公开(公告)号：CN118368073A

公开(公告)日：2024-07-19

申请号：CN202310055632.7

申请日：2023-01-18

Applicant: 国家电网有限公司信息通信分公司 ,  中国科学院软件研究所

Inventor： 胡威 ,  程杰 ,  夏昂 ,  刘倩 ,  张海霞

IPC: H04L9/40 ,  G06F16/25 ,  G06F16/904

Abstract: 本发明提供了一种动态可扩展的网络空间挂图作战方法与系统，包括：设计网络空间挂图作战要素框架，在要素管理模块中设计网络空间资源要素集，在图层管理模块中设计网络空间基础图层与网络空间业务图层、在可视化表达模块中设计可视化表达组件与布局等；结合业务需求，在挂图设计模块中设计网络空间挂图作战模板；集成接入多源异构网络时空大数据，在挂图设计模块中构建融合形成网络空间挂图作战场景；在挂图作战模块中，发布并应用网络空间挂图作战场景，支撑网络空间攻防对抗、挂图作战等业务，为其提供决策支撑。本发明提供了一种灵活的、动态可配的网络空间挂图作战方法，为网络空间挂图作战提供了动态可扩展的场景图形构建方法与支撑系统。

公开(公告)号：CN116707928A

公开(公告)日：2023-09-05

申请号：CN202310718233.4

申请日：2023-06-16

Applicant: 中国科学院软件研究所

Inventor： 聂榕 ,  倪彦波 ,  连一峰 ,  张海霞 ,  彭媛媛 ,  韩鹏

IPC: H04L9/40 ,  G06F40/295 ,  G06N3/048 ,  G06N3/084 ,  G06N5/022

Abstract: 本发明涉及一种规则匹配与预训练语言模型相结合的威胁知识抽取方法和系统。该法包括：确定需要抽取的网络安全实体类型；编制规则匹配过程所需的规则；将非结构化威胁情报文本经过规则匹配过程，得到初步实体标注结果，并将其向量化；将非结构化威胁情报文本输入预训练语言模型，获得文本的向量化表示，将规则匹配过程获取的标注向量与预训练语言模型获得的向量化表示进行拼接，并输入下游深度神经网络，获得最终实体标注结果。本发明将规则匹配模型与预训练语言模型相结合，应用于网络安全威胁知识抽取，够有效地从自然语言型威胁情报中抽取出网络安全领域相关实体。

公开(公告)号：CN116614246A

公开(公告)日：2023-08-18

申请号：CN202310235972.8

申请日：2023-03-13

Applicant: 中国科学院软件研究所

Inventor： 杨姗姗 ,  彭媛媛 ,  张海霞 ,  连一峰 ,  黄克振

IPC: H04L9/40 ,  G06F16/36 ,  G06F16/2458 ,  G06N7/01 ,  G06N5/025 ,  G06N5/04 ,  G06N3/042

Abstract: 本发明提供了一种基于贝叶斯网络的远控行为知识库构建与预测方法。该方法包括：通过对远控行为历史数据进行特征提取和分析，构建远控行为知识库，包括远控行为感知图、远控行为特征图和远控行为溯源图；基于建立的知识图谱，将历史数据组成大量具有时序关系的数据集，利用Prefixspan算法，对数据集进行计算，得到远控行为中的因果关联规则；对历史数据进行参数学习，结合关联规则，构建远控行为贝叶斯网络结构，实现下一步攻击行为预测。

公开(公告)号：CN116451230A

公开(公告)日：2023-07-18

申请号：CN202210009452.0

申请日：2022-01-06

Applicant: 中国科学院软件研究所

Inventor： 李序 ,  连一峰 ,  张海霞 ,  黄克振

IPC: G06F21/57 ,  G06F21/56 ,  G06F16/36 ,  G06F40/242 ,  G06F40/295

Abstract: 本发明公开一种基于知识图谱的攻击意图识别方法及装置，包括从多源异构的网络安全数据抽取实体、实体之间的关系及实体属性，以构建网络安全知识图谱；对实体与关系向量化，得到 三元组；将 三元组作为训练数据，对TransE模型进行知识表示学习，得到攻击意图推理模型；将待预测攻击意图向量化后，输入攻击意图识别模型，通过计算待预测攻击意图的攻击事件节点与各个攻击意图之间存在目的关系的能量函数，得到攻击意图识别结果。本发明充分利用并挖掘数据之间的关联，来进行攻击行为分析，解决了现有的攻击意图预测模型移植性差、对训练数据依赖性强的问题。

公开(公告)号：CN114362973B

公开(公告)日：2023-02-28

申请号：CN202011031765.3

申请日：2020-09-27

Applicant: 中国科学院软件研究所

Inventor： 顾炎杰 ,  刘尚奇 ,  杨牧 ,  连一峰 ,  陈立全 ,  张海霞 ,  黄克振 ,  彭媛媛

IPC: H04L9/40 ,  G06F18/23213

Abstract: 本发明提供一种结合K‑means和FCM聚类的流量检测方法及电子装置，包括通过已标注流量数据集Tq及标注种类确定的kq个聚类cq，i及各聚类cq，i的簇心，对包含已标注流量数据集Tq与未标注流量数据集Wq的数据集D进行聚类，得到聚类c′q，i；若聚类c′q，i的离群点数据满足一设定规则，得到k′q个聚类Cq，j；依据聚类cq，j，计算数据集D中各数据的标注结果，获取已标注流量数据集Tq+1与未标注流量数据集Wq+1；依据未标注流量数据集W1在聚类cQ，j中各数据的标注种类KQ，对未标注流量数据集W1进行分类。本发明实现了K‑means算法中k值的自我调节，更容易达到全局最优；利用自训练模式，避免错误数据在后续的迭代中累积；实现了标记数据集和未标记数据集的动态变化，具有实时性和灵活性。

公开(公告)号：CN114362973A

公开(公告)日：2022-04-15

申请号：CN202011031765.3

申请日：2020-09-27

Applicant: 中国科学院软件研究所

Inventor： 顾炎杰 ,  刘尚奇 ,  杨牧 ,  连一峰 ,  陈立全 ,  张海霞 ,  黄克振 ,  彭媛媛

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明提供一种结合K‑means和FCM聚类的流量检测方法及电子装置，包括通过已标注流量数据集Tq及标注种类确定的kq个聚类cq，i及各聚类cq，i的簇心，对包含已标注流量数据集Tq与未标注流量数据集Wq的数据集D进行聚类，得到聚类c′q，i；若聚类c′q，i的离群点数据满足一设定规则，得到k′q个聚类Cq，j；依据聚类cq，j，计算数据集D中各数据的标注结果，获取已标注流量数据集Tq+1与未标注流量数据集Wq+1；依据未标注流量数据集W1在聚类cQ，j中各数据的标注种类KQ，对未标注流量数据集W1进行分类。本发明实现了K‑means算法中k值的自我调节，更容易达到全局最优；利用自训练模式，避免错误数据在后续的迭代中累积；实现了标记数据集和未标记数据集的动态变化，具有实时性和灵活性。

公开(公告)号：CN118713865A

公开(公告)日：2024-09-27

申请号：CN202410698083.X

申请日：2024-05-31

Applicant: 中国科学院软件研究所

Inventor： 罗彩云 ,  张海霞 ,  陈志飞 ,  周邵文 ,  彭媛媛 ,  金俊峰 ,  刘祥宾

IPC: H04L9/40

Abstract: 本发明公开一种基于网络通信相似度的应用软件异常行为检测方法及系统，属于网络安全技术领域。所述方法包括：根据数据包特征进行数据包分组，并将每组数据包构建为一条软件行为链；生成每一软件行为链的描述行为链统计特征的特征向量；基于该描述行为链统计特征的特征向量与基线模型中的每个簇的中心向量的相似度，得到该软件行为链的异常行为检测结果；其中，所述基线模型基于正常的应用软件通信流量数据构建。本发明可以更准确地观察到应用软件网络通信行为的异常。

公开(公告)号：CN115114498B

公开(公告)日：2024-09-10

申请号：CN202110286268.6

申请日：2021-03-17

Applicant: 中国科学院软件研究所

Inventor： 彭媛媛 ,  张海霞 ,  连一峰 ,  黄克振 ,  刘倩

IPC: G06F16/951 ,  G06F16/9535

Abstract: 本发明公开了一种基于多维度的网络空间人物画像方法，其步骤包括：1)构建网络空间的人物画像体系，所述人物画像体系包括人物的基本信息、个人经历、社交信息、用户标签和社会关系；2)对于一目标人物，爬取该目标人物的基本信息和社交信息计算该目标人物的社交影响指数；3)获取该目标人物的个人经历；4)利用该目标人物的年龄阶段、职业所涉及行业作为目标人物标记身份标签人物标记身份标签；5)根据该目标人物在社交媒体Twitter和微博中发布的消息数量，计算权重γTwitter、γWeibo，并计算消息中词语的TF‑IDF值与对应权重相乘，选取TF‑IDF值靠前若干词语作为该目标人物的兴趣标签。

公开(公告)号：CN116662557A

公开(公告)日：2023-08-29

申请号：CN202210141506.9

申请日：2022-02-16

Applicant: 中国科学院软件研究所

Inventor： 张静 ,  张海霞 ,  连一峰 ,  黄克振 ,  刘倩

IPC: G06F16/36 ,  G06F16/35 ,  G06F40/295 ,  G06F40/284 ,  G06F40/216 ,  G06F40/30 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/08

Abstract: 本发明公开一种网络安全领域内的实体关系抽取方法及装置，涉及网络安全领域，本发明依据网络安全领域关注目标的特征，通过穷举多源异构网络安全数据的句子中达到一定长度的片段，生成每个片段的语义矩阵，从而提升实体识别模型的准确度；并在此基础上对实体对向量进行重新编码，将实体主客体边界、实体类型与属性特征补充到关系抽取模型的输入中，以获得结果更准确的关系抽取模型，减少错误传播的方法。进一步地，本发明通过对无法识别出实体类型且出现频率较高的片段进行筛选判断，将其补充到实体类型集合和实体关系集合中，进行持续优化和反馈，提高模型的识别广度和准确率。

公开(公告)号：CN116599929A

公开(公告)日：2023-08-15

申请号：CN202310524079.7

申请日：2023-05-10

Applicant: 中国科学院软件研究所

Inventor： 韩鹏 ,  倪彦波 ,  连一峰 ,  张海霞 ,  刘倩 ,  聂榕

IPC: H04L61/5007 ,  H04L69/16 ,  G06F18/213 ,  G06F18/214 ,  G06N3/084

Abstract: 本发明公开了一种基于图嵌入与生成模型的IP地址定位方法，其步骤包括：1)采集多个已知IP设备的地理位置以及辅助定位特征；2)根据所述辅助定位特征构建由各IP节点构成的图结构；3)利用图嵌入模型生成所述图结构中每个IP节点的特征向量；4)对每一IP设备的地理位置信息进行离散化处理，将同一区域内的IP设备设置相同的地理信息离散编码；5)使用生成模型对每个IP节点的特征向量进行特征降维，并用该IP节点对应的地理信息离散编码进行监督训练优化生成模型，将优化后的生成模型作为降维网络；6)对于一待定位的IP设备k，生成该IP设备k的特征向量并将其输入降维网络，预测得到该IP设备k的定位结果。