公开(公告)号：CN110430080B

公开(公告)日：2021-02-05

申请号：CN201910724612.8

申请日：2019-08-07

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: H04L12/24 ,  H04L12/751

Abstract: 本发明实施例提供一种网络拓扑探测方法及装置，所述方法包括：基于TCP、UDP和/或ICMP扫描以及路由跟踪技术对网络中设备之间的邻接关系进行主动探测，获得所述网络的拓扑主干信息；在所述网络的流量汇聚节点或交换节点处采用镜像网络流量方式进行数据采集，对采集的网络流量进行包含以太网层分析、网络层分析和应用层分析的多维度综合分析，获得所述网络的拓扑分支信息；将所述网络的拓扑主干信息与所述网络的拓扑分支信息以IP为维度进行信息融合，获得所述网络的网络拓扑。本发明实施例充分地利用了主被动拓扑探测信息，减少了对用户网络产生影响，提高了探测效率和准确性。

公开(公告)号：CN110458094B

公开(公告)日：2020-12-18

申请号：CN201910735429.8

申请日：2019-08-09

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: G06K9/00 ,  G06K9/62

Abstract: 本发明公开了一种基于指纹相似度的设备分类方法，包括：建立已知的同一类型设备的样本集，提取样本集对应的指纹信息，以得平均相似度和中心点样本指纹集；获取样本集内的每个设备与中心点样本指纹集的相似度，计算每个已知类型设备指纹信息相似度到中心点样本指纹集的相似距离，确定最大相似距离；计算未知类型设备集内每个样本与中心点样本指纹集所在的中心点样本的空间距离，若大于最大相似距离，则样本属于中心点样本集所在的样本类型，否则，样本不属于样本类型，若出现未正确识别样本，重新加入样本集，重新计算中心点样本，以完成自动分类。本发明提高了设备分类的效率和准确性，并避免了因信息发送变化导致的指纹识别失败的问题。

公开(公告)号：CN110458094A

公开(公告)日：2019-11-15

申请号：CN201910735429.8

申请日：2019-08-09

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: G06K9/00 ,  G06K9/62

Abstract: 本发明公开了一种基于指纹相似度的设备分类方法，包括：建立已知的同一类型设备的样本集，提取样本集对应的指纹信息，以得平均相似度和中心点样本指纹集；获取样本集内的每个设备与中心点样本指纹集的相似度，计算每个已知类型设备指纹信息相似度到中心点样本指纹集的相似距离，确定最大相似距离；计算未知类型设备集内每个样本与中心点样本指纹集所在的中心点样本的空间距离，若大于最大相似距离，则样本属于中心点样本集所在的样本类型，否则，样本不属于样本类型，若出现未正确识别样本，重新加入样本集，重新计算中心点样本，以完成自动分类。本发明提高了设备分类的效率和准确性，并避免了因信息发送变化导致的指纹识别失败的问题。

公开(公告)号：CN110430080A

公开(公告)日：2019-11-08

申请号：CN201910724612.8

申请日：2019-08-07

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: H04L12/24 ,  H04L12/751

Abstract: 本发明实施例提供一种网络拓扑探测方法及装置，所述方法包括：基于TCP、UDP和/或ICMP扫描以及路由跟踪技术对网络中设备之间的邻接关系进行主动探测，获得所述网络的拓扑主干信息；在所述网络的流量汇聚节点或交换节点处采用镜像网络流量方式进行数据采集，对采集的网络流量进行包含以太网层分析、网络层分析和应用层分析的多维度综合分析，获得所述网络的拓扑分支信息；将所述网络的拓扑主干信息与所述网络的拓扑分支信息以IP为维度进行信息融合，获得所述网络的网络拓扑。本发明实施例充分地利用了主被动拓扑探测信息，减少了对用户网络产生影响，提高了探测效率和准确性。

公开(公告)号：CN119835042A

公开(公告)日：2025-04-15

申请号：CN202411977946.3

申请日：2024-12-30

Applicant: 国家计算机网络与信息安全管理中心河北分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 刘纪伟 ,  谢林燕 ,  田普 ,  梁泽 ,  张峰 ,  张玉 ,  刘晓明 ,  鲍永昌 ,  刘武旭 ,  董玉强 ,  魏战松 ,  尚程 ,  杨满智 ,  傅强 ,  王杰 ,  金红 ,  陈晓光 ,  胡兵

IPC: H04L9/40 ,  H04L69/08 ,  H04L69/22 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/2431 ,  G06N20/00

Abstract: 本发明实施例公开了一种用户行为检测方法和系统。该方法包括：通过流量采集模块采集网络关键节点的网络流量数据，基于预设筛选条件和网络流量数据确定目标流量数据；通过协议分析模块基于协议解析引擎和接收到的目标流量数据确定目标网络协议和目标网络协议对应的目标协议类型，基于目标协议类型对目标网络协议进行特征提取确定目标网络协议对应的协议特征向量；通过模型识别模块基于接收到的协议特征向量和第一分类模型确定第一用户行为检测结果，将协议特征向量转换为协议特征图，基于协议特征图和第二分类模型确定第二用户行为检测结果，从而综合第一分类模型和第二分类模型的分类结果，实现对用户行为的准确判断，提高用户行为检测的准确性。

公开(公告)号：CN114244824B

公开(公告)日：2024-05-03

申请号：CN202111411251.5

申请日：2021-11-25

Applicant: 国家计算机网络与信息安全管理中心河北分中心

Inventor： 刘纪伟 ,  张峰 ,  谢林燕 ,  赵春开 ,  张涵卿

IPC: H04L67/02 ,  H04L9/40 ,  G06F18/23213 ,  G06F18/2135

Abstract: 本发明公开的属于网络安全监测技术领域，具体为一种网络空间WEB类资产风险Server同性快速识别的方法，包括数据获取、数据归类、特征聚类提取出Server指纹的类型和版本、进行漏洞风险验证多个步骤，本发明能够对WEB类资产风险Server同性进行快速识别，根据脚本识别灵活方便，提取资产的指纹特征版本，进行批量漏洞风险验证，保证了使用时的安全性同时降低了使用的风险。

公开(公告)号：CN115442250A

公开(公告)日：2022-12-06

申请号：CN202210961763.7

申请日：2022-08-11

Applicant: 国家计算机网络与信息安全管理中心河北分中心

Inventor： 吴昊 ,  张峰 ,  谢林燕 ,  陈颖 ,  张彦 ,  刘纪伟 ,  赵月显 ,  张玉 ,  田普 ,  刘晓明

IPC: H04L41/50 ,  H04L61/4511

Abstract: 本发明公开的属于网络资产技术领域，具体为一种获取海量DNS服务属性并归类的方法，该获取海量DNS服务属性并归类的方法具体步骤流程如下：(1)根据与DNS服务器的DNS服务进行深度交互，获取海量DNS服务器的DNS服务属性，包括协议畸形，ARRs返回，Authoritative＝1的auth权威返回，RCODE＝3的权威返回，RCODE＝9的权威返回，抹掉请求问题的err返回，RCODE＝5的拒绝返回，超时以及其它情况等九种服务返回属性，NS服务属性识别分类详实，结果准确，如随机抽取实验结果中权威归类集样本：45.60.109.210，即针对此DNS服务器本方法能识别出其为权威DNS服务器，即为网络空间中的重要关基设施，网络中抽取了两组相似测绘技术，结果只给出了指纹返回，未标记和识别为权威DNS服务器。

公开(公告)号：CN116886537A

公开(公告)日：2023-10-13

申请号：CN202311028661.0

申请日：2023-08-16

Applicant: 国家计算机网络与信息安全管理中心河北分中心

Inventor： 刘纪伟 ,  赵月显 ,  张峰 ,  谢林燕 ,  张玉 ,  田普 ,  刘晓明

IPC: H04L41/0823 ,  H04L41/142 ,  H04L41/16

Abstract: 本发明公开了本发明提供了一种网络空间资产属性二分归类的方法，通过将网络空间资产属性进行二分归类，实现对网络空间资产的快速有效管理和监控。该方法具有分类准确、管理及时、实用性强等优点，能够满足实际需求。具体实现步骤包括获取网络空间资产属性信息，将网络空间资产属性信息进行二分归类，根据网络空间资产属性二分归类结果进行管理和监控。本发明的优点包括自动化分类、可视化展示、动态调整、安全评估等。本发明适用于网络安全领域，为用户提供更加全面、准确的网络空间资产管理服务。

公开(公告)号：CN115442296A

公开(公告)日：2022-12-06

申请号：CN202210962701.8

申请日：2022-08-11

Applicant: 国家计算机网络与信息安全管理中心河北分中心

Inventor： 刘纪伟 ,  赵月显 ,  张峰 ,  谢林燕 ,  张玉 ,  田普 ,  刘晓明

IPC: H04L45/24 ,  H04L69/164

Abstract: 本发明公开的属于获取路由设备技术领域，具体为一种关基资产中快速获取路由设备的方法，包括以下步骤：对路由器Rn时进行抓取时，主机A通过两条线路抓取路由器Rn或通过与路由器Rn临近的主机B抓取，其中，所述主机A通过线路1和线路2对路由器Rn进行抓取，所述线路1和线路2均是通过多个路由设备传输抓取到路由器Rn，通过输入代码并执行对路由器Rn进行抓取，准确：本方法因为采用路由特有的协议原理，准确率能达到100％；快速：本方法采用UDP无状态流连接，无负载传输，速度至少提高三倍以上；隐蔽：各防火墙对TCP尤其带负载的TCP检测严重，对基本路由协议检测轻微甚至不检测，能高效更隐蔽的获取所需结果。

公开(公告)号：CN114244824A

公开(公告)日：2022-03-25

申请号：CN202111411251.5

申请日：2021-11-25

Applicant: 国家计算机网络与信息安全管理中心河北分中心

Inventor： 刘纪伟 ,  张峰 ,  谢林燕 ,  赵春开 ,  张涵卿

IPC: H04L67/02 ,  H04L9/40 ,  G06K9/62

Abstract: 本发明公开的属于网络安全监测技术领域，具体为一种网络空间WEB类资产风险Server同性快速识别的方法，包括数据获取、数据归类、特征聚类提取出Server指纹的类型和版本、进行漏洞风险验证多个步骤，本发明能够对WEB类资产风险Server同性进行快速识别，根据脚本识别灵活方便，提取资产的指纹特征版本，进行批量漏洞风险验证，保证了使用时的安全性同时降低了使用的风险。