公开(公告)号：CN111556473A

公开(公告)日：2020-08-18

申请号：CN202010384604.6

申请日：2020-05-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 王鹏翩 ,  黄元飞 ,  杜薇 ,  李晔 ,  张家旺 ,  林星辰 ,  谢印东 ,  季成乐 ,  孙立常

IPC: H04W4/70 ,  H04W12/00 ,  H04W12/12 ,  H04W24/02 ,  H04W24/08

Abstract: 本发明公开了一种异常访问行为检测方法及装置，至少包括智能设备端和用户端；智能设备端由主动监控模块和被动监控模块组成，智能设备端用于主动向用户端上报收集到的数据信息；用户端由智能设备指纹库，威胁情报库，处理模块，报警模块组成；用户端定期对智能设备端进行状态监控和扫描，用户端的处理模块对智能设备端上传的数据信息进行处理，与威胁情报库的信息进行比对，根据处理结果触发报警模块后，通过短信和/或邮件的方式通知用户。本发明解决了现有技术中智能设备的网络安全检测不及时、不规范的问题。

公开(公告)号：CN111556066A

公开(公告)日：2020-08-18

申请号：CN202010384706.8

申请日：2020-05-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 王鹏翩 ,  黄元飞 ,  杜薇 ,  李晔 ,  张家旺 ,  林星辰 ,  谢印东 ,  贾鹏 ,  王俊彪

IPC: H04L29/06 ,  H04L29/08 ,  G06F9/50 ,  G06F16/215 ,  G06F16/27 ,  G06F16/28

Abstract: 本发明公开了一种网络行为检测方法及装置，至少包括：PCAP数据包增量拷贝模块，用于实时检测龙存数据包变化，对比校验已存储数据包，通过多线程并发的方式进行拷贝；PCAP数据包解析模块，用于对离线PCAP数据文件读取，在文件读取时将文件按照不同的任务进行分解，保证多个任务可以同时运行；数据处理模块，具有预处理模块，对原始数据包进行解析、过滤、去重；以及处理模块，调用协议应用分析处理模块；数据库模块，使用非关系型MONGODB数据库和分布式数据库的分布式部署架构。本发明解决了现有技术中缺乏基于内容的审计，且已有的内容审计方法存在精度差，效果不理想的问题。

公开(公告)号：CN111586075B

公开(公告)日：2022-06-14

申请号：CN202010456532.1

申请日：2020-05-26

Applicant: 国家计算机网络与信息安全管理中心 ,  张健

Inventor： 张健 ,  高强 ,  唐彰国 ,  林星辰 ,  李焕洲 ,  陈禹

IPC: H04L9/40 ,  H04L43/04 ,  H04L43/06 ,  G06K9/62

Abstract: 本发明公开了一种基于多尺度流分析技术的隐蔽信道检测方法，包括以下步骤：获取检测分析场景信息，并通过DPDK采集检测分析场景中的网络流量数据；将采集的网络流量数据进行预处理，获取单一数据包、会话流和通信流；根据单一数据包、会话流和通信流的相关特征建立对应的元数据库；将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配，获取先验知识；建立多尺度特征分析模型；将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行分析检测，并生成检测报告。本发明可有效降低隐蔽信道检测的误报率与漏报率，提高对隐蔽信道检测的全面性与准确性，保障网络信息的传输安全。

公开(公告)号：CN110430080B

公开(公告)日：2021-02-05

申请号：CN201910724612.8

申请日：2019-08-07

Applicant: 国家计算机网络与信息安全管理中心 ,  远江盛邦(北京)网络安全科技股份有限公司

Inventor： 林星辰 ,  黄元飞 ,  李燕伟 ,  夏剑锋 ,  张峰 ,  权晓文 ,  王润合 ,  黄石海 ,  赵建聪

IPC: H04L12/24 ,  H04L12/751

Abstract: 本发明实施例提供一种网络拓扑探测方法及装置，所述方法包括：基于TCP、UDP和/或ICMP扫描以及路由跟踪技术对网络中设备之间的邻接关系进行主动探测，获得所述网络的拓扑主干信息；在所述网络的流量汇聚节点或交换节点处采用镜像网络流量方式进行数据采集，对采集的网络流量进行包含以太网层分析、网络层分析和应用层分析的多维度综合分析，获得所述网络的拓扑分支信息；将所述网络的拓扑主干信息与所述网络的拓扑分支信息以IP为维度进行信息融合，获得所述网络的网络拓扑。本发明实施例充分地利用了主被动拓扑探测信息，减少了对用户网络产生影响，提高了探测效率和准确性。

公开(公告)号：CN111783105A

公开(公告)日：2020-10-16

申请号：CN202010649498.X

申请日：2020-07-08

Applicant: 国家计算机网络与信息安全管理中心 ,  西安四叶草信息技术有限公司

Inventor： 朱利军 ,  黄元飞 ,  王博 ,  林星辰 ,  夏剑锋 ,  马坤 ,  赵培源 ,  李鹏轩 ,  刘浩杰 ,  童小敏 ,  彭丽

IPC: G06F21/57

Abstract: 本公开提供一种渗透测试方法、装置、设备及存储介质，涉及渗透测试技术领域，能够实现渗透测试的自动化及全面覆盖。具体技术方案为：获取渗透测试目标，并对渗透测试目标进行特征分析，获取渗透测试目标的特征标识信息；从预先设置的渗透测试数据库中获取与渗透测试目标的特征标识信息匹配的目标渗透测试路径；利用目标渗透测试路径对渗透测试目标进行漏洞验证，得到验证结果；在验证结果指示存在漏洞时生成漏洞标识信息，并继续执行与漏洞标识信息对应的下一次渗透测试，直至渗透测试完成为止。本发明用于渗透测试。

公开(公告)号：CN110034921A

公开(公告)日：2019-07-19

申请号：CN201910311319.9

申请日：2019-04-18

Applicant: 成都信息工程大学 ,  国家计算机网络与信息安全管理中心

Inventor： 林宏刚 ,  陈麟 ,  黄元飞 ,  赖裕民 ,  张家旺 ,  李燕伟 ,  王鹏翩 ,  林星辰 ,  应志军 ,  吴倩 ,  杜薇 ,  陈禹 ,  张晓娜 ,  王博 ,  杨鹏 ,  高强 ,  陈亮

IPC: H04L9/06 ,  H04L29/06

Abstract: 本发明属于网络空间安全技术领域，公开了一种基于带权模糊hash算法的webshell检测方法及系统，通过将待检测文件分片；每片求hash及权值，给每一个分片赋予权值，有危险函数的核心分片给予较大的权值，同时考虑每一个分片的信息熵，信息熵值越大，给予的权值越小；把每个分片的hash拼接成模糊hash串并计算总权值得到带权模糊hash值；将待检测文件的带权模糊hash值与预先存储在指纹库中每个webshell带权模糊hash值依次比较。本发明与传统的模糊哈希算法相比，能有效适应检测对象大小变化很大的情况，具有较好的适应性，极大提高变种样本的检测准确率，并提高了抗干扰性。

公开(公告)号：CN110034921B

公开(公告)日：2022-04-15

申请号：CN201910311319.9

申请日：2019-04-18

Applicant: 成都信息工程大学 ,  国家计算机网络与信息安全管理中心

Inventor： 林宏刚 ,  陈麟 ,  黄元飞 ,  赖裕民 ,  张家旺 ,  李燕伟 ,  王鹏翩 ,  林星辰 ,  应志军 ,  吴倩 ,  杜薇 ,  陈禹 ,  张晓娜 ,  王博 ,  杨鹏 ,  高强 ,  陈亮

IPC: H04L9/06 ,  H04L9/40

Abstract: 本发明属于网络空间安全技术领域，公开了一种基于带权模糊hash算法的webshell检测方法及系统，通过将待检测文件分片；每片求hash及权值，给每一个分片赋予权值，有危险函数的核心分片给予较大的权值，同时考虑每一个分片的信息熵，信息熵值越大，给予的权值越小；把每个分片的hash拼接成模糊hash串并计算总权值得到带权模糊hash值；将待检测文件的带权模糊hash值与预先存储在指纹库中每个webshell带权模糊hash值依次比较。本发明与传统的模糊哈希算法相比，能有效适应检测对象大小变化很大的情况，具有较好的适应性，极大提高变种样本的检测准确率，并提高了抗干扰性。

公开(公告)号：CN111782511A

公开(公告)日：2020-10-16

申请号：CN202010553678.8

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  西安四叶草信息技术有限公司

Inventor： 于飞鸿 ,  黄元飞 ,  王博 ,  林星辰 ,  夏剑锋 ,  马坤 ,  朱利军 ,  赵培源 ,  童小敏 ,  彭丽

IPC: G06F11/36

Abstract: 本公开提供一种固件文件的分析方法、设备及存储介质，涉及计算机技术领域，采用插件式思维实现对固件文件静态分析的通用分析，降低成本，提高效率。具体技术方案为：获取固件文件；调用识别插件对固件文件进行识别，从固件文件中提取根文件系统镜像，并获取根文件系统镜像的文件类型；在根文件系统镜像的文件类型为可解包格式时，调用与根文件系统镜像的文件类型对应的解包插件对根文件系统镜像进行解包，并调用与根文件系统镜像的文件类型对应的分析插件对已解包的根文件系统镜像进行分析；在根文件系统镜像的文件类型为可分析的文件类型时，调用与根文件系统镜像的文件类型对应的分析插件对根文件系统镜像进行分析。

公开(公告)号：CN111586075A

公开(公告)日：2020-08-25

申请号：CN202010456532.1

申请日：2020-05-26

Applicant: 国家计算机网络与信息安全管理中心 ,  张健

Inventor： 张健 ,  高强 ,  唐彰国 ,  林星辰 ,  李焕洲 ,  陈禹

IPC: H04L29/06 ,  H04L12/26 ,  G06K9/62

Abstract: 本发明公开了一种基于多尺度流分析技术的隐蔽信道检测方法，包括以下步骤：获取检测分析场景信息，并通过DPDK采集检测分析场景中的网络流量数据；将采集的网络流量数据进行预处理，获取单一数据包、会话流和通信流；根据单一数据包、会话流和通信流的相关特征建立对应的元数据库；将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配，获取先验知识；建立多尺度特征分析模型；将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行分析检测，并生成检测报告。本发明可有效降低隐蔽信道检测的误报率与漏报率，提高对隐蔽信道检测的全面性与准确性，保障网络信息的传输安全。

公开(公告)号：CN111783105B

公开(公告)日：2024-03-29

申请号：CN202010649498.X

申请日：2020-07-08

Applicant: 国家计算机网络与信息安全管理中心 ,  西安四叶草信息技术有限公司

Inventor： 朱利军 ,  黄元飞 ,  王博 ,  林星辰 ,  夏剑锋 ,  马坤 ,  赵培源 ,  李鹏轩 ,  刘浩杰 ,  童小敏 ,  彭丽

IPC: G06F21/57

Abstract: 本公开提供一种渗透测试方法、装置、设备及存储介质，涉及渗透测试技术领域，能够实现渗透测试的自动化及全面覆盖。具体技术方案为：获取渗透测试目标，并对渗透测试目标进行特征分析，获取渗透测试目标的特征标识信息；从预先设置的渗透测试数据库中获取与渗透测试目标的特征标识信息匹配的目标渗透测试路径；利用目标渗透测试路径对渗透测试目标进行漏洞验证，得到验证结果；在验证结果指示存在漏洞时生成漏洞标识信息，并继续执行与漏洞标识信息对应的下一次渗透测试，直至渗透测试完成为止。本发明用于渗透测试。