公开(公告)号：CN117768141A

公开(公告)日：2024-03-26

申请号：CN202311076196.8

申请日：2023-08-24

Applicant: 国网智能电网研究院有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

Inventor： 张英杰 ,  张道娟 ,  胡博 ,  周小明 ,  许超 ,  韩啸 ,  武宏斌 ,  吴天琦 ,  唱一鸣 ,  张文杰

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术领域，具体涉及对抗网络入侵检测方法、装置、系统、计算机设备及介质。方法包括：获取攻击数据；采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果；基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测。通过实施本发明，通过采用对抗网络实现了新的攻击特征即模拟结果中为攻击的结果的学习，采用学习得到新的攻击特征和入侵防御签名共同进行入侵检测，有助于提高入侵检测的准确性，能够有效避免被攻击者绕过、欺骗等问题。同时，通过对抗网络学习到的新的攻击特征，能够克服现有技术中攻击数据不足的问题，为实现更具有鲁棒性的入侵检测提供更丰富的数据来源，有助于应对当前新型和未知攻击。

公开(公告)号：CN116756672A

公开(公告)日：2023-09-15

申请号：CN202310728365.5

申请日：2023-06-19

Applicant: 国网智能电网研究院有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

Inventor： 吴天琦 ,  张道娟 ,  钱珂翔 ,  韩啸 ,  武宏斌

IPC: G06F18/2433 ,  G06F18/241 ,  G06F18/27 ,  G06F18/213 ,  G06F40/216 ,  G06F40/284 ,  G06F40/30 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/082 ,  G06F16/18

Abstract: 本发明涉及日志检测领域，具体涉及基于局部和全局注意力机制的入侵检测方法、装置及介质，该方法包括：获取待检测系统日志；提取待检测系统日志的特征；采用局部特征注意力机制提取特征的局部注意力特征；采用全局特征注意力机制提取特征的全局注意力特征；根据局部注意力特征和全局注意力特征进行序列预测，得到待检测系统日志的入侵检测结果。通过实施本发明，提取局部特征和全局特征，一方面，基于近距离局部特征的注意力机制侧重构造系统日志字符级局部特征，另一方面，基于长距离全局特征的注意力机制侧重捕获长距离上下文特征，更加全面地学习到日志里的隐藏特征信息，进一步提升了入侵检测的准确率，使得该入侵检测方法更加有效。

公开(公告)号：CN117220957A

公开(公告)日：2023-12-12

申请号：CN202311212363.7

申请日：2023-09-19

Applicant: 国网智能电网研究院有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

Inventor： 张英杰 ,  张道娟 ,  周小明 ,  吴天琦 ,  胡博 ,  张文杰 ,  武宏斌 ,  韩啸 ,  王磊

IPC: H04L9/40

Abstract: 本发明涉及网络安全防护技术领域，公开了一种基于威胁情报的攻击行为响应方法及系统，该方法包括：获取多源威胁情报数据以及实时网络流量；根据多源威胁情报数据提取攻击特征，构建攻击链以及威胁情报特征库；根据攻击链以及威胁情报特征库建立关联攻击行为模型；将实时网络流量与关联攻击行为模型进行匹配，对实时网络流量进行响应。本发明通过对攻击行为进行分析和挖掘，建立关联攻击行为模型，将获取的实时网络流量与关联攻击行为模型进行匹配，实现了实时监测和分析流量、预测攻击模式和威胁的目的，达到了快速响应和处置威胁事件的效果，解决了相关技术中存在的基于威胁情报的攻击行为响应方法实时性较差的问题。

公开(公告)号：CN117650920A

公开(公告)日：2024-03-05

申请号：CN202311616009.0

申请日：2023-11-29

Applicant: 国网智能电网研究院有限公司 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 张錋 ,  武宏斌 ,  吴天琦 ,  戴聿雯 ,  陈岑 ,  吕卓 ,  王玉曼 ,  张道娟 ,  白晓雪 ,  钱珂翔

IPC: H04L9/40 ,  H02J13/00 ,  G06F21/62

Abstract: 本发明涉及电子信息安全防护技术领域，公开了一种面向电力监控系统演进的零信任安全防护方法及系统，该方法包括：接收实时授权申请以及实时电力监控系统信息；根据实时授权申请以及实时电力监控系统信息生成动态评估结果；根据动态评估结果生成动态授权信息；根据动态授权信息执行实时授权申请。本申请基于零信任理念接收电力监控系统的实时授权访问请求并生成对应的动态评估结果，根据动态评估结果生成的动态授权信息执行实时授权申请，实现了提升系统内部安全防护能力的目的，达到了对授权访问请求持续评估、提升系统响应速度以及安全性能的效果，解决了相关技术中存在的电力监控系统安全防护能力较差的问题。

公开(公告)号：CN116776102A

公开(公告)日：2023-09-19

申请号：CN202310890539.8

申请日：2023-07-19

Applicant: 国网智能电网研究院有限公司 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 王玉曼 ,  张道娟 ,  钱珂翔 ,  吴天琦 ,  汪明 ,  陈岑 ,  吕卓 ,  张錋 ,  李暖暖 ,  武宏斌

IPC: G06F18/20 ,  G06F18/214 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明公开一种APT攻击调查方法、装置、计算机设备及存储介质，包括：获取待调查目标受攻击时的日志和攻击警告；将日志和攻击警告转化为因果图，确定因果图中的未知节点集合和已知攻击节点集合；将未知节点集合中的节点分别加入到已知攻击节点集合中，构建多个序列；采用预训练的攻击检测模型对多个序列分别进行检测，确定多个序列中的攻击序列；根据攻击序列中的攻击节点确定攻击过程。通过实施本发明，采用攻击检测模型对序列中未知节点的预测，解决了需要具有领域专业知识的专家定期更新规则的问题；采用因果图结合攻击检测模型识别攻击节点还原攻击过程的方式，有效地解决了其他方法仅能减少日志条目数量但无法精确定位关键攻击步骤的问题。

公开(公告)号：CN119254459A

公开(公告)日：2025-01-03

申请号：CN202411206090.X

申请日：2024-08-30

Applicant: 国网智能电网研究院有限公司 ,  中国电力科学研究院有限公司 ,  国网山东省电力公司

Inventor： 王文辉 ,  张錋 ,  张道娟 ,  武宏斌 ,  韩龙玺 ,  赵奇 ,  刘鑫 ,  田博彦

IPC: H04L9/40 ,  G06N20/00 ,  G06F18/214

Abstract: 本发明提供一种基于机器学习的自动化渗透测试方法和系统、电子设备，应用于网络安全测试技术领域。方法包括：利用嗅探工具对测试目标进行目标信息收集，得到目标信息文件；基于目标信息文件中的信息标签进行所述目标信息文件的内容筛选，得到目标关键信息列表；基于机器学习模型进行目标关键信息列表中每条关键信息的漏洞利用信息匹配，得到每条关键信息对应的漏洞利用信息；基于获取到的测试信息、目标关键信息列表和每条关键信息对应的漏洞利用信息，生成对应的渗透测试用例，并执行所述渗透测试用例。本发明解决了依赖经验的渗透测试无法保证测试准确性和效率以及自动化渗透测试的数据需求量大、耗时耗资源的问题。

公开(公告)号：CN115051859B

公开(公告)日：2024-09-17

申请号：CN202210681536.9

申请日：2022-06-15

Applicant: 国网智能电网研究院有限公司

Inventor： 韩啸 ,  张錋 ,  武宏斌 ,  白晓雪 ,  王玉曼

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/16 ,  H04L41/28 ,  G06N3/084

Abstract: 本发明提供一种情报分析方法、情报分析装置、电子设备及介质。情报分析方法包括：接收并解析威胁情报，获取威胁情报的情报属性信息。获取目标系统的第一属性信息。将第一属性信息与情报属性信息进行对比，确定第一威胁信息的第一数量。若第一数量大于指定数量阈值，则分别对每一个第一威胁信息进行风险评估，获取第一数量的评估结果。基于第一数量的评估结果，通过神经网络模型进行风险分析，得到威胁情报对目标系统的威胁风险值。通过本发明，通过神经网络模型进行分析，能够综合多个第一威胁信息对目标系统的风险评估的评估结果，进行多维分析，进而有助于提高多维度分析效率，提高分析结果的准确性，从而有利于降低预警延迟时间。

公开(公告)号：CN118368091A

公开(公告)日：2024-07-19

申请号：CN202410412194.X

申请日：2024-04-08

Applicant: 国网智能电网研究院有限公司

Inventor： 张道娟 ,  张英杰 ,  武宏斌 ,  王涛

IPC: H04L9/40 ,  H04L41/06

Abstract: 一种基于分布式知识图谱未知攻击溯源方法、主节点和子节点，包括：子节点获取网络访问的相关数据；子节点基于所述相关数据，利用预先获取的正常访问操作行为模型和网络安全对策模型对所述网络访问的行为进行判定，确定所述网络访问的行为是否为未知攻击行为；当所述网络访问的行为是未知攻击行为时，确定告警信息并利用预先获取的分布式知识图谱进行溯源得到溯源信息；然后将告警信息和溯源信息同步至其他子节点和主节点；本发明基于知识图谱进行攻击行为检测，可以有效的预测潜在的未知攻击，提高攻击发现的准确性和效率；本发明利用溯源技术可以准确追溯攻击来源和路径，为应对和防范网络安全威胁提供了有力的支持，达到主动防御的效果。

公开(公告)号：CN115051859A

公开(公告)日：2022-09-13

申请号：CN202210681536.9

申请日：2022-06-15

Applicant: 国网智能电网研究院有限公司

Inventor： 韩啸 ,  张錋 ,  武宏斌 ,  白晓雪 ,  王玉曼

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/16 ,  H04L41/28 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种情报分析方法、情报分析装置、电子设备及介质。情报分析方法包括：接收并解析威胁情报，获取威胁情报的情报属性信息。获取目标系统的第一属性信息。将第一属性信息与情报属性信息进行对比，确定第一威胁信息的第一数量。若第一数量大于指定数量阈值，则分别对每一个第一威胁信息进行风险评估，获取第一数量的评估结果。基于第一数量的评估结果，通过神经网络模型进行风险分析，得到威胁情报对目标系统的威胁风险值。通过本发明，通过神经网络模型进行分析，能够综合多个第一威胁信息对目标系统的风险评估的评估结果，进行多维分析，进而有助于提高多维度分析效率，提高分析结果的准确性，从而有利于降低预警延迟时间。

公开(公告)号：CN114969159A

公开(公告)日：2022-08-30

申请号：CN202210679606.7

申请日：2022-06-15

Applicant: 国网智能电网研究院有限公司

Inventor： 张錋 ,  钱珂翔 ,  张道娟 ,  武宏斌 ,  韩啸

IPC: G06F16/2458 ,  G06F16/2453 ,  G06F16/23

Abstract: 本发明提供一种数据查询方法、数据查询装置、计算机设备及介质。数据查询方法，包括：接收查询统计命令。解析查询统计命令，确定待查询统计的第一数量的数据结果集。根据历史查询记录，确定第一数量的数据结果集中第二结果集的第二数量以及对应的数据有效期限，得到第二数据信息，其中，第二结果集为具有查询结果的数据结果集。将第一数量的数据结果集中未具有查询结果的数据结果集确定为第三结果集，得到第三数量的第三结果集。将第二数据信息和第三数量的第三结果集发送至数据查询方，以响应查询统计命令。通过本发明，有助于减少数据结果集的查询数量，降低时间成本和计算获取成本，有利于提高查询效率。