公开(公告)号：CN110351250A

公开(公告)日：2019-10-18

申请号：CN201910525671.2

申请日：2019-06-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  李建强 ,  刘中金 ,  孙中豪 ,  张晓明 ,  王进 ,  王庆 ,  何跃鹰

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种多数据源安全知识归集系统，能够有效应对当前安全网络知识库系统的数据来源多样、种类多样、数据元素丰富、以及知识实时更新的特点，其中数据采集自动化程度高，可大大减少知识收集成本，并且该设计实现人工与自动化收集并行，实现全面知识收集；同时该设计通过严谨、可靠的知识审核验证流程，实现知识安全可用归集，以及基于自动化工具验证，减少人工审核过程和人工审核错误率，最大化提高审核验证效率；另一方面通过人工审核验证过程，实现重点、难点知识的分类、识别、审核、验证，人工审核验证的加入，弥补了工具自动验证过程中高难度知识的辨识，如此基于工具和人工双重验证，实现了严谨、可靠、安全的知识过滤，收集。

公开(公告)号：CN110232012A

公开(公告)日：2019-09-13

申请号：CN201810182350.2

申请日：2018-03-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 张晓明 ,  何跃鹰 ,  张嘉玮 ,  孙中豪 ,  刘中金 ,  方喆君 ,  李明柱 ,  郭涛

IPC: G06F11/36

Abstract: 本发明公开了一种基于xml的模糊测试语言协议测试脚本和测试引擎，所述协议测试脚本包括根据工控和物联网协议报文格式，基于模糊测试语言和状态机自动生成测试脚本和针对被测设备状态，基于模糊测试语言生成监测脚本。本发明提供一种基于xml的模糊测试语言协议测试脚本和测试引擎，基于此语言自动生成测试脚本和监测脚本，并且提供测试引擎能够自动解析脚本语言生成测试数据包并发送给被测设备，完成测试任务，这种高效的模糊测试语言使得检测系统扩展新协议非常方便，而测试引擎架构也保证了发包机制的灵活性和扩展性。

公开(公告)号：CN109962916A

公开(公告)日：2019-07-02

申请号：CN201910207098.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  刘中金 ,  饶毓 ,  何跃鹰

IPC: H04L29/06 ,  H04L12/24 ,  G06Q50/04 ,  G06Q10/06

Abstract: 本发明涉及一种基于多属性的工业互联网安全态势评价方法，包括目标工业互联网相关软硬件构建，对国际互联网关口的网络流量进行监测分析，以每个目标地区Web资产合集为目标、得到目标地区Web资产的安全威胁指标，以每个地区硬件以及相关系统合集为目标、得到目标地区的硬件以及相关系统的安全威胁指标，根据每个目标地区的工业互联网相关协议端口被扫描次数、得出所有目标地区的综合安全威胁评价指标。上述技术方案中提供的基于多属性的工业互联网安全态势评价方法，有效解决了现有工业互联网安全态势评价技术局限于客观评价或主观评价的造成的权值系数不合理、决策准确性和可靠性稍差的问题，有效提高了工业互联网安全态势评价的水平和准确性。

公开(公告)号：CN109783430A

公开(公告)日：2019-05-21

申请号：CN201811467161.6

申请日：2018-12-03

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 党向磊 ,  张良 ,  李高超 ,  陈训逊 ,  刘中金 ,  张嘉玮 ,  缪亚男 ,  吴昊 ,  常雪侠

IPC: G06F15/17 ,  G06F16/27

Abstract: 本发明公开了一种表项快速同步的方法及系统，该表项快速同步的方法包括：第一步，用户下发表项至主控板卡CPU；第二步，主控板卡CPU通过板间带外通道发送表项至业务板卡CPU；第三步，主控板卡CPU通过板间带内通道发送表项至业务板卡NP处理器；第四步，业务板卡CPU通过板间带外通道异步接收表项至业务板卡本地数据库，与此同时，业务板卡NP处理器通过板外通道同步接收表项。本发明通过引入业务板卡CPU异步接收表项方式，使得业务板卡CPU在更短的时间内释放当前接收处理任务，进行下一次接收处理。并且表项接收后只需同步至本板数据库，不必再通过板内PCIe通道下发至本板NP处理器，简化了处理流程，释放了更多的CPU资源。

公开(公告)号：CN105488531B

公开(公告)日：2018-10-16

申请号：CN201510855073.3

申请日：2015-11-30

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 石志强 ,  刘中金 ,  王猛涛 ,  陈昱 ,  常青 ,  孙利民 ,  何跃鹰

IPC: G06K9/62

Abstract: 本发明涉及一种嵌入式设备固件解压成功的判断方法，其主要步骤包括：试验样本集固件收集、固件熵谱获取、固件熵谱指纹特征提取、分类器训练及固件是否解压成功的判断。该方法采用处理图像信号的方法对固件熵谱作相应处理，提取了固件熵谱的多域综合特征；利用正向熵阈值和负向熵阈值之间的回差有效避免了熵值在多次穿越单一阈值时所产生的干扰；在训练分类器时，首先对固件熵谱特征作Z‑Score标准化处理，再采用机器学习的思想和K折交叉验证的方法对分类器进行多次交叉重复训练；对于待测试固件，通过加权统计的方法对各分类器判断结果进行累计加权统计，以次数居多者作为对固件是否解压成功的最终判定结果，保证了所得结果的准确性。

公开(公告)号：CN108616400A

公开(公告)日：2018-10-02

申请号：CN201810437213.9

申请日：2018-05-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 方喆君 ,  卓子寒 ,  何跃鹰 ,  刘中金 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  孙中豪 ,  罗冰

IPC: H04L12/24 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种针对工业控制系统的脆弱性检查方法与装置，配置威胁发现检测系统，进而有数据发送端口与数据接收端口建立威胁检测的通道，通过自动的与客户端互联，接收客户端的指令或操作指令，根据操作指令自动调用对应的应用于测试用例，对待测设备进行威胁检测、可用性检测、兼容性检测，威胁包括但不限于待测工业控制系统给其他设备带来的威胁、其他设备对待测工业系统设备的威胁。本发明采用为增强工业控制系统的安全性，对现存的已知漏洞进行发现，进而做到知己知彼的目的，提前进行预防。

公开(公告)号：CN108600260A

公开(公告)日：2018-09-28

申请号：CN201810436596.8

申请日：2018-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 方喆君 ,  卓子寒 ,  何跃鹰 ,  刘中金 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  孙中豪 ,  罗冰 ,  李明柱 ,  孙帅

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明公开了一种工业物联网安全配置核查方法，由四个系统层组成的方法包括：基础平台层A，系统处理层B，核心服务层C和对外接入层D，基础平台层A包括专用硬件平台A1和基础软件平台A2，所述专用硬件平台A1包含了为该系统提供计算、存储、对外通信的硬件设备；基础软件平台A2包含了该系统专用操作系统、文件系统、硬盘加解密、程序加解密、网络服务、数据库、Web服务、等程序运行环境，系统处理层B包括数据处理B1和系统服务B2，所述数据处理B1为系统内部接口，提供系统访问数据库，访问系统文件，数据同步，输入输出处理等底层数据处理业务。同时数据处理可实现高效访问数据库，缓存数据，高并发。

公开(公告)号：CN105868108B

公开(公告)日：2018-09-07

申请号：CN201610182075.5

申请日：2016-03-28

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 石志强 ,  刘中金 ,  常青 ,  陈昱 ,  孙利民 ,  朱红松 ,  王猛涛 ,  何跃鹰

IPC: G06F11/36 ,  G06K9/62

Abstract: 本发明涉及一种基于神经网络的指令集无关的二进制代码相似性检测方法，其主要步骤包括：对二进制文件进行逆向分析，提取函数的调用关系特征、字符串特征、栈空间特征、代码规模特征、路径序列特征、路径基本特征，度序列特征、度基本特征，图规模特征等9个方面共24个特征。基于特征的表现形式，采用3种相似度计算方法计算待比较的两个函数的24个特征的相似程度，作为集成神经网络分类器的输入向量，获得两个函数整体相似度的预测值并进行排序。本发明与现有的技术比，不依赖特定的指令集，可以实现不同指令集的二进制文件的相似度检测，准确率高，技术简单，易于推广。

公开(公告)号：CN108449234A

公开(公告)日：2018-08-24

申请号：CN201810298560.8

申请日：2018-04-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 张晓明 ,  何跃鹰 ,  张嘉玮 ,  孙中豪 ,  刘中金 ,  方喆君 ,  李建强 ,  李明柱 ,  郭涛 ,  罗冰

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种基于动态分析的智能模糊测试方法，采用连接超时的动态调整算法，减少测试过程中不必要的等待时间，可以提高测试效率；采用响应超时的动态调整算法，避免了人为经验设置参数导致被测设备响应状态误报，可以提升测试的准确率；采用用例执行时间间隔的动态调整算法，对具有DOS防护机制的被测设备来说，测试加快，可以提高测试效率，缩短整体的测试时间；测试减慢，可以增加测试的可用性；采用IP+MAC动态调整算法，对具有DOS防护机制的被测设备来说，增大了测试的可用性，从而增强漏洞的挖掘能力。

公开(公告)号：CN108429802A

公开(公告)日：2018-08-21

申请号：CN201810188373.4

申请日：2018-03-07

Applicant: 国家计算机网络与信息安全管理中心 ,  清华大学

Inventor： 刘中金 ,  李勇 ,  肖少然 ,  方喆君 ,  张晓明 ,  何跃鹰

IPC: H04L29/08 ,  H04L12/24 ,  H04L12/26 ,  H04L29/06

CPC classification number: H04L67/12 ,  H04L41/142 ,  H04L43/50 ,  H04L63/1408

Abstract: 本发明提供一种物联网设备信息获取方法及装置。该方法包括：根据获取的流量数据序列及其与物联网设备的对应关系，获取部分物联网设备的设备信息，将设备信息已知物联网设备的流量特征分为预设数目的流量模式，并分别获取设备信息已知物联网设备的流量特征和设备信息未知物联网设备的流量特征在这些流量模式上的模式分布向量，根据设备信息未知物联网设备与设备信息已知物联网设备的模式分布向量相似度，将相似度最大值对应的设备信息已知物联网设备的设备信息作为设备信息未知物联网设备的设备信息，从而能够高效地获取物联网设备的设备信息，克服对云平台的流量规则进行分析以获得相应物联网设备的设备信息十分费时费力的问题。