公开(公告)号：CN115065623A

公开(公告)日：2022-09-16

申请号：CN202210971580.3

申请日：2022-08-15

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  邢欣 ,  嵇程 ,  邱凌志 ,  袁艺

IPC: H04L43/18

Abstract: 本发明公开了一种主被动相结合的私有工控协议逆向分析方法，包括采集工控设备正常通信过程中的报文，对所述报文进行逆向分析，获得逆向分析结果；构造错误的报文格式，产生报文与工控设备进行通信交互；确定接收到错误数据后工控设备的响应方式；对所述逆向分析结果中的字段属性进行验证；构建待验证报文结构格式集合，构造报文并发送至工控设备，根据与工控设备通信交互的响应结果确定该报文结构是否为符合所述工控协议规范的正确报文格式；对逆向分析结果中的状态机信息进行扩展分析，获得最终的逆向分析结果。该方法能够对协议格式、字段属性和状态机的分析结果进行更深入的挖掘，归纳出能够更加真实反映出工控协议全局信息的逆向结果。

公开(公告)号：CN114584401B

公开(公告)日：2022-07-12

申请号：CN202210484503.5

申请日：2022-05-06

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  刘明芳 ,  吴琳 ,  许海滨 ,  嵇程 ,  贾晨

IPC: H04L9/40

Abstract: 本发明提供了一种面向大规模网络攻击的追踪溯源系统及方法，所述系统包括日志追踪模块、攻击检测模块、追踪溯源引擎模块和探针模块，日志追踪模块用于接收、汇集和存储所关联网络的日志信息以及网络攻击信息，将网络攻击信息推送至追踪溯源引擎模块；攻击检测模块用于对网络出入口经过的流量进行网络攻击检测和异常行为识别，将网络攻击信息存储到日志追踪模块中；追踪溯源引擎模块用于判断攻击信息是否源地址伪造攻击，调度探针模块对攻击流的源IP地址进行主动扫描和探测；探针模块用于对发现的网络攻击者主机指纹进行探测以及地理位置定位，实现对网络攻击者的追踪溯源。该系统能够实现弹性部署、低侵扰数据采集和多维攻击者画像重构。

公开(公告)号：CN114500122B

公开(公告)日：2022-07-01

申请号：CN202210401600.3

申请日：2022-04-18

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 嵇程 ,  许海滨 ,  邢欣 ,  蔡冰 ,  王广帧

IPC: H04L9/40 ,  H04L41/142 ,  H04L61/4511

Abstract: 本发明公开了一种基于多源数据融合的特定网络行为分析方法和系统，首先，在局域网流量中采集域名解析数据，同时获取固定IP基础资源信息，并搜集特定网络行为域名情况，建立三张数据表；接着，将三张表进行关联融合，获得特定网络行为下的设备访问记录；最后，以设备号为主数据，统计某时间段内对目标网络地址的访问行为情况，根据统计结果建立综合预警模型，筛选出存在相关行为的重点设备，并对特定网络行为域名情况进行迭代更新。该发明由局域网域名解析数据、IP基础资源数据和特定网络行为域名数据关联融合成设备行为记录数据，进而实现在单位内部网络被“黑客”劫持情况下的综合行为预警和重点设备筛选功能。

公开(公告)号：CN114584401A

公开(公告)日：2022-06-03

申请号：CN202210484503.5

申请日：2022-05-06

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  刘明芳 ,  吴琳 ,  许海滨 ,  嵇程 ,  贾晨

IPC: H04L9/40

Abstract: 本发明提供了一种面向大规模网络攻击的追踪溯源系统及方法，所述系统包括日志追踪模块、攻击检测模块、追踪溯源引擎模块和探针模块，日志追踪模块用于接收、汇集和存储所关联网络的日志信息以及网络攻击信息，将网络攻击信息推送至追踪溯源引擎模块；攻击检测模块用于对网络出入口经过的流量进行网络攻击检测和异常行为识别，将网络攻击信息存储到日志追踪模块中；追踪溯源引擎模块用于判断攻击信息是否源地址伪造攻击，调度探针模块对攻击流的源IP地址进行主动扫描和探测；探针模块用于对发现的网络攻击者主机指纹进行探测以及地理位置定位，实现对网络攻击者的追踪溯源。该系统能够实现弹性部署、低侵扰数据采集和多维攻击者画像重构。

公开(公告)号：CN114500122A

公开(公告)日：2022-05-13

申请号：CN202210401600.3

申请日：2022-04-18

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 嵇程 ,  许海滨 ,  邢欣 ,  蔡冰 ,  王广帧

IPC: H04L9/40 ,  H04L41/142 ,  H04L61/4511

Abstract: 本发明公开了一种基于多源数据融合的特定网络行为分析方法和系统，首先，在局域网流量中采集域名解析数据，同时获取固定IP基础资源信息，并搜集特定网络行为域名情况，建立三张数据表；接着，将三张表进行关联融合，获得特定网络行为下的设备访问记录；最后，以设备号为主数据，统计某时间段内对目标网络地址的访问行为情况，根据统计结果建立综合预警模型，筛选出存在相关行为的重点设备，并对特定网络行为域名情况进行迭代更新。该发明由局域网域名解析数据、IP基础资源数据和特定网络行为域名数据关联融合成设备行为记录数据，进而实现在单位内部网络被“黑客”劫持情况下的综合行为预警和重点设备筛选功能。