公开(公告)号：CN107346259B

公开(公告)日：2020-09-08

申请号：CN201710326354.9

申请日：2017-05-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 马秀娟 ,  吴震 ,  张露晨 ,  李传海 ,  胡国华 ,  王秀文 ,  苏沐冉 ,  何清林 ,  张家琦 ,  王子厚

IPC: G06F9/455 ,  G06F9/50 ,  H04L29/06

Abstract: 本发明公开了一种动态部署安全能力的实现方法。本方法为：1)云网络的云安全中心创建一安全虚机，并加载安全能力的镜像到该安全虚机；安全虚机为运行安全业务的虚拟机；2)云安全中心将路由策略发送给云租户网络的虚拟路由器，将相应的业务流量牵引到该安全虚机上；3)当云网络中存在多个安全虚机时，云安全中心选取一安全虚机作为主安全虚机；并将需安全防护的流量牵引到该主安全虚机；4)该主安全虚机将流量分配给其他安全虚机并建立一分流规则表；5)云安全中心监控各安全虚机的设定关键性能指标，确定是否存在需要释放的安全虚机；当待释放的安全虚机流连接数为0时释放该安全虚机。本发明根据用户的实际业务流量大小来进行弹性伸缩。

公开(公告)号：CN107241283B

公开(公告)日：2020-06-05

申请号：CN201710367940.8

申请日：2017-05-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 马秀娟 ,  吴震 ,  李传海 ,  孙伟 ,  唐积强 ,  毛洪亮 ,  徐小磊 ,  何清林 ,  张家琦 ,  王子厚

IPC: H04L12/931 ,  H04L29/08 ,  H04L12/46 ,  H04L12/24 ,  G06F9/455

Abstract: 本发明提供一种跨主机租户的东西向网络流量镜像采集方法，其步骤包括：1)流量采集控制服务器根据待采集租户的租户名以及从云服务主控服务器获取的租户的网络配置信息和租户的虚拟机在物理主机上的分布信息生成与待采集租户对应的流量采集配置参数；2)流量采集控制服务器将上述流量采集配置参数通过云服务主机的流量采集Agent下发到流量采集驱动程序；3)流量采集驱动程序对上述流量采集配置参数指定的采集流量进行镜像，并将镜像的采集流量发送给流量采集Agent。本发明方法可以在Linux内核驱动程序层，根据租户名和租户的网络配置信息以及租户的虚拟机在物理主机上的分布信息，动态采集租户的东西向网络流量。

公开(公告)号：CN110532747A

公开(公告)日：2019-12-03

申请号：CN201910695179.X

申请日：2019-07-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  谷杰铭 ,  张奕欣 ,  邢潇 ,  张翀 ,  邹潇湘 ,  何清林

IPC: G06F21/32 ,  G06F21/60

Abstract: 本发明公开了一种基于认证与生物特征的数据脱敏系统，通过数据源服务器、脱敏服务器、客户端与目标服务器的配合使用，实现了系统在进行数据脱敏时，不必生成临时文件，避免了数据在此过程中被泄密的可能性，同时能够实现在数据脱敏的同时对数据正常传输。

公开(公告)号：CN105373601B

公开(公告)日：2019-05-21

申请号：CN201510755911.X

申请日：2015-11-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何睿 ,  吴昊 ,  汪立东 ,  何清林 ,  马秀娟 ,  张良 ,  张露晨 ,  李晓倩 ,  孙昊良

IPC: G06F16/245 ,  G06F21/55

Abstract: 本发明提供一种基于关键字词频特征的多模式匹配方法，首先从已知的信息数据库中提取关键字并统计出现频率作为其词频信息，其次采用构造含有关键字词频信息的二叉树完成其中的模式串匹配，在字符匹配过程中若出现字符不相等，则与该不匹配字符所在节点的兄弟节点所含字符进行匹配。其利用信息来源的模式的关键字词频信息构造基于字典树的二叉树完成其中的模式串的匹配，并与AC算法进行了比较。传统的AC算法需要维护三张表，并且在模式匹配过程中会频繁访问这三张表；本发明的一种基于关键字词频特征的多模式匹配方法更多的利用了模式本身的词频信息，并不需要维护过多的信息，这就大大减少了系统的内存消耗。

公开(公告)号：CN107346259A

公开(公告)日：2017-11-14

申请号：CN201710326354.9

申请日：2017-05-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 马秀娟 ,  吴震 ,  张露晨 ,  李传海 ,  胡国华 ,  王秀文 ,  苏沐冉 ,  何清林 ,  张家琦 ,  王子厚

IPC: G06F9/455 ,  G06F9/50 ,  H04L29/06

Abstract: 本发明公开了一种动态部署安全能力的实现方法。本方法为：1)云网络的云安全中心创建一安全虚机，并加载安全能力的镜像到该安全虚机；安全虚机为运行安全业务的虚拟机；2)云安全中心将路由策略发送给云租户网络的虚拟路由器，将相应的业务流量牵引到该安全虚机上；3)当云网络中存在多个安全虚机时，云安全中心选取一安全虚机作为主安全虚机；并将需安全防护的流量牵引到该主安全虚机；4)该主安全虚机将流量分配给其他安全虚机并建立一分流规则表；5)云安全中心监控各安全虚机的设定关键性能指标，确定是否存在需要释放的安全虚机；当待释放的安全虚机流连接数为0时释放该安全虚机。本发明根据用户的实际业务流量大小来进行弹性伸缩。

公开(公告)号：CN107104829A

公开(公告)日：2017-08-29

申请号：CN201710253404.5

申请日：2017-04-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 金暐 ,  邹潇湘 ,  舒敏 ,  唐积强 ,  高昕 ,  王锟 ,  李海灵 ,  董琳 ,  王中华 ,  侯美佳 ,  李佳 ,  蒋凌云 ,  何清林 ,  杜忠田 ,  马杰 ,  王佳

IPC: H04L12/24

Abstract: 本发明提供了一种基于网络拓扑数据的物理设备匹配分配方法及装置，方法包括以下步骤：获取设备T的端口信息，根据设备T的端口信息对所有物理设备进行初筛，形成待匹配物理设备列表；当待匹配物理设备列表不为空时，根据设备T的匹配矩阵判断设备T与当前物理设备是否匹配，获取设备T对应的设备N，当设备N中不包含逻辑设备时，则将与设备T的端口匹配成功的物理设备加入成功匹配结果集。本发明提供的方法能够在已有的物理网络拓扑中判断是否有符合要求拓扑条件的设备集合，并找出其所有可用的设备供用户选择，是整体实验平台资源统一管理和调度的基础，能够高效的管理实验室相关设备，提高实验设备的利用率。

公开(公告)号：CN105183858A

公开(公告)日：2015-12-23

申请号：CN201510572334.0

申请日：2015-09-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王大伟 ,  孙昊良 ,  何清林 ,  马秀娟 ,  张良 ,  吴昊 ,  汪立东

IPC: G06F17/30

CPC classification number: G06F17/30303 ,  G06F17/30386

Abstract: 本发明公开一种基于消息队列的分布式数据实时去重方法，根据消息网络接口，配置若干台数据从服务器，并加入消息网络；为每一种需去重的数据配置添加原始数据信息、去重数据信息、去重服务信息；根据原始数据信息，去重数据信息及去重服务信息确定从服务器；原始数据产生者查询重服务信息，并将原始数据发送至相应的原始数据队列；数据从去重服务器查询去重服务信息，从相应的原始数据队列中消费数据，并输入至数据去重引擎，之后将去重后的数据输入到相应的去重数据队列；去重数据消费者查询去重服务信息，并从相应的去重数据队列中消费数据；主服务器根据从服务器信息更新从服务器信息。

公开(公告)号：CN115701020A

公开(公告)日：2023-02-07

申请号：CN202110797366.6

申请日：2021-07-14

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 何清林 ,  邢燕祯 ,  罗冰 ,  张翀 ,  刘洋 ,  陈亘 ,  陈曦 ,  方太辉

IPC: H04L9/40

Abstract: 本申请提供了一种基于HTTP协议的网络流量的漏洞特征提取系统，其特征在于，包括采集模块、聚类模块、特征提取模块以及转换模块；所述采集模块用于获取到payload数据；所述聚类模块用于得到属于同一漏洞的payload数据集合；所述特征提取模块用于提取到所述漏洞的有效特征字符串；所述转换模块用于将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请还提供一种基于HTTP协议的网络流量的漏洞特征提取系统的提取方法，其步骤为：获取到payload数据，进行聚类，得到属于同一漏洞的payload数据集合；提取到有效特征字符串；获得有效特征字符串的相关信息，将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请提高了提取效率。

公开(公告)号：CN115473686A

公开(公告)日：2022-12-13

申请号：CN202210962957.9

申请日：2022-08-11

Applicant: 西北工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  杨黎斌 ,  崔琳 ,  王星 ,  蔡晓妍 ,  戴航 ,  胡金灿 ,  王梦涵

IPC: H04L9/40 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明公开了一种僵尸网络关键节点识别方法和识别系统，该方法包括：S1、获得基础僵尸感染流量数据，用其构建一个目标待识别关键节点的异构僵尸感染网络HBIN；S2、计算目标异构僵尸感染网络HBIN中每个僵尸节点的感染影响力；S3、按照感染影响力降序排列后选择前100个节点作为该目标异构僵尸感染网络中的关键节点。本发明提供的僵尸网络关键节点识别方法能够高效、高质量地获取最关键的僵尸节点集。

公开(公告)号：CN115237978A

公开(公告)日：2022-10-25

申请号：CN202210796520.2

申请日：2022-07-06

Applicant: 西北工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  杨黎斌 ,  胡金灿 ,  王梦涵 ,  崔琳 ,  蔡晓妍 ,  戴航

IPC: G06F16/2458 ,  G06F16/28 ,  G06F40/216 ,  G06F40/279 ,  G06F16/26

Abstract: 本发明公开了一种开源威胁情报聚合平台，设置：多源异构情报数据获取模块、多源异构情报数据融合评价模块和威胁情报深度挖掘模块；多源异构情报数据融合评价模块，对多源异构情报数据获取模块获取的情报数据进行识别提取、融合评价及归一化存储，识别提取是生成结构化的威胁情报；融合评价进行威胁情报的甄选；归一化存储是扩展甄选后的威胁情报的信息维度，形成物联网漏洞聚合库和威胁情报数据库；威胁情报深度挖掘模块，结合已有的威胁数据及流量信息的匹配关系，构建模糊图形模式匹配模型，匹配物联网漏洞聚合库和威胁情报数据库中的威胁情报和流量信息，实现对潜在的攻击行为挖掘。