公开(公告)号：CN115941555B

公开(公告)日：2024-05-28

申请号：CN202210501391.X

申请日：2022-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 窦禹 ,  桑亚飞 ,  常鹏 ,  李书豪 ,  杨昕雨 ,  张博文

IPC: H04L43/0876 ,  H04L67/025 ,  H04L67/06 ,  H04L67/56 ,  H04L69/22 ,  H04L9/40 ,  G06F40/216

Abstract: 本发明公开一种基于流量指纹的APP个人信息收集行为检测方法及系统，涉及网络安全被动监测领域，旨在能够从被动流量数据层面出发，提取APP流量指纹、第三方SDK流量指纹、个人信息流量指纹三种类型流量指纹形成指纹库。基于所构建指纹库，利用相似度匹配、字符串匹配和正则匹配算法对出入流量数据包进行规则匹配，可实现在网络关口环境下的APP个人信息收集行为检测，输出监测线索，为后续依据相关规定和标准开展APP违法违规收集个人信息提供重要支撑。

公开(公告)号：CN115941555A

公开(公告)日：2023-04-07

申请号：CN202210501391.X

申请日：2022-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 窦禹 ,  桑亚飞 ,  常鹏 ,  李书豪 ,  杨昕雨 ,  张博文

IPC: H04L43/0876 ,  H04L67/025 ,  H04L67/06 ,  H04L67/56 ,  H04L69/22 ,  H04L9/40 ,  G06F40/216

Abstract: 本发明公开一种基于流量指纹的APP个人信息收集行为检测方法及系统，涉及网络安全被动监测领域，旨在能够从被动流量数据层面出发，提取APP流量指纹、第三方SDK流量指纹、个人信息流量指纹三种类型流量指纹形成指纹库。基于所构建指纹库，利用相似度匹配、字符串匹配和正则匹配算法对出入流量数据包进行规则匹配，可实现在网络关口环境下的APP个人信息收集行为检测，输出监测线索，为后续依据相关规定和标准开展APP违法违规收集个人信息提供重要支撑。

公开(公告)号：CN112737101B

公开(公告)日：2022-08-26

申请号：CN202011418780.3

申请日：2020-12-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  桑亚飞

IPC: H02J13/00 ,  G06Q50/06

Abstract: 本发明涉及一种面向多监测域的网络安全风险评估方法及系统，其中面向多监测域的网络安全风险评估方法，包括：对资产的机密性、完整性、可用性和资产类型重要性进行评分，以得到资产的价值；对资产进行脆弱性扫描，得到资产的脆弱性值；对资产在预设周期内的多源威胁检测引擎告警日志进行分析，得到资产所遭受攻击的威胁度值；根据资产的价值、脆弱性值和威胁度值，得出资产安全风险值；根据资产的安全风险值，计算该资产所在子域在预设周期内的安全风险值；根据子域的安全风险值，计算该子域所在全网在预设周期内的安全风险值。本发明从多维度对多子域多资产安全风险进行监测评估，改善现有方法面向单一信息系统或单一资产安全风险评估的局限性。

公开(公告)号：CN112737101A

公开(公告)日：2021-04-30

申请号：CN202011418780.3

申请日：2020-12-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  桑亚飞

IPC: H02J13/00 ,  G06Q50/06

Abstract: 本发明涉及一种面向多监测域的网络安全风险评估方法及系统，其中面向多监测域的网络安全风险评估方法，包括：对资产的机密性、完整性、可用性和资产类型重要性进行评分，以得到资产的价值；对资产进行脆弱性扫描，得到资产的脆弱性值；对资产在预设周期内的多源威胁检测引擎告警日志进行分析，得到资产所遭受攻击的威胁度值；根据资产的价值、脆弱性值和威胁度值，得出资产安全风险值；根据资产的安全风险值，计算该资产所在子域在预设周期内的安全风险值；根据子域的安全风险值，计算该子域所在全网在预设周期内的安全风险值。本发明从多维度对多子域多资产安全风险进行监测评估，改善现有方法面向单一信息系统或单一资产安全风险评估的局限性。

公开(公告)号：CN111144470A

公开(公告)日：2020-05-12

申请号：CN201911321413.9

申请日：2019-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  赵树园 ,  桑亚飞 ,  常鹏

IPC: G06K9/62 ,  H04L12/851

Abstract: 本发明涉及一种基于深度自编码器的未知网络流量识别方法及系统，以原始网络数据流为输入，首先利用n-gram嵌入对网络数据包中负载的前m个字节进行向量化处理，得到不同维度的数据包向量；然后利用深度自编码器算法对不同维度的数据包向量进行训练并得到特征提取模型,利用该模型完成对网络数据包向量的特征提取，得到优化的网络数据包特征，并将不同维度的特征进行连接，得到网络数据包的最终特征向量；最后基于k-means聚类算法对未知网络流量进行聚类分析，得到未知流量聚类模型，实现对于实时网络中未知流量的识别。

公开(公告)号：CN111144470B

公开(公告)日：2022-12-16

申请号：CN201911321413.9

申请日：2019-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  赵树园 ,  桑亚飞 ,  常鹏

IPC: G06K9/62 ,  H04L47/2483 ,  H04L47/2441

Abstract: 本发明涉及一种基于深度自编码器的未知网络流量识别方法及系统，以原始网络数据流为输入，首先利用n‑gram嵌入对网络数据包中负载的前m个字节进行向量化处理，得到不同维度的数据包向量；然后利用深度自编码器算法对不同维度的数据包向量进行训练并得到特征提取模型,利用该模型完成对网络数据包向量的特征提取，得到优化的网络数据包特征，并将不同维度的特征进行连接，得到网络数据包的最终特征向量；最后基于k‑means聚类算法对未知网络流量进行聚类分析，得到未知流量聚类模型，实现对于实时网络中未知流量的识别。

公开(公告)号：CN105938562B

公开(公告)日：2019-06-11

申请号：CN201610230313.5

申请日：2016-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  桑亚飞 ,  常鹏 ,  庹宇鹏

IPC: G06K9/62 ,  G06N3/04

Abstract: 本发明提供一种自动化网络应用指纹提取方法，步骤包括：1)接收网络应用数据包，通过语言模型学习输出字节向量；2)对上述网络应用数据包载荷的逐个字节值所对应的字节向量进行连接操作，得到数据包载荷向量；3)根据上述数据包载荷向量，将上述网络应用数据包载荷划分成多个不同的聚簇；4)对每一个聚簇中一系列频繁共现的字节序列串进行提取，获得应用指纹。本发明还提供一种自动化网络应用指纹提取系统，包括：数据预处理模块、字节向量学习模块、数据包载荷向量化表示模块、数据包载荷聚类模块和应用指纹提取模块。

公开(公告)号：CN105938562A

公开(公告)日：2016-09-14

申请号：CN201610230313.5

申请日：2016-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  桑亚飞 ,  常鹏 ,  庹宇鹏

IPC: G06K9/62 ,  G06N3/04

CPC classification number: G06K9/6223 ,  G06N3/0481

Abstract: 本发明提供一种自动化网络应用指纹提取方法，步骤包括：1)接收网络应用数据包，通过语言模型学习输出字节向量；2)对上述网络应用数据包载荷的逐个字节值所对应的字节向量进行连接操作，得到数据包载荷向量；3)根据上述数据包载荷向量，将上述网络应用数据包载荷划分成多个不同的聚簇；4)对每一个聚簇中一系列频繁共现的字节序列串进行提取，获得应用指纹。本发明还提供一种自动化网络应用指纹提取系统，包括：数据预处理模块、字节向量学习模块、数据包载荷向量化表示模块、数据包载荷聚类模块和应用指纹提取模块。

公开(公告)号：CN115913721A

公开(公告)日：2023-04-04

申请号：CN202211457073.4

申请日：2022-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  成振语 ,  谢江

IPC: H04L9/40

Abstract: 本发明涉及一种基于分层时空特征的HTTP恶意通联流量检测方法及系统，其方法包括：S1：对流量数据进行预处理，获取报文、请求流和响应流；构建报文灰度图、报文级和流级统计特征向量；S2：对灰度图进行归一化；将报文级和流级统计特征向量分别经编码器得到报文级和流级编码特征向量；S3：将归一化的灰度图经CNN网络得到报文级特征向量；将多个报文级特征向量按时序组成报文级特征向量序列，与报文级编码特征向量结合后输入LSTM，得到时序特征向量，将时序特征向量和流级编码特征向量进行拼接，得到输出特征向量，再对输出特征向量进行降维后计算分别属于恶意通联行为和良性的概率。本发明提供的方法可自动进行数据报文异常检测，具有较高检测防护率。

公开(公告)号：CN116614245A

公开(公告)日：2023-08-18

申请号：CN202310177705.X

申请日：2023-02-17

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  李想 ,  吕坤

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/0631 ,  H04L41/16 ,  H04L41/069

Abstract: 本发明涉及一种基于多源告警日志压缩的攻击路径建模方法及系统，其方法包括：步骤S1：收集多个网络安全引擎源产生的告警日志，进行预处理操作，得到预处理后告警日志；步骤S2：根据同源预处理后告警日志间的相似度，合并到同一个簇，形成网络攻击事件；步骤S3：对多源网络攻击事件，基于时间连续性及攻击连续性进行关联压缩，得到压缩后网络攻击事件并对其进行置信打分；步骤S4：对压缩打分后的网络攻击事件，使用时间Petri网络进行攻击图构建，得到所有可能的攻击路径；步骤S5：利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分后对攻击路径进行推荐评估。本发明提供的方法通过分析多源网络安全引擎源产生的海量告警日志，构建高可信度的攻击路径。