公开(公告)号：CN118444892A

公开(公告)日：2024-08-06

申请号：CN202410628580.2

申请日：2024-05-20

Applicant: 紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 池瑞清 ,  程国振 ,  刘文彦 ,  孔飞 ,  胡艺 ,  刘明

IPC: G06F8/30 ,  G06F8/41

Abstract: 本发明公开了一种应用服务侧请求互斥实现方法、装置、设备及介质，应用于Java应用无侵入式拟态化改造技术领域，包括：将互斥增强逻辑注入需互斥增强的服务侧请求功能方法，生成互斥增强后的类字节码；互斥增强逻辑为基于分布式锁技术生成的多执行体请求互斥执行逻辑，和目标应用原业务功能方法解耦隔离的逻辑；利用类加载器重新加载互斥增强后的类字节码，得到目标应用支持多执行体互斥的服务侧请求功能方法。本发明将互斥增强逻辑动态注入目标应用执行体所有的服务侧被动请求相关的业务逻辑中，生成新的互斥增强过的类字节码并重新加载运行，使应用多执行体正常处理服务侧被动请求不会导致多执行体冲突，实现对目标应用的无侵入拟态改造。

公开(公告)号：CN115766101A

公开(公告)日：2023-03-07

申请号：CN202211310763.7

申请日：2022-10-25

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 张帅 ,  扈红超 ,  沈娟 ,  程国振 ,  刘文彦 ,  史雪静 ,  商珂 ,  孔飞 ,  仝玉 ,  刘明

IPC: H04L9/40 ,  G06F21/57 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明提供一种基于eBPF技术的行为特征裁决方法及装置。该方法包括：针对并行运行系统编写eBPF监控程序，通过eBPF技术将eBPF监控程序挂载到并行运行系统中对应的内核态和用户态挂载点上；当执行体在运行中触发已挂载的eBPF监控程序时，eBPF监控程序获取执行体的运行状态数据；在用户态通过eBPF Maps接收eBPF监控程序获取的执行体的运行状态数据，通过预置规则对收集到的运行状态数据进行预处理，最终形成执行体的行为特征；在收集到多个执行体的行为特征后，通过运行状态的锚点对多个执行体的行为特征进行同步，接着通过策略裁决比对多个执行体的行为特征来发现疑似的攻击行为。通过eBPF技术能够以极低开销获取运行时状态并据此发现疑似攻击行为。

公开(公告)号：CN117176382A

公开(公告)日：2023-12-05

申请号：CN202310838565.6

申请日：2023-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  吴丰源 ,  刘明 ,  尹小康 ,  李路凯 ,  李龙飞 ,  刘胜利

IPC: H04L9/40

Abstract: 本发明公开了一种基于融合序列的远控木马流量检测方法，涉及网络安全技术领域，首先对采集到的原始网络流量数据集进行预处理，筛选出所需要的数据，并通过张量维度调整，将其转换成Transformer模型所需要的格式并输入至Transformer模型中，利用模型中线性嵌入层将输入数据映射到高维空间，再通过多头自注意力机制来使Transformer编码器捕捉数据中长距离依赖关系和复杂模型，最后通过多层迭代，将特征向量输入全连接层映射到目标空间，输出最终预测结果。本发明方法具有更高的准确率和更强的泛化能力，能够在木马入侵早期及时响应并发出预警，有助于有效防范安全隐患，从而提升对网络安全的保护。

公开(公告)号：CN115408700A

公开(公告)日：2022-11-29

申请号：CN202210863358.1

申请日：2022-07-20

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  郭茜茜 ,  刘明 ,  杨启超 ,  王家丰 ,  张璨 ,  邵文强 ,  吕思欧

IPC: G06F21/57

Abstract: 本发明属于开源组件检测技术领域，具体涉及一种基于二进制程序模块化的开源组件检测方法。该方法通过提取二进制程序中函数的调用和地址信息，将处理无向图的层次化社团结构分析的凝聚算法改进为适用有向图的BCM，利用BCM划分二进制程序模块。在二进制程序模块化的基础上，将所有模块与开源组件进行特征匹配，定位组件所在的具体模块，将目前文件粒度的复用细化到模块粒度的定位检测，缩小开源漏洞检测等软件安全分析任务的搜索范围，提高下游任务的效率。实验表明，本发明方法提升了开源组件检测的精度，极大程度上降低了误报率，比目前较优的文件粒度的开源组件检测方法B2SFinder提高60.12%；增加模块化分析之后依旧保持了检测效率。

公开(公告)号：CN115314254A

公开(公告)日：2022-11-08

申请号：CN202210801854.4

申请日：2022-07-07

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  王家丰 ,  杨启超 ,  刘明 ,  邵文强 ,  吴丰源 ,  程娇娇

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于恶意流量检测技术领域，具体涉及一种基于改进的WGAN‑GP的半监督恶意流量检测方法。该方法根据建立的半监督恶意流量检测模型进行检测。首先，利用给定数据流中连续数据包的时间序列特性，为数据集中的每个数据流构建一个伪特征图(PFM)。其次，我们固定生成器，只在少量被标记的PFM上训练判别器，从而得到一个能够区分恶意流量和良性流量的判别器。最后，生成器和判别器在未标记的真实PFM上进行无监督地对抗训练，这使得判别器能够通过生成器生成的PFM提高自身的检测性能。通过实验表明，本发明在仅使用少量标记样本的情况下可以达到较高的检测准确率和较优的检测性能。

公开(公告)号：CN118643325A

公开(公告)日：2024-09-13

申请号：CN202410647734.2

申请日：2024-05-23

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘世昊 ,  刘胜利 ,  蔡瑞杰 ,  尹小康 ,  刘明 ,  杨启超

IPC: G06F18/214 ,  G06F18/2431 ,  G06F18/2415 ,  G06F18/25 ,  G06F18/15 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/084 ,  H04L41/16 ,  H04L47/2441 ,  H04L9/40 ,  G06N3/048

Abstract: 本发明涉及网络安全技术领域，特别涉及一种基于WSAGAN的类别不平衡加密流量数据增强方法及系统，使用真实加密流量样本数据对生成对抗网络进行迭代训练，获得生成对抗网络模型，其中，生成对抗网络中，在生成器和鉴别器中利用自注意力机制捕捉输入数据序列中的距离依赖关系并动态生成融合特征向量，生成器基于随机噪声向量和真实加密流量样本数据生成伪加密流量数据，鉴别器衡量真实加密流量数据和伪加密流量数据之间差异，基于差异并利用反向传播算法更新生成器参数，并通过迭代训练过程使鉴别器衡量的生成器重新生成的伪加密流量数据和真实加密流量数据差异满足预设条件；使用生成对抗网络模型生成扩充加密流量样本数据，基于扩充加密流量样本数据与真实加密流量样本数据组建增强加密流量样本数据集。本发明通过生成流量样本来弥补少数类的样本缺失，确保每个类样本数的均衡，以缓解数据集类别不平衡导致分类器过多关注多数类而忽略少数类的问题。

公开(公告)号：CN118487817A

公开(公告)日：2024-08-13

申请号：CN202410619610.3

申请日：2024-05-17

Applicant: 紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 姬励 ,  张帅 ,  程国振 ,  刘文彦 ,  刘明 ,  孔飞 ,  沈娟

IPC: H04L9/40

Abstract: 本申请公开了一种拟态裁决方法、装置、设备及存储介质，涉及拟态防御技术领域，包括：当接收到拟态右括号发送的放行请求后，获取各冗余执行体处理业务请求过程中的信息得到目标信息；对所述目标信息中的信息进行组合，得到各所述冗余执行体对应的多个第一组合；分别对各所述冗余执行体对应的所有所述第一组合进行关联聚合得到聚合结果，并为各所述聚合结果生成唯一对应的拟态标签；基于所述拟态标签对所述拟态右括号阻塞的通过各所述冗余执行体对所述业务请求进行处理后得到的多个输出请求进行拟态裁决，得到是否对所述输出请求进行放行的拟态裁决结果。本申请能够实现裁决和放行的异步执行，提高拟态裁决的效率和准确性。

公开(公告)号：CN118473751A

公开(公告)日：2024-08-09

申请号：CN202410595118.7

申请日：2024-05-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  吴丰源 ,  赵方方 ,  刘明 ,  蔡瑞杰 ,  王俊峰 ,  张大龙 ,  李肖 ,  刘世昊

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术领域，特别涉及一种基于多模态特征提取的木马流量检测方法及系统，通过提取目标网络会话中的多模态数据特征，并将各模态数据特征进行级联，形成二维融合特征，所述多模态数据特征包括：目标网络会话空间特征、目标网络会话序列特征和目标网络会话统计特征；将二维融合特征输入至Transformer编码器，利用Transformer编码器优化特征组合，所述Transformer编码器采用自注意力机制对各模态特征进行自适应权重分配并利用前馈网络捕捉强化特征序列内部依赖关系；利用多层感知机对特征组合优化后的特征序列进行分类，以识别目标网络会话中的木马流量和正常流量。本发明采用综合表征策略从各个角度提取网络流量特征，提高网络流量检测的效率和准确性。

公开(公告)号：CN115357890A

公开(公告)日：2022-11-18

申请号：CN202210822180.6

申请日：2022-07-12

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  邵文强 ,  刘胜利 ,  刘明 ,  王家丰 ,  郭茜茜

IPC: G06F21/56 ,  G06F8/41 ,  G06K9/62

Abstract: 本发明属于函数名预测技术领域，具体涉及一种基于语义的多架构二进制函数名预测方法。该方法首先通过LLVM IR提升到中间语言，来解决不同架构之间的差异性问题；提升到中间语言之后，利用正则表达式提取出函数名、函数体信息，然后利用大规模数据的训练得到的正负样本函数名二分类模型，实现无意义函数名的去除，再对于函数名进行形态上、语义上面的相似性融合；而后再对于函数体进行标准化处理，从而实现降低函数体信息的稀疏性，提升函数体的顺序结构信息的质量，保证编码解码的正确性。将经过上述过程处理之后的函数名、函数体，输入到seq2seq模型之中，得到一个模型MFNP，该模型能够提供语义更为准确的函数名。

公开(公告)号：CN114968324B

公开(公告)日：2024-09-10

申请号：CN202210398639.4

申请日：2022-04-15

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  胡安祥 ,  蔡瑞杰 ,  杨启超 ,  郭世臣 ,  尹小康 ,  刘明

IPC: G06F8/70

Abstract: 本发明属于比较函数识别技术领域，具体涉及一种基于数据流特征的比较函数识别系统及识别方法。本发明通过分析函数的控制流，从中提取循环路径和分支路径，构建数据流并检测数据流特征是否匹配，通过将路径中的指令转为中间语言VEX IR指令，支持ARM、MIPS、PPC和x86指令集，不依赖源码等信息，并且受编译器选项、编译器版本以及优化等级的影响较小，对glibc库和自定义实现的比较类函数都有很好的识别效果。经实验评估表明，当缺少源码、函数名等信息时，相比于FLIRT和SaTC，CMPSeek有着更高的精准率和召回率。