公开(公告)号：CN108768917A

公开(公告)日：2018-11-06

申请号：CN201810210343.9

申请日：2018-03-14

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  刘丙双 ,  涂波 ,  张洛什 ,  尚秋里 ,  苗权 ,  康春建 ,  刘鑫沛 ,  摆亮 ,  李传海 ,  戴帅夫 ,  张建宇

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/145 ,  H04L63/1458 ,  H04L2463/144

Abstract: 本发明涉及一种基于网络日志的僵尸网络检测方法及系统。该方法通过分析网络日志，捕获符合僵尸网络特征的主机IP，获得僵尸网络成员列表；针对每一个僵尸网络成员进行微观分析，并针对全部僵尸网络成员进行宏观统计分析，获得僵尸网络情报。该系统包括网络探针、僵尸网络检测引擎、规则库和僵尸网络分析情报库。本发明利用大规模通联日志和域名访问日志，可批量发现和追踪僵尸网络活动，从宏观和微观两个层面观察其蔓延态势；本发明只需要连接级别的网络日志，不需要数据包级别的日志，也不需要执行流量还原操作获得载荷特征，有效降低了大规模网络日志的存储开销。

公开(公告)号：CN106295347B

公开(公告)日：2019-06-18

申请号：CN201510284253.0

申请日：2015-05-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭承青 ,  许俊峰 ,  何跃鹰 ,  袁春阳 ,  张文 ,  宫真真 ,  李欣 ,  李轶夫 ,  王进 ,  摆亮 ,  李晗 ,  徐剑 ,  赵忠华 ,  袁钟怡

IPC: G06F21/57

Abstract: 本发明公开了一种用于搭建漏洞验证环境的方法及装置。例如，所述方法可以包括：提供要素库，以便用户从所述要素库中选择出需要的要素，其中，所述要素库中包含用于漏洞验证的文件对应的要素，当用户完成要素的选择时，使用系统镜像文件定制技术将选择出的要素对应的文件打包，得到用于生成虚拟机的漏洞验证模板。根据本发明公开的方法及装置，测试人员可以快捷地从要素库中选择用于漏洞验证的文件对应的要素，无需手动安装相关工具，减少了对人力的耗费，提高了漏洞验证环境的搭建效率。

公开(公告)号：CN109460009A

公开(公告)日：2019-03-12

申请号：CN201811543990.8

申请日：2018-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  机械工业仪器仪表综合技术经济研究所

Inventor： 王进 ,  公彦杰 ,  何跃鹰 ,  赵艳领 ,  摆亮 ,  王麟琨

IPC: G05B23/02

Abstract: 本发明实施例提供了一种工业控制系统可靠性测试系统及测试方法，其中系统包括：测试配置模块，数据采集模块，判别分析模块，实时状态监视模块，测试报告生成模块，对外接口模块。测试配置模块用于存储测试配置信息；数据采集模块用于采集工业控制系统的不同层级数据；判别分析模块用于分析工业控制系统的数据并输出分析结果；实时状态监视模块用于显示分析结果；测试报告生成模块用于生成测试报告；对外接口模块用于与第三方测试平台及与非OPC UA工业通信协议的工业控制系统通信。本发明实施例的可靠性测试系统使第三方测试平台也能获取测试数据，还能够对不同工业通信协议的工业控制系统进行监测，具有更高的使用便利性。

公开(公告)号：CN109150816A

公开(公告)日：2019-01-04

申请号：CN201710750090.X

申请日：2017-08-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  张震 ,  柳林 ,  倪江帆 ,  张程风 ,  刘海波 ,  黄忠伟

IPC: H04L29/06

CPC classification number: H04L63/0263

Abstract: 本发明公开了一种基于堆结构的防火墙规则集动态优化方法，其特征在于，具体包括：步骤SS1：构建堆结构的构造模型，所述堆结构的构造模型包括最小堆、单链表；步骤SS2：提出堆结构的动态调整算法，所述动态调整算法包括最小堆调整算法、堆结构调整算法。本发明所达到的有益效果：与现有的统计分析方法相比，本发明提出了一种基于堆结构的防火墙规则集动态优化算法，通过对网络数据包的相关特性进行分析，提出了优先级计算的三个公式，用于实现规则优先级的快速计算。同时根据三个计算公式，提出了一种高效的调整算法，使得防火墙规则集能实现高效可靠的改变，降低防火墙规则集的命中次数。

公开(公告)号：CN105022964B

公开(公告)日：2018-03-09

申请号：CN201510292056.3

申请日：2015-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 黄文廷 ,  王永建 ,  王丽宏 ,  李锐光 ,  刘玮 ,  摆亮 ,  王进 ,  朱海龙 ,  邹学强 ,  苗琳

IPC: G06F21/62

Abstract: 本发明公开了一种基于行为预测控制的可信网络群体构建方法，包括：步骤10，对用户终端进行身份度量；不能通过身份度量的用户终端拒绝接入；步骤20，对通过身份度量的用户终端进行状态度量；不能通过状态度量的用户终端拒绝接入；步骤30，对通过状态度量的用户终端进行行为度量；不能通过行为度量的用户终端拒绝接入。本发明在可信群体的构建过程首先通过预测个体行为是否可信来评估行为个体是否可信，然后在个体行为的基础之上抽象出群体的可信行为的规范，基于群体可信行为的规范来约束个体，使得个体和群体有机结合，最终确保个体和群体的可信，最终通过可信个体来构建一个可信群体。

公开(公告)号：CN107172030A

公开(公告)日：2017-09-15

申请号：CN201710322002.6

申请日：2017-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  上海通用识别技术研究所

Inventor： 方喆君 ,  寇鹏 ,  何跃鹰 ,  卓子寒 ,  刘中金 ,  董建武 ,  摆亮 ,  张晓明 ,  王进 ,  张宏稷

IPC: H04L29/06 ,  H04L9/08

CPC classification number: H04L63/0407 ,  H04L9/0869

Abstract: 本发明公开了一种高隐秘且抗溯源的通信方法。本方法为：1)通信源端和目的端分别从一个预先指定的随机数发生源获得一相同的随机数，然后分别根据该随机数计算生成一中转地址，通信源端和目的端分别生成或保存一相同的密钥；2)通信源端将利用该密钥对待发送信息加密后的密文上传到一网站，并将该密文在该网站的访问地址指定为该中转地址；3)通信目的端从该网站的该访问地址获取该密文，并利用该密钥对其解密。本发明极大地保护了通信双方身份，提高了通信安全性。

公开(公告)号：CN109962916B

公开(公告)日：2021-11-05

申请号：CN201910207098.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  刘中金 ,  饶毓 ,  何跃鹰

IPC: H04L29/06 ,  H04L12/24 ,  G06Q50/04 ,  G06Q10/06

Abstract: 本发明涉及一种基于多属性的工业互联网安全态势评价方法，包括目标工业互联网相关软硬件构建，对国际互联网关口的网络流量进行监测分析，以每个目标地区Web资产合集为目标、得到目标地区Web资产的安全威胁指标，以每个地区硬件以及相关系统合集为目标、得到目标地区的硬件以及相关系统的安全威胁指标，根据每个目标地区的工业互联网相关协议端口被扫描次数、得出所有目标地区的综合安全威胁评价指标。上述技术方案中提供的基于多属性的工业互联网安全态势评价方法，有效解决了现有工业互联网安全态势评价技术局限于客观评价或主观评价的造成的权值系数不合理、决策准确性和可靠性稍差的问题，有效提高了工业互联网安全态势评价的水平和准确性。

公开(公告)号：CN109634870A

公开(公告)日：2019-04-16

申请号：CN201811577595.1

申请日：2018-12-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  吴涛 ,  何跃鹰 ,  摆亮 ,  邹潇湘 ,  郭涛 ,  李明柱

IPC: G06F11/36

CPC classification number: G06F11/3684 ,  G06F11/3604

Abstract: 本发明涉及一种工控系统协议模糊测试的脚本管理方法，采用如下步骤：步骤一：对模糊测试中的脚本采用分层管理的方式，形成六个层次的树式结构；上述六个层次为：行业层、协议层、脚本层、PDU层、结构层、字段层；它采用分层管理方式来架构测试脚本以及测试用例，且构建综合协议测试畸形数据体系，它能够减少测试脚本的数量，通过模糊引擎自动按照数据集合生成相应的测试用例，实现了测试的自动化，缩短测试时间，提高模糊测试效率。

公开(公告)号：CN109459995A

公开(公告)日：2019-03-12

申请号：CN201811544041.1

申请日：2018-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  机械工业仪器仪表综合技术经济研究所

Inventor： 王进 ,  韩丹涛 ,  赵艳领 ,  何跃鹰 ,  摆亮 ,  刘丹

IPC: G05B19/418

Abstract: 本发明实施例提供了一种面向多种工业以太网协议的状态监测系统及监测方法，其中系统包括：工业以太网安全策略配置模块，工业以太网协议识别处理模块，以及工业以太网报警生成模块；其中，工业以太网安全策略配置模块用于存储安全策略配置信息；工业以太网协议识别处理模块用于对报文进行解析，并根据工业以太网安全策略配置模块中存储的安全策略配置信息，对报文中的配置信息进行处理；工业以太网报警生成模块用于基于工业以太网协议识别处理模块的处理结果，对不符合安全策略配置信息的报文进行报警。本发明实施例能够监控多种工业以太网协议设备的运行状况，提高工业控制系统的安全性。

公开(公告)号：CN110191103B

公开(公告)日：2022-07-15

申请号：CN201910387482.3

申请日：2019-05-10

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 羊晋 ,  涂波 ,  刘丙双 ,  李明哲 ,  尚秋里 ,  张洛什 ,  刘越颖 ,  苗权 ,  康春建 ,  刘鑫沛 ,  李传海 ,  摆亮 ,  戴帅夫 ,  张建宇

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明提供一种DGA域名检测方法，包括以下步骤：建立域名白名单数据与DGA域名黑名单数据，基于LSTM对上述域名白名单数据与DGA域名黑名单数据进行训练并构建LSTM模型；利用域名白名单数据与DGA域名黑名单数据，计算域名特征，训练RF/GBDT模型；基于被动域名日志收集每日被动域名解析记录，定义没有对应解析IP的域名为NX域名，利用上述RF/GBDT模型分类出非DGA域名；利用LSTM模型对上述非DGA域名进行DGA预测，根据设定的DGA域名判断阈值，检出疑似DGA域名；对上述疑似DGA域名进一步筛查，找出DGA域名。