公开(公告)号：CN111262722B

公开(公告)日：2023-04-18

申请号：CN201911423677.5

申请日：2019-12-31

Applicant: 中国广核电力股份有限公司 ,  深圳中广核工程设计有限公司 ,  上海观安信息技术股份有限公司

Inventor： 春增军 ,  孙辉 ,  张林 ,  张金华 ,  崔岗 ,  颜振宇 ,  陈伟雄 ,  王文君 ,  赵杰 ,  陈一根

IPC: H04L41/14 ,  H04L41/147 ,  H04L43/16 ,  H04L9/40 ,  H04L43/028 ,  G06F18/23213 ,  G06F18/2431 ,  G06F18/2411

Abstract: 一种用于工业控制系统网络的安全监测方法，涉及核电站工业控制系统网络安全技术领域。首先获取工业控制系统网络的工控元数据并提取工控元数据的特征信息，然后将工控元数据的特征信息输入到预设模型中，最后依据预设模型输出的结果获取工业控制系统网络安全的风险指数。其中，工控元数据包括工业控制系统网络中传输的数据包。在不影响核电站工业控制系统网络正常运行安全和运行效率的基础上，实现了对工控系统网络安全运行数据的监控，以提高类似如核电站等国家关键基础设施中的工业控制系统网络安全和可靠性。

公开(公告)号：CN111262722A

公开(公告)日：2020-06-09

申请号：CN201911423677.5

申请日：2019-12-31

Applicant: 中国广核电力股份有限公司 ,  深圳中广核工程设计有限公司 ,  上海观安信息技术股份有限公司

Inventor： 春增军 ,  孙辉 ,  张林 ,  张金华 ,  崔岗 ,  颜振宇 ,  陈伟雄 ,  王文君 ,  赵杰 ,  陈一根

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06 ,  G06K9/62

Abstract: 一种用于工业控制系统网络的安全监测方法，涉及核电站工业控制系统网络安全技术领域。首先获取工业控制系统网络的工控元数据并提取工控元数据的特征信息，然后将工控元数据的特征信息输入到预设模型中，最后依据预设模型输出的结果获取工业控制系统网络安全的风险指数。其中，工控元数据包括工业控制系统网络中传输的数据包。在不影响核电站工业控制系统网络正常运行安全和运行效率的基础上，实现了对工控系统网络安全运行数据的监控，以提高类似如核电站等国家关键基础设施中的工业控制系统网络安全和可靠性。

公开(公告)号：CN113965384B

公开(公告)日：2023-11-03

申请号：CN202111231817.6

申请日：2021-10-22

Applicant: 上海观安信息技术股份有限公司

Inventor： 李振平 ,  王文君

IPC: H04L9/40 ,  H04L67/141

Abstract: 本发明公开一种网络安全异常检测方法、装置及计算机存储介质。其中，该方法包括：该方法包括：获取当前访问数据；根据所述当前访问数据建立会话树；根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果；以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果；当所述第一结果和第二结果均为异常时，认为所述当前访问数据为异常；当所述第一结果或所述第二结果为异常时，认为所述当前访问数据为疑似异常；当所述第一结果和第二结果均为正常时，认为所述当前访问数据为正常。本发明通过进行两个特征分析，可以使当前访问数据的判断结果更加准确，实现低误报率、低成本、高效的安全检测和拦截。

公开(公告)号：CN116760607A

公开(公告)日：2023-09-15

申请号：CN202310777940.0

申请日：2023-06-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 达盼飞 ,  郑力达 ,  李明蕊 ,  王文君 ,  陈曦 ,  陆怡凡 ,  刘骏文

IPC: H04L9/40 ,  H04L12/46 ,  H04L67/01

Abstract: 本申请公开了一种蜜罐诱捕节点的建立方法及装置、介质和设备。方法包括：建立第一网络设备与第二网络设备之间的网络连接；获取待接入网络信息，并在第一网络设备中配置与待接入网络信息的接入网段，其中，接入网段属于第二网络设备对应的网段；获取虚拟网络信息，并在第一网络设备中配置与虚拟网络信息对应的虚拟网络地址，开放虚拟网络地址的全部端口，并将每个端口作为蜜罐诱捕节点，其中，虚拟网络地址属于接入网段；建立第一网络设备与蜜罐设备之间的网络连接，以使第一网络设备将请求重定向至蜜罐设备，其中，请求与虚拟网络地址相对应。本申请的方法解决了现有方法诱捕面较窄所导致的发现攻击者几率低下的问题。

公开(公告)号：CN111343174B

公开(公告)日：2022-04-26

申请号：CN202010109410.5

申请日：2020-02-22

Applicant: 上海观安信息技术股份有限公司

Inventor： 王文君 ,  赵杰 ,  达盼飞 ,  郑力达 ,  李明蕊 ,  魏国富 ,  殷钱安 ,  梁淑云

IPC: H04L9/40 ,  G06N3/08 ,  G06F16/2458 ,  G06F16/23

Abstract: 本发明提供一种智能学习式自应答工业互联网蜜罐诱导方法及系统，包括样本数据处理，定期获取设定时间段内正常情况下工业环境的业务请求命令及响应所述请求命令的设备及响应内容，并处理生成请求响应序列，作为模型训练样本数据集；响应预测模型训练；威胁诱捕，获取当前攻击者的请求数据，根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点，给予该请求数据的反馈并记录数据，直至攻击结束，然后将获取到的请求响应序列加入到样本数据集中；重复上述过程。本方法通过对各类工控系统数据交互的深度学习，真实模拟出各类工控系统及业务，能够欺骗攻击者且不会暴露，为工业互联网安全提供有力保障。

公开(公告)号：CN113569171A

公开(公告)日：2021-10-29

申请号：CN202111127709.4

申请日：2021-09-26

Applicant: 上海观安信息技术股份有限公司

Inventor： 刘喻 ,  杨雪静 ,  郭志鹏 ,  杨集宾 ,  王文君

IPC: G06F16/957 ,  G06F16/958

Abstract: 本申请公开了一种网页主题更换方法及装置、存储介质、计算机设备，该方法包括：响应于对目标网页的主题更换指令，确定所述目标网页对应的待更换的目标主题；读取所述目标主题对应的目标变量文件，其中，所述目标变量文件包括待更换的目标变量种类以及与所述目标变量种类对应的变更值；通过浏览器原生程序对已加载的网页样式文件进行编译，将已加载的网页样式文件中与所述目标变量种类对应的参数值更新为对应的所述变更值，以使所述网页样式文件与所述目标主题匹配；加载所述网页样式文件中与所述目标变量种类对应的参数值，以将所述目标主题应用于所述目标网页上。本申请无需创建全量样式文件，减少了资源占用量，同时提高了页面刷新效率。

公开(公告)号：CN109413048B

公开(公告)日：2021-06-04

申请号：CN201811158439.1

申请日：2018-09-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 王文君 ,  宋秋霞 ,  周恒 ,  李明蕊 ,  许超凡 ,  郑力达 ,  陈曦 ,  辜乘风

IPC: H04L29/06

Abstract: 本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品，能够在一定程度上保护了终端或者网络中真实的文件，提高了终端或者网络的安全性。本发明实施例提供的基于文件型蜜罐检测勒索软件方法，包括：监测映射文件夹对应的日志文件；所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹；当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件，确定当前使用环境中具有攻击源的机器行为。

公开(公告)号：CN111343174A

公开(公告)日：2020-06-26

申请号：CN202010109410.5

申请日：2020-02-22

Applicant: 上海观安信息技术股份有限公司

Inventor： 王文君 ,  赵杰 ,  达盼飞 ,  郑力达 ,  李明蕊 ,  魏国富 ,  殷钱安 ,  梁淑云

IPC: H04L29/06 ,  G06N3/08 ,  G06F16/2458 ,  G06F16/23

Abstract: 本发明提供一种智能学习式自应答工业互联网蜜罐诱导方法及系统，包括样本数据处理，定期获取设定时间段内正常情况下工业环境的业务请求命令及响应所述请求命令的设备及响应内容，并处理生成请求响应序列，作为模型训练样本数据集；响应预测模型训练；威胁诱捕，获取当前攻击者的请求数据，根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点，给予该请求数据的反馈并记录数据，直至攻击结束，然后将获取到的原始攻击请求响应序列加入到样本数据集中；重复上述过程。本方法通过对各类工控系统数据交互的深度学习，真实模拟出各类工控系统及业务，能够欺骗攻击者且不会暴露，为工业互联网安全提供有力保障。

公开(公告)号：CN113656535B

公开(公告)日：2023-11-14

申请号：CN202111008418.3

申请日：2021-08-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 范海斌 ,  王文君

IPC: G06F16/31 ,  G06F16/332 ,  G06F16/2455

Abstract: 本发明实施例公开了一种异常会话检测方法，包括：提取数据流中的会话以及与会话对应的设备互连信息；根据所述设备互连信息判断相应会话是否存在于预设白名单中；将不存在于预设白名单中的会话按照会话内容进行逐级分类，得到会话树；根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度；将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单；将不存在于最新白名单中的会话判断为异常会话，提高了异常会话检测的准确度。

公开(公告)号：CN116996262A

公开(公告)日：2023-11-03

申请号：CN202310789804.3

申请日：2023-06-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 郑力达 ,  达盼飞 ,  李明蕊 ,  王文君 ,  杨浩 ,  王杰 ,  张虎成

IPC: H04L9/40

Abstract: 本发明提供低资源高仿真漏洞蜜罐方法及系统，方法包括：预置存储仿真现有系统的静态仿真资源，动态仿真资源，以及现有系统漏洞相关的请求规则和响应规则；对外地址映射模块2用于将仿真响应暴露在外部网络空间中，将攻击者的请求访问转发到仿真响应模块3；加载资源存储模块的相应仿真资源和漏洞规则，当通过对外地址映射模块2接收到来自攻击者的请求时，进行相应的响应反馈；接收来自仿真响应模块3中攻击者漏洞利用的指令，执行相应的指令，产生对应的响应信息，并反馈给仿真响应模块3，从而形成对应的漏洞仿真。本发明解决了制作难度大及部署资源要求高、页面与漏洞无法匹配、攻击防御效果较差的技术问题。