公开(公告)号：CN115065623A

公开(公告)日：2022-09-16

申请号：CN202210971580.3

申请日：2022-08-15

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  邢欣 ,  嵇程 ,  邱凌志 ,  袁艺

IPC: H04L43/18

Abstract: 本发明公开了一种主被动相结合的私有工控协议逆向分析方法，包括采集工控设备正常通信过程中的报文，对所述报文进行逆向分析，获得逆向分析结果；构造错误的报文格式，产生报文与工控设备进行通信交互；确定接收到错误数据后工控设备的响应方式；对所述逆向分析结果中的字段属性进行验证；构建待验证报文结构格式集合，构造报文并发送至工控设备，根据与工控设备通信交互的响应结果确定该报文结构是否为符合所述工控协议规范的正确报文格式；对逆向分析结果中的状态机信息进行扩展分析，获得最终的逆向分析结果。该方法能够对协议格式、字段属性和状态机的分析结果进行更深入的挖掘，归纳出能够更加真实反映出工控协议全局信息的逆向结果。

公开(公告)号：CN114584401B

公开(公告)日：2022-07-12

申请号：CN202210484503.5

申请日：2022-05-06

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  刘明芳 ,  吴琳 ,  许海滨 ,  嵇程 ,  贾晨

IPC: H04L9/40

Abstract: 本发明提供了一种面向大规模网络攻击的追踪溯源系统及方法，所述系统包括日志追踪模块、攻击检测模块、追踪溯源引擎模块和探针模块，日志追踪模块用于接收、汇集和存储所关联网络的日志信息以及网络攻击信息，将网络攻击信息推送至追踪溯源引擎模块；攻击检测模块用于对网络出入口经过的流量进行网络攻击检测和异常行为识别，将网络攻击信息存储到日志追踪模块中；追踪溯源引擎模块用于判断攻击信息是否源地址伪造攻击，调度探针模块对攻击流的源IP地址进行主动扫描和探测；探针模块用于对发现的网络攻击者主机指纹进行探测以及地理位置定位，实现对网络攻击者的追踪溯源。该系统能够实现弹性部署、低侵扰数据采集和多维攻击者画像重构。

公开(公告)号：CN114500122B

公开(公告)日：2022-07-01

申请号：CN202210401600.3

申请日：2022-04-18

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 嵇程 ,  许海滨 ,  邢欣 ,  蔡冰 ,  王广帧

IPC: H04L9/40 ,  H04L41/142 ,  H04L61/4511

Abstract: 本发明公开了一种基于多源数据融合的特定网络行为分析方法和系统，首先，在局域网流量中采集域名解析数据，同时获取固定IP基础资源信息，并搜集特定网络行为域名情况，建立三张数据表；接着，将三张表进行关联融合，获得特定网络行为下的设备访问记录；最后，以设备号为主数据，统计某时间段内对目标网络地址的访问行为情况，根据统计结果建立综合预警模型，筛选出存在相关行为的重点设备，并对特定网络行为域名情况进行迭代更新。该发明由局域网域名解析数据、IP基础资源数据和特定网络行为域名数据关联融合成设备行为记录数据，进而实现在单位内部网络被“黑客”劫持情况下的综合行为预警和重点设备筛选功能。

公开(公告)号：CN114584401A

公开(公告)日：2022-06-03

申请号：CN202210484503.5

申请日：2022-05-06

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  刘明芳 ,  吴琳 ,  许海滨 ,  嵇程 ,  贾晨

IPC: H04L9/40

Abstract: 本发明提供了一种面向大规模网络攻击的追踪溯源系统及方法，所述系统包括日志追踪模块、攻击检测模块、追踪溯源引擎模块和探针模块，日志追踪模块用于接收、汇集和存储所关联网络的日志信息以及网络攻击信息，将网络攻击信息推送至追踪溯源引擎模块；攻击检测模块用于对网络出入口经过的流量进行网络攻击检测和异常行为识别，将网络攻击信息存储到日志追踪模块中；追踪溯源引擎模块用于判断攻击信息是否源地址伪造攻击，调度探针模块对攻击流的源IP地址进行主动扫描和探测；探针模块用于对发现的网络攻击者主机指纹进行探测以及地理位置定位，实现对网络攻击者的追踪溯源。该系统能够实现弹性部署、低侵扰数据采集和多维攻击者画像重构。

公开(公告)号：CN114500122A

公开(公告)日：2022-05-13

申请号：CN202210401600.3

申请日：2022-04-18

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 嵇程 ,  许海滨 ,  邢欣 ,  蔡冰 ,  王广帧

IPC: H04L9/40 ,  H04L41/142 ,  H04L61/4511

Abstract: 本发明公开了一种基于多源数据融合的特定网络行为分析方法和系统，首先，在局域网流量中采集域名解析数据，同时获取固定IP基础资源信息，并搜集特定网络行为域名情况，建立三张数据表；接着，将三张表进行关联融合，获得特定网络行为下的设备访问记录；最后，以设备号为主数据，统计某时间段内对目标网络地址的访问行为情况，根据统计结果建立综合预警模型，筛选出存在相关行为的重点设备，并对特定网络行为域名情况进行迭代更新。该发明由局域网域名解析数据、IP基础资源数据和特定网络行为域名数据关联融合成设备行为记录数据，进而实现在单位内部网络被“黑客”劫持情况下的综合行为预警和重点设备筛选功能。

公开(公告)号：CN113765879A

公开(公告)日：2021-12-07

申请号：CN202110695321.8

申请日：2021-06-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  吴琳 ,  罗雅琼 ,  许海滨 ,  邢欣 ,  贾晨 ,  苗杰

IPC: H04L29/06

Abstract: 本发明公开了网络安全技术领域的一种对称加密隧道破解方法、系统及存储介质，包括：将给定的对称加密隧道的流量接入构建的基于流量特征的对称加密隧道破解模型，获取破解结果。通过构建基于流量特征的对称加密隧道破解模型，无需提前了解目标设备使用的算法和实现细节，提高了对特定加密隧道的破解方法的适用性，解决了现有解密方法通用性不强的问题；提供了对接入的流量进行分析和破解的方法，无需与目标设备近距离接触，解决了破解加密隧道的隐蔽性的问题；提供了运用深度学习的对称加密隧道破解方法，结合深度学习的算法，使得本发明的破解准确度更高，破解更加高效。

公开(公告)号：CN112543200A

公开(公告)日：2021-03-23

申请号：CN202011433907.9

申请日：2020-12-10

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  俞宙 ,  顾弘 ,  胡鹏 ,  罗雅琼 ,  仲思超

IPC: H04L29/06 ,  H04W4/029 ,  H04W4/14

Abstract: 一种物联网卡用途违规的识别方法及系统涉及信息技术领域。本发明由物联网卡日志采集器、上网信息分析器、短信分析器、信令分析器和行为分析器组成；物联网卡日志采集器由上网日志采集器、短信日志采集器和信令日志采集器组成；本发明通过采集运营商上报的日志数据后，可自动对监控的流量或者信令基站数据进行分析，提取出违规行为，自动将用途违规的物联网卡归集，以便处理。

公开(公告)号：CN109508542A

公开(公告)日：2019-03-22

申请号：CN201811257486.1

申请日：2018-10-26

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  姚力

IPC: G06F21/55 ,  G06F1/20 ,  G06F11/30 ,  G06F16/955

Abstract: 本发明公开了一种大数据环境下WEB异常检测方法，包括正常URL逻辑回归模型构建，具体过程为：采用N-Gram模型，获取正常URL里的关键词列表；采用TfidfVectorizer函数把每个正常URL里的关键词做TF-IDF，得到向量化的特征；训练正常URL逻辑回归模型；异常检测，具体过程为：通过训练好的正常URL逻辑回归模型，过滤HTTP请求，若HTTP请求中的URL为正常URL，则响应HTTP请求。同时也公开了相应的系统和服务器。本发明的方法通过正常URL逻辑回归模型过滤HTTP请求，解决了传统基于规则匹配的web入侵检测，误报和漏报率高的问题。

公开(公告)号：CN119203976B

公开(公告)日：2025-02-11

申请号：CN202411687242.2

申请日：2024-11-25

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  中移(杭州)信息技术有限公司 ,  中国移动通信集团江苏有限公司宿迁分公司

Inventor： 赵云 ,  苏杭 ,  许源 ,  仲思超 ,  嵇程 ,  高亮 ,  马锐 ,  陆茹

IPC: G06F40/186 ,  G06F16/957 ,  G06F16/958

Abstract: 本发明公开了一种基于结构感知的网页去重方法，属于安全、基础设施和IT支撑技术领域，包括：步骤1，网页采集；步骤2，对采集网页的URL进行解析，生成URL参数特征标签；步骤3，构建URL特征信息及差异分析结果映射表，对采集网页进行初始化对比和过滤，更新URL特征信息及差异分析结果映射表；步骤4，若采集网页未被过滤，根据URL特征信息及差异分析结果映射表对采集网页提取加权区域，计算采集网页的SimHash值；步骤5，根据采集网页的SimHash值和网页URL，判断采集网页是否存在相似网页，若存在相似网页，进行去重处理。该方法提高了去重效率和准确性，适用于对大规模网页数据进行高效、精准地去重处理。

公开(公告)号：CN119203976A

公开(公告)日：2024-12-27

申请号：CN202411687242.2

申请日：2024-11-25

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  中移(杭州)信息技术有限公司 ,  中国移动通信集团江苏有限公司宿迁分公司

Inventor： 赵云 ,  苏杭 ,  许源 ,  仲思超 ,  嵇程 ,  高亮 ,  马锐 ,  陆茹

IPC: G06F40/186 ,  G06F16/957 ,  G06F16/958

Abstract: 本发明公开了一种基于结构感知的网页去重方法，属于安全、基础设施和IT支撑技术领域，包括：步骤1，网页采集；步骤2，对采集网页的URL进行解析，生成URL参数特征标签；步骤3，构建URL特征信息及差异分析结果映射表，对采集网页进行初始化对比和过滤，更新URL特征信息及差异分析结果映射表；步骤4，若采集网页未被过滤，根据URL特征信息及差异分析结果映射表对采集网页提取加权区域，计算采集网页的SimHash值；步骤5，根据采集网页的SimHash值和网页URL，判断采集网页是否存在相似网页，若存在相似网页，进行去重处理。该方法提高了去重效率和准确性，适用于对大规模网页数据进行高效、精准地去重处理。