公开(公告)号：CN114650171A

公开(公告)日：2022-06-21

申请号：CN202210174318.6

申请日：2022-02-24

Applicant: 中国电子科技集团公司第十五研究所 ,  天津工业大学 ,  中国电子科技集团公司第三十研究所

Inventor： 崔军 ,  吴凤丽 ,  任传伦 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔 ,  林志贵 ,  王明琛 ,  谭震 ,  刘文瀚

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种多层融合信标检测与路径还原方法和装置，该方法包括：目标系统网络路由节点数据包多层融合信标植入；获取目标系统中已植入信标的路由节点网络数据包；对已植入信标的网络数据包进行网络表征学习，计算路由节点的特征；根据路由节点的特征提取信息传播的路径信息，还原攻击路径；保存所还原的路径信息。可见，本发明引入网络表征学习模型，将网络路由节点向量化，考虑不同路由节点的特征，使得到的向量形式可以在向量空间中具有表示以及推理的能力，再利用图卷积神经网络计算得到还原的攻击路径，本发明有利于提高网络的威胁感知和预测能力，提升网络的安全性。

公开(公告)号：CN114205290A

公开(公告)日：2022-03-18

申请号：CN202111517894.8

申请日：2021-12-10

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 杨天长 ,  张先国 ,  任传伦 ,  徐军化 ,  尹誉衡 ,  刘恒讯

IPC: H04L45/30 ,  H04L67/60

Abstract: 本发明公开了一种用于行为体传播的数据处理方法及装置，该方法包括：检测是否接收到传播任务请求；当接收到传播任务请求时，利用预设的节点选取规则对传播任务请求进行处理，得到节点信息集合；节点信息集合包括M个节点信息；M为大于等于3的正整数；利用预设的路径整合规则对节点信息集合进行处理，得到目标传播路径信息；目标传播路径信息用于指示对行为体的传播。可见，本发明能够通过对传播任务请求的检测以及节点选取规则的综合利用，来得到节点信息，并通过路径整合规则的处理得到用于指示对行为体进行传播的目标传播路径信息，有利于优化传播路径上关键节点的选取，提高节点的稳定性和安全性，进而便于行为体利用节点进行准确传播。

公开(公告)号：CN114205153A

公开(公告)日：2022-03-18

申请号：CN202111513313.3

申请日：2021-12-12

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  杨天长 ,  张先国 ,  徐军化 ,  李宝静 ,  董小雨

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开了一种面向复杂防御机制的自适应渗透测试方法，包括：针对网络自动渗透拓展应用场景，得到目标环境感知、多层次融合的网络渗透工具定制化组装、基于辅助决策的自适应隐蔽渗透和目标防御机制的智能化识别与对抗技术的应用现状；形成面向异构用户网络的自动渗透拓展的技术体系架构，为用户提供目标环境感知、网络渗透工具组装、自适应隐蔽渗透、防御机制智能识别和对抗能力，为用户网络环境的智能化感染和防御机制优化升级提供技术支撑和数据支撑。

公开(公告)号：CN114189364A

公开(公告)日：2022-03-15

申请号：CN202111415179.3

申请日：2021-11-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  俞赛赛 ,  官弼根 ,  刘晓影 ,  谭震 ,  王玥 ,  孟祥頔 ,  王淮 ,  王明琛

IPC: H04L9/40 ,  H04L41/142 ,  H04L41/147

Abstract: 本发明公开了一种基于马尔科夫链的网络节点路径还原和预测方法，其具体步骤包括：计算攻击路径概率统计表；建立攻击路径矩阵；根据当前网络节点检测到的信标中包含的网络节点的先后顺序特性，选定马尔科夫链特性，确定攻击路径还原矩阵的建立原则，计算攻击路径还原矩阵；还原网络节点路径；提取攻击路径还原矩阵中所有不为零的数据所对应的节点，从而还原出当前的网络节点路径；预测网络节点路径；基于攻击路径还原矩阵中的每条攻击路径的概率，预测攻击路径中从一个节点连接到下一个节点的发生概率。本发明针对网络攻击路径预测不准确的情形，提出了使用马尔可夫链的特性来处理统计结果，使得预测模型的适应性更广。

公开(公告)号：CN114172734A

公开(公告)日：2022-03-11

申请号：CN202111504981.X

申请日：2021-12-10

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  杨天长 ,  张先国 ,  徐军化 ,  董小雨 ,  李宝静

IPC: H04L9/40

Abstract: 本发明公开了一种用于复杂网络通信的数据处理方法及装置，该方法包括：扫描探测复杂网络，得到网络环境资产信息；利用预设的安全通道构建规则对网络环境资产信息进行处理，得到目标安全通道信息集合；目标安全通道信息集合包括若干个目标安全通道信息；利用预设的数据通信则对目标安全通道信息集合进行处理，得到数据通信指令集合；数据传输指令集合用于指示对数据通信信息的通信。可见，本发明有利于适应复杂网络环境在多子网间实现构建安全通道，进而实现跨网络的数据安全传输。

公开(公告)号：CN114050933A

公开(公告)日：2022-02-15

申请号：CN202111335234.8

申请日：2021-11-11

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  俞赛赛 ,  刘晓影 ,  官弼根 ,  谭震 ,  孟祥頔 ,  王淮 ,  王玥

IPC: H04L9/40 ,  H04L1/00

Abstract: 本发明提供了一种基于喷泉码的提高网络流量中信标容错性的方法，其实现步骤包括信标检测、喷泉码解密信标、信标更新、喷泉码加密信标、信标植入。信标检测阶段包括信标判断、信标提取等；喷泉码解密信标阶段包括本地哈希查找其解码、如无则使用喷泉码解密等；信标更新阶段包括在上述解码的信标中附加本设备的信息，或者清除信标、更新流量中信标位置信息等；喷泉码加密信标阶段包括喷泉码度的选择、喷泉码生成等；信标植入阶段包括信标位置确定、修改流量包等。本发明用喷泉码对网络信标进行编解码，能解决网络信标在传输过程中由于网络设备调节和外部干扰等因素导致网络信标检测成功率大幅降低的问题，能够提高追踪溯源的可靠性。

公开(公告)号：CN113361716B

公开(公告)日：2022-02-08

申请号：CN202110715922.0

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  王淮 ,  张先国 ,  刘晓影 ,  俞赛赛 ,  乌吉斯古愣 ,  孟祥頔 ,  任秋洁

IPC: G06N5/04 ,  G06N5/02 ,  G06F16/36

Abstract: 本发明公开了一种威胁推理规则构建方法及装置，属于网络安全技术领域，通过以构建面向安全情报的知识图谱为推理依据，从推理方向、推理深度、推理时间等维度进行推理规则的设计，能够有效缓解海量数据下的推理深度不可控导致数据爆炸的问题，且可以兼顾数据时效性和价值。解决了现有技术中对安全情报数据的利用不充分，各类数据间的关系挖掘不全面，产生的知识密度低的问题，本方法能够从海量数据中获取价值密度高、隐含关系较强的威胁情报数据，以支撑领域专家对安全告警事件分析的可靠、可信数据需求。

公开(公告)号：CN113378165B

公开(公告)日：2021-11-05

申请号：CN202110711130.6

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  刘文瀚 ,  吕帅 ,  夏建民 ,  张先国 ,  刘晓影 ,  王淮 ,  俞赛赛 ,  乌吉斯古愣 ,  孟祥頔

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种基于Jaccard系数的恶意样本相似性判定方法，其具体包括：利用String命令对恶意样本Ⅰ和恶意样本Ⅱ分别进行解析并提取恶意样本字符串，将提取到的恶意样本字符串分别转化为样本字符串集合A和B；计算出样本字符串集合A和B之间的Jaccard系数；设定一个阈值，若计算得到的Jaccard系数值大于阈值，则判定恶意样本Ⅰ和恶意样本Ⅱ之间具有较强的相似性；对于具有较强的相似性的恶意样本Ⅰ和恶意样本Ⅱ，利用空间谱函数，找到恶意样本所在的字符串。本发明提供了一种新型的恶意样本相似性判定方法，无需进行恶意样本特征提取等复杂操作，可以提高恶意样本相似性判定的效率。

公开(公告)号：CN112866244B

公开(公告)日：2021-09-07

申请号：CN202110057637.4

申请日：2021-01-15

Applicant: 中国电子科技集团公司第十五研究所

Inventor： 任传伦 ,  郭世泽 ,  吕帅 ,  夏建民 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  H04L29/12 ,  G06F21/53

Abstract: 针对现有沙箱技术的对具有有网络访问交互行为入侵的病毒样本能力不足的问题，本发明公开了一种基于虚拟网络环境的网络流量沙箱检测方法，首先搭建虚拟分析环境，在控制主机中安装对访问流量可进行回复的交互式虚拟网络服务,实现分析主机全端口到虚拟网络环境的恶意流量转发，实现对恶意加密流量的解密，截取分析主机网卡的恶意流量，实现自动化对恶意代码所产生的网络行为做出应答，并且在此基础上实现了对Https流量的解密功能。本发明方法可以用于集成沙箱环境，以提升沙箱检测恶意代码在网络行为方面的效率和不足，同时也可以独立于沙箱之外，作为一套侧重网络行为分析方面的虚拟环境，具有应用范围广的优点。

公开(公告)号：CN113301044A

公开(公告)日：2021-08-24

申请号：CN202110565747.1

申请日：2021-05-24

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  任秋洁 ,  刘晓影 ,  张先国 ,  俞赛赛 ,  金波 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  H04J13/00 ,  H04B1/69

Abstract: 本发明公开了一种面向追踪溯源的扩频网络信标生成方法，其具体步骤包括，将待发送的原始网络信标进行扩频，得到扩频后的网络信标；将扩频后的网络信标植入关键业务网络的网络关口；在网络信标检测端，选择相应的网络信标检测方法，检测相应的网络流量中是否出现植入网络的具有指定特征的网络信标，随后将检测得到的扩频后的网络信标对其进行解扩，得到恢复出的网络信标，计算恢复出的网络信标与待发送的原始网络信标的相关性，当该相关性超过相关性阈值时，判断该网络数据流中存在数据流关联信息。本发明对现有的基于网络信标的流量追踪溯源技术存在的网络信标隐蔽性较差、抗干扰性较差等问题进行了改进，有效提高了追踪溯源效果。