公开(公告)号：CN119182577A

公开(公告)日：2024-12-24

申请号：CN202411244080.5

申请日：2024-09-06

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  刚占慧 ,  樊佳讯 ,  王嘉伟 ,  杨佳宁 ,  陈柯宇

IPC: H04L9/40

Abstract: 本发明提出了一种基于攻击地址的网络安全方法、系统、设备及介质，该方法包括：基于支持深度包检测和流量分析的设备捕获并存储网络流量数据；构建机器学习模型，通过机器学习模型对网络流量数据进行实时数据处理，并对处理后的网络流量数据进行异常识别，确定可疑的伪造IP；对可疑的伪造IP进行反向DNS查询，判断其是否关联到已知的恶意域名或服务器；获取日志数据，并结合网络流量数据、DNS查询结果分析可疑的伪造IP的行为模式，获得攻击者的行为模式；根据攻击者的行为模式，调整和优化网络防御策略。本申请能够能有效应对伪造IP攻击，追踪攻击者的行为模式并以此调整和优化网络防御策略，提升整体网络安全防护能力。

公开(公告)号：CN112527843B

公开(公告)日：2023-04-14

申请号：CN202011506379.5

申请日：2020-12-18

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  杨佳宁 ,  陈柯宇 ,  杨立宝

IPC: G06F16/2455 ,  G06F16/2453 ,  G06F16/22 ,  G06F16/248 ,  G06F16/28 ,  G06F16/27

Abstract: 本申请适用于信息技术领域，提供了一种数据查询方法、装置、终端设备和存储介质。该数据查询方法包括：获取待查询指令；根据预先构建的指令索引表查找与所述待查询指令对应的目标数据信息；根据所述目标数据信息从指定服务器的最近最少使用LRU缓存中获取对应的目标缓存数据，并将所述目标缓存数据展示在指定的数据查询结果界面中。本申请先构建出记录查询频率大于设定阈值的各个数据查询指令与待查询数据之间对应关系的指令索引表，在获得查询指令之后，可以根据该指令索引表确定出目标数据信息，然后根据目标数据信息从LRU缓存中获取目标缓存数据以快速反馈查询结果，能够提高数据查询的效率。

公开(公告)号：CN115622760A

公开(公告)日：2023-01-17

申请号：CN202211212317.2

申请日：2022-09-30

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  郝志强 ,  杨佳宁 ,  刚占慧 ,  樊佳讯 ,  汪礼俊 ,  黄丹 ,  鞠远 ,  杨安 ,  陈柯宇 ,  张晓帆 ,  杨杰

IPC: H04L9/40

Abstract: 本发明涉及网络安全相关领域，具体为一种可定义的工控蜜罐系统及其运行方法，本发明通过设置在原有的蜜罐系统上设置配置界面模块、规约库模块和指纹库模块，由用户自由选择配置需要伪装的特定设备，提升了增强高级威胁防御能力，在此基础蜜罐系统根据配置需求，从指纹库中调取详细的指纹信息，并从规约库选择对应的规约，将两者的内容结合启动相应的规约程序，仿真真实设备诱骗攻击，让蜜罐具备足够的诱惑性，提高诱导攻击的成功率，保护用户真实资产，再通过设置数据分析中心模块，事后根据对攻击过程的分析，发现网络薄弱环节，针对性的对网络加固升级，大幅提升发现威胁，有效追踪溯源，并对攻击者实施反向控制，掌握防御主动权。

公开(公告)号：CN112491860A

公开(公告)日：2021-03-12

申请号：CN202011313226.9

申请日：2020-11-20

Applicant: 国家工业信息安全发展研究中心 ,  北京计算机技术及应用研究所

Inventor： 郭娴 ,  杨佳宁 ,  吴桐 ,  陈柯宇 ,  杨立宝

IPC: H04L29/06 ,  G06F16/2455 ,  G06F16/2458

Abstract: 本发明公开了一种面向工业控制网络的协同入侵检测方法，首先实时采集工业控制网络中的多维数据，包括企业用户数据、工业设备数据、工业控制网络流量数据；对采集得到的多维数据进行数据预处理，去除数据噪声，并构建半结构化数据；基于所述半结构化数据，采用机器学习、自然语言处理的方法提取用户特征、设备特征和流量特征；对所提取的三类特征进行信息抽取和关联关系挖掘，构建面向工业控制网络入侵检测的协同特征体系；在所构建协同特征体系的基础上，对影响工业控制网络安全的因素进行推理和分类，达到协同入侵检测的目的。上述方法实现了工业控制网络中的多层、多维入侵检测，从而提高了工业控制网络的安全性。

公开(公告)号：CN119030879A

公开(公告)日：2024-11-26

申请号：CN202411029574.1

申请日：2024-07-30

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  王冲华 ,  刚占慧 ,  杨佳宁 ,  陈柯宇 ,  樊佳讯 ,  王嘉伟 ,  杨杰 ,  李莹 ,  张晓帆 ,  杨安 ,  鞠远

IPC: H04L41/12 ,  H04L41/22 ,  H04L41/14 ,  H04L43/08 ,  H04L43/045

Abstract: 本申请涉及计算机技术领域，公开了一种基于协同流量监测的通讯拓扑信息建模方法及装置，方法包括：将采集的网络流量数据缓存至内存中，并对所述网络流量数据进行预处理，得到所述网络流量数据对应的网络流量属性；实时合并预设时间段内采集的所述网络流量属性相同的所述网络流量数据，得到合并网络流量数据，并对所述合并网络流量数据进行解析处理，得到初始网络流量数据；对所述初始网络流量数据进行建模处理，生成符合数据库要求的数据对象，并存储所述数据对象至数据库中，生成通信链路表；对所述通信链路表进行数据库物化视图处理，生成数据库物理视图。应用本方法可有效提高检索效率，满足高效查询要求，满足多维度的图查询需求。

公开(公告)号：CN115622759A

公开(公告)日：2023-01-17

申请号：CN202211212305.X

申请日：2022-09-30

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  郭娴 ,  汪礼俊 ,  陈柯宇 ,  杨杰 ,  张晓帆 ,  黄丹 ,  杨安 ,  鞠远 ,  刚占慧 ,  杨佳宁 ,  樊佳讯

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术相关领域，具体为一种异构环境下分布式蜜罐管理系统及其实现方法，本发明在蜜罐管理系统单元中设置自适应插件，使蜜罐管理系统单元能够自适应各分布节点的蜜罐诱捕系统单元的不同架构，实现不同的自适应插件进行管理，完成威胁数据的汇总和关联分析，更加全面的掌握网络的威胁情况，更加准确的进行追踪和溯源。

公开(公告)号：CN112528295A

公开(公告)日：2021-03-19

申请号：CN202011534863.9

申请日：2020-12-22

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  杨佳宁 ,  陈柯宇 ,  杨立宝

IPC: G06F21/57 ,  G06F16/951

Abstract: 本申请适用于网络安全技术领域，提供了一种工业控制系统的漏洞修复方法及装置。该漏洞修复方法包括：检测工业控制系统存在的待修复漏洞；获取所述待修复漏洞对应的目标漏洞信息；根据所述目标漏洞信息从预先构建的漏洞信息库中查找对应的目标漏洞修复工具，所述漏洞信息库中记录预设的多个已知漏洞信息以及每个已知漏洞信息对应的漏洞修复工具；采用所述目标漏洞修复工具对所述待修复漏洞进行修复。本申请通过预先构建漏洞信息库，并在获取到目标漏洞信息之后从漏洞信息库中确定出目标漏洞修复工具，最后通过目标漏洞修复工具对工业控制系统的待修复漏洞进行修复，该方法不仅能够对系统漏洞实时修复，且能够提高系统的修复效率。

公开(公告)号：CN115408102A

公开(公告)日：2022-11-29

申请号：CN202211009041.8

申请日：2022-08-22

Applicant: 国家工业信息安全发展研究中心

Inventor： 汪礼俊 ,  郭娴 ,  张晓帆 ,  杨安 ,  杨杰 ,  杨佳宁 ,  郝志强 ,  刚占慧 ,  陈柯宇 ,  樊佳讯 ,  鞠远 ,  黄丹

IPC: G06F9/455 ,  G06F8/61 ,  G06F9/445

Abstract: 本发明公开了一种自动化生成镜像环境的方法，包括以下步骤：S1、构建基镜像，下载linux系统镜像或构建Windows系统镜像；S2、系统镜像构建完成后，基于各种基镜像或者系统镜像来制作新的镜像环境；S3、根据步骤S2搭建出的镜像环境，自动上传到搭建好的docker仓库或开源仓库中。

公开(公告)号：CN115333766A

公开(公告)日：2022-11-11

申请号：CN202210730414.4

申请日：2022-06-24

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  郭娴 ,  汪礼俊 ,  杨杰 ,  刚占慧 ,  张晓帆 ,  杨安 ,  杨佳宁 ,  樊佳讯 ,  陈柯宇 ,  鞠远 ,  黄丹

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种基于行为场景的DGA域名检测系统及方法，检测系统包括数据采集和解析模块、DGA请求行为检测模块、DGA请求过程行为监测模块、DGA请求结果行为监测模块、关联设备行为监测模块和行为关联分析引擎；数据采集和解析模块用于采集网络流量日志和DNS日志，并对采集到的日志进行解析；DGA请求行为检测模块用于对日志解析得到的域名进行检测，以确定DGA恶意域名；行为关联分析引擎用于根据DGA请求过程行为监测模块的研判结果和DGA请求结果行为监测模块的研判结果进行综合研判，以根据研判结果产生DGA告警。本申请能够减少误报率，有效降低安全分析人员人工分析的工作量，提高分析效率。

公开(公告)号：CN111966641A

公开(公告)日：2020-11-20

申请号：CN202010828346.6

申请日：2020-08-18

Applicant: 国家工业信息安全发展研究中心

Inventor： 杨佳宁 ,  郭娴 ,  陈柯宇 ,  杨立宝 ,  李莹 ,  樊佳讯

IPC: G06F16/17 ,  G06F16/901 ,  G06F16/903

Abstract: 本发明公开了一种通用的日志范化模型配置方法和装置，所述方法包括以下步骤：获取待范化日志信息；从预置范化策略库中按照预设顺序选择预置范化策略，以所述预置范化策略作为当前预置范化策略；基于所述当前预置范化策略，对所述待范化日志信息进行范化处理以得到当前范化结果；按照预设顺序依次选择预置范化策略作为当前预置范化策略，并重复步骤：基于所述当前预置范化策略，对所述待范化日志信息进行范化处理以得到当前范化结果，提供了一种通用性和易用性的范化策略，根据用户需要自动设置不同范化策略和赋值方式，满足不同用户的需求。