公开(公告)号：CN115589362A

公开(公告)日：2023-01-10

申请号：CN202211568272.2

申请日：2022-12-08

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  刘赟 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L41/0853 ,  H04L43/026 ,  H04L43/12 ,  H04L61/3015

摘要： 本发明公开了一种设备类型指纹的生成方法及识别方法、设备及介质，属于网络空间资产探测领域，包括：提取原始通信流量中的包字段，根据五元组创建流；将信息从原始通信流量提取到流中；在流中的包头共享相同的字段，或在流中的包头的字段以能够预测的方式更改；生成流特征，包括直接提取的流的基本信息，以及需要计算生成的衍生信息，五元组中的源IP地址信息不计入流的特征字段；将流作为基本元素，一个流对应一个标签，生成流特征，将所有带标签的流特征集合作为数据集；流基本元素按照设备类型使用决策树进行分类；根据决策树的每一条判定路径得到设备类型指纹。本发明具有兼顾准确性、可解释性和灵活性，易读易用性和场景适应性较强的优点。

公开(公告)号：CN118264433A

公开(公告)日：2024-06-28

申请号：CN202410225894.8

申请日：2024-02-29

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张位 ,  冯毓 ,  毛得明 ,  庹宇鹏 ,  饶志宏 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L9/40 ,  H04L41/14

摘要： 本发明公开了一种基于非关联特征反向识别的匿名网络流量关联方法及装置，属于网络安全领域，包括：S1，执行不同配置下匿名网络流量的关联度分布测定，获得用于开展流量关联判定工作的先验知识与数据基础；S2，非关联特征反向识别的流量关联性判定：利用在步骤S1中得到的通信双方和非通信双方在不同的匿名网络配置条件下的关联度的中心值，识别拟关联的发送及接收流量之间是否存在通信关系。本发明可以提高流量关联技术的准确率、持续有效性和可操作性，提升基于通信数据量时序特征匹配的流量关联算法的效能，有助于保持网络监控的技术优势，防范和打击网络犯罪。

公开(公告)号：CN118118234A

公开(公告)日：2024-05-31

申请号：CN202410225892.9

申请日：2024-02-29

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张位 ,  冯毓 ,  毛得明 ,  庹宇鹏 ,  饶志宏 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L9/40 ,  H04L41/14

摘要： 本发明公开了一种匿名网络流量的关联度分布测定方法、关联方法及装置，属于网络安全领域，包括步骤：S11，搭建多对使用匿名通信网络进行匿名通信的通信源和通信目标；S12，在不同的匿名网络配置条件下采集信源的发送流量和目标的接收流量；S13，抽取不同的匿名网络配置条件下的发送流量和接收流量的数据量时序特征；S14，利用基于通信数据量时序特征匹配的流量关联算法，分别计算出通信双方和非通信双方在不同的匿名网络配置条件下的关联度的分布；S15，分别计算出通信双方和非通信双方在不同的匿名网络配置条件下的关联度的中心值。本发明能够实现更加准确、快速的关联效果。

公开(公告)号：CN115914075A

公开(公告)日：2023-04-04

申请号：CN202211488158.9

申请日：2022-11-25

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张位 ,  张志勇 ,  毛得明 ,  饶志宏

IPC分类号： H04L45/02 ,  H04L45/74 ,  H04L45/00 ,  H04L41/12

摘要： 本发明公开了一种基于路由表的网络拓扑结点生成方法、设备、介质及系统，属于网络空间安全领域，包括步骤：根据路由表中实际网络目标前缀的分布结构对IP地址进行聚类，使IP地址被包含到唯一的拓扑结点中，得到完整而互不相交的目标前缀集合；将链路中的IP地址聚合到生成的前缀集合中的前缀上，通过自适应的IP地址块收缩来获得拓扑结点。本发明满足实战中的跨尺度结点生成需求，克服了现有划分尺度在实战中易导致因尺度过大而有价值的目标信息被掩盖或因尺度过小而信息分散且对测量噪声敏感的问题，具有更大的实际应用价值，可以体现出网络中动态变化的前缀级路由特征，具备较强的动态适应性。

公开(公告)号：CN115914075B

公开(公告)日：2024-05-17

申请号：CN202211488158.9

申请日：2022-11-25

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张位 ,  张志勇 ,  毛得明 ,  饶志宏

IPC分类号： H04L45/02 ,  H04L45/74 ,  H04L45/00 ,  H04L41/12

摘要： 本发明公开了一种基于路由表的网络拓扑结点生成方法、设备、介质及系统，属于网络空间安全领域，包括步骤：根据路由表中实际网络目标前缀的分布结构对IP地址进行聚类，使IP地址被包含到唯一的拓扑结点中，得到完整而互不相交的目标前缀集合；将链路中的IP地址聚合到生成的前缀集合中的前缀上，通过自适应的IP地址块收缩来获得拓扑结点。本发明满足实战中的跨尺度结点生成需求，克服了现有划分尺度在实战中易导致因尺度过大而有价值的目标信息被掩盖或因尺度过小而信息分散且对测量噪声敏感的问题，具有更大的实际应用价值，可以体现出网络中动态变化的前缀级路由特征，具备较强的动态适应性。

公开(公告)号：CN115589362B

公开(公告)日：2023-03-14

申请号：CN202211568272.2

申请日：2022-12-08

申请人： 中国电子科技网络信息安全有限公司 ,  西北工业大学

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  刘赟 ,  兰昆 ,  张淑文 ,  朱治丞

IPC分类号： H04L41/0853 ,  H04L43/026 ,  H04L43/12 ,  H04L61/3015

摘要： 本发明公开了一种设备类型指纹的生成方法及识别方法、设备及介质，属于网络空间资产探测领域，包括：提取原始通信流量中的包字段，根据五元组创建流；将信息从原始通信流量提取到流中；在流中的包头共享相同的字段，或在流中的包头的字段以能够预测的方式更改；生成流特征，包括直接提取的流的基本信息，以及需要计算生成的衍生信息，五元组中的源IP地址信息不计入流的特征字段；将流作为基本元素，一个流对应一个标签，生成流特征，将所有带标签的流特征集合作为数据集；流基本元素按照设备类型使用决策树进行分类；根据决策树的每一条判定路径得到设备类型指纹。本发明具有兼顾准确性、可解释性和灵活性，易读易用性和场景适应性较强的优点。

公开(公告)号：CN118432921A

公开(公告)日：2024-08-02

申请号：CN202410662729.9

申请日：2024-05-27

申请人： 中国电子科技网络信息安全有限公司

发明人： 孙治 ,  廖珊 ,  王一凡 ,  熊坤 ,  陈剑锋 ,  饶志宏

IPC分类号： H04L9/40

摘要： 本发明公开了一种基于大模型的内部网络零信任架构，涉及网络安全领域，包括：控制平面和数据平面，控制平面与数据平面通过组网连接；数据平面负责处理和转发网络流量；控制平面包括：网络安全大模型服务器和零信任管控大模型API调用框架，网络安全大模型服务器利用网络异常数据，通过定义的访问控制与身份认证的统一规则描述，识别和预测潜在的安全事件，零信任管控大模型API调用框架能够根据识别结果，调用相应API接口处理，并下发策略和规则来指导其操作；所述数据平面分为非授信区域和授信区域。本发明，实现能够提供高效、自动化的零信任安全解决方案，动态调整用户的访问权限，确保只有在正确的条件下才允许访问敏感资源或数据。

公开(公告)号：CN116708273B

公开(公告)日：2023-10-31

申请号：CN202310937279.5

申请日：2023-07-28

申请人： 中国电子科技网络信息安全有限公司

发明人： 张宇光 ,  张志勇 ,  张位 ,  毛得明 ,  饶志宏 ,  兰昆 ,  刘正军 ,  程丽君 ,  张淑文 ,  朱治丞

IPC分类号： H04L45/02

摘要： 本发明公开了一种停止判定分类模型的生成方法、网络拓扑探测方法及装置，属于网络拓扑探测领域，包括步骤：获取原始探测结果数据集；将原始探测结果数据集中的探测路径按目标分组；统计分组后同目标路径中的重复节点，以及在其之后是否存在多径路由；提取各个重复节点的特征；以重复节点特征为特征，其后路径中是否存在多径路由为标签形成数据集；利用带标签数据集进行机器学习分类模型训练得到停止判定分类模型；在之后的其他探测过程中，当遇到重复节点时，利用停止判定分类模型进行停止判定，由判定结果决定是否停止探测。本发明控制了网络拓扑探测成本，保障了拓扑探测发现率，适用于对网络拓扑发现性价比和完整性有较高要求的场景。

公开(公告)号：CN111107077B

公开(公告)日：2021-12-21

申请号：CN201911291446.3

申请日：2019-12-16

申请人： 中国电子科技网络信息安全有限公司

发明人： 和达 ,  刘杰 ,  王一凡 ,  陈剑锋 ,  徐锐 ,  饶志宏

IPC分类号： H04L29/06 ,  G06K9/62

摘要： 本发明公开了一种基于SVM的攻击流量分类方法，在恶意流量检测中，给定Nt为训练样本，其中单个样本xi∈Rd，代表一个d维的网络流量；流量分类是在d维的空间中解出决策函数f(x)＝wx+b，从而找到边界，将样本映射到对应的流量分类标签上，使样本分布于边界两侧；在二维平面中，边界是一条直线；在高维空间中，边界是一个超平面；基于SVM分类问题的核心在于找到一个服从于最小误分类比的边界；在求得二次规划问题的参数后，未知流量样本即可通过计算决策函数进行分类。本发明使用范围广泛，便于扩展。可扩展到FTP、Telnet、SMTP等协议的异常流量检测场景。利用数据包载荷进行异常流量检测，实现了攻击流量分类。

公开(公告)号：CN111428054A

公开(公告)日：2020-07-17

申请号：CN202010290298.X

申请日：2020-04-14

申请人： 中国电子科技网络信息安全有限公司

发明人： 周玉金 ,  孙治 ,  刘正军 ,  张志勇 ,  李春林 ,  陈剑锋 ,  徐锐 ,  饶志宏

IPC分类号： G06F16/36 ,  G06F16/31 ,  G06F40/279

摘要： 本发明涉及一种网络空间安全领域知识图谱的构建与存储方法，根据不同数据源进行知识图谱构建与存储：对于结构化数据，定义对应的转换规则直接将结构化数据转换为多元组知识存入知识图谱；对于半结构化数据、非结构化数据，对半结构化数据和/或非结构数据进行数据预处理得到有效文本数据，对有效文本数据进行知识抽取，将知识抽取结果与已构建的知识图谱中的多元组知识对比验证，进行实体对齐，实现多元组知识转换，并存入知识图谱，完成知识图谱的构建。本发明基于开放域大规模标记语料的XLNet预训练模型与基于专业领域已建知识图谱语料的辅助监督训练方式，高效地抽取安全知识，充分利用多源数据信息，提高了网络空间安全领域知识图谱构建的效率与准确度。