公开(公告)号：CN113076355A

公开(公告)日：2021-07-06

申请号：CN202110381680.6

申请日：2021-04-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 林星辰 ,  吴倩 ,  张家旺 ,  张晓娜

IPC: G06F16/2458 ,  G06F9/451 ,  G06F16/2455 ,  G06F16/25

Abstract: 本发明公开了一种数据安全流动态势感知的方法，具体步骤如下，步骤一：安全数据归整聚合(1)通过数据采集探针采集多种安全审计设备日志，通过API获取数据流转过程中的数据日志，进行数据采集，将采集的数据入库到数据中台，数据中台采用大数据组件建设，(2)采用推送和拉取的方式从数据中台中提取日志数据，然后对日志数据进行数据认证，再将其发送至Flume组件，(3)Flume组件设置重要或敏感数据的数据标签和数据安全风险识别规则，对重要数据进行TAG打标，并生成新的数据入库到大数据存储组件中。本发明通过将分片化的数据归整聚合，运用多维度算法聚合分析结果，流动式呈现数据安全态势。

公开(公告)号：CN110458094A

公开(公告)日：2019-11-15

申请号：CN201910735429.8

申请日：2019-08-09

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: G06K9/00 ,  G06K9/62

Abstract: 本发明公开了一种基于指纹相似度的设备分类方法，包括：建立已知的同一类型设备的样本集，提取样本集对应的指纹信息，以得平均相似度和中心点样本指纹集；获取样本集内的每个设备与中心点样本指纹集的相似度，计算每个已知类型设备指纹信息相似度到中心点样本指纹集的相似距离，确定最大相似距离；计算未知类型设备集内每个样本与中心点样本指纹集所在的中心点样本的空间距离，若大于最大相似距离，则样本属于中心点样本集所在的样本类型，否则，样本不属于样本类型，若出现未正确识别样本，重新加入样本集，重新计算中心点样本，以完成自动分类。本发明提高了设备分类的效率和准确性，并避免了因信息发送变化导致的指纹识别失败的问题。

公开(公告)号：CN110430080A

公开(公告)日：2019-11-08

申请号：CN201910724612.8

申请日：2019-08-07

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: H04L12/24 ,  H04L12/751

Abstract: 本发明实施例提供一种网络拓扑探测方法及装置，所述方法包括：基于TCP、UDP和/或ICMP扫描以及路由跟踪技术对网络中设备之间的邻接关系进行主动探测，获得所述网络的拓扑主干信息；在所述网络的流量汇聚节点或交换节点处采用镜像网络流量方式进行数据采集，对采集的网络流量进行包含以太网层分析、网络层分析和应用层分析的多维度综合分析，获得所述网络的拓扑分支信息；将所述网络的拓扑主干信息与所述网络的拓扑分支信息以IP为维度进行信息融合，获得所述网络的网络拓扑。本发明实施例充分地利用了主被动拓扑探测信息，减少了对用户网络产生影响，提高了探测效率和准确性。

公开(公告)号：CN108632272A

公开(公告)日：2018-10-09

申请号：CN201810419714.4

申请日：2018-05-04

Applicant: 成都信息工程大学 ,  国家计算机网络与信息安全管理中心

Inventor： 林宏刚 ,  陈麟 ,  黄元飞 ,  张家旺 ,  李燕伟 ,  王鹏翩 ,  尹杰 ,  曹鹤鸣 ,  蒋梦丹 ,  林星辰 ,  应志军 ,  吴倩 ,  杜薇 ,  陈禹 ,  张晓娜 ,  王博 ,  杨鹏 ,  高强 ,  陈亮

IPC: H04L29/06

Abstract: 本发明属于网络空间安全领域，公开了一种基于网络的攻击工具识别方法及系统，在测试环境使用网络攻击工具对目标系统进行攻击并获取网络数据样本；对没有的攻击工具通过Honeypot进行获取可疑的数据样本；将攻击样本分组进行序列联配，然后通过对联配结果重复进行迭代联配；提取出共性的、不变的成分，最终提取出每一种攻击工具最优的攻击特征，然后根据每个工具的攻击特征识别黑客工具。本发明直接对攻击工具的网络数据样本进行分析和比较，提取出共性的、不变的成分，形成攻击的特征，更能准确区分不同的攻击工具，提高识别率；同时克服从日志中提取存在的误报和虚报问题，提高了识别的准确率。

公开(公告)号：CN107294979A

公开(公告)日：2017-10-24

申请号：CN201710513608.8

申请日：2017-06-29

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 黄元飞 ,  李燕伟 ,  王博 ,  杨鹏 ,  高强 ,  陈亮 ,  应志军 ,  林星辰 ,  王鹏翩 ,  张家旺 ,  吴倩 ,  杜薇 ,  陈禹 ,  张淼

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明提供了一种基于配置核查的网络安全评估方法和装置，其中，方法包括：获取目标系统的M个目标设备的信息，目标设备的信息包括：目标设备的类型和目标设备的网际协议IP，M为大于等于1的整数；针对每个目标设备，获取目标设备的类型对应的基线检查模板，基线检查模板中包含基线检查项和基线检查项对应的基线安全判别规则；根据目标设备的IP和基线检查模板中包含基线检查项，获取目标设备的基线待检查项的配置信息；根据基线待检查项的配置信息和基线安全判别规则，确定目标设备的风险值；进而，确定目标系统的风险值。本发明提供的基于配置核查的网络安全评估方法和装置，可以解决现有的ICS的风险评估方法直观性差的问题。