公开(公告)号：CN117220957A

公开(公告)日：2023-12-12

申请号：CN202311212363.7

申请日：2023-09-19

Applicant: 国网智能电网研究院有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

Inventor： 张英杰 ,  张道娟 ,  周小明 ,  吴天琦 ,  胡博 ,  张文杰 ,  武宏斌 ,  韩啸 ,  王磊

IPC: H04L9/40

Abstract: 本发明涉及网络安全防护技术领域，公开了一种基于威胁情报的攻击行为响应方法及系统，该方法包括：获取多源威胁情报数据以及实时网络流量；根据多源威胁情报数据提取攻击特征，构建攻击链以及威胁情报特征库；根据攻击链以及威胁情报特征库建立关联攻击行为模型；将实时网络流量与关联攻击行为模型进行匹配，对实时网络流量进行响应。本发明通过对攻击行为进行分析和挖掘，建立关联攻击行为模型，将获取的实时网络流量与关联攻击行为模型进行匹配，实现了实时监测和分析流量、预测攻击模式和威胁的目的，达到了快速响应和处置威胁事件的效果，解决了相关技术中存在的基于威胁情报的攻击行为响应方法实时性较差的问题。

公开(公告)号：CN117768141A

公开(公告)日：2024-03-26

申请号：CN202311076196.8

申请日：2023-08-24

Applicant: 国网智能电网研究院有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

Inventor： 张英杰 ,  张道娟 ,  胡博 ,  周小明 ,  许超 ,  韩啸 ,  武宏斌 ,  吴天琦 ,  唱一鸣 ,  张文杰

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术领域，具体涉及对抗网络入侵检测方法、装置、系统、计算机设备及介质。方法包括：获取攻击数据；采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果；基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测。通过实施本发明，通过采用对抗网络实现了新的攻击特征即模拟结果中为攻击的结果的学习，采用学习得到新的攻击特征和入侵防御签名共同进行入侵检测，有助于提高入侵检测的准确性，能够有效避免被攻击者绕过、欺骗等问题。同时，通过对抗网络学习到的新的攻击特征，能够克服现有技术中攻击数据不足的问题，为实现更具有鲁棒性的入侵检测提供更丰富的数据来源，有助于应对当前新型和未知攻击。

公开(公告)号：CN116756672A

公开(公告)日：2023-09-15

申请号：CN202310728365.5

申请日：2023-06-19

Applicant: 国网智能电网研究院有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

Inventor： 吴天琦 ,  张道娟 ,  钱珂翔 ,  韩啸 ,  武宏斌

IPC: G06F18/2433 ,  G06F18/241 ,  G06F18/27 ,  G06F18/213 ,  G06F40/216 ,  G06F40/284 ,  G06F40/30 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/082 ,  G06F16/18

Abstract: 本发明涉及日志检测领域，具体涉及基于局部和全局注意力机制的入侵检测方法、装置及介质，该方法包括：获取待检测系统日志；提取待检测系统日志的特征；采用局部特征注意力机制提取特征的局部注意力特征；采用全局特征注意力机制提取特征的全局注意力特征；根据局部注意力特征和全局注意力特征进行序列预测，得到待检测系统日志的入侵检测结果。通过实施本发明，提取局部特征和全局特征，一方面，基于近距离局部特征的注意力机制侧重构造系统日志字符级局部特征，另一方面，基于长距离全局特征的注意力机制侧重捕获长距离上下文特征，更加全面地学习到日志里的隐藏特征信息，进一步提升了入侵检测的准确率，使得该入侵检测方法更加有效。

公开(公告)号：CN109669724B

公开(公告)日：2021-04-06

申请号：CN201811417215.8

申请日：2018-11-26

Applicant: 许昌许继软件技术有限公司 ,  许继集团有限公司 ,  许继电气股份有限公司 ,  国网辽宁省电力有限公司电力科学研究院 ,  国家电网有限公司

Inventor： 陈献庆 ,  刘小燕 ,  闫振宇 ,  杨智德 ,  包伟 ,  倪传坤 ,  韩啸 ,  郭亚楠 ,  徐云松 ,  王西邓 ,  于同伟 ,  李新玲 ,  顾峰 ,  信亚磊

IPC: G06F9/38 ,  G06F11/36

Abstract: 本发明涉及系统数据处理领域，具体涉及一种基于linux系统的多命令并发式代理服务方法及系统。本发明中代理服务接收分析工具发来的请求命令，将接收到的请求命令放入共享内存中，然后通过消息队列给对应的目标进程发送消息，将目标进程的处理结果存储在共享内存中，然后发消息给代理服务的命令处理线程，代理服务的命令处理线程获取共享内存中的处理结果并发送给分析工具。本发明中通过共享内存实现代理服务和目标进程的数据共享，通过消息队列发送命令，实现了多命令并发处理和对多个进程同时在线调试分析，从而提高了产品开发调试分析的效率和质量。本发明支持多台电脑调试不同进程，为在线分析问题提供了一种全新的方法。

公开(公告)号：CN109669724A

公开(公告)日：2019-04-23

申请号：CN201811417215.8

申请日：2018-11-26

Applicant: 许昌许继软件技术有限公司 ,  许继集团有限公司 ,  许继电气股份有限公司 ,  国网辽宁省电力有限公司电力科学研究院 ,  国家电网有限公司

Inventor： 陈献庆 ,  刘小燕 ,  闫振宇 ,  杨智德 ,  包伟 ,  倪传坤 ,  韩啸 ,  郭亚楠 ,  徐云松 ,  王西邓 ,  于同伟 ,  李新玲 ,  顾峰 ,  信亚磊

IPC: G06F9/38 ,  G06F11/36

Abstract: 本发明涉及系统数据处理领域，具体涉及一种基于linux系统的多命令并发式代理服务方法及系统。本发明中代理服务接收分析工具发来的请求命令，将接收到的请求命令放入共享内存中，然后通过消息队列给对应的目标进程发送消息，将目标进程的处理结果存储在共享内存中，然后发消息给代理服务的命令处理线程，代理服务的命令处理线程获取共享内存中的处理结果并发送给分析工具。本发明中通过共享内存实现代理服务和目标进程的数据共享，通过消息队列发送命令，实现了多命令并发处理和对多个进程同时在线调试分析，从而提高了产品开发调试分析的效率和质量。本发明支持多台电脑调试不同进程，为在线分析问题提供了一种全新的方法。

公开(公告)号：CN117278230A

公开(公告)日：2023-12-22

申请号：CN202210664964.0

申请日：2022-06-13

Applicant: 国网智能电网研究院有限公司

Inventor： 张道娟 ,  钱珂翔 ,  王玉曼 ,  吴天琦 ,  韩啸

IPC: H04L9/40 ,  H04L41/069 ,  H04L41/147

Abstract: 本发明涉及网络安全技术领域，公开了一种多源情报的预警方法、装置、系统、服务器及存储介质。其中，该方法包括：获取业务系统的资源信息以及来自多个情报源的风险数据信息；基于风险数据信息与所述业务系统的资源信息，判断风险数据信息是否对所述业务系统构成威胁；当风险数据信息对业务系统构成威胁时，计算业务系统对应的风险系数；基于风险系数对业务系统进行预警。通过实施本发明，实现了对业务系统所遭受威胁或攻击的自动预测，无需依赖人工，避免了人为主观性影响风险程度的预判，通过对业务系统的风险进行二次评估，提高了风险预判的准确性。

公开(公告)号：CN117614643A

公开(公告)日：2024-02-27

申请号：CN202311368200.8

申请日：2023-10-20

Applicant: 国网智能电网研究院有限公司

Inventor： 王文辉 ,  韩啸 ,  葛广凯 ,  韩龙玺 ,  赵奇 ,  钱珂翔 ,  杨征浩 ,  张道娟

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术领域，公开了一种威胁情报分析方法、系统、计算机设备及存储介质，该方法包括：获取实时更新的威胁情报数据以及待分析日志数据；利用实时更新的威胁情报数据计算威胁情报发生概率的多维权重；利用实时更新的威胁情报数据根据威胁情报发生概率的多维权重计算权重改变值；对威胁情报发生概率的多维权重以及权重改变值求和得到威胁情报发生概率的总权重；利用总权重以及待分析多维权重判断待分析日志数据是否为威胁情报，待分析多维权重为待分析日志数据对应的多维权重。本发明能够预测已知威胁情报信息在现有环境下发生的概率，具有减少威胁情报平台出现误报和漏报的能力，有效提升威胁情报平台的安全性的效果。

公开(公告)号：CN115051859B

公开(公告)日：2024-09-17

申请号：CN202210681536.9

申请日：2022-06-15

Applicant: 国网智能电网研究院有限公司

Inventor： 韩啸 ,  张錋 ,  武宏斌 ,  白晓雪 ,  王玉曼

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/16 ,  H04L41/28 ,  G06N3/084

Abstract: 本发明提供一种情报分析方法、情报分析装置、电子设备及介质。情报分析方法包括：接收并解析威胁情报，获取威胁情报的情报属性信息。获取目标系统的第一属性信息。将第一属性信息与情报属性信息进行对比，确定第一威胁信息的第一数量。若第一数量大于指定数量阈值，则分别对每一个第一威胁信息进行风险评估，获取第一数量的评估结果。基于第一数量的评估结果，通过神经网络模型进行风险分析，得到威胁情报对目标系统的威胁风险值。通过本发明，通过神经网络模型进行分析，能够综合多个第一威胁信息对目标系统的风险评估的评估结果，进行多维分析，进而有助于提高多维度分析效率，提高分析结果的准确性，从而有利于降低预警延迟时间。

公开(公告)号：CN115051859A

公开(公告)日：2022-09-13

申请号：CN202210681536.9

申请日：2022-06-15

Applicant: 国网智能电网研究院有限公司

Inventor： 韩啸 ,  张錋 ,  武宏斌 ,  白晓雪 ,  王玉曼

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/16 ,  H04L41/28 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种情报分析方法、情报分析装置、电子设备及介质。情报分析方法包括：接收并解析威胁情报，获取威胁情报的情报属性信息。获取目标系统的第一属性信息。将第一属性信息与情报属性信息进行对比，确定第一威胁信息的第一数量。若第一数量大于指定数量阈值，则分别对每一个第一威胁信息进行风险评估，获取第一数量的评估结果。基于第一数量的评估结果，通过神经网络模型进行风险分析，得到威胁情报对目标系统的威胁风险值。通过本发明，通过神经网络模型进行分析，能够综合多个第一威胁信息对目标系统的风险评估的评估结果，进行多维分析，进而有助于提高多维度分析效率，提高分析结果的准确性，从而有利于降低预警延迟时间。

公开(公告)号：CN114969159A

公开(公告)日：2022-08-30

申请号：CN202210679606.7

申请日：2022-06-15

Applicant: 国网智能电网研究院有限公司

Inventor： 张錋 ,  钱珂翔 ,  张道娟 ,  武宏斌 ,  韩啸

IPC: G06F16/2458 ,  G06F16/2453 ,  G06F16/23

Abstract: 本发明提供一种数据查询方法、数据查询装置、计算机设备及介质。数据查询方法，包括：接收查询统计命令。解析查询统计命令，确定待查询统计的第一数量的数据结果集。根据历史查询记录，确定第一数量的数据结果集中第二结果集的第二数量以及对应的数据有效期限，得到第二数据信息，其中，第二结果集为具有查询结果的数据结果集。将第一数量的数据结果集中未具有查询结果的数据结果集确定为第三结果集，得到第三数量的第三结果集。将第二数据信息和第三数量的第三结果集发送至数据查询方，以响应查询统计命令。通过本发明，有助于减少数据结果集的查询数量，降低时间成本和计算获取成本，有利于提高查询效率。