公开(公告)号：CN111556017A

公开(公告)日：2020-08-18

申请号：CN202010217977.4

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于自编码机的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。本发明不依赖于流量标签，也不需要采集足够的攻击流量用于模型训练，更适用于大数据下分布式计算场景，其检测时效率与准确率远高于现有技术。

公开(公告)号：CN107682312A

公开(公告)日：2018-02-09

申请号：CN201710743670.6

申请日：2017-08-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  崔华俊 ,  安伟

IPC: H04L29/06

CPC classification number: H04L63/02 ,  H04L63/0227 ,  H04L63/1416

Abstract: 本发明提供一种安全防护系统及方法，所述系统包括入侵检测子系统、防火墙子系统和控制器子系统，其中：控制器子系统，用于更新入侵检测子系统规则和防火墙子系统规则，将更新后的入侵检测子系统规则和防火墙子系统规则分别下发至入侵检测子系统和防火墙子系统；入侵检测子系统，用于基于DPDK对任一数据包进行获取并检测，将检测结果中的非法数据上报给控制器子系统；防火墙子系统，用于基于DPDK对任一数据包进行过滤处理。本发明提供的一种安全防护系统及方法，部署灵活且可扩展性好，可以很好地适应虚拟化与云计算平台；具有减少报文拷贝，亲核性等特点，能够适应高吞吐网络环境；且向上层开放控制接口，具有良好的可控性，便于运维和管理。

公开(公告)号：CN117938408A

公开(公告)日：2024-04-26

申请号：CN202211303626.0

申请日：2022-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 崔华俊 ,  张棪 ,  杨慧然 ,  于光喜 ,  杨兴华 ,  王伟平 ,  李杨 ,  张亚文

IPC: H04L9/40 ,  H04L12/46 ,  H04L12/66

Abstract: 本发明涉及一种在Android设备中实施动态访问控制的方法和系统。该方法包括：VPN客户端与动态访问控制客户端通过协商确定数据交互端口与兴趣流；VPN客户端从TUN网卡第一次读取数据包，根据协商的数据交互端口与兴趣流将数据包转发至动态访问控制客户端；动态访问控制客户端进行第一次封装，由操作系统将封装后的数据包转发至TUN网卡；VPN客户端从TUN网卡第二次读取数据包，进行第二次封装，由操作系统将封装后的数据包转发至物理网卡，进而发送至VPN网关；VPN网关将第一次解封装后的数据包转发至动态访问控制网关；动态访问控制网关将第二次解封装后的数据包转发至应用服务端。本发明能够在Android设备虚拟网卡已被VPN客户端占用的情况下实现动态访问控制。

公开(公告)号：CN107181738B

公开(公告)日：2020-09-11

申请号：CN201710279176.9

申请日：2017-04-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  陈鑫 ,  崔华俊

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明提供一种软件化入侵检测系统及方法，其中，所述系统包括：控制核、检测核和输出核三个层次，其中，所述控制核用于与上层控制器进行交互，并管理检测核和输出核所产生的信息；所述检测核用于基于DPDK对数据包进行采集和解析，遍历规则库对经过解析后的所述数据包进行检测匹配；所述输出核用于定时将检测核所获得的检测匹配结果记录至系统日志，并将根据所述检测匹配结果获知的非法数据包信息进行封装后上报给控制核。本发明提供的一种软件化入侵检测系统及方法，部署灵活且可扩展性好，具有减少报文拷贝，亲核性等特点，可以显著提升报文的处理能力，且上层开放控制接口，具有可控性，可以很好兼容虚拟化与云计算平台。

公开(公告)号：CN118509527B

公开(公告)日：2024-09-24

申请号：CN202410962604.8

申请日：2024-07-18

Applicant: 中国科学院信息工程研究所

Inventor： 张棪 ,  于光喜 ,  胡家熙 ,  贾丙豪 ,  王伟平 ,  杨兴华

IPC: H04M3/22 ,  H04M3/36 ,  H04W24/04

Abstract: 本发明公开了一种5G核心网多维KPI时间序列的异常检测方法及系统，属于网络安全领域。本发明通过采集5G核心网中的数据包并对其进行解析，识别消息类型和进行KPI统计计数来生成多维KPI时间序列，然后对多维KPI时间序列进行离线处理生成KPI的筛选结果，再通过在线处理基于前述筛选结果筛选KPI时间序列并进行异常检测。本发明实现了在没有标注信息的情况下检测多维KPI时间序列中的多种异常，解决现有的KPI检测方法无法适用于5G核心网中多维KPI的问题。

公开(公告)号：CN117938409A

公开(公告)日：2024-04-26

申请号：CN202211304129.2

申请日：2022-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 崔华俊 ,  张棪 ,  杨慧然 ,  于光喜 ,  杨兴华 ,  王伟平 ,  李杨 ,  张亚文

IPC: H04L9/40 ,  H04L67/141

Abstract: 本发明涉及一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统。该方法包括：应用客户端将自身业务数据发送至本地回环地址的特定端口；动态访问控制客户端监听该端口并获取应用客户端的数据包；动态访问控制客户端向动态访问控制网关转发所获取的数据包；动态访问控制网关根据配置的转发规则将数据包转发至应用服务端。所述动态访问控制客户端包含的环境安全感知模块感知移动终端应用的运行环境安全状态，由访问控制策略中心根据感知结果动态生成访问控制策略以决定对用户访问行为放行或阻断。本发明在Android设备虚拟网卡不可使用的情况下，只需对原有应用客户端进行IP地址和端口配置等极少量信息的改造，即可实现动态访问控制功能。

公开(公告)号：CN111556018B

公开(公告)日：2021-07-27

申请号：CN202010218396.2

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种基于CNN的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练CNN网络，判读各流袋中流量是否为正常流量。本发明通过提取具备缩放不变性和大小与序列不变性的袋特征和CNN学习特征表达，对未知攻击的检测能力得到大幅提升，更适用于大数据下分布式计算场景，提供了更灵活和快速的模型更新。

公开(公告)号：CN111556017B

公开(公告)日：2021-07-27

申请号：CN202010217977.4

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于自编码机的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。本发明不依赖于流量标签，也不需要采集足够的攻击流量用于模型训练，更适用于大数据下分布式计算场景，其检测时效率与准确率远高于现有技术。

公开(公告)号：CN107181738A

公开(公告)日：2017-09-19

申请号：CN201710279176.9

申请日：2017-04-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  陈鑫 ,  崔华俊

IPC: H04L29/06 ,  G06F21/56

CPC classification number: H04L63/1416 ,  G06F21/56 ,  H04L63/1425

Abstract: 本发明提供一种软件化入侵检测系统及方法，其中，所述系统包括：控制核、检测核和输出核三个层次，其中，所述控制核用于与上层控制器进行交互，并管理检测核和输出核所产生的信息；所述检测核用于基于DPDK对数据包进行采集和解析，遍历规则库对经过解析后的所述数据包进行检测匹配；所述输出核用于定时将检测核所获得的检测匹配结果记录至系统日志，并将根据所述检测匹配结果获知的非法数据包信息进行封装后上报给控制核。本发明提供的一种软件化入侵检测系统及方法，部署灵活且可扩展性好，具有减少报文拷贝，亲核性等特点，可以显著提升报文的处理能力，且上层开放控制接口，具有可控性，可以很好兼容虚拟化与云计算平台。

公开(公告)号：CN119364369A

公开(公告)日：2025-01-24

申请号：CN202411559776.7

申请日：2024-11-04

Applicant: 中国科学院信息工程研究所

Inventor： 于光喜 ,  张棪 ,  胡家熙 ,  贾丙豪 ,  王伟平 ,  杨兴华

IPC: H04W12/60 ,  H04L9/40

Abstract: 本发明公开了一种5G核心网网元行为信任评估方法及系统，属于网络通信安全领域。本发明从5G核心网各网元采集通信数据并分析，确定网元之间是否存在符合标准的交互关系；对于符合标准的交互关系的网元，计算其基准信任值；根据网元的交互行为对基准信任值进行动态调整，计算奖惩评分；将基准信任值与奖惩评分进行综合计算，得到网元的综合信任度；聚合所有服务生产网元对某服务消费网元的综合信任度，得到聚合信任度；基于聚合信任度进行信任分级，根据信任分级制定相应的访问控制策略，决定网元的操作权限和资源访问级别。本发明实现了分布式与集中式信任评估模块相结合的架构，对5G核心网元进行动态、精准的信任评估。