公开(公告)号：CN112804232A

公开(公告)日：2021-05-14

申请号：CN202110046028.9

申请日：2021-01-13

Applicant: 中国电子科技集团公司第十五研究所

Inventor： 任传伦 ,  郭世泽 ,  任秋洁 ,  金波 ,  夏建民 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  H04L1/00

Abstract: 本发明公开了一种基于喷泉码网络信标的追踪溯源方法与装置，属于计算机网络安全技术领域。所述方法包括：将原始网络信标进行喷泉码编码，对企业网、电信网、省网、国际网等目标网络关口的网络数据流进行喷泉码编码网络信标植入；检测网络关口数据流，从中获取编码网络信标；对编码网络信标进行喷泉码译码，获取译码后网络信标，对比译码后网络信标与原始网络信标，获取流关联信息，并据此进行攻击路径追踪还原。本发明通过对原始网络信标进行喷泉码编码，解决现有技术中由于网络环境会影响网络信标的传输可靠性和检测识别准确率而导致的网络信标流量追踪溯源可靠性低的问题。

公开(公告)号：CN113361716B

公开(公告)日：2022-02-08

申请号：CN202110715922.0

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  王淮 ,  张先国 ,  刘晓影 ,  俞赛赛 ,  乌吉斯古愣 ,  孟祥頔 ,  任秋洁

IPC: G06N5/04 ,  G06N5/02 ,  G06F16/36

Abstract: 本发明公开了一种威胁推理规则构建方法及装置，属于网络安全技术领域，通过以构建面向安全情报的知识图谱为推理依据，从推理方向、推理深度、推理时间等维度进行推理规则的设计，能够有效缓解海量数据下的推理深度不可控导致数据爆炸的问题，且可以兼顾数据时效性和价值。解决了现有技术中对安全情报数据的利用不充分，各类数据间的关系挖掘不全面，产生的知识密度低的问题，本方法能够从海量数据中获取价值密度高、隐含关系较强的威胁情报数据，以支撑领域专家对安全告警事件分析的可靠、可信数据需求。

公开(公告)号：CN113301044A

公开(公告)日：2021-08-24

申请号：CN202110565747.1

申请日：2021-05-24

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  任秋洁 ,  刘晓影 ,  张先国 ,  俞赛赛 ,  金波 ,  乌吉斯古愣 ,  孟祥頔

IPC: H04L29/06 ,  H04J13/00 ,  H04B1/69

Abstract: 本发明公开了一种面向追踪溯源的扩频网络信标生成方法，其具体步骤包括，将待发送的原始网络信标进行扩频，得到扩频后的网络信标；将扩频后的网络信标植入关键业务网络的网络关口；在网络信标检测端，选择相应的网络信标检测方法，检测相应的网络流量中是否出现植入网络的具有指定特征的网络信标，随后将检测得到的扩频后的网络信标对其进行解扩，得到恢复出的网络信标，计算恢复出的网络信标与待发送的原始网络信标的相关性，当该相关性超过相关性阈值时，判断该网络数据流中存在数据流关联信息。本发明对现有的基于网络信标的流量追踪溯源技术存在的网络信标隐蔽性较差、抗干扰性较差等问题进行了改进，有效提高了追踪溯源效果。

公开(公告)号：CN113762372B

公开(公告)日：2023-04-07

申请号：CN202111008018.2

申请日：2021-08-30

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  郭世泽 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  王淮 ,  谭震 ,  任秋洁

IPC: G06F18/2411 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种即时通讯信息中组织成员识别方法及装置，属于信息检索领域。该方法使用了一种基于图神经网络的方法，首先将群聊数据预处理后，根据群成员的互动来将该群构建成一个发言‑互动图，利用一个两层图神经网络来正向传播群成员间的信息。在训练阶段，利用截断随机游走过程捕获群中的结构信息，并构建一种无监督损失来训练图神经网络模型。最终，通过关键词提取与实体识别技术提取到待分析组织及相关组织成员，再基于欧式距离计算群内其他成员与该成员的相似度，选取相似度最大的几名成员作为该群内属于待分析组织的潜在组织成员。通过该方法，可以充分挖掘出群聊中各个群成员的发言特征，有效地识别出组织潜在成员。

公开(公告)号：CN114448724B

公开(公告)日：2022-10-14

申请号：CN202210266542.8

申请日：2022-03-17

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  俞赛赛 ,  刘晓影 ,  任秋洁 ,  张先国 ,  谭震 ,  乌吉斯古愣 ,  孟祥頔 ,  王明琛

IPC: H04L9/40

Abstract: 本发明公开了一种用于网络信标篡改检测的数据处理方法及装置，该方法包括：获取信标检测节点的节点信标信息；对节点信标信息进行摘要值计算，得到第一摘要值信息；对第一摘要值信息进行对比分析，得到对比结果信息；对比结果信息用于指示判别网络信标的篡改情况。可见，本发明能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息，有利于实现高效实时判别网络信标是否被篡改，进而提高发现网络信标被篡改的效率。

公开(公告)号：CN113762372A

公开(公告)日：2021-12-07

申请号：CN202111008018.2

申请日：2021-08-30

Applicant: 中国电子科技集团公司第十五研究所 ,  中电科网络空间安全研究院有限公司 ,  中国电子科技集团公司第三十研究所

Inventor： 任传伦 ,  郭世泽 ,  俞赛赛 ,  刘晓影 ,  乌吉斯古愣 ,  王淮 ,  谭震 ,  任秋洁

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种即时通讯信息中组织成员识别方法及装置，属于信息检索领域。该方法使用了一种基于图神经网络的方法，首先将群聊数据预处理后，根据群成员的互动来将该群构建成一个发言‑互动图，利用一个两层图神经网络来正向传播群成员间的信息。在训练阶段，利用截断随机游走过程捕获群中的结构信息，并构建一种无监督损失来训练图神经网络模型。最终，通过关键词提取与实体识别技术提取到待分析组织及相关组织成员，再基于欧式距离计算群内其他成员与该成员的相似度，选取相似度最大的几名成员作为该群内属于待分析组织的潜在组织成员。通过该方法，可以充分挖掘出群聊中各个群成员的发言特征，有效地识别出组织潜在成员。

公开(公告)号：CN113569116A

公开(公告)日：2021-10-29

申请号：CN202110877298.4

申请日：2021-07-31

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  俞赛赛 ,  金波 ,  刘晓影 ,  乌吉斯古愣 ,  任秋洁 ,  谭震 ,  王淮

IPC: G06F16/906 ,  H04L29/06

Abstract: 本发明公开了一种基于属性相关性的网络告警信息聚类方法，其具体步骤包括：网络告警信息整理；对具有相同攻击源或相同攻击目标的网络告警信息，根据五元组特征对网络告警信息进行聚类；对具有相同数据特征、攻击类型的网络告警信息，根据告警信息的攻击类型特征对该网络告警信息进行聚类，得到网络告警信息类型特征的网络告警信息集合；基于攻击发生时间的网络告警信息聚类；聚类网络告警信息再融合。本发明基于多维属性特征聚类实现时空全局视角的告警信息聚类，与实际攻击事件中攻击者对被攻击目标往往采用多种攻击技战法开展组合式的攻击的情况相吻合，可以涵盖攻击事件的全貌和重要细节，为攻击事件分析和攻击场景还原准备更好的基础条件。

公开(公告)号：CN112769827B

公开(公告)日：2021-09-10

申请号：CN202110028901.1

申请日：2021-01-08

Applicant: 中国电子科技集团公司第十五研究所 ,  西安邮电大学

Inventor： 任传伦 ,  郭世泽 ,  冯景瑜 ,  张威 ,  刘晓影 ,  张先国 ,  俞赛赛 ,  乌吉斯古愣 ,  王玥 ,  闫慧 ,  孟祥頔 ,  夏建民 ,  任秋洁 ,  刘文瀚

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击代理端检测及溯源方法与装置，属于计算机网络安全技术领域。所述方法包括：收集攻击日志及数据流，提取控制特征与攻击特征用于训练网络攻击检测模块，网络攻击检测模块在网络接入点处检测网络流量，获取网络攻击数据流并从中提取控制信息与攻击信息；内网设备中均设置有控制模块与检测模块，控制模块通过控制信息与攻击信息检测攻击代理端地址；检测模块用来判断攻击IP的真伪，阻断伪造IP进行攻击。本发明通过提取攻击数据集中的控制信息和攻击信息为训练数据，以网络攻击代理端为目标对检测系统进行训练，针对代理端重点防御攻击者，使得攻击者无法构建完整的攻击框架。

公开(公告)号：CN113364802B

公开(公告)日：2021-12-17

申请号：CN202110715857.1

申请日：2021-06-25

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  王淮 ,  刘晓影 ,  乌吉斯古愣 ,  俞赛赛 ,  张先国 ,  王玥 ,  金波 ,  任秋洁

IPC: H04L29/06 ,  H04L12/24 ,  H04L29/12 ,  G06F16/36 ,  G06N5/02 ,  G06N5/04

Abstract: 本发明公开了一种安全告警威胁性研判方法及装置，属于网络安全技术领域。所述方法包括：基于历史情报库数据构建网络安全情报知识图谱，在此基础上形成安全告警数据的安全告警关联子图，对安全告警关联子图进行实体威胁系数计算，获取各威胁实体要素的实体威胁性系数，综合计算所述安全告警数据的安全告警威胁性程度。本发明将知识图谱技术应用到威胁情报领域，基于历史情报库数据构建网络安全情报知识图谱，在安全告警的威胁性研判中充分利用威胁实体要素的历史威胁行为，使得判断结果更为准确。

公开(公告)号：CN113595719A

公开(公告)日：2021-11-02

申请号：CN202110877276.8

申请日：2021-07-31

Applicant: 中国电子科技集团公司第十五研究所 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

Inventor： 任传伦 ,  俞赛赛 ,  金波 ,  刘晓影 ,  乌吉斯古愣 ,  任秋洁 ,  谭震 ,  王淮

IPC: H04L9/06 ,  H04L29/06

Abstract: 本发明公开了一种基于分组CBC模式的链路层信标加密方法，其步骤包括：网络信标在链路层实现，因此网络信标即是链路层信标，在链路层使用基于密文分组链接CBC模式的对称加密算法DES，对链路层信标底码信息流进行加密；对于链路层信标解密，使用与加密过程相同的初始向量、加密密钥和对称加密算法DES，并使用CBC模式对链路层信标信息流进行解密，得到解密后的网络信标的底码。本发明引入基于分组CBC模式的网络信标加密方法，在网络信标信息底码分组内容相同的情况下，经过加密后的密文分组内容完全不同，使得攻击者更加难以洞悉网络信标信息序列内容，阻止其对植入的网络信标进行深入分析，更好隐藏和保护链路层信标原始信息内容。