公开(公告)号：CN112235264B

公开(公告)日：2022-10-14

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L9/40 ,  H04L47/2483 ,  H04L47/2441 ,  H04L67/141 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN111597109B

公开(公告)日：2022-03-11

申请号：CN202010335247.4

申请日：2020-04-24

Applicant: 清华大学 ,  国家计算机网络与信息安全管理中心

Inventor： 高健 ,  许怡文 ,  姜宇 ,  罗冰 ,  何跃鹰 ,  张晓明 ,  张嘉玮 ,  孙中豪 ,  曹可建 ,  李建强 ,  何清林 ,  王庆 ,  邢燕祯

IPC: G06F11/36 ,  G06F11/22 ,  G06F11/26

Abstract: 本发明实施例提供一种跨架构固件堆内存的缺陷检测方法及系统。该方法包括：获取仿真器和固件中的应用程序，在仿真器中基于二进制翻译技术对应用程序进行解析，使得应用程序与预设测试环境系统架构进行适配；通过遍历执行注册堆内存读写钩子函数和堆内存分配钩子函数，映射生成影子内存，基于影子内存执行预设内存缺陷检测算法，得到堆内存缺陷检测结果。本发明实施例通过仿真执行模块的跨平台特性，免于将检测工具部署到固件所在设备中，极大克服了传统内存检测工具需要部署到设备中的不切实际需求，提高对固件测试的效率，解决IoT设备存储空间有限的问题，同时内存缺陷检测模块也为在跨架构固件场景下检测多种堆内存缺陷提供有效解决方案。

公开(公告)号：CN112235264A

公开(公告)日：2021-01-15

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN110351250A

公开(公告)日：2019-10-18

申请号：CN201910525671.2

申请日：2019-06-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  李建强 ,  刘中金 ,  孙中豪 ,  张晓明 ,  王进 ,  王庆 ,  何跃鹰

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种多数据源安全知识归集系统，能够有效应对当前安全网络知识库系统的数据来源多样、种类多样、数据元素丰富、以及知识实时更新的特点，其中数据采集自动化程度高，可大大减少知识收集成本，并且该设计实现人工与自动化收集并行，实现全面知识收集；同时该设计通过严谨、可靠的知识审核验证流程，实现知识安全可用归集，以及基于自动化工具验证，减少人工审核过程和人工审核错误率，最大化提高审核验证效率；另一方面通过人工审核验证过程，实现重点、难点知识的分类、识别、审核、验证，人工审核验证的加入，弥补了工具自动验证过程中高难度知识的辨识，如此基于工具和人工双重验证，实现了严谨、可靠、安全的知识过滤，收集。

公开(公告)号：CN110232012A

公开(公告)日：2019-09-13

申请号：CN201810182350.2

申请日：2018-03-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 张晓明 ,  何跃鹰 ,  张嘉玮 ,  孙中豪 ,  刘中金 ,  方喆君 ,  李明柱 ,  郭涛

IPC: G06F11/36

Abstract: 本发明公开了一种基于xml的模糊测试语言协议测试脚本和测试引擎，所述协议测试脚本包括根据工控和物联网协议报文格式，基于模糊测试语言和状态机自动生成测试脚本和针对被测设备状态，基于模糊测试语言生成监测脚本。本发明提供一种基于xml的模糊测试语言协议测试脚本和测试引擎，基于此语言自动生成测试脚本和监测脚本，并且提供测试引擎能够自动解析脚本语言生成测试数据包并发送给被测设备，完成测试任务，这种高效的模糊测试语言使得检测系统扩展新协议非常方便，而测试引擎架构也保证了发包机制的灵活性和扩展性。

公开(公告)号：CN109508471A

公开(公告)日：2019-03-22

申请号：CN201811110142.8

申请日：2018-09-21

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  黄亮 ,  魏斌 ,  孟繁瑞 ,  王博 ,  孙立远 ,  徐晓燕 ,  张良 ,  郑礼雄 ,  刘伟 ,  党向磊 ,  方喆君 ,  孙中豪

IPC: G06F17/50

Abstract: 本发明公开了一种运动轨迹补全方法，该方法包括：获取两个相邻轨迹点记录之间的至少两条路径；基于两个相邻轨迹点记录的运动时长利用假设检验从至少两条路径中筛选出补全运动轨迹，补全运动轨迹能够通过假设检验，假设检验的至少部分参数是利用路径对应的相关运动记录得到的。本发明还公开了一种运动轨迹补全装置、可读存储介质。通过上述方式，本发明能够补全运动轨迹缺失的部分。

公开(公告)号：CN108616400A

公开(公告)日：2018-10-02

申请号：CN201810437213.9

申请日：2018-05-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 方喆君 ,  卓子寒 ,  何跃鹰 ,  刘中金 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  孙中豪 ,  罗冰

IPC: H04L12/24 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种针对工业控制系统的脆弱性检查方法与装置，配置威胁发现检测系统，进而有数据发送端口与数据接收端口建立威胁检测的通道，通过自动的与客户端互联，接收客户端的指令或操作指令，根据操作指令自动调用对应的应用于测试用例，对待测设备进行威胁检测、可用性检测、兼容性检测，威胁包括但不限于待测工业控制系统给其他设备带来的威胁、其他设备对待测工业系统设备的威胁。本发明采用为增强工业控制系统的安全性，对现存的已知漏洞进行发现，进而做到知己知彼的目的，提前进行预防。

公开(公告)号：CN108600260A

公开(公告)日：2018-09-28

申请号：CN201810436596.8

申请日：2018-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 方喆君 ,  卓子寒 ,  何跃鹰 ,  刘中金 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  孙中豪 ,  罗冰 ,  李明柱 ,  孙帅

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明公开了一种工业物联网安全配置核查方法，由四个系统层组成的方法包括：基础平台层A，系统处理层B，核心服务层C和对外接入层D，基础平台层A包括专用硬件平台A1和基础软件平台A2，所述专用硬件平台A1包含了为该系统提供计算、存储、对外通信的硬件设备；基础软件平台A2包含了该系统专用操作系统、文件系统、硬盘加解密、程序加解密、网络服务、数据库、Web服务、等程序运行环境，系统处理层B包括数据处理B1和系统服务B2，所述数据处理B1为系统内部接口，提供系统访问数据库，访问系统文件，数据同步，输入输出处理等底层数据处理业务。同时数据处理可实现高效访问数据库，缓存数据，高并发。

公开(公告)号：CN108494746A

公开(公告)日：2018-09-04

申请号：CN201810187959.9

申请日：2018-03-07

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  涂波 ,  刘丙双 ,  戴帅夫 ,  张建宇 ,  李少华 ,  闻博 ,  梅锋 ,  李莉 ,  蒋志鹏 ,  周模 ,  冯婷婷 ,  尚秋里 ,  张洛什 ,  李传海 ,  方喆君 ,  孙中豪

IPC: H04L29/06 ,  G06K9/62 ,  G06N99/00

Abstract: 本发明公开了一种网络端口流量异常检测方法及系统。本方法为：1)对目标数据平台中的通联会话日志流量进行读取并按照源端口号、目的端口号分组汇总，然后统计每个端口的流量指标数据，构成对应端口的流量序列；2)根据每一端口的流量序列，构成该端口的输入向量，输入LSTM网络得到该端口时刻t的流量预测值；将该端口时刻t的流量预测值与观测值进行对比；如果二者偏差大于设定条件，则确定该端口的流量异常；3)根据该端口的近期全部流量日志和预设规则对该端口的流量异常进行定性，判断出该端口的流量异常事件；如果无法判断，则将提取的流量日志输入训练好的机器学习模型对该端口的流量异常进行分类，识别出该端口的流量异常事件。

公开(公告)号：CN108449234A

公开(公告)日：2018-08-24

申请号：CN201810298560.8

申请日：2018-04-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 张晓明 ,  何跃鹰 ,  张嘉玮 ,  孙中豪 ,  刘中金 ,  方喆君 ,  李建强 ,  李明柱 ,  郭涛 ,  罗冰

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种基于动态分析的智能模糊测试方法，采用连接超时的动态调整算法，减少测试过程中不必要的等待时间，可以提高测试效率；采用响应超时的动态调整算法，避免了人为经验设置参数导致被测设备响应状态误报，可以提升测试的准确率；采用用例执行时间间隔的动态调整算法，对具有DOS防护机制的被测设备来说，测试加快，可以提高测试效率，缩短整体的测试时间；测试减慢，可以增加测试的可用性；采用IP+MAC动态调整算法，对具有DOS防护机制的被测设备来说，增大了测试的可用性，从而增强漏洞的挖掘能力。