公开(公告)号：CN112214757B

公开(公告)日：2022-08-02

申请号：CN202010714753.4

申请日：2020-07-23

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  杨佳宁 ,  陈柯宁 ,  杨立宝

IPC: G06F21/51 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明公开了一种基于windows驱动技术的终端注册表安全防护方法及防护系统，其中防护方法包括如下步骤：捕获操作系统发送的注册表请求更改指令。判断请求更改的注册表是否为待保护注册表防护策略中的注册表。在请求更改的注册表为待保护注册表防护策略中的注册表时拦截更改操作并控制代理组件向用户发送提示信息。本发明提出的基于windows驱动技术的终端注册表安全防护方法采用windows操作系统驱动的方式，保护指定的注册表路径以及所有子项不被篡改、删除。由于通过windows操作系统驱动的方式能够实现实时的检测，做到及时的拦截，且能够实现所有篡改操作的避免监控，实现对注册表保护的实时性、有效性、便捷性。

公开(公告)号：CN112528295A

公开(公告)日：2021-03-19

申请号：CN202011534863.9

申请日：2020-12-22

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  杨佳宁 ,  陈柯宇 ,  杨立宝

IPC: G06F21/57 ,  G06F16/951

Abstract: 本申请适用于网络安全技术领域，提供了一种工业控制系统的漏洞修复方法及装置。该漏洞修复方法包括：检测工业控制系统存在的待修复漏洞；获取所述待修复漏洞对应的目标漏洞信息；根据所述目标漏洞信息从预先构建的漏洞信息库中查找对应的目标漏洞修复工具，所述漏洞信息库中记录预设的多个已知漏洞信息以及每个已知漏洞信息对应的漏洞修复工具；采用所述目标漏洞修复工具对所述待修复漏洞进行修复。本申请通过预先构建漏洞信息库，并在获取到目标漏洞信息之后从漏洞信息库中确定出目标漏洞修复工具，最后通过目标漏洞修复工具对工业控制系统的待修复漏洞进行修复，该方法不仅能够对系统漏洞实时修复，且能够提高系统的修复效率。

公开(公告)号：CN119182577A

公开(公告)日：2024-12-24

申请号：CN202411244080.5

申请日：2024-09-06

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  刚占慧 ,  樊佳讯 ,  王嘉伟 ,  杨佳宁 ,  陈柯宇

IPC: H04L9/40

Abstract: 本发明提出了一种基于攻击地址的网络安全方法、系统、设备及介质，该方法包括：基于支持深度包检测和流量分析的设备捕获并存储网络流量数据；构建机器学习模型，通过机器学习模型对网络流量数据进行实时数据处理，并对处理后的网络流量数据进行异常识别，确定可疑的伪造IP；对可疑的伪造IP进行反向DNS查询，判断其是否关联到已知的恶意域名或服务器；获取日志数据，并结合网络流量数据、DNS查询结果分析可疑的伪造IP的行为模式，获得攻击者的行为模式；根据攻击者的行为模式，调整和优化网络防御策略。本申请能够能有效应对伪造IP攻击，追踪攻击者的行为模式并以此调整和优化网络防御策略，提升整体网络安全防护能力。

公开(公告)号：CN112527843B

公开(公告)日：2023-04-14

申请号：CN202011506379.5

申请日：2020-12-18

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  杨佳宁 ,  陈柯宇 ,  杨立宝

IPC: G06F16/2455 ,  G06F16/2453 ,  G06F16/22 ,  G06F16/248 ,  G06F16/28 ,  G06F16/27

Abstract: 本申请适用于信息技术领域，提供了一种数据查询方法、装置、终端设备和存储介质。该数据查询方法包括：获取待查询指令；根据预先构建的指令索引表查找与所述待查询指令对应的目标数据信息；根据所述目标数据信息从指定服务器的最近最少使用LRU缓存中获取对应的目标缓存数据，并将所述目标缓存数据展示在指定的数据查询结果界面中。本申请先构建出记录查询频率大于设定阈值的各个数据查询指令与待查询数据之间对应关系的指令索引表，在获得查询指令之后，可以根据该指令索引表确定出目标数据信息，然后根据目标数据信息从LRU缓存中获取目标缓存数据以快速反馈查询结果，能够提高数据查询的效率。

公开(公告)号：CN115622760A

公开(公告)日：2023-01-17

申请号：CN202211212317.2

申请日：2022-09-30

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  郝志强 ,  杨佳宁 ,  刚占慧 ,  樊佳讯 ,  汪礼俊 ,  黄丹 ,  鞠远 ,  杨安 ,  陈柯宇 ,  张晓帆 ,  杨杰

IPC: H04L9/40

Abstract: 本发明涉及网络安全相关领域，具体为一种可定义的工控蜜罐系统及其运行方法，本发明通过设置在原有的蜜罐系统上设置配置界面模块、规约库模块和指纹库模块，由用户自由选择配置需要伪装的特定设备，提升了增强高级威胁防御能力，在此基础蜜罐系统根据配置需求，从指纹库中调取详细的指纹信息，并从规约库选择对应的规约，将两者的内容结合启动相应的规约程序，仿真真实设备诱骗攻击，让蜜罐具备足够的诱惑性，提高诱导攻击的成功率，保护用户真实资产，再通过设置数据分析中心模块，事后根据对攻击过程的分析，发现网络薄弱环节，针对性的对网络加固升级，大幅提升发现威胁，有效追踪溯源，并对攻击者实施反向控制，掌握防御主动权。

公开(公告)号：CN112491860A

公开(公告)日：2021-03-12

申请号：CN202011313226.9

申请日：2020-11-20

Applicant: 国家工业信息安全发展研究中心 ,  北京计算机技术及应用研究所

Inventor： 郭娴 ,  杨佳宁 ,  吴桐 ,  陈柯宇 ,  杨立宝

IPC: H04L29/06 ,  G06F16/2455 ,  G06F16/2458

Abstract: 本发明公开了一种面向工业控制网络的协同入侵检测方法，首先实时采集工业控制网络中的多维数据，包括企业用户数据、工业设备数据、工业控制网络流量数据；对采集得到的多维数据进行数据预处理，去除数据噪声，并构建半结构化数据；基于所述半结构化数据，采用机器学习、自然语言处理的方法提取用户特征、设备特征和流量特征；对所提取的三类特征进行信息抽取和关联关系挖掘，构建面向工业控制网络入侵检测的协同特征体系；在所构建协同特征体系的基础上，对影响工业控制网络安全的因素进行推理和分类，达到协同入侵检测的目的。上述方法实现了工业控制网络中的多层、多维入侵检测，从而提高了工业控制网络的安全性。

公开(公告)号：CN111859397A

公开(公告)日：2020-10-30

申请号：CN202010714763.8

申请日：2020-07-23

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  杨佳宁 ,  陈柯宁 ,  杨立宝

IPC: G06F21/57 ,  G06F21/78 ,  G06F21/85

Abstract: 本发明涉及网络安全技术领域，具体公开了一种终端防护策略配置方法，其中，包括：分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项；根据每项防护策略项设置当前终端主机对应的组织结构层级关系的策略，当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略；根据预设策略合并规则合并当前终端主机对应的组织机构的策略、组织单元的策略和终端主机的策略，得到合并策略；将合并策略配置到当前终端主机，得到当前终端主机的终端防护策略。本发明还公开了一种终端防护策略配置装置。本发明提供的终端防护策略配置方法配置灵活，能够实现对终端主机的有效防御。

公开(公告)号：CN115333766B

公开(公告)日：2024-11-19

申请号：CN202210730414.4

申请日：2022-06-24

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  郭娴 ,  汪礼俊 ,  杨杰 ,  刚占慧 ,  张晓帆 ,  杨安 ,  杨佳宁 ,  樊佳讯 ,  陈柯宇 ,  鞠远 ,  黄丹

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种基于行为场景的DGA域名检测系统及方法，检测系统包括数据采集和解析模块、DGA请求行为检测模块、DGA请求过程行为监测模块、DGA请求结果行为监测模块、关联设备行为监测模块和行为关联分析引擎；数据采集和解析模块用于采集网络流量日志和DNS日志，并对采集到的日志进行解析；DGA请求行为检测模块用于对日志解析得到的域名进行检测，以确定DGA恶意域名；行为关联分析引擎用于根据DGA请求过程行为监测模块的研判结果和DGA请求结果行为监测模块的研判结果进行综合研判，以根据研判结果产生DGA告警。本申请能够减少误报率，有效降低安全分析人员人工分析的工作量，提高分析效率。

公开(公告)号：CN117857184A

公开(公告)日：2024-04-09

申请号：CN202410037585.8

申请日：2024-01-10

Applicant: 国家工业信息安全发展研究中心

Inventor： 刚占慧 ,  张晓帆 ,  杨杰 ,  陈柯宇 ,  李丽 ,  郭娴 ,  杨佳宁 ,  杨安 ,  鞠远 ,  樊佳讯 ,  李莹

IPC: H04L9/40

Abstract: 本说明书实施例提供的基于端口检测的资产风险预警方法，包括：周期性统计目标网络系统中端口的受威胁次数，并基于所述受威胁次数，计算得到危险端口列表，其中，所述危险端口为目标网络系统中存在威胁告警的端口；基于所述危险端口列表，动态调整所述危险端口以及所述危险端口对应的危害级别；根据所述危险端口和所述危险端口对应的危害级别，对资产脆弱性进行评估，得到评估结果，并基于所述评估结果，开展资产风险预警，应用本方法，通过将动态危险端口检测技术与入侵检测、异常预警等威胁分析技术相结合，并将动态计算出的危险端口及其危害级别，计入到资产脆弱性的计算因子中，提高资产风险的计算准确率。

公开(公告)号：CN115408202A

公开(公告)日：2022-11-29

申请号：CN202211008390.8

申请日：2022-08-22

Applicant: 国家工业信息安全发展研究中心

Inventor： 汪礼俊 ,  郝志强 ,  郭娴 ,  陈柯宇 ,  张晓帆 ,  杨佳宁 ,  刚占慧 ,  杨安 ,  杨杰 ,  樊佳讯 ,  鞠远 ,  黄丹

IPC: G06F11/14 ,  G06F8/61 ,  G06F9/455

Abstract: 本发明公开了一种基于容器技术的自动拷贝应用方法，包括以下步骤：获取操作系统镜像和待拷贝应用程序；通过OS模块查询是否存在存储空间，如存在则不做任何操作，如不存在则对所述存储空间进行创建；运行所述操作系统镜像并挂载所述存储空间；通过DockerSDK用CP的方式将所述待拷贝应用程序拷贝到所述存储空间下；本发明能够通过代码加拷贝方案解决目前寻找制作漏洞镜像困难的问题，从而节省相关人员大量的时间。