公开(公告)号：CN114238977A

公开(公告)日：2022-03-25

申请号：CN202111588156.2

申请日：2021-12-23

申请人： 国家电网有限公司 ,  国家电网有限公司信息通信分公司 ,  国网山东省电力公司信息通信公司 ,  北京邮电大学

发明人： 刘莹 ,  胡威 ,  黄星杰 ,  高雅婷 ,  李显旭 ,  黄华 ,  盛华 ,  张茹 ,  种旭磊 ,  刘建毅

IPC分类号： G06F21/56 ,  G06V10/764 ,  G06V10/77 ,  G06V10/774 ,  G06K9/62

摘要： 近几年来，恶意代码的数量在不断上升,恶意代码的溯源问题日益凸显。而目前主流的将恶意代码转换成图片,进而使用图像分类的对恶意代码进行分类的方法，需要对恶意代码进行裁剪以及变换，从而将恶意代码转换为二维的图像。这种方法会损失恶意代码作为一维数据本身的部分信息，并且一个强行设置的图像宽度可能会导致恶意代码本身的语义截断问题。针对以上问题，本发明提出了一种将efficient‑net和1d‑cnn相融合的恶意代码分类模型，将恶意代码的二进制文件分别转换为1维矢量和图像后，分别输入两个网络，将其特征图进行了金字塔融合。这种方法既保存了恶意代码的纹理特征，同时也让恶意代码本身的一维特征得以保存，从而在爬取的38个恶意代码家族的数据集和Malimg上表现出了较好的性能，表明拟议的恶意代码家族分类方法具有更高的可靠性。

公开(公告)号：CN113158390A

公开(公告)日：2021-07-23

申请号：CN202110473819.X

申请日：2021-04-29

申请人： 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网山东省电力公司信息通信公司

发明人： 张茹 ,  吕智帅 ,  刘建毅 ,  胡威 ,  李静 ,  曲延盛 ,  王婵

IPC分类号： G06F30/18 ,  G06F30/27 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  H04L12/24 ,  G06F111/02 ,  G06F111/08 ,  G06F119/10

摘要： 本发明公开设计了一种基于辅助分类式生成对抗网络的网络攻击流量生成方法，该方法利用生成式对抗网络的原理能够实现根据已有的网络攻击流量数据集样本，来生成能够欺骗和逃避防御系统检测的恶意流量样本。本发明包括：多源异构数据融合处理模块，负责定义一种统一的数据格式；生成器网络，负责根据高斯噪声和来自判别器的反馈来生成网络统计流量样本；判别器网络，负责对生成器生成的攻击流量样本和原始网络流量样本进行分析，包括真伪分析和攻击流量类别分析；分类微调模块，负责调试生成模型生成特定类型流量样本的性能。本发明通过构造基于辅助分类式生成对抗网络的网络攻击流量生成模型，在生成网络流量时能够根据网络攻击的类型来生成特定类型的网络攻击流量样本，通过生成此类对抗样本可以模拟网络攻击来检测现有入侵检测系统的鲁棒性，为现有的流量生成器提供了新思路。

公开(公告)号：CN113158390B

公开(公告)日：2023-03-24

申请号：CN202110473819.X

申请日：2021-04-29

申请人： 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网山东省电力公司信息通信公司

发明人： 张茹 ,  吕智帅 ,  刘建毅 ,  胡威 ,  李静 ,  曲延盛 ,  王婵

IPC分类号： G06F30/18 ,  G06F30/27 ,  G06F18/24 ,  G06N3/0464 ,  G06N3/0475 ,  G06N3/048 ,  G06N3/08 ,  H04L41/14 ,  G06F111/02 ,  G06F111/08 ,  G06F119/10

摘要： 本发明公开设计了一种基于辅助分类式生成对抗网络的网络攻击流量生成方法，该方法利用生成式对抗网络的原理能够实现根据已有的网络攻击流量数据集样本，来生成能够欺骗和逃避防御系统检测的恶意流量样本。本发明包括：多源异构数据融合处理模块，负责定义一种统一的数据格式；生成器网络，负责根据高斯噪声和来自判别器的反馈来生成网络统计流量样本；判别器网络，负责对生成器生成的攻击流量样本和原始网络流量样本进行分析，包括真伪分析和攻击流量类别分析；分类微调模块，负责调试生成模型生成特定类型流量样本的性能。本发明通过构造基于辅助分类式生成对抗网络的网络攻击流量生成模型，在生成网络流量时能够根据网络攻击的类型来生成特定类型的网络攻击流量样本，通过生成此类对抗样本可以模拟网络攻击来检测现有入侵检测系统的鲁棒性，为现有的流量生成器提供了新思路。

公开(公告)号：CN114662096A

公开(公告)日：2022-06-24

申请号：CN202210305603.7

申请日：2022-03-25

申请人： 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网山东省电力公司信息通信公司

发明人： 李家威 ,  程杰 ,  张茹 ,  刘建毅 ,  高雅婷 ,  王婵 ,  夏昂 ,  崔博 ,  孔汉章

IPC分类号： G06F21/55 ,  G06K9/62 ,  G06F16/36 ,  G06F16/17

摘要： 本发明公开一种基于图核聚类的威胁狩猎方法，通过将审计日志构建为行为依赖图，并设计图核聚类方法实现将正常行为与异常行为分离，且能够对行为依赖图进行威胁量化评估，发现未知攻击。包括：行为依赖图构造器，负责将审计日志构建为行为依赖图；图核聚类，负责将行为依赖图嵌入到高维空间并计算相似度，利用聚类方法实现攻击行为和异常行为的分离；威胁评估，负责判断哪些类簇中的行为依赖图表示异常行为，并对异常行为进行威胁评估，实现威胁狩猎。本发明通过构造基于行为依赖图和图核聚类的方法，为威胁狩猎提供了新的设计思路。

公开(公告)号：CN115906083A

公开(公告)日：2023-04-04

申请号：CN202211489368.X

申请日：2022-11-25

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司

发明人： 黄华 ,  陈剑飞 ,  刘子函 ,  刘建毅 ,  李宁 ,  张文斌 ,  韩兴旺 ,  倪金超 ,  赵丽娜 ,  盛华

IPC分类号： G06F21/56 ,  G06N20/00

摘要： 本申请实施例提供了一种恶意代码溯源方法、系统、设备及存储介质，用以解决现有的APT恶意代码攻击溯源分析准确率较低的技术问题。方法包括：实时收集正在进行攻击的APT恶意代码组织数据；将所述正在进行攻击的APT恶意代码组织数据输入预先训练的恶意代码组织溯源模型中，输出预测的APT恶意代码组织溯源结果；其中，所述恶意代码组织溯源模型是通过反汇编语言训练的。本申请将实时攻击的恶意代码转化为Asm2Vec函数所需类型，语义表示学习模型Asm2Vec揭示恶意代码汇编语言之间语义关系，不需要任何先验知识，也不需要数据之间的正确映射。只需在向量库中搜索即可实现同源分析，以针对特定组织的攻击实时精确防御。

公开(公告)号：CN117540013A

公开(公告)日：2024-02-09

申请号：CN202210909024.3

申请日：2022-07-29

申请人： 国家电网有限公司信息通信分公司 ,  北京邮电大学 ,  国网江苏省电力有限公司信息通信分公司

发明人： 程杰 ,  张茹 ,  袁国泉 ,  闫晓帆 ,  刘建毅 ,  赵新建 ,  魏家辉 ,  林冰洁 ,  夏昂 ,  卢腾 ,  张颂

IPC分类号： G06F16/35 ,  G06F18/22 ,  G06N20/00

摘要： 本发明公开一种中文短文本实体链接方法,通过PET的方法对上下文、实体描述进行编码，得到嵌入表示，并构建正样本对，利用对比学习方法进行训练，挖掘知识库中实体的潜在相关关系,并使用两种负样本进行二次训练，利用嵌入的点积作为相似度得分进行实体链接。包括：候选实体生成阶段，负责计算指称与候选实体名称和候选实体描述之间的相似度得分，并通过加权求和的方法计算最后的相似度得分，得到候选实体集合；候选实体排名阶段，负责获取指称和实体的嵌入表示，再利用对比学习的思想进行训练，计算嵌入表示间的点积作为相似度得分，进行实体链接。本发明通过构造基于PET和对比学习的方法，为中文短文本实体链接提供了新的设计思路。

公开(公告)号：CN117240488A

公开(公告)日：2023-12-15

申请号：CN202210645552.2

申请日：2022-06-08

申请人： 国家电网有限公司信息通信分公司 ,  北京邮电大学

发明人： 高雅婷 ,  李静 ,  赵金梦 ,  程杰 ,  张静 ,  李劲松 ,  王岚婷 ,  张茹 ,  刘建毅

IPC分类号： H04L9/40 ,  G06F18/25 ,  G06N3/044

摘要： 本发明公开一种基于BoTNet融合时空特征的加密流量识别方法，通过构建并行网络，利用BoTNet和BiLSTM两个子网络分别提取已经过预处理的加密流量图形式中的空间特征与时间特征，将两个子网络并行后通过早融合的方式结合，最后通过融合后的特征实现加密流量的分类与识别。包括：加密流量预处理模块，负责通过基于保留完整数据报的数据预处理方式，将原始加密流量转换为加密流量图像；加密流量识别网络架构，负责分别抽取空间与时间两个维度的特征，通过特征融合实现加密流量的分类与识别。本发明通过提取更深层次以及更丰富的加密流量特征，进一步提高了加密流量识别的准确率。

公开(公告)号：CN113132414B

公开(公告)日：2022-10-14

申请号：CN202110500708.3

申请日：2021-05-08

申请人： 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网河北省电力有限公司信息通信分公司

发明人： 刘建毅 ,  田思远 ,  张茹 ,  胡威 ,  程杰 ,  陈连栋 ,  高雅婷

IPC分类号： H04L9/40 ,  H04L41/0631 ,  H04L41/14

摘要： 本发明公开一种多步攻击模式挖掘方法，实现基于少量先验知识的初始攻击模型启发式的生成新的攻击模型，并能够根据图匹配计算预测概率。包括：敏感信息与告警日志融合算法：针对告警日志的误报和漏报性质，将从流量数据中筛选出的敏感信息和告警日志通过IP相似度聚簇、攻击簇内合并和过滤、攻击簇间筛选三种算法进行融合。多步攻击模型：多步攻击模型定义如下其中N表示某类攻击的实际攻击过程步数，ABC代表多步攻击中每一个单步攻击的属性特征值。启发式多步攻击模型生成和攻击预测算法：通过图的概率匹配达到针对多步攻击的预测，步骤包括匹配对应点、计算概率值、生成多步攻击图模型、衡量转换。本发明通过启发式生成新攻击模型为攻击预测提供了新的思路。

公开(公告)号：CN113132414A

公开(公告)日：2021-07-16

申请号：CN202110500708.3

申请日：2021-05-08

申请人： 北京邮电大学 ,  国家电网有限公司信息通信分公司 ,  国网河北省电力有限公司信息通信分公司

发明人： 刘建毅 ,  田思远 ,  张茹 ,  胡威 ,  程杰 ,  陈连栋 ,  高雅婷

IPC分类号： H04L29/06 ,  H04L12/24

摘要： 本发明公开一种多步攻击模式挖掘方法，实现基于少量先验知识的初始攻击模型启发式的生成新的攻击模型，并能够根据图匹配计算预测概率。包括：敏感信息与告警日志融合算法：针对告警日志的误报和漏报性质，将从流量数据中筛选出的敏感信息和告警日志通过IP相似度聚簇、攻击簇内合并和过滤、攻击簇间筛选三种算法进行融合。多步攻击模型：多步攻击模型定义如下其中N表示某类攻击的实际攻击过程步数，ABC代表多步攻击中每一个单步攻击的属性特征值。启发式多步攻击模型生成和攻击预测算法：通过图的概率匹配达到针对多步攻击的预测，步骤包括匹配对应点、计算概率值、生成多步攻击图模型、衡量转换。本发明通过启发式生成新攻击模型为攻击预测提供了新的思路。

公开(公告)号：CN111861845A

公开(公告)日：2020-10-30

申请号：CN202010570456.7

申请日：2020-06-19

申请人： 北京邮电大学 ,  国家电网有限公司信息通信分公司

发明人： 张茹 ,  刘建毅 ,  程杰 ,  尚智婕 ,  庞进 ,  王婵 ,  王悦 ,  李晓丽

IPC分类号： G06T1/00 ,  G06T7/11 ,  G06T7/12 ,  G06T7/136 ,  G06T7/194 ,  G06T5/40 ,  G06T5/00

摘要： 本发明公开一种基于阈值分割和直方图均衡的可逆水印方法，能够实现在一张彩色载体图像中嵌入较多的秘密信息，并且能够成功地从载密图像中提取出秘密信息并实现原始图像的无失真恢复。包括：水印嵌入阶段，将秘密信息嵌入到载体图像中生成载密图像；水印提取、载体无失真恢复阶段，负责将秘密信息从载密图像中提取出来，并无损恢复原始图像。本发明通过构造基于阈值分割和直方图均衡的可逆水印方法，增大了载体图像的嵌入容量，在嵌入水印的同时增强图像对比度，获得较好的视觉效果。