公开(公告)号：CN116506149A

公开(公告)日：2023-07-28

申请号：CN202310223845.6

申请日：2023-03-09

申请人： 北京邮电大学 ,  中国电子科技集团公司第十五研究所

发明人： 王小娟 ,  俞赛赛 ,  何明枢 ,  杜玉鑫 ,  张杰 ,  苏千叶 ,  阳柳

IPC分类号： H04L9/40 ,  G06F18/23 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/088

摘要： 本申请提供一种威胁行为谱表示方法及装置，所述方法包括：根据聚类算法对网络攻击与漏洞样本数据集进行聚类得到多个未知威胁簇，其中，所述网络攻击与漏洞样本数据集包括多个具有交叉关系的网络攻击与漏洞样本数据和多个不具有交叉关系的网络攻击与漏洞样本数据；将各个所述未知威胁簇输入预先基于多个历史未知威胁簇训练得到的GNN模型中，以使该GNN模型提取各个所述未知威胁簇各自唯一对应的整体特征空间的网元信息；根据图嵌入谱表示算法将各个所述整体特征空间的网元信息映射为威胁行为谱。本申请能够提升网络恶意行为识别效率、简化模型结构及提升模型实用性，同时能够对网络恶意行为统一管理以提升网络恶意行为表示的全面性。

公开(公告)号：CN115455408B

公开(公告)日：2023-04-07

申请号：CN202211117994.6

申请日：2022-09-14

申请人： 中国电子科技集团公司第十五研究所 ,  北京邮电大学

发明人： 任传伦 ,  俞赛赛 ,  何明枢 ,  刘晓影 ,  张先国 ,  贾佳 ,  乌吉斯古愣 ,  程洋 ,  谭震 ,  刘文瀚 ,  孟祥頔

IPC分类号： G06F21/55 ,  G06V10/764 ,  G06V10/82 ,  G06N3/08 ,  G06N3/0464 ,  G06N3/048 ,  H04L9/40

摘要： 本发明公开了一种网络空间推演与安全评估方法及装置，该方法通过将网络流处理为网络流图像，把传统网络流分类重新表述为图像分类；通过将具有注意力机制的卷积神经网络应用于此图像分类，增强了模型决策的视觉解释性；通过采用多任务分支网络模型同时预测网络流的二分类输出和多分类输出，利用学习到的特征，二分类可检测良性流或攻击流，多分类可预测具体的网络流入侵类别，提高了多分类任务的性能，解决分类不平衡、准确性较差问题。可见，通过结合注意力机制和多任务学习策略，在提升网络入侵检测性能的同时，实现了神经网络分类的透明性和解释性。

公开(公告)号：CN115695027A

公开(公告)日：2023-02-03

申请号：CN202211379520.9

申请日：2022-11-04

申请人： 中国电子科技集团公司第十五研究所 ,  北京邮电大学

发明人： 任传伦 ,  俞赛赛 ,  何明枢 ,  王小娟 ,  刘晓影 ,  张先国 ,  贾佳 ,  乌吉斯古愣 ,  刘文瀚 ,  孟祥頔

IPC分类号： H04L9/40 ,  H04L43/04 ,  H04L43/0876 ,  H04L69/06 ,  G06N20/20 ,  G06N3/045 ,  G06N3/048

摘要： 本发明公开了一种原始网络流威胁检测方法与装置，该方法包括：获取原始网络流数据，利用原始网络流数据表征模型，对原始网络流数据进行处理,得到原始网络流数据的特征信息；划分原始网络流数据的特征信息，得到原始网络流数据的训练特征信息和原始网络流数据的测试特征信息；利用自动机器学习模型，对原始网络流数据的训练特征信息进行处理，得到优化原始网络流威胁检测模型；利用优化原始网络流威胁检测模型，对原始网络流数据的测试特征信息进行处理，得到原始网络流威胁检测结果。可见，本发明方法解决了由于复杂多变场景带来的方法适用性差、自动化程度低等难点问题，有效提高了网络空间作战场景下的威胁检测分析模型的自动构建水平。

公开(公告)号：CN115225373A

公开(公告)日：2022-10-21

申请号：CN202210844980.8

申请日：2022-07-18

申请人： 中国电子科技集团公司第十五研究所 ,  北京邮电大学

发明人： 任传伦 ,  俞赛赛 ,  刘晓影 ,  王小娟 ,  何明枢 ,  张先国 ,  贾佳 ,  乌吉斯古愣 ,  程洋 ,  谭震

IPC分类号： H04L9/40

摘要： 本发明公开了一种信息不完备条件下的网络空间安全态势表达方法及装置，该方法包括：从网络节点采集四模态缺省流量数据向量，利用深度多模态编码器，进行数据融合，得到联合特征向量集；对每个网络节点的联合特征向量进行处理，得到态势影响因子信息，进而得到网络节点的安全态势值；利用预设的网络整体安全态势模型，计算得到网络整体安全态势值；利用关联规则挖掘算法模型，得到网络漏洞预测信息。本发明通过深度多模态编码器，解决了信息不完备条件下部分流量特征数据缺省的问题，提高了态势计算及表达的效率，通过关联规则挖掘算法更好地识别未知漏洞，提高态势预测的准确度。

公开(公告)号：CN116886637A

公开(公告)日：2023-10-13

申请号：CN202311133687.1

申请日：2023-09-05

申请人： 北京邮电大学

发明人： 何明枢 ,  韩影 ,  王小娟 ,  阳柳 ,  郭世泽 ,  俞赛赛 ,  路子逵 ,  王欣蕾

IPC分类号： H04L47/2441 ,  H04L9/40 ,  G06F18/24 ,  G06N5/02

摘要： 本发明提供一种基于图积分的单特征加密流检测方法及系统，所述方法的步骤包括：获取流量信息中的多个数据包，基于数据包的五元组信息将多个数据包分为多个数据流；获取数据流中数据包的第一特征值，基于数据包为上行数据包或下行数据包为第一特征值赋予第一标记或第二标记，得到第二特征值；将数据流中的第二特征值构建为特征序列，并构建上行流量交互图和下行流量交互图；基于上行流量交互图和中下行流量交互图节点的节点属性，对上行流量交互图和下行流量交互图进行图积分，得到上行流量积分图和下行流量积分图；将上行流量积分图和下行流量积分图进行拼接得到联合积分图，基于将联合积分图输入到预设的神经网络分类模型得到检测结果。

公开(公告)号：CN115455408A

公开(公告)日：2022-12-09

申请号：CN202211117994.6

申请日：2022-09-14

申请人： 中国电子科技集团公司第十五研究所 ,  北京邮电大学

发明人： 任传伦 ,  俞赛赛 ,  何明枢 ,  刘晓影 ,  张先国 ,  贾佳 ,  乌吉斯古愣 ,  程洋 ,  谭震 ,  刘文瀚 ,  孟祥頔

IPC分类号： G06F21/55 ,  G06V10/764 ,  G06V10/82 ,  G06N3/08 ,  G06N3/04 ,  H04L9/40

摘要： 本发明公开了一种网络空间推演与安全评估方法及装置，该方法通过将网络流处理为网络流图像，把传统网络流分类重新表述为图像分类；通过将具有注意力机制的卷积神经网络应用于此图像分类，增强了模型决策的视觉解释性；通过采用多任务分支网络模型同时预测网络流的二分类输出和多分类输出，利用学习到的特征，二分类可检测良性流或攻击流，多分类可预测具体的网络流入侵类别，提高了多分类任务的性能，解决分类不平衡、准确性较差问题。可见，通过结合注意力机制和多任务学习策略，在提升网络入侵检测性能的同时，实现了神经网络分类的透明性和解释性。

公开(公告)号：CN115189949A

公开(公告)日：2022-10-14

申请号：CN202210814018.X

申请日：2022-07-11

申请人： 中国电子科技集团公司第十五研究所 ,  北京邮电大学

发明人： 任传伦 ,  俞赛赛 ,  刘晓影 ,  王小娟 ,  何明枢 ,  张先国 ,  贾佳 ,  乌吉斯古愣 ,  程洋 ,  谭震

IPC分类号： H04L9/40 ,  H04L41/12

摘要： 本发明公开了一种基于全局信息的网络安全控制关键节点识别方法，该方法包括：获取指挥控制网络关键节点数据集；构建指挥控制网络关键节点识别模型，包括静态背景关键节点识别模型和攻击背景关键节点识别模型；对指挥控制网络进行状态检测，如果检测到网络攻击或者网络拓扑变化，指挥控制网络处于攻击背景，否则为静态背景；在静态背景下，利用静态背景关键节点识别模型，对指挥控制网络关键节点数据集进行处理，得到第一关键节点识别结果；在攻击背景下，利用攻击背景关键节点识别模型，对指挥控制网络关键节点数据集进行处理，得到第二关键节点识别结果。本发明在静态背景和动态攻击背景下，实现了高准确性低复杂度的指挥控制网络关键节点识别。

公开(公告)号：CN114944926A

公开(公告)日：2022-08-26

申请号：CN202210211405.4

申请日：2022-03-04

申请人： 北京邮电大学 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

发明人： 郭世泽 ,  王小娟 ,  何明枢 ,  任传伦 ,  俞赛赛

IPC分类号： H04L9/40 ,  G06N3/04

摘要： 本申请提供一种势变谱构造方法、网络流异常行为识别方法及相关装置，势变谱构造方法包括：通过预定义分析原子和原子学习两种方式得到超完备原子库；根据预设的基底筛选规则自超完备原子库中选取对应的原子以构成基底；基于基底生成用于识别目标网络流数据对应的网络流异常行为的势变谱，其中，势变谱为目标网络流数据的网络流映射表征集合。本申请能够自动学习网络流行为以得到精确且简练的网络流表达，并能够以更少的特征针对经稀疏表达后的网络流进行重新表达，使得针对不同业务类型的网络流能够具有更清晰的可解释性，并能够将网络流以直观、可视化的形式展现出来，进而能够有效提高恶意网络流识别的效率、便捷性、准确性及可靠性。

公开(公告)号：CN114629699A

公开(公告)日：2022-06-14

申请号：CN202210224580.7

申请日：2022-03-07

申请人： 北京邮电大学

发明人： 王小娟 ,  何明枢 ,  金磊 ,  阳柳 ,  俞赛赛 ,  任传伦 ,  魏鹏 ,  王欣蕾

IPC分类号： H04L9/40 ,  G06K9/62

摘要： 本发明提供一种基于深度强化学习的可迁移性网络流行为异常检测方法及装置，所述方法包括模型训练阶段和流量识别阶段，模型训练阶段中，基于训练数据集中的数据点初始化环境；将训练数据集中的数据点作为本轮次的单轮训练集，将单轮训练集中的数据点逐个输入预设的智能体中进行训练；根据环境得到该数据点的状态组，将状态组输入到预设的智能体中，输出动作组，基于动作组输出数据点的数据类型；将输出的数据类型与数据点的标签类型进行比对，获取奖励值，对智能体中的参数进行更新；流量识别阶段中，接收待测流量数据，将待测流量数据中的数据点输入智能体得到数据点的数据类型。

公开(公告)号：CN117278332B

公开(公告)日：2024-02-13

申请号：CN202311555622.6

申请日：2023-11-21

申请人： 北京邮电大学

发明人： 何明枢 ,  王欣蕾 ,  王小娟 ,  李昕航 ,  俞赛赛 ,  路子逵 ,  阳柳

IPC分类号： H04L9/40 ,  H04L41/14 ,  H04L41/16 ,  G06N3/006 ,  G06N3/084

摘要： 本发明提供一种基于网络架构搜索的网络流入侵检测方法和系统，所述方法包括：在边缘物联网设备上预先部署有网络流入侵检测模型，基于所述网络流入侵检测模型对经过边缘物联网设备的流量进行分类以实现网络流入侵检测；其中，所述网络流入侵检测模型利用网络架构搜索模型构造得到，网络架构搜索模型中输入的训练数据为带标签的网络流数据集，在预先定义的搜索空间中进行搜索，并对搜索到的网络流入侵检测模型架构进行评估，所述搜索空间中包含全部可选的网络流入侵检测模型架构。本发明能够基于网络架构搜索技术在搜索空间查找轻量级的网络流入侵检测模型架构，从而部署模型在边缘物联网设备上，进行网络流入侵检测。