公开(公告)号：CN117633560A

公开(公告)日：2024-03-01

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN117633560B

公开(公告)日：2024-04-09

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN115065623B

公开(公告)日：2022-11-01

申请号：CN202210971580.3

申请日：2022-08-15

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  邢欣 ,  嵇程 ,  邱凌志 ,  袁艺

IPC: H04L43/18

Abstract: 本发明公开了一种主被动相结合的私有工控协议逆向分析方法，包括采集工控设备正常通信过程中的报文，对所述报文进行逆向分析，获得逆向分析结果；构造错误的报文格式，产生报文与工控设备进行通信交互；确定接收到错误数据后工控设备的响应方式；对所述逆向分析结果中的字段属性进行验证；构建待验证报文结构格式集合，构造报文并发送至工控设备，根据与工控设备通信交互的响应结果确定该报文结构是否为符合所述工控协议规范的正确报文格式；对逆向分析结果中的状态机信息进行扩展分析，获得最终的逆向分析结果。该方法能够对协议格式、字段属性和状态机的分析结果进行更深入的挖掘，归纳出能够更加真实反映出工控协议全局信息的逆向结果。

公开(公告)号：CN115065623A

公开(公告)日：2022-09-16

申请号：CN202210971580.3

申请日：2022-08-15

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  邢欣 ,  嵇程 ,  邱凌志 ,  袁艺

IPC: H04L43/18

Abstract: 本发明公开了一种主被动相结合的私有工控协议逆向分析方法，包括采集工控设备正常通信过程中的报文，对所述报文进行逆向分析，获得逆向分析结果；构造错误的报文格式，产生报文与工控设备进行通信交互；确定接收到错误数据后工控设备的响应方式；对所述逆向分析结果中的字段属性进行验证；构建待验证报文结构格式集合，构造报文并发送至工控设备，根据与工控设备通信交互的响应结果确定该报文结构是否为符合所述工控协议规范的正确报文格式；对逆向分析结果中的状态机信息进行扩展分析，获得最终的逆向分析结果。该方法能够对协议格式、字段属性和状态机的分析结果进行更深入的挖掘，归纳出能够更加真实反映出工控协议全局信息的逆向结果。

公开(公告)号：CN114640620A

公开(公告)日：2022-06-17

申请号：CN202210561377.9

申请日：2022-05-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  嵇程 ,  邢欣 ,  张丽霞 ,  袁艺

IPC: H04L45/02 ,  H04L45/00 ,  H04L41/142 ,  G06K9/62 ,  G06N7/00

Abstract: 本发明提供了一种基于不完全信息推断互联网AS连接关系的方法，包括对每个分组中BGP采集点采集的AS之间的路径信息进行初始判定，获得一致性AS连接关系集合和无法判定的AS连接关系集合；每个分组对一致性AS连接关系集合中的同一个AS连接关系进行判定，获得可信的p2p连接关系或p2c连接关系，将其加入可信AS连接关系集合；一致性AS连接关系集合中的其他AS连接关系加入无法判定的AS连接关系集合；利用可信AS连接关系集合进行分类模型训练，利用训练好的分类模型对无法判定的AS连接关系集合中的AS连接关系进行判定，输出判定结果。该方法能够对无法判定关系类型的AS连接关系进行推断，构建准确的AS连接关系。