公开(公告)号：CN106850333B

公开(公告)日：2019-11-29

申请号：CN201611204074.2

申请日：2016-12-23

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  任春林 ,  丰轩 ,  白稳平 ,  闫兆腾 ,  李志 ,  孙利民

IPC: H04L12/26 ,  H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于反馈聚类的网络设备识别方法及系统。所述方法包括采集设备网络协议报文响应信息，对报文响应信息数据进行预处理，提取报文响应信息特征向量，利用特征向量进行聚类；建立聚类效用评估函数并对聚类结果进行验证；若本次聚类结果效用值低于目标效用值，则启动反馈模块对聚类模型进行参数调节，反之，则将得到的聚类结果用于识别网络设备品牌和型号；通过聚类效用评估模型和反馈模块能够有效地调节聚类模型，提升聚类效果。本发明能够基于网络协议响应报文采用自动聚类和反馈调节的方法识别网络设备品牌和型号，相对于现有方法，减少了设备识别的工作量，同时对于未知设备也具有识别的参考价值。

公开(公告)号：CN110414238A

公开(公告)日：2019-11-05

申请号：CN201910526523.2

申请日：2019-06-18

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  马原 ,  张国栋 ,  杨寿国 ,  朱红松 ,  孙利民

IPC: G06F21/57

Abstract: 本发明实施例提供一种同源二进制代码的检索方法及装置，其中方法包括，确定待检测函数的所有基本块以及每个基本块的基本块级别信息，生成待检测函数的控制流图，将所有基本块的基本块级别信息以及依赖关系作为待检测函数的控制调用信息；将控制调用信息输入至预先训练的神经网络模型中，输出待检测函数的编码向量，计算编码向量的哈希签名，作为待检索哈希签名；在预先构建的哈希签名库中检索是否存在与待检索哈希签名相同的哈希签名，若存在，则将检索到的哈希签名对应的二进制代码作为待检测函数的同源二进制代码。本发明实施例对可能存在漏洞风险的固件进行风险评估并为漏洞安全研究人员提供分析参考依据。

公开(公告)号：CN108900351A

公开(公告)日：2018-11-27

申请号：CN201810772584.2

申请日：2018-07-13

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  杨月 ,  文辉 ,  石志强 ,  孙利民

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明实施例提供一种内网设备类型识别方法及装置，该方法包括：基于内网环境中所有存活设备，根据监听到的特定协议包进行解析，获取所有活跃设备的Mac地址和设备连接关系图；设备连接关系图为目标存活设备的网络连接关系图，目标存活设备包括所有活跃设备和部分不活跃设备，或者所有活跃设备和所有不活跃设备；向不活跃设备发送主动探测包，以获取所有不活跃设备的Mac地址；根据设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址，获取内网环境中所有存活设备的设备类型。本发明实施例提供的内网设备类型识别方法及装置，采用主被动协同方式识别内网设备类型，能有效减少发送探测包的次数，降低对目标网络的干扰。

公开(公告)号：CN105282128B

公开(公告)日：2018-10-16

申请号：CN201410438611.4

申请日：2014-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 宋子龙 ,  倪顺 ,  朱红松 ,  于楠 ,  孙利民

IPC: H04L29/06 ,  G06F9/54

Abstract: 本发明涉及一种基于长连接的双向调用方法及系统，其方法包括步骤1：本地端发起一个连接请求到远程端；步骤2：本地端和远程端建立连接；步骤3：对远程端连接对象进行序列化，并加载序列化组件对象；步骤4：本地端执行通信线程；步骤5：调用远程方法；步骤6：远程通信线程结束，活跃节点从远程端转移到本地端；步骤7：本地端恢复获得活跃节点，判断当前通信是否完成，如果是，执行步骤8；否则，执行步骤5；步骤8：判断连接是否还存在于远程端，如果是，执行步骤4；否则，执行步骤9；步骤9：关闭连接，清除无效连接对象。本发明通信双方都可以互相调用对方提供的远程对象服务，不会受局域网的限制。

公开(公告)号：CN108399194A

公开(公告)日：2018-08-14

申请号：CN201810085018.4

申请日：2018-01-29

Applicant: 中国科学院信息工程研究所

Inventor： 文辉 ,  李科 ,  李红 ,  朱红松 ,  孙利民

IPC: G06F17/30

Abstract: 本发明提供一种网络威胁情报生成方法及系统，方法包括：利用关键词从网络上收集网络安全事件的文本信息；利用分类模型将文本信息进行分类，并将不属于任一类别的文本信息进行过滤；提取每个类别包含的每个文本信息中的安全实体，并生成每个类别包含的每个文本信息的文本摘要，根据安全实体和文本摘要组成情报信息；对同一时间戳的文本信息进行聚类，获得每个时间戳对应的类文本信息，获取不同时间戳的与同一网络安全事件相关的所有类文本信息，将与同一网络安全事件相关的所有类文本信息对应的情报信息按照时间戳的顺序进行排列，形成了以事件链为展现形式的情报追踪体系，便于安全从业人员实时跟踪某安全事件，减少情报收集的人力资源成本。

公开(公告)号：CN107277121A

公开(公告)日：2017-10-20

申请号：CN201710415343.8

申请日：2017-06-05

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  王志豪 ,  朱红松 ,  文辉

IPC: H04L29/08

Abstract: 本发明实施例提供一种网络设备定位方法及装置。所述方法包括：获取预设区域内的探测主机与网络地标之间的路径，其中待定位设备在预设区域中；利用预设规则获得路径中的共同路由器；根据距离预测模型、网络地标与共同路由器之间的网络时延和网络跳数，计算获得共同路由器的位置信息，将共同路由器作为辅助地标；根据辅助地标的位置信息对待定位设备进行定位。所述装置用于执行所述方法。本发明实施例通过利用预设规则从路径中获得共同路由器，并根据距离预测模型、网络地标与共同路由器之间的网络时延和网络跳数，计算获得共同路由器的位置信息，将共同路由器作为辅助地标，利用辅助地标对待定位设备进行定位，提高了定位的精确度。

公开(公告)号：CN107229563A

公开(公告)日：2017-10-03

申请号：CN201610178368.6

申请日：2016-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  常青 ,  陈昱 ,  王猛涛 ,  孙利民 ,  朱红松

IPC: G06F11/36 ,  G06K9/62

Abstract: 本发明公开了一种跨架构的二进制程序漏洞函数关联方法。本方法为：1)对待二进制程序的二进制文件进行逆向分析，得到一待测函数库；然后根据该待测函数库，获取函数调用图、函数控制流图、函数基本属性；2)根据函数调用图、函数控制流图、函数基本属性提取每一待测函数的特征；然后根据提取的特征和漏洞函数的特征，计算每一待测函数与漏洞函数的数值相似度；3)对于每一待测函数，分别构造该待测函数与漏洞函数的赋权二部图，采用二部图算法计算该待测函数与漏洞函数的整体相似度；4)如果待测函数与漏洞函数的整体相似度大于设定判定阈值，则判定该待测函数为疑似漏洞函数，反之判定为正常函数。本方法实现简单，易于推广。

公开(公告)号：CN106888209A

公开(公告)日：2017-06-23

申请号：CN201710120947.X

申请日：2017-03-02

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  余文豪 ,  朱红松 ,  陈千

IPC: H04L29/06

Abstract: 本发明涉及一种基于协议状态图深度遍历的工控漏洞挖掘方法。该方法包括：1)获取目标设备的网络数据包，对网络数据包进行预处理得到待分析数据包集合；2)对待分析数据包集合中的数据包进行分块处理得到大量协议基础块；3)提取单数据包内协议基础块间的约束关联关系及数据包间的状态转移关联关系，并以此为基础构造协议状态图；4)按深度优先方式对协议状态图进行遍历，生成并发送相应的畸形数据包；5)探测目标设备是否存活，若目标设备崩溃则根据畸形数据包编写POC脚本进行漏洞验证，从而发现目标设备中存在的安全漏洞。本发明能够有效地发现物联网及工业控制系统设备中存在的安全漏洞，解决了传统的漏洞挖掘方法有效性较差的问题。

公开(公告)号：CN106850333A

公开(公告)日：2017-06-13

申请号：CN201611204074.2

申请日：2016-12-23

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  任春林 ,  丰轩 ,  白稳平 ,  闫兆腾 ,  李志 ,  孙利民

IPC: H04L12/26 ,  H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于反馈聚类的网络设备识别方法及系统。所述方法包括采集设备网络协议报文响应信息，对报文响应信息数据进行预处理，提取报文响应信息特征向量，利用特征向量进行聚类；建立聚类效用评估函数并对聚类结果进行验证；若本次聚类结果效用值低于目标效用值，则启动反馈模块对聚类模型进行参数调节，反之，则将得到的聚类结果用于识别网络设备品牌和型号；通过聚类效用评估模型和反馈模块能够有效地调节聚类模型，提升聚类效果。本发明能够基于网络协议响应报文采用自动聚类和反馈调节的方法识别网络设备品牌和型号，相对于现有方法，减少了设备识别的工作量，同时对于未知设备也具有识别的参考价值。

公开(公告)号：CN105634868A

公开(公告)日：2016-06-01

申请号：CN201610041066.4

申请日：2016-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 黄伟武 ,  闫兆腾 ,  郑尧文 ,  白稳平 ,  朱红松 ,  孙利民

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L43/00 ,  H04L43/10 ,  H04L63/00 ,  H04L63/14 ,  H04L63/1433

Abstract: 本发明涉及一种网络扫描发包速率探测系统及方法，用于确定在不同网络环境中进行扫描工作的扫描主机的最佳发包速率。本发明首先从大量实验数据中获取先验知识，确定算法一些重要参数的初始值，然后在实际探测过程中对特定IP段重复扫描行为，根据实时存活主机数更新优化发包速率，并最终得到最佳速率值。本发明的最终目的是在进行网络扫描工作之前，扫描主机通过运行算法能在较短时间内自动探测到所处网络环境中的最佳扫描发包速率，从而在保证扫描效果的同时提高了扫描效率。