公开(公告)号：CN113919351A

公开(公告)日：2022-01-11

申请号：CN202111151177.8

申请日：2021-09-29

Applicant: 中国科学院软件研究所

Inventor： 黄克振 ,  连一峰 ,  张海霞 ,  彭媛媛 ,  刘倩

IPC: G06F40/295 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于迁移学习的网络安全命名实体和关系联合抽取方法及装置，包括：对网络安全威胁情报进行网络安全命名实体及关系联合标注，构建网络安全威胁情报语料库；基于自然语言语料库预训练深度神经网络；将预训练深度神经网络与一分类器组合，构建初始联合抽取模型；基于网络安全威胁情报语料库，对初始联合抽取模型进行训练；将目标数据输入训练好的联合抽取模型，得到网络安全命名实体和关系联合抽取结果。本发明能够同时标注网络安全命名实体和关系，有效规避先实体后关系的串行抽取模式存在的误差传递问题，降低网络安全领域实体及关系抽取对专家经验的依赖，增强模型的移植性，减少网络安全领域内标注数据集少对模型训练带来的困扰。

公开(公告)号：CN118713865B

公开(公告)日：2025-03-04

申请号：CN202410698083.X

申请日：2024-05-31

Applicant: 中国科学院软件研究所

Inventor： 罗彩云 ,  张海霞 ,  陈志飞 ,  周邵文 ,  彭媛媛 ,  金俊峰 ,  刘祥宾

IPC: H04L9/40

Abstract: 本发明公开一种基于网络通信相似度的应用软件异常行为检测方法及系统，属于网络安全技术领域。所述方法包括：根据数据包特征进行数据包分组，并将每组数据包构建为一条软件行为链；生成每一软件行为链的描述行为链统计特征的特征向量；基于该描述行为链统计特征的特征向量与基线模型中的每个簇的中心向量的相似度，得到该软件行为链的异常行为检测结果；其中，所述基线模型基于正常的应用软件通信流量数据构建。本发明可以更准确地观察到应用软件网络通信行为的异常。

公开(公告)号：CN116232708A

公开(公告)日：2023-06-06

申请号：CN202310124597.X

申请日：2023-02-02

Applicant: 中国科学院软件研究所

Inventor： 田润 ,  连一峰 ,  彭媛媛 ,  张海霞 ,  黄克振 ,  张立武

IPC: H04L9/40

Abstract: 本发明提出一种基于文本型威胁情报的攻击链构建与攻击溯源方法和系统。该方法包括：采集已知攻击组织的攻击事件的文本型威胁情报，对采集的数据进行数据预处理操作，使其符合后续分析需求；其次，利用采集的文本型威胁情报抽取网络安全实体与关系，构成网络安全事件描述三元组；然后，对于网络安全事件描述三元组，基于时间线与逻辑顺序，构建安全事件攻击链；最后，利用安全事件攻击链训练攻击组织特征模型，并基于该模型进行未知来源攻击事件的溯源预测。本发明从文本型威胁情报出发，从中抽取网络安全事件攻击链，并结合已知攻击来源，为攻击组织刻画攻击特征模型，能够有效服务于网络安全人员对未知来源的网络安全事件的溯源与追责工作。