公开(公告)号：CN117951691A

公开(公告)日：2024-04-30

申请号：CN202311793830.X

申请日：2023-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  延俊杰 ,  江钧 ,  张开 ,  凌志婷 ,  杨沛安 ,  王健

IPC: G06F21/55 ,  G06F18/213 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/042

Abstract: 本发明提供一种基于图卷积神经网络的系统日志攻击调查方法及系统，属于计算机网络安全领域，通过获取终端侧系统日志；将系统日志节点依据时间顺序、系统调用关系生成起源图；训练系统日志节点的向量表示；根据给定候选系统日志节点，生成候选系统日志节点的起源子图；根据起源子图中包含的系统日志节点之间的相似性，修剪冗余节点；基于图核算法与系统日志节点的向量相似度计算平衡训练数据集；基于注意力机制训练起源子图的类型与方向矩阵向量表示；基于图卷积神经网络学习起源子图的攻击行为模式特征，识别潜在的攻击节点。本发明无需引入专家知识，能够自动化学习攻击行为模式特征，提高分析调查速度，有效识别包括新型攻击在内的攻击活动。

公开(公告)号：CN112187716B

公开(公告)日：2021-07-20

申请号：CN202010870776.4

申请日：2020-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  靖蓉琦 ,  汪姝玮 ,  姜政伟 ,  江钧

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，得到新内容并确定该新内容的分类、属性和实例信息；2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量，并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤；然后对目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度；3)对目标恶意代码图谱中的恶意代码进行家族分类，然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算；然后对目标恶意代码图谱进行分层的布局和渲染展示。

公开(公告)号：CN109857917B

公开(公告)日：2021-07-13

申请号：CN201811569400.9

申请日：2018-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王天 ,  姜波 ,  江钧 ,  杜翔宇 ,  卢志刚 ,  姜政伟

IPC: G06F16/9038 ,  G06F16/904 ,  G06F16/953 ,  G06F9/54

Abstract: 本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。

公开(公告)号：CN112926327A

公开(公告)日：2021-06-08

申请号：CN202110230354.5

申请日：2021-03-02

Applicant: 首都师范大学 ,  中国科学院信息工程研究所

Inventor： 王旭仁 ,  熊子晗 ,  刘润时 ,  何松恒 ,  姜政伟 ,  施智平 ,  江钧 ,  凌志婷 ,  李小萌 ,  刘宝旭 ,  熊梦博 ,  朱新帅 ,  张小庆 ,  陈蓉

IPC: G06F40/295 ,  G06F40/30 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提供了一种实体识别方法、装置、设备及存储介质，该方法包括：获取原始威胁情报文本；针对每一原始威胁情报文本，按照分词所属实体的实体类型，对该原始威胁情报文本中的每一个分词进行标记，得到训练样本；将训练样本输入实体识别模型，利用该训练样本中的每一个分词以及该分词对应的所述实体标记，对该实体识别模型进行训练，得到训练好的实体识别模型，其中，实体识别模型在训练过程中使用的损失函数用于减小所属实体标记相同的分词之间的空间距离以及增大所属实体标记不同的分词之间的空间距离；将待识别的威胁情报文本输入训练好的实体识别模型中，得到实体识别结果。可以提高对威胁情报领域内特定类型实体的识别准确度。

公开(公告)号：CN112149420A

公开(公告)日：2020-12-29

申请号：CN202010905315.6

申请日：2020-09-01

Applicant: 中国科学院信息工程研究所 ,  首都师范大学

Inventor： 江钧 ,  王旭仁 ,  姜政伟 ,  刘鑫培 ,  杨沛安 ,  刘宝旭

IPC: G06F40/295 ,  G06F40/117 ,  G06F40/169 ,  G06F40/205 ,  G06F40/284 ,  G06F16/35

Abstract: 本发明公开了一种实体识别模型训练方法、威胁情报实体提取方法及装置。本提取方法步骤包括：1)获取待识别文本数据，对所述待识别文本数据中的每一词汇生成一对应的词汇向量，根据所述待识别文本数据中词汇的字符得到对应词汇的字符向量；然后根据词汇的所述字符向量和所述词汇向量得到对应词汇的特征向量；2)将所述待识别文本数据中各词汇的特征向量输入到所述实体识别模型中，得到各词汇的识别结果；3)根据词汇的所述识别结果，判断对应词汇是否属于威胁情报实体。所述实体识别模型采用基于具有注意力机制的双向长短期记忆网络以及Focal Loss算法的网络结构。本发明对于威胁情报实体的识别更加准确。

公开(公告)号：CN109857917A

公开(公告)日：2019-06-07

申请号：CN201811569400.9

申请日：2018-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王天 ,  姜波 ,  江钧 ,  杜翔宇 ,  卢志刚 ,  姜政伟

IPC: G06F16/9038 ,  G06F16/904 ,  G06F16/953 ,  G06F9/54

Abstract: 本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。

公开(公告)号：CN112667766A

公开(公告)日：2021-04-16

申请号：CN202011562097.7

申请日：2020-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 马春燕 ,  姜政伟 ,  江钧 ,  邓铭锋 ,  李宁 ,  刘宝旭

IPC: G06F16/31 ,  G06F16/2457 ,  G06K9/62 ,  H04L29/06

Abstract: 本发明设计了一种网络威胁情报元数据融合方法与系统，用于对多源异构网络威胁情报冲突解决。所述方法包括：非结构化网络威胁情报数据转化为结构化网络威胁情报；结构化网络威胁情报数据与元数据的映射；网络威胁情报元数据拆分；网络威胁情报元数据融合；对融合后的元数据通过定制化的输出模板以接口的形式提供给网络安全威胁情报分析人员使用。通过本发明可以实现对网络威胁情报数据以更加细粒度的方式进行融合，且自动化配置融合后的结果。

公开(公告)号：CN111859966A

公开(公告)日：2020-10-30

申请号：CN202010535333.X

申请日：2020-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 苏长鑫 ,  江钧 ,  杨沛安 ,  姜政伟 ,  李小萌 ,  王旭仁

IPC: G06F40/295 ,  G06F40/211 ,  G06F16/955

Abstract: 本发明提供一种面向网络威胁情报的标注语料生成方法及电子装置，包括：提取结构化威胁情报数据训练集中的安全实体，将各结构化威胁情报数据映射为 三元组，得到头实体集合与尾实体集合；提取待标注文本中的安全实体，获取包含至少一个属于头实体集合的安全实体与至少一个属于尾实体集合的安全实体的句子；判断句子中包含的关系类型；对所有句子的各 三元组进行标注，得到初始标注数据集，进而得到去噪标注数据集。本发明根据远程监督理论，利用已有结构化网络威胁情报数据对未标注语料进行标注，生成大规模训练语料，并提出自动去噪和交叉校验方法解决标注语料存在噪音数据的问题。

公开(公告)号：CN111580954A

公开(公告)日：2020-08-25

申请号：CN202010250430.4

申请日：2020-04-01

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  江钧 ,  李仲举 ,  贺义通

IPC: G06F9/50 ,  G06F9/54 ,  G06F16/951

Abstract: 本发明涉及一种可扩展的分布式数据采集方法和系统。该方法包括：部署主节点、工作节点和中间节点；主节点根据数据库中的定时任务定时生成采集任务，发布到消息队列的任务队列中；工作节点定时从任务队列读取采集任务并根据本地服务器的状态决定是否申请执行该采集任务；主节点从申请执行同一采集任务的工作节点中选取一个最佳的工作节点执行该采集任务，并将该采集任务从任务队列中移除；工作节点根据采集任务生成并执行采集进程，将采集的数据置入中间节点的消息队列中的数据队列；工作节点监控采集进程的运行状态并记录相关数据。本发明解决了现有数据采集系统易用性、通用性以及可管理性之间的矛盾以及分布式部署中任务分配不合理的难题。

公开(公告)号：CN118313710A

公开(公告)日：2024-07-09

申请号：CN202410051633.9

申请日：2024-01-12

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  游奕哲 ,  江钧 ,  杨沛安 ,  凌志婷 ,  李小萌 ,  张开

IPC: G06Q10/0639 ,  G06Q10/04 ,  G06F17/18 ,  G06F18/22 ,  G06F16/31 ,  G06F16/35 ,  G06F16/36 ,  G06F16/951 ,  G06F40/295 ,  G06N5/022

Abstract: 本发明公开了一种多层次动态黑客组织画像方法，其步骤包括：1)从各威胁情报来源获取黑客组织的威胁情报，并按照黑客组织对所获取的威胁情报信息进行索引；2)将每一黑客组织的威胁情报信息归纳为资源性、社会性以及技术性三个维度；3)针对每一维度的威胁情报信息进行定量分析，得到对应维度的画像数据；4)根据黑客组织各维度的画像数据，该黑客组织的攻击技术特征与活动态势特征生成该黑客组织的画像。本发明结合时间信息来刻画黑客组织的动态特征，从而更好的为黑客组织的溯源追踪提供维度丰富、内涵深刻且动态的画像情报知识。