公开(公告)号：CN117453922A

公开(公告)日：2024-01-26

申请号：CN202310842603.5

申请日：2023-07-10

申请人： 国家电网有限公司信息通信分公司 ,  奇安信网神信息技术(北京)股份有限公司 ,  国网思极网安科技(北京)有限公司 ,  南京南瑞信息通信科技有限公司 ,  北京微步在线科技有限公司

发明人： 张亚昊 ,  胡威 ,  李静 ,  庞九凤 ,  庞进 ,  刘春晓 ,  陈刚 ,  李祇岐 ,  崔康 ,  任宣达 ,  史睿 ,  程杰 ,  尹红珊 ,  张付存 ,  刘晓蕾 ,  王景初 ,  徐洁 ,  姜帆 ,  郭琪 ,  王临风

IPC分类号： G06F16/36 ,  G06F16/35 ,  G06F16/955 ,  G06F16/901 ,  G06F16/27 ,  G06F18/243 ,  G06F21/56 ,  G06Q50/06

摘要： 本申请公开了提供了一种电力威胁情报知识图谱快速构建及存储系统，电力威胁情报知识图谱快速构建及存储系统包括多源威胁情报生成与获取模块、基于深度置信网络的知识图谱构建模块和基于分布式图数据库的知识图谱高效存储与查询模块；通过本发明设计的一种基于深度置信网络的电力威胁情报知识图谱快速构建及存储系统，可准确高效完成电力情报的产生、融合、以及实时存储及查询，加强了电力企业网络安全情报搜集和研判能力，提高了情报搜集和分析效率，可提高安全态势感知，APT检测能力。

公开(公告)号：CN107147639A

公开(公告)日：2017-09-08

申请号：CN201710316301.9

申请日：2017-05-08

申请人： 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网福建省电力有限公司信息通信分公司

发明人： 姜帆 ,  于晓文 ,  刘莹 ,  金倩倩 ,  郭靓 ,  李炜键 ,  贾雪 ,  俞皓 ,  张路煜 ,  屠正伟 ,  张丹 ,  张骞 ,  刘强 ,  栾国强 ,  林苏蓉 ,  傅慧斌 ,  杨业平

IPC分类号： H04L29/06 ,  G06F21/57 ,  G06F21/55 ,  G06F17/30

摘要： 本发明公开了一种基于复杂事件处理的实时安全预警方法，具体包括以下几个步骤：(1)利用范式化引擎将采集到的安全数据进行日志字段分割，并依据字段的要求对字段进行规范化，按照期望输出的字段，关联知识库信息；(2)利用数据流语义分析引擎，依据将要作为场景建模的复杂事件实例，进行数据上下文分析，依据标准化的分析字段模板，分析映射流数据；(3)利用安全分析模型计算引擎，在分析规则计算模块中，基于点事件、边缘事件、间隔事件进行按场景分析，生成预警事件。本发明通过可配置的范式化规则、语义识别规则、安全分析规则实现原始日志数据的多角度关联分析，及时发现未知威胁并进行预警。

公开(公告)号：CN117896114A

公开(公告)日：2024-04-16

申请号：CN202311820803.7

申请日：2023-12-27

申请人： 国家电网有限公司信息通信分公司 ,  北京微步在线科技有限公司 ,  南京南瑞信息通信科技有限公司

发明人： 张亚昊 ,  任宣达 ,  胡威 ,  庞九凤 ,  史睿 ,  尹红珊 ,  刘春晓 ,  王景初 ,  徐洁 ,  郭琪 ,  王临风 ,  郭亚洲 ,  李亚茹 ,  刘剑 ,  姜帆 ,  张付存

IPC分类号： H04L9/40

摘要： 本发明公开了一种基于日志分析的漏洞信息动态收集、验证与识别的方法和系统。本发明方法将已知漏洞信息录入本地漏洞库，将资产配置项指纹信息存入资产配置项指纹数据库，当发现与漏洞攻击相关的异常事件后，利用无损漏洞验证方法判断是否为未知攻击，如果是未知攻击，则提取未知漏洞特征和攻击日志信息及受害服务配置项信息，存储到本地漏洞库中，然后对资产配置项指纹数据库进行遍历，如果存在匹配漏洞，说明资产存在漏洞，出具漏洞报告。利用本发明的方法，通过对服务器日志进行分析，可以及时发现服务器的异常行为，第一时间检测到未知攻击，通过主动扫描式识别漏洞信息，实现对资产漏洞的实时验证，大幅提升漏洞识别的精准性。

公开(公告)号：CN112217808B

公开(公告)日：2023-10-24

申请号：CN202011031386.4

申请日：2020-09-27

申请人： 南京南瑞信息通信科技有限公司

发明人： 姜帆 ,  王哲力 ,  姜训 ,  俞皓 ,  贾雪 ,  徐胜国 ,  赵亚光 ,  马腾鹏 ,  鲁国亮 ,  王志勇

IPC分类号： H04L9/40

摘要： 本发明公开了基于消息队列的级联架构防火墙联动封解禁装置及方法，该装置包括：业务节点，用于：执行封解禁流程的实体操作节点，位于级联架构中的中心或末端；消息队列组件，用于：执行防火墙封解禁实体消息的传递；防火墙接口引擎组件，用于：适配操作不同厂商品牌防火墙的封解禁指令，实现防火墙的指令接口。本发明通过解除模块间耦合，借助消息队列，传递封解禁指令，并实现消息的级联传递，及时处理自上而下的防火墙封解禁命令，实现实时预警处置。

公开(公告)号：CN116633642A

公开(公告)日：2023-08-22

申请号：CN202310638181.X

申请日：2023-05-31

申请人： 南京南瑞信息通信科技有限公司

发明人： 马腾鹏 ,  刘金锁 ,  胡游君 ,  郭靓 ,  刘剑 ,  张付存 ,  俞皓 ,  姜帆 ,  徐胜国 ,  王志勇 ,  胡尔同 ,  贾雪 ,  鲁国亮

IPC分类号： H04L9/40

摘要： 本发明公开了一种实时分析处理攻击源的方法及系统包括，实时监测网络，当发生攻击事件时，实时生成告警日志；将告警日志实时存储于结构化数据库中，对实时存储后的告警日志进行实时逻辑分析与判断；根据实时逻辑分析与判断结果，对攻击源IP进行对应实时处理。本发明在第一时间发现攻击源后，进行分析和处置，将攻击源进行分类处理，并针对不同种类的攻击源进行对应的处理操作，且处理时间这个时间可以在30s内完成，较之前的20～30分钟大大减少了时间浪费，此外本发明是分析之后，自行处置，消除了人工操作时的误操作可能。

公开(公告)号：CN113726744A

公开(公告)日：2021-11-30

申请号：CN202110878519.X

申请日：2021-08-02

申请人： 南京南瑞信息通信科技有限公司 ,  国电南瑞科技股份有限公司

发明人： 姜帆 ,  王晔 ,  郭靓 ,  韦小刚 ,  姜训 ,  李炜键 ,  金倩倩 ,  王志勇 ,  洪昊

IPC分类号： H04L29/06 ,  G06Q10/06

摘要： 本发明公开了一种基于任务编排的可视化安全告警处置系统与方法，包括处置元任务、决策元任务和处置工作流；处置元任务包括若干组业务组件，各业务组件分别用于实现与不同处置安全设施联动的告警处置任务，支持自定义配置；决策元任务包括若干组判断业务组件，各判断业务组件分别用于进行安全告警处置任务中的步骤判断；处置工作流包括若干组业务流程组件，各业务流程组件用于针对不同告警处置任务流程逻辑进行自定义；处置工作流与处置元任务调用处置元任务，支撑处置工作流的完整关联；处置工作流调用决策元任务，支撑处置工作流的实现过程中的判断。本发明能实现处置任务的自动重试、按条件自运行，提高了安全告警的处置效率。

公开(公告)号：CN107682216B

公开(公告)日：2018-06-05

申请号：CN201710779641.5

申请日：2017-09-01

申请人： 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力公司信息通信分公司

发明人： 张路煜 ,  王继业 ,  郭靓 ,  方泉 ,  杨维永 ,  赵俊峰 ,  廖鹏 ,  于晓文 ,  蒋甜 ,  俞皓 ,  贾雪 ,  姜帆 ,  栾国强 ,  秦学嘉 ,  李斌斌 ,  夏飞 ,  孙琦 ,  刘盼 ,  关海潮

IPC分类号： H04L12/26 ,  H04L29/06

摘要： 本发明公开了基于深度学习的网络流量协议识别方法，利用网络流数据与图像的相似性，绕过流量特征值选择和提取的工作，直接将网络流数据作为卷积神经网络的输入，进行监督学习，训练网络流量协议识别模型，实现网络流量协议识别功能。本发明方法只需提供待识别网络流量协议样本用于对卷积神经网络的训练，能够自动提取到有利于分类任务的特征，无需花费精力于协议特征抽取与选择；该方法具备学习和扩展能力，能够用于对新出现未知协议的识别，可扩展应用到对包含恶意代码网络流量的识别和对应用程序流量的识别。

公开(公告)号：CN115865453A

公开(公告)日：2023-03-28

申请号：CN202211487052.7

申请日：2022-11-25

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网河南省电力公司信息通信公司 ,  国网重庆市电力公司

发明人： 姜帆 ,  李斌斌 ,  闫丽景 ,  刘剑 ,  张付存 ,  王晔 ,  郭靓 ,  陈刚 ,  姜训 ,  徐胜国 ,  俞皓 ,  党芳芳 ,  程杰 ,  贾雪 ,  王朝兴 ,  从正海 ,  金鹏 ,  邵波 ,  马腾鹏 ,  郭金龙

IPC分类号： H04L9/40 ,  H04L67/1095

摘要： 本发明公开了基于内生情报的情报共享系统、方法、装置及存储介质，包括二级设备，用于实时更新并上传其本地情报库至一级设备；一级设备，用于接收二级设备上传的本地情报库；每隔预设的时间间隔对多个二级设备的本地情报库进行共性信息抽取和质量评估，得到二级设备共性情报信息和一级设备共享信息分发给相应的二级设备，并形成总部级威胁情报库。本发明提高了情报共享的灵活性和安全分析人员的处置效率。同时，本发明构建了一种适用于企业内实际应用的威胁情报标准架构的本地情报库，提高了数据的可读性和处理效率。

公开(公告)号：CN107046543A

公开(公告)日：2017-08-15

申请号：CN201710281842.2

申请日：2017-04-26

申请人： 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网福建省电力有限公司信息通信分公司

发明人： 廖鹏 ,  郭靓 ,  陈春霖 ,  韩勇 ,  金倩倩 ,  于晓文 ,  蒋甜 ,  李炜键 ,  姜帆 ,  俞皓 ,  贾雪 ,  张路煜 ,  林学峰 ,  秦学嘉 ,  丁晓玉 ,  张明扬 ,  周晟 ,  郭蔡炜 ,  关海潮 ,  刘盼

IPC分类号： H04L29/06

CPC分类号： H04L63/14 ,  H04L63/1408 ,  H04L63/1433 ,  H04L63/1441 ,  H04L63/145 ,  H04L63/1466 ,  H04L63/1475

摘要： 本发明公开了一种面向攻击溯源的威胁情报分析系统，包括内外部威胁情报收集模块和攻击溯源分析模块；内部威胁情报收集模块包括安全检测模块和安全分析模块；攻击溯源分析模块包括攻击者溯源和攻击主机溯源；通过内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块，攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源，将得到的结果反馈给安全检测模块和安全分析模块；同时结果也会和外部合作结构进行威胁情报共享交换。本发明不仅可以单独、快速完成威胁情报分析检测，也可以为针对企业的攻击提供预测，该方法面向攻击溯源，从源头上分析攻击的方式目的，更好的辨别攻击者的身份。