公开(公告)号：CN107423190A

公开(公告)日：2017-12-01

申请号：CN201710256875.1

申请日：2017-04-19

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司 ,  国网电子商务有限公司

发明人： 夏飞 ,  刘俊恺 ,  周静 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  张明明 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： G06F11/30

摘要： 本发明公开了一种日志数据异常指向识别方法，该方法包括:设置日志数据异常的采样与提取规则，获得所述日志中的异常数据；对所述异常数据进行模式化处理，得到所述异常数据与其对应的异常标签的匹配关系；设置异常模式的损失函数，计算获得使所述损失函数的值最小的参数值；根据所述参数值生成数据异常判别函数，判断获得所述异常数据的指向。通过本发明实现了对海量日志数据分析并根据数据异常快速定位异常所在根源的目的。

公开(公告)号：CN106850690A

公开(公告)日：2017-06-13

申请号：CN201710202686.6

申请日：2017-03-30

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司

发明人： 夏飞 ,  周静 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  张明明 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： H04L29/06

摘要： 本发明公开了一种蜜罐构造方法及系统，该系统包括流量分析装置，由协议处理服务装置和主机模拟服务装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，其中，流量分析装置分析获得可疑数据流并发送至蜜罐构造装置，蜜罐构造装置根据可疑流量的属性启动协议处理服务装置或主机模拟服务装置对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置。实现了能够自动按需部署蜜罐系统的目的。

公开(公告)号：CN106817363B

公开(公告)日：2020-06-26

申请号：CN201611211365.4

申请日：2016-12-24

申请人： 国网江苏省电力公司信息通信分公司

发明人： 丁正阳 ,  丁一新 ,  夏飞 ,  李萌

IPC分类号： H04L29/06 ,  G06N3/02 ,  G06N3/08

摘要： 本发明涉及一种基于神经网络的智能电表异常检测方法，检测方法基于AMI获取智能电表的流量数据，基于网络协议分析对流量数据的字段建立观测测度，通过标准训练数据集和神经网络方法确定检测模型，通过在网闸入口处的旁路手段建立采集接口，实时获取流量测度，并通过检测模型检测出智能电表中流量可能包含的异常行为，这些行为可能是由于设备故障导致的故障流量，或者设备的操作系统被入侵控制后产生的攻击流量，或者采集线路被中间人攻击后注入的攻击流量。该检测方法可以有效的发现未知攻击手段产生的攻击形式，克服了基于规则的方法无法有效对未知攻击类型检测检测的弱点，提高了系统的安全性。

公开(公告)号：CN106951783A

公开(公告)日：2017-07-14

申请号：CN201710208301.7

申请日：2017-03-31

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司

发明人： 刘俊恺 ,  夏飞 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  张明明 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： G06F21/56 ,  H04L29/06 ,  G06N3/04

CPC分类号： G06F21/566 ,  G06N3/04 ,  G06N3/049 ,  H04L63/1416

摘要： 本申请公开了基于深度神经网络的伪装入侵检测方法，包括：获取至少两个用户的行为流数据；初始化超参数集和参数集；针对每个用户，采集正样本和负样本组成训练数据集；利用训练数据集、损失函数和优化算法，依次计算各个参数的参数值；从该用户对应的行为嵌入表示查询表中查询与该用户的待检测行为序列对应的行为数据添加到行为嵌入表示序列中；对行为嵌入表示序列进行卷积运算、池化运算以及长短期记忆人工神经网络对应的运算得到第二行为序列；计算所述第二行为序列是正常行为序列的概率；并根据该概率的大小确定该用户行为是否是伪装入侵行为，该方法能够同时兼顾行为的局部强相关性、长程依赖性以及时序性，提高了伪装入侵检测的准确性。

公开(公告)号：CN107423190B

公开(公告)日：2020-09-01

申请号：CN201710256875.1

申请日：2017-04-19

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司 ,  国网电子商务有限公司

发明人： 夏飞 ,  刘俊恺 ,  周静 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  张明明 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： G06F11/30

摘要： 本发明公开了一种日志数据异常指向识别方法，该方法包括:设置日志数据异常的采样与提取规则，获得所述日志中的异常数据；对所述异常数据进行模式化处理，得到所述异常数据与其对应的异常标签的匹配关系；设置异常模式的损失函数，计算获得使所述损失函数的值最小的参数值；根据所述参数值生成数据异常判别函数，判断获得所述异常数据的指向。通过本发明实现了对海量日志数据分析并根据数据异常快速定位异常所在根源的目的。

公开(公告)号：CN106850558A

公开(公告)日：2017-06-13

申请号：CN201611211366.9

申请日：2016-12-24

申请人： 国网江苏省电力公司信息通信分公司

发明人： 丁正阳 ,  丁一新 ,  夏飞 ,  李萌

IPC分类号： H04L29/06 ,  G01R35/04

CPC分类号： H04L63/1416 ,  G01R35/04 ,  H04L63/145

摘要： 本发明涉及一种基于季节模型时间序列的智能电表状态异常检测方法，检测方法基于AMI获取智能电表的主机运行数据，为流量和主机运行的CPU利用率、进程数、端口数、网络接口字节吞吐量等指标建立观测测度，通过标准训练数据集和季节模型时间序列方法确定检测模型，实时获取流量测度，并通过检测模型检测出智能电表中流量可能包含的异常行为，这些行为可能是由于设备故障导致的故障流量，或者设备的操作系统被入侵控制后产生的攻击流量，或者采集线路被中间人攻击后注入的攻击流量。该检测方法可以有效的发现未知攻击手段产生的攻击形式，克服了基于规则的方法无法有效对未知攻击类型检测检测的弱点，提高了系统的安全性。

公开(公告)号：CN107085544B

公开(公告)日：2020-04-17

申请号：CN201710257286.5

申请日：2017-04-19

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司 ,  国网电子商务有限公司

发明人： 张明明 ,  刘俊恺 ,  周静 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  夏飞 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： G06F11/07 ,  G06F11/34

摘要： 本发明公开了一种系统错误定位方法及装置，该方法包括:设置日志数据中异常数据的提取规则，并储存所述异常数据；构建日志数据的数据状态转移表，获得所述日志数据的状态转移概率；根据所述日志数据的状态转移概率，对所述日志数据进行高频采样，计算获得所述异常数据的转移概率，并获得所述异常数据的特征矩阵；建立异常判别函数，依据所述特征矩阵，对引起系统异常的根源进行定位判断。解决了如何在大数据环境下进行网络与系统异常判别和维护信息安全的问题。

公开(公告)号：CN107085544A

公开(公告)日：2017-08-22

申请号：CN201710257286.5

申请日：2017-04-19

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司 ,  国网电子商务有限公司

发明人： 张明明 ,  刘俊恺 ,  周静 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  夏飞 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： G06F11/07 ,  G06F11/34

摘要： 本发明公开了一种系统错误定位方法及装置，该方法包括:设置日志数据中异常数据的提取规则，并储存所述异常数据；构建日志数据的数据状态转移表，获得所述日志数据的状态转移概率；根据所述日志数据的状态转移概率，对所述日志数据进行高频采样，计算获得所述异常数据的转移概率，并获得所述异常数据的特征矩阵；建立异常判别函数，依据所述特征矩阵，对引起系统异常的根源进行定位判断。解决了如何在大数据环境下进行网络与系统异常判别和维护信息安全的问题。

公开(公告)号：CN106951783B

公开(公告)日：2021-06-01

申请号：CN201710208301.7

申请日：2017-03-31

申请人： 国家电网公司 ,  国网江苏省电力公司信息通信分公司

发明人： 刘俊恺 ,  夏飞 ,  王毅 ,  张立强 ,  余伟 ,  吴立斌 ,  张明明 ,  李鹏 ,  季晓凯 ,  蒋铮 ,  王艳青 ,  彭轼 ,  魏桂臣 ,  丁一新 ,  张利 ,  李萌 ,  黄高攀 ,  汤雷

IPC分类号： G06F21/56 ,  H04L29/06 ,  G06N3/04

摘要： 本申请公开了基于深度神经网络的伪装入侵检测方法，包括：获取至少两个用户的行为流数据；初始化超参数集和参数集；针对每个用户，采集正样本和负样本组成训练数据集；利用训练数据集、损失函数和优化算法，依次计算各个参数的参数值；从该用户对应的行为嵌入表示查询表中查询与该用户的待检测行为序列对应的行为数据添加到行为嵌入表示序列中；对行为嵌入表示序列进行卷积运算、池化运算以及长短期记忆人工神经网络对应的运算得到第二行为序列；计算所述第二行为序列是正常行为序列的概率；并根据该概率的大小确定该用户行为是否是伪装入侵行为，该方法能够同时兼顾行为的局部强相关性、长程依赖性以及时序性，提高了伪装入侵检测的准确性。

公开(公告)号：CN107689899A

公开(公告)日：2018-02-13

申请号：CN201710779657.6

申请日：2017-09-01

申请人： 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力公司信息通信分公司

发明人： 廖鹏 ,  方泉 ,  杨维永 ,  王继业 ,  韩勇 ,  郭靓 ,  夏元轶 ,  于晓文 ,  蒋甜 ,  张路煜 ,  张鹏 ,  刘寅 ,  李萌 ,  张利

IPC分类号： H04L12/26 ,  H04L29/06

CPC分类号： H04L43/18 ,  H04L69/22

摘要： 本发明公开了一种基于比特流的未知协议识别方法及系统，基于比特流识别未知协议的帧头，充分考虑数据协议比特流的特性，动态构造FST(Frequency Subsequence Trie)树，并动态的计算寻找频繁子序列，从而确定未知协议的帧头部分，有效的分析比特流子序列的规则，使得分析的结果更加具有适用性，弥补其他对数据包分析方法的不足；此外，该方法采用动态剪枝原则，使得FST树的增长不至于过大，减少内存的占用，在噪声干扰上具有明显的优势。