公开(公告)号：CN107493265B

公开(公告)日：2018-11-02

申请号：CN201710605143.9

申请日：2017-07-24

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 许洪强 ,  黄益彬 ,  郭建成 ,  陶洪铸 ,  周劼英 ,  韩勇 ,  程长春 ,  朱世顺 ,  杨维永 ,  陈功胜 ,  李牧野 ,  杨雨轩 ,  景娜

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种面向工业控制系统的网络安全监控方法，包括以下步骤：采集工业控制系统内部监测对象的相关信息；对采集到的相关信息进行安全分析；当分析发现有潜在异常行为时，生成相关安全管控命令，并下发到相关监测对象进行执行，阻断异常行为。本发明通过对工业控制系统的核心联网设备进行丰富的数据采集，实现了对外设接入、人员操作、网络外联等工业控制系统主要安全隐患行为的实时监视，同时，通过对各种行为进行分析处理，及时发现并阻断异常行为，真正实现了工业控制系统的主动防御。对于难以将传统安全防护措施有效应用到工业控制系统的现状，从监控预警的角度很好的解决了当前工业控制系统面临的主要安全威胁。

公开(公告)号：CN107643945A

公开(公告)日：2018-01-30

申请号：CN201710714145.1

申请日：2017-08-16

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 宋子锋 ,  韩勇 ,  程长春 ,  许洪强 ,  郭建成 ,  陶洪铸 ,  周劼英 ,  杨维永 ,  朱世顺 ,  刘苇 ,  祁龙云 ,  吕小亮 ,  魏兴慎

IPC: G06F9/48 ,  G06F11/30

Abstract: 本发明公开了一种Windows xp系统下监控进程创建和销毁的方法，包括以下步骤：1，当一个进程被创建或销毁时，在Windows xp系统内核中注册一个进程通知回调，使得系统在进程的创建和销毁时会调用此进程通知回调例程；2，通过此通知回调例程获取引发该通知的进程pid，并通过该pid获得引发该通知的进程对象指针，通过层层解析进程对象中的数据结构，获得该进程的全路径名；3，将进程的创建或销毁状态，以及该进程的pid和全路径名信息记录到日志文件中，以便其他相关程序使用。与现有方法相比，本方法通用性强，兼容性好，灵活性高，适合具有高安全性和实时性要求的安全防护场合。

公开(公告)号：CN107483409A

公开(公告)日：2017-12-15

申请号：CN201710599376.2

申请日：2017-07-21

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司

Inventor： 陶洪铸 ,  祁龙云 ,  许洪强 ,  郭建成 ,  周劼英 ,  宋子锋 ,  韩勇 ,  程长春 ,  杨维永 ,  朱世顺 ,  刘苇 ,  吕小亮 ,  魏兴慎 ,  杨雨轩 ,  李牧野 ,  景娜

IPC: H04L29/06 ,  G06F11/32 ,  G06F11/34

CPC classification number: H04L63/0815 ,  G06F11/324 ,  G06F11/3438 ,  H04L63/1425 ,  H04L63/1441

Abstract: 本发明公开了一种面向工控操作系统的操作指令实时监测回显的方法，包括：用户登录主机时，主机系统为用户创建一个session，并将登录信息记录到日志文件中；用户登录主机后，在session中执行script程序，将session下的所有操作和屏幕回显记录到日志文件中；通过主机系统API接口，将日志文件加入监视列表，日志文件发生变化，进行解析，并将解析结果上报后台。本发明可以实时监测到用户登录主机的所有操作和回显，同时可以对非法操作及非法入侵进行实时阻断，增加主机监测的透明度，降低安全风险。

公开(公告)号：CN107483409B

公开(公告)日：2019-02-26

申请号：CN201710599376.2

申请日：2017-07-21

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司

Inventor： 陶洪铸 ,  祁龙云 ,  许洪强 ,  郭建成 ,  周劼英 ,  宋子锋 ,  韩勇 ,  程长春 ,  杨维永 ,  朱世顺 ,  刘苇 ,  吕小亮 ,  魏兴慎 ,  杨雨轩 ,  李牧野 ,  景娜

IPC: H04L29/06 ,  G06F11/32 ,  G06F11/34

Abstract: 本发明公开了一种面向工控操作系统的操作指令实时监测回显的方法，包括：用户登录主机时，主机系统为用户创建一个session，并将登录信息记录到日志文件中；用户登录主机后，在session中执行脚本程序，将session下的所有操作和屏幕回显记录到日志文件中；通过主机系统API接口，将日志文件加入监视列表，日志文件发生变化，进行解析，并将解析结果上报后台。本发明可以实时监测到用户登录主机的所有操作和回显，同时可以对非法操作及非法入侵进行实时阻断，增加主机监测的透明度，降低安全风险。

公开(公告)号：CN107493265A

公开(公告)日：2017-12-19

申请号：CN201710605143.9

申请日：2017-07-24

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 许洪强 ,  黄益彬 ,  郭建成 ,  陶洪铸 ,  周劼英 ,  韩勇 ,  程长春 ,  朱世顺 ,  杨维永 ,  陈功胜 ,  李牧野 ,  杨雨轩 ,  景娜

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/24

CPC classification number: H04L63/1425 ,  H04L41/0213 ,  H04L43/08 ,  H04L43/16 ,  H04L63/02 ,  H04L63/1466

Abstract: 本发明公开了一种面向工业控制系统的网络安全监控方法，包括以下步骤：采集工业控制系统内部监测对象的相关信息；对采集到的相关信息进行安全分析；当分析发现有潜在异常行为时，生成相关安全管控命令，并下发到相关监测对象进行执行，阻断异常行为。本发明通过对工业控制系统的核心联网设备进行丰富的数据采集，实现了对外设接入、人员操作、网络外联等工业控制系统主要安全隐患行为的实时监视，同时，通过对各种行为进行分析处理，及时发现并阻断异常行为，真正实现了工业控制系统的主动防御。对于难以将传统安全防护措施有效应用到工业控制系统的现状，从监控预警的角度很好的解决了当前工业控制系统面临的主要安全威胁。

公开(公告)号：CN107491693A

公开(公告)日：2017-12-19

申请号：CN201710605146.2

申请日：2017-07-24

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 郭建成 ,  刘苇 ,  许洪强 ,  陶洪铸 ,  周劼英 ,  祁龙云 ,  吕小亮 ,  魏兴慎 ,  宋子锋 ,  韩勇 ,  程长春 ,  杨维永 ,  朱世顺

IPC: G06F21/55 ,  G06F21/57

CPC classification number: G06F21/552 ,  G06F21/577

Abstract: 本发明公开了一种具有自学习特性的工控操作系统主动防御方法，包括以下步骤：步骤一，根据可信策略判决程序是否可以执行，如果可执行，监控业务行为，根据检测到的主客体访问操作；步骤二，根据步骤一，监控业务调用生成的日志，实现非确定性安全策略学习；步骤三，在Linux内核层监控系统调用的行为，收集相应的系统调用信息，根据步骤一和步骤二生成的安全策略，判断本系统调用是否允许或拒绝；步骤四，根据步骤一和步骤二，以自学习的系统强制访问控制为基础，辅助以应用可信度量，构建工控操作系统主动防御体系。本发明可以实现在已存在缺陷漏洞的情况下，仍然能够对攻击免疫，具有自动学习、应用简单、业务影响小等特性。