公开(公告)号：CN106657410B

公开(公告)日：2018-04-03

申请号：CN201710110615.3

申请日：2017-02-28

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力公司信息通信分公司

Inventor： 廖鹏 ,  夏元轶 ,  郭靓 ,  于晓文 ,  金倩倩 ,  蒋甜 ,  张骞 ,  李炜键 ,  赵俊峰

IPC: H04L29/08 ,  H04L12/26

Abstract: 本发明公开了基于用户访问序列的异常行为检测方法：步骤1、从本地网络抓取数据，对数据进行预处理，对得到的数据进行序列化处理；步骤2、将步骤1形成的序列存入序列数据库，并基于时间生成每个用户的行为序列；步骤3、通过每个用户的行为序列计算用户之间的行为相似度和相关系数，比较相关系数进行异常行为检测，寻找用户异常行为。该方法基于序列模式挖掘，充分考虑时间及用户自身行为特征等因素，并使用经过改进的更准确的用户行为相似度算法计算，有效地提取出用户访问的序列规则，使得分析结果更加准确，弥补其他分析方法的不足。此外，该方法基于用户行为相似度算法，在噪声干扰上具有明显的优势，使用资源少，运行效率高。

公开(公告)号：CN106657410A

公开(公告)日：2017-05-10

申请号：CN201710110615.3

申请日：2017-02-28

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力公司信息通信分公司

Inventor： 廖鹏 ,  夏元轶 ,  郭靓 ,  于晓文 ,  金倩倩 ,  蒋甜 ,  张骞 ,  李炜键 ,  赵俊峰

IPC: H04L29/08 ,  H04L12/26

Abstract: 本发明公开了基于用户访问序列的异常行为检测方法：步骤1、从本地网络抓取数据，对数据进行预处理，对得到的数据进行序列化处理；步骤2、将步骤1形成的序列存入序列数据库，并基于时间生成每个用户的行为序列；步骤3、通过每个用户的行为序列计算用户之间的行为相似度和相关系数，比较相关系数进行异常行为检测，寻找用户异常行为。该方法基于序列模式挖掘，充分考虑时间及用户自身行为特征等因素，并使用经过改进的更准确的用户行为相似度算法计算，有效地提取出用户访问的序列规则，使得分析结果更加准确，弥补其他分析方法的不足。此外，该方法基于用户行为相似度算法，在噪声干扰上具有明显的优势，使用资源少，运行效率高。

公开(公告)号：CN107046543A

公开(公告)日：2017-08-15

申请号：CN201710281842.2

申请日：2017-04-26

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网福建省电力有限公司信息通信分公司

Inventor： 廖鹏 ,  郭靓 ,  陈春霖 ,  韩勇 ,  金倩倩 ,  于晓文 ,  蒋甜 ,  李炜键 ,  姜帆 ,  俞皓 ,  贾雪 ,  张路煜 ,  林学峰 ,  秦学嘉 ,  丁晓玉 ,  张明扬 ,  周晟 ,  郭蔡炜 ,  关海潮 ,  刘盼

IPC: H04L29/06

CPC classification number: H04L63/14 ,  H04L63/1408 ,  H04L63/1433 ,  H04L63/1441 ,  H04L63/145 ,  H04L63/1466 ,  H04L63/1475

Abstract: 本发明公开了一种面向攻击溯源的威胁情报分析系统，包括内外部威胁情报收集模块和攻击溯源分析模块；内部威胁情报收集模块包括安全检测模块和安全分析模块；攻击溯源分析模块包括攻击者溯源和攻击主机溯源；通过内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块，攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源，将得到的结果反馈给安全检测模块和安全分析模块；同时结果也会和外部合作结构进行威胁情报共享交换。本发明不仅可以单独、快速完成威胁情报分析检测，也可以为针对企业的攻击提供预测，该方法面向攻击溯源，从源头上分析攻击的方式目的，更好的辨别攻击者的身份。

公开(公告)号：CN107147639B

公开(公告)日：2018-07-24

申请号：CN201710316301.9

申请日：2017-05-08

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网福建省电力有限公司信息通信分公司

Inventor： 姜帆 ,  于晓文 ,  刘莹 ,  金倩倩 ,  郭靓 ,  李炜键 ,  贾雪 ,  俞皓 ,  张路煜 ,  屠正伟 ,  张丹 ,  张骞 ,  刘强 ,  栾国强 ,  林苏蓉 ,  傅慧斌 ,  杨业平

IPC: H04L29/06 ,  G06F21/57 ,  G06F21/55 ,  G06F17/30

Abstract: 本发明公开了一种基于复杂事件处理的实时安全预警方法，具体包括以下几个步骤：(1)利用范式化引擎将采集到的安全数据进行日志字段分割，并依据字段的要求对字段进行规范化，按照期望输出的字段，关联知识库信息；(2)利用数据流语义分析引擎，依据将要作为场景建模的复杂事件实例，进行数据上下文分析，依据标准化的分析字段模板，分析映射流数据；(3)利用安全分析模型计算引擎，在分析规则计算模块中，基于点事件、边缘事件、间隔事件进行按场景分析，生成预警事件。本发明通过可配置的范式化规则、语义识别规则、安全分析规则实现原始日志数据的多角度关联分析，及时发现未知威胁并进行预警。

公开(公告)号：CN107147639A

公开(公告)日：2017-09-08

申请号：CN201710316301.9

申请日：2017-05-08

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网福建省电力有限公司信息通信分公司

Inventor： 姜帆 ,  于晓文 ,  刘莹 ,  金倩倩 ,  郭靓 ,  李炜键 ,  贾雪 ,  俞皓 ,  张路煜 ,  屠正伟 ,  张丹 ,  张骞 ,  刘强 ,  栾国强 ,  林苏蓉 ,  傅慧斌 ,  杨业平

IPC: H04L29/06 ,  G06F21/57 ,  G06F21/55 ,  G06F17/30

Abstract: 本发明公开了一种基于复杂事件处理的实时安全预警方法，具体包括以下几个步骤：(1)利用范式化引擎将采集到的安全数据进行日志字段分割，并依据字段的要求对字段进行规范化，按照期望输出的字段，关联知识库信息；(2)利用数据流语义分析引擎，依据将要作为场景建模的复杂事件实例，进行数据上下文分析，依据标准化的分析字段模板，分析映射流数据；(3)利用安全分析模型计算引擎，在分析规则计算模块中，基于点事件、边缘事件、间隔事件进行按场景分析，生成预警事件。本发明通过可配置的范式化规则、语义识别规则、安全分析规则实现原始日志数据的多角度关联分析，及时发现未知威胁并进行预警。

公开(公告)号：CN106469271A

公开(公告)日：2017-03-01

申请号：CN201610700482.0

申请日：2016-08-22

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司

Inventor： 宋子锋 ,  杨维永 ,  黄益彬 ,  纪元 ,  刘苇 ,  李斌斌 ,  李炜键 ,  屠正伟

IPC: G06F21/51

CPC classification number: G06F21/51

Abstract: 本发明公开了一种基于强制访问控制与权能结合以去除Root权限的方法，包括以下步骤：1）将具有S位的程序进行归类；2）将完成归类的具有S位的程序按照需要赋予权能，赋给程序相对应的二进制可执行文件权能；3）对发出操作执行的用户和将要执行的目标程序的类型进行对比验证，如果对比验证通过、即用户和目标程序相关联，则运行目标程序；如果对比验证不通过、即用户和目标程序不关联，则拒绝用户的操作执行请求并退出。本发明的基于强制访问控制与权能结合以去除Root权限的方法，使用Linux的S位程序机制，实现强制访问控制，使得普通用户执行程序后将获得超级用户的特权，通用性强，兼容性好，灵活性高，提升操作系统安全性。

公开(公告)号：CN107145789B

公开(公告)日：2019-08-23

申请号：CN201710363739.2

申请日：2017-05-22

Applicant: 国网江苏省电力公司电力科学研究院 ,  国家电网公司 ,  南京南瑞集团公司 ,  江苏省电力试验研究院有限公司

Inventor： 周超 ,  姜帆 ,  陈春霖 ,  郭靓 ,  黄伟 ,  郭雅娟 ,  朱道华 ,  姜海涛 ,  金倩倩 ,  李炜键 ,  于晓文 ,  贾雪 ,  俞皓 ,  张路煜 ,  屠正伟 ,  刘强 ,  洪昊 ,  朱进

IPC: G06F21/57 ,  G06F16/245 ,  G06F16/248

Abstract: 本发明公开了一种大数据安全分析的可视化交互式方法，包括以下步骤，步骤（A），通过Web展示规则配置界面、告警预览界面，并进行配置；步骤（B），确立交互模型，实现输入的场景与规则片段信息的组合分析处理；步骤（C），建立规则库，实现场景规则数据的结构化存储；步骤（D），大数据安全分析，实现实时大数据及场景规则的数据关联分析。本发明的大数据安全分析的可视化交互式方法，在传统攻击场景建模基础上，使用了可视化的规则配置界面，并在规则生效后可预览告警，提高了场景建模的可视性及交互性，实现了可视化交互的攻击场景建模，便于大数据安全分析，具有良好的应用前景。

公开(公告)号：CN107145789A

公开(公告)日：2017-09-08

申请号：CN201710363739.2

申请日：2017-05-22

Applicant: 国网江苏省电力公司电力科学研究院 ,  国家电网公司 ,  南京南瑞集团公司 ,  江苏省电力试验研究院有限公司

Inventor： 周超 ,  姜帆 ,  陈春霖 ,  郭靓 ,  黄伟 ,  郭雅娟 ,  朱道华 ,  姜海涛 ,  金倩倩 ,  李炜键 ,  于晓文 ,  贾雪 ,  俞皓 ,  张路煜 ,  屠正伟 ,  刘强 ,  洪昊 ,  朱进

IPC: G06F21/57 ,  G06F17/30

Abstract: 本发明公开了一种大数据安全分析的可视化交互式方法，包括以下步骤，步骤（A），通过Web展示规则配置界面、告警预览界面，并进行配置；步骤（B），确立交互模型，实现输入的场景与规则片段信息的组合分析处理；步骤（C），建立规则库，实现场景规则数据的结构化存储；步骤（D），大数据安全分析，实现实时大数据及场景规则的数据关联分析。本发明的大数据安全分析的可视化交互式方法，在传统攻击场景建模基础上，使用了可视化的规则配置界面，并在规则生效后可预览告警，提高了场景建模的可视性及交互性，实现了可视化交互的攻击场景建模，便于大数据安全分析，具有良好的应用前景。

公开(公告)号：CN110213226A

公开(公告)日：2019-09-06

申请号：CN201910327057.5

申请日：2019-04-23

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司信息通信分公司 ,  国家电网有限公司

Inventor： 金倩倩 ,  刘行 ,  高鹏 ,  郭靓 ,  徐旸 ,  李炜键 ,  廖鹏 ,  刘莹 ,  樊涛 ,  杨维永 ,  姜训

IPC: H04L29/06 ,  G06F17/50

Abstract: 本发明公开了一种基于风险全要素辨识关联的网络攻击场景重建方法及系统，属于网络安全技术领域。方法包括：确定网络安全风险全要素；确定攻击阶段状态，关联网络安全风险全要素确定各攻击阶段状态间的转换条件和转换动作，构成网络攻击阶段有限状态机；获取新的攻击数据，并将新的攻击数据标准化为网络安全风险全要素；将标准化得到的网络安全风险全要素输入攻击阶段有限状态机，确定攻击阶段有限状态机的状态，此状态机即为网络空间中的攻击场景。本发明通过基于攻击阶段的状态机实现了实时的攻击场景自动重建。

公开(公告)号：CN111988329B

公开(公告)日：2022-04-19

申请号：CN202010881361.7

申请日：2020-08-27

Applicant: 国网湖北省电力有限公司 ,  国网湖北省电力有限公司信息通信公司 ,  南京南瑞信息通信科技有限公司

Inventor： 李晶 ,  黄杰 ,  朱国威 ,  袁慧 ,  李炜键

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供了一种基于深度学习的网络入侵检测方法，该方法将每条流量数据中的特征视为在时间轴上顺序排列的若干个一维特征，并作为A‑1D‑CNN模型的输入。特别地，由于事先无法获知最佳超参数，在构建A‑1D‑CNN模型时，利用PSO对每个卷积层的卷积核数量进行优化，自适应地获得最优网络超参数；实现了端到端的深层特征学习和类型识别，避免了人为选择特征带来的不足，提高了模型对不同任务的自适应能力。