公开(公告)号：CN115563532A

公开(公告)日：2023-01-03

申请号：CN202211123213.4

申请日：2022-09-15

申请人： 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

发明人： 卜佑军 ,  孙重鑫 ,  陈博 ,  马海龙 ,  周锟 ,  张德升 ,  乔伟 ,  王克跃 ,  蒋笑笑 ,  王亮

IPC分类号： G06F18/241 ,  G06F18/2415 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/088 ,  G06N3/08

摘要： 本发明提供一种基于联邦半监督学习的流量分类方法及系统。该方法包括：构建无标签流量数据集和有标签流量数据集；中心服务器将全局模型分解为有监督学习参数与无监督学习参数并进行初始化；将参数和辅助代理发送至各客户端；客户端基于有监督学习参数、无监督学习参数和辅助代理利用本地的无标签流量数据集进行无监督训练，将无监督学习参数差异上传至中心服务器；中心服务器聚合更新各无监督学习参数；利用本地的有标签流量数据集进行有监督训练，将有监督学习参数差异、无监督学习参数差异发送至各客户端；基于最近邻搜索得到新的辅助代理，并在满足设定发送条件时，向各客户端发送新的辅助代理；迭代执行前述的2个步骤，直至满足停止条件。

公开(公告)号：CN114745128A

公开(公告)日：2022-07-12

申请号：CN202210309072.9

申请日：2022-03-28

申请人： 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

发明人： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC分类号： H04L9/32 ,  H04L9/40

摘要： 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN114745128B

公开(公告)日：2023-07-07

申请号：CN202210309072.9

申请日：2022-03-28

申请人： 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

发明人： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC分类号： H04L9/32 ,  H04L9/40

摘要： 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN114915534B

公开(公告)日：2023-06-16

申请号：CN202210428982.9

申请日：2022-04-22

申请人： 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

发明人： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC分类号： H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

摘要： 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN114915534A

公开(公告)日：2022-08-16

申请号：CN202210428982.9

申请日：2022-04-22

申请人： 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

发明人： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC分类号： H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

摘要： 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN115426133B

公开(公告)日：2024-07-05

申请号：CN202210962767.7

申请日：2022-08-11

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 马海龙 ,  张鹏 ,  江逸茗 ,  曲彦泽 ,  胡涛 ,  王亮 ,  卜佑军 ,  何元康 ,  袁征 ,  田乐

IPC分类号： H04L9/40 ,  G06F18/214 ,  G06F18/24 ,  G06N3/08 ,  G06N5/02

摘要： 本发明属于网络安全技术领域，特别涉及一种基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统，针对同一网络流，利用专家知识抽取若干类别的网络安全特征数据，由每类网络安全特征数据构造对应的数据特征簇；为每类数据特征簇构建对应分支的异常检测模型，利用该类下的数据特征簇来组建异构特征数据集，并利用该异构特征数据集对分支异常检测模型进行训练；针对每个分支的异常检测模型输出，利用拟态裁决来确定最终网络异常检测结果。本发明基于同一网络系统导出的异构数据集，对多特征簇分别进行异常检测并通过综合仲裁输出，以能够准确、全面反映网络状态信息，有效屏蔽单检测器可能产生的检测错误，提升检测准确率。

公开(公告)号：CN114520799B

公开(公告)日：2023-05-05

申请号：CN202111610018.X

申请日：2021-12-27

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 罗向阳 ,  祖铄迪 ,  刘翀 ,  张帆 ,  杜少勇 ,  王亮 ,  刘粉林

IPC分类号： H04L61/00 ,  H04L45/74 ,  H04L41/12 ,  H04L41/142 ,  H04L101/69

摘要： 本发明属于IP定位技术领域，特别涉及一种基于最小圆覆盖的城市内IP定位及误差估计方法及系统，通过将目标城市地标集划分为用于估计城域网中各路由器服务范围中心位置的训练集和用于估计各路由器服务范围半径的验证集并分别进行路径探测获取探测路径数据，利用训练集中路径数据从探测路径数据中提取城域网节点拓扑，通过统计地标分布获取位置估计，并利用验证集中路径数据中路径终起点与城域网位置关系来获取路由器定位误差，并依此获取最小圆覆盖的圆心和半径，使用得到的城域网拓扑来获取目标IP定位结果及误差范围。本发明不仅能够提升目标IP定位精度，同时也能够使定位误差范围估计更加准确，以进一步提升目标IP定位效果，便于实际场景应用。

公开(公告)号：CN115426133A

公开(公告)日：2022-12-02

申请号：CN202210962767.7

申请日：2022-08-11

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 马海龙 ,  张鹏 ,  江逸茗 ,  曲彦泽 ,  胡涛 ,  王亮 ,  卜佑军 ,  何元康 ,  袁征 ,  田乐

IPC分类号： H04L9/40 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

摘要： 本发明属于网络安全技术领域，特别涉及一种基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统，针对同一网络流，利用专家知识抽取若干类别的网络安全特征数据，由每类网络安全特征数据构造对应的数据特征簇；为每类数据特征簇构建对应分支的异常检测模型，利用该类下的数据特征簇来组建异构特征数据集，并利用该异构特征数据集对分支异常检测模型进行训练；针对每个分支的异常检测模型输出，利用拟态裁决来确定最终网络异常检测结果。本发明基于同一网络系统导出的异构数据集，对多特征簇分别进行异常检测并通过综合仲裁输出，以能够准确、全面反映网络状态信息，有效屏蔽单检测器可能产生的检测错误，提升检测准确率。

公开(公告)号：CN114915536A

公开(公告)日：2022-08-16

申请号：CN202210403491.9

申请日：2022-04-18

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 伊鹏 ,  王亮 ,  胡宇翔 ,  张鹏 ,  周锟 ,  傅敏 ,  祖铄迪 ,  曲彦泽 ,  孙重鑫

IPC分类号： H04L41/044 ,  H04L41/28 ,  H04L9/40

摘要： 本发明属于网络安全技术领域，特别涉及一种基于SDP组件的网络架构及面向新型网络的终端设备安全防护方法，在由应用平面、控制平面和数据平面构成的三层平面架构下，利用SDP组件为数据平面的接入终端设备进行安全管控；在数据平面中的SR网络域外节点、SR网络域入口路由器及网络服务资源间，部署基于信任阈值进行恶意终端检测的多级应用网关；该多级应用网关至少包含：用于对接入SR网络域内终端设备进行入网通信级身份验证的一级应用网关，及用于对接入SR网络域内终端设备进行资源访问级身份验证的二级应用网关，其中，一级应用网关信任阈值低于二级应用网关信任阈值。本发明通过引入SDP组件为接入SR数据平面的终端设备提供安全部署方案，部署灵活，便于实际场景应用。

公开(公告)号：CN114520799A

公开(公告)日：2022-05-20

申请号：CN202111610018.X

申请日：2021-12-27

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 罗向阳 ,  祖铄迪 ,  刘翀 ,  张帆 ,  杜少勇 ,  王亮 ,  刘粉林

IPC分类号： H04L61/00 ,  H04L45/74 ,  H04L41/12 ,  H04L41/142 ,  H04L101/69

摘要： 本发明属于IP定位技术领域，特别涉及一种基于最小圆覆盖的城市内IP定位及误差估计方法及系统，通过将目标城市地标集划分为用于估计城域网中各路由器服务范围中心位置的训练集和用于估计各路由器服务范围半径的验证集并分别进行路径探测获取探测路径数据，利用训练集中路径数据从探测路径数据中提取城域网节点拓扑，通过统计地标分布获取位置估计，并利用验证集中路径数据中路径终起点与城域网位置关系来获取路由器定位误差，并依此获取最小圆覆盖的圆心和半径，使用得到的城域网拓扑来获取目标IP定位结果及误差范围。本发明不仅能够提升目标IP定位精度，同时也能够使定位误差范围估计更加准确，以进一步提升目标IP定位效果，便于实际场景应用。