一起以构建得到一个小样本流量训练集；步骤3：构建孪生多层感知机，采用所述小样本流量训练集对所述孪生多层感知机进行训练得到流量异常检测模型；步骤4：将所述小样本流量训练集作为支持集，将待测流量样本与支持集中的样本同时输入至所述流量异常检测模型，得到检测结果。