公开(公告)号：CN115589362B

公开(公告)日：2023-03-14

申请号：CN202211568272.2

申请日：2022-12-08

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  刘赟 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L41/0853 ,  H04L43/026 ,  H04L43/12 ,  H04L61/3015

摘要： 本发明公开了一种设备类型指纹的生成方法及识别方法、设备及介质，属于网络空间资产探测领域，包括：提取原始通信流量中的包字段，根据五元组创建流；将信息从原始通信流量提取到流中；在流中的包头共享相同的字段，或在流中的包头的字段以能够预测的方式更改；生成流特征，包括直接提取的流的基本信息，以及需要计算生成的衍生信息，五元组中的源IP地址信息不计入流的特征字段；将流作为基本元素，一个流对应一个标签，生成流特征，将所有带标签的流特征集合作为数据集；流基本元素按照设备类型使用决策树进行分类；根据决策树的每一条判定路径得到设备类型指纹。本发明具有兼顾准确性、可解释性和灵活性，易读易用性和场景适应性较强的优点。

公开(公告)号：CN115589362A

公开(公告)日：2023-01-10

申请号：CN202211568272.2

申请日：2022-12-08

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  刘赟 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L41/0853 ,  H04L43/026 ,  H04L43/12 ,  H04L61/3015

摘要： 本发明公开了一种设备类型指纹的生成方法及识别方法、设备及介质，属于网络空间资产探测领域，包括：提取原始通信流量中的包字段，根据五元组创建流；将信息从原始通信流量提取到流中；在流中的包头共享相同的字段，或在流中的包头的字段以能够预测的方式更改；生成流特征，包括直接提取的流的基本信息，以及需要计算生成的衍生信息，五元组中的源IP地址信息不计入流的特征字段；将流作为基本元素，一个流对应一个标签，生成流特征，将所有带标签的流特征集合作为数据集；流基本元素按照设备类型使用决策树进行分类；根据决策树的每一条判定路径得到设备类型指纹。本发明具有兼顾准确性、可解释性和灵活性，易读易用性和场景适应性较强的优点。

公开(公告)号：CN118264433A

公开(公告)日：2024-06-28

申请号：CN202410225894.8

申请日：2024-02-29

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张位 ,  冯毓 ,  毛得明 ,  庹宇鹏 ,  饶志宏 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L9/40 ,  H04L41/14

摘要： 本发明公开了一种基于非关联特征反向识别的匿名网络流量关联方法及装置，属于网络安全领域，包括：S1，执行不同配置下匿名网络流量的关联度分布测定，获得用于开展流量关联判定工作的先验知识与数据基础；S2，非关联特征反向识别的流量关联性判定：利用在步骤S1中得到的通信双方和非通信双方在不同的匿名网络配置条件下的关联度的中心值，识别拟关联的发送及接收流量之间是否存在通信关系。本发明可以提高流量关联技术的准确率、持续有效性和可操作性，提升基于通信数据量时序特征匹配的流量关联算法的效能，有助于保持网络监控的技术优势，防范和打击网络犯罪。

公开(公告)号：CN118118234A

公开(公告)日：2024-05-31

申请号：CN202410225892.9

申请日：2024-02-29

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张位 ,  冯毓 ,  毛得明 ,  庹宇鹏 ,  饶志宏 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L9/40 ,  H04L41/14

摘要： 本发明公开了一种匿名网络流量的关联度分布测定方法、关联方法及装置，属于网络安全领域，包括步骤：S11，搭建多对使用匿名通信网络进行匿名通信的通信源和通信目标；S12，在不同的匿名网络配置条件下采集信源的发送流量和目标的接收流量；S13，抽取不同的匿名网络配置条件下的发送流量和接收流量的数据量时序特征；S14，利用基于通信数据量时序特征匹配的流量关联算法，分别计算出通信双方和非通信双方在不同的匿名网络配置条件下的关联度的分布；S15，分别计算出通信双方和非通信双方在不同的匿名网络配置条件下的关联度的中心值。本发明能够实现更加准确、快速的关联效果。

公开(公告)号：CN116708273A

公开(公告)日：2023-09-05

申请号：CN202310937279.5

申请日：2023-07-28

申请人： 中国电子科技网络信息安全有限公司

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  兰昆 ,  刘正军 ,  程丽君 ,  张淑文 ,  朱治丞

IPC分类号： H04L45/02

摘要： 本发明公开了一种停止判定分类模型的生成方法、网络拓扑探测方法及装置，属于网络拓扑探测领域，包括步骤：获取原始探测结果数据集；将原始探测结果数据集中的探测路径按目标分组；统计分组后同目标路径中的重复节点，以及在其之后是否存在多径路由；提取各个重复节点的特征；以重复节点特征为特征，其后路径中是否存在多径路由为标签形成数据集；利用带标签数据集进行机器学习分类模型训练得到停止判定分类模型；在之后的其他探测过程中，当遇到重复节点时，利用停止判定分类模型进行停止判定，由判定结果决定是否停止探测。本发明控制了网络拓扑探测成本，保障了拓扑探测发现率，适用于对网络拓扑发现性价比和完整性有较高要求的场景。

公开(公告)号：CN111431862A

公开(公告)日：2020-07-17

申请号：CN202010127770.8

申请日：2020-02-28

申请人： 中国电子科技网络信息安全有限公司

发明人： 兰昆 ,  唐林 ,  王文胜 ,  邹大均 ,  宗琪 ,  张宇光 ,  朱治丞

IPC分类号： H04L29/06 ,  H02J13/00

摘要： 本发明涉及电力监控系统领域，本发明公开了一种威胁驱动的电力监控系统网络安全深度防护方法及系统，其中该系统包括纵向防护功能单元、横向防护功能单元、内网漏洞探测功能单元和外网威胁态势感知功能单元，内网漏洞探测功能单元和外网威胁态势感知功能单元协同完成电力监控系统内网与外网的威胁探测，纵向防护功能单元和横向防护功能单元协同完成深度安全防护，由威胁探测引导深度安全防护。本发明的核心内容在于创新性提出将电力监控系统的威胁探测与安全防护联系起来，由威胁发现引导网络安全动态防护。并提出将纵向加密认证安全资源与横向安全防护资源进行结合，实现协同防护，解决了电力监控系统中由威胁驱动和引导的定向防护问题。

公开(公告)号：CN111131185B

公开(公告)日：2022-12-09

申请号：CN201911242839.5

申请日：2019-12-06

申请人： 中国电子科技网络信息安全有限公司

发明人： 兰昆 ,  徐锐 ,  饶志宏 ,  张宇光 ,  朱治丞

IPC分类号： H04L9/40 ,  H04L67/12 ,  G06K9/62 ,  G06N20/00 ,  G08B7/06 ,  H04L12/40

摘要： 本发明涉及车联网汽车安全检测技术领域，目的是为了检测来自恶意攻击者对汽车CAN总线发出的攻击报文(异常报文)。本发明公开了基于机器学习的CAN总线网络异常检测方法：采集车载的CAN总线报文样本，规格化CAN总线报文；根据规格化CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；在CAN总线报文异常检测阶段，对待检测报文进行分类后输入到对应类别的决策树模型，得到CAN总线正常报文和CAN总线异常报文。该方案通过上述方案中有监督的决策树模型进行分析，能有效的发现CAN总线网络中存在的异常会话连接报文、恶意攻击流量和异常数据报文。

公开(公告)号：CN116708273B

公开(公告)日：2023-10-31

申请号：CN202310937279.5

申请日：2023-07-28

申请人： 中国电子科技网络信息安全有限公司

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  兰昆 ,  刘正军 ,  程丽君 ,  张淑文 ,  朱治丞

IPC分类号： H04L45/02

摘要： 本发明公开了一种停止判定分类模型的生成方法、网络拓扑探测方法及装置，属于网络拓扑探测领域，包括步骤：获取原始探测结果数据集；将原始探测结果数据集中的探测路径按目标分组；统计分组后同目标路径中的重复节点，以及在其之后是否存在多径路由；提取各个重复节点的特征；以重复节点特征为特征，其后路径中是否存在多径路由为标签形成数据集；利用带标签数据集进行机器学习分类模型训练得到停止判定分类模型；在之后的其他探测过程中，当遇到重复节点时，利用停止判定分类模型进行停止判定，由判定结果决定是否停止探测。本发明控制了网络拓扑探测成本，保障了拓扑探测发现率，适用于对网络拓扑发现性价比和完整性有较高要求的场景。

公开(公告)号：CN111431862B

公开(公告)日：2022-03-18

申请号：CN202010127770.8

申请日：2020-02-28

申请人： 中国电子科技网络信息安全有限公司

发明人： 兰昆 ,  唐林 ,  王文胜 ,  邹大均 ,  宗琪 ,  张宇光 ,  朱治丞

IPC分类号： H04L9/40 ,  H04L69/22 ,  H02J13/00

摘要： 本发明涉及电力监控系统领域，本发明公开了一种威胁驱动的电力监控系统网络安全深度防护方法及系统，其中该系统包括纵向防护功能单元、横向防护功能单元、内网漏洞探测功能单元和外网威胁态势感知功能单元，内网漏洞探测功能单元和外网威胁态势感知功能单元协同完成电力监控系统内网与外网的威胁探测，纵向防护功能单元和横向防护功能单元协同完成深度安全防护，由威胁探测引导深度安全防护。本发明的核心内容在于创新性提出将电力监控系统的威胁探测与安全防护联系起来，由威胁发现引导网络安全动态防护。并提出将纵向加密认证安全资源与横向安全防护资源进行结合，实现协同防护，解决了电力监控系统中由威胁驱动和引导的定向防护问题。

公开(公告)号：CN111131185A

公开(公告)日：2020-05-08

申请号：CN201911242839.5

申请日：2019-12-06

申请人： 中国电子科技网络信息安全有限公司

发明人： 兰昆 ,  徐锐 ,  饶志宏 ,  张宇光 ,  朱治丞

IPC分类号： H04L29/06 ,  H04L29/08 ,  G06K9/62 ,  G06N20/00 ,  G08B7/06 ,  H04L12/40

摘要： 本发明涉及车联网汽车安全检测技术领域，目的是为了检测来自恶意攻击者对汽车CAN总线发出的攻击报文(异常报文)。本发明公开了基于机器学习的CAN总线网络异常检测方法：采集车载的CAN总线报文样本，规格化CAN总线报文；根据规格化CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；在CAN总线报文异常检测阶段，对待检测报文进行分类后输入到对应类别的决策树模型，得到CAN总线正常报文和CAN总线异常报文。该方案通过上述方案中有监督的决策树模型进行分析，能有效的发现CAN总线网络中存在的异常会话连接报文、恶意攻击流量和异常数据报文。