公开(公告)号：CN107493265B

公开(公告)日：2018-11-02

申请号：CN201710605143.9

申请日：2017-07-24

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 许洪强 ,  黄益彬 ,  郭建成 ,  陶洪铸 ,  周劼英 ,  韩勇 ,  程长春 ,  朱世顺 ,  杨维永 ,  陈功胜 ,  李牧野 ,  杨雨轩 ,  景娜

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种面向工业控制系统的网络安全监控方法，包括以下步骤：采集工业控制系统内部监测对象的相关信息；对采集到的相关信息进行安全分析；当分析发现有潜在异常行为时，生成相关安全管控命令，并下发到相关监测对象进行执行，阻断异常行为。本发明通过对工业控制系统的核心联网设备进行丰富的数据采集，实现了对外设接入、人员操作、网络外联等工业控制系统主要安全隐患行为的实时监视，同时，通过对各种行为进行分析处理，及时发现并阻断异常行为，真正实现了工业控制系统的主动防御。对于难以将传统安全防护措施有效应用到工业控制系统的现状，从监控预警的角度很好的解决了当前工业控制系统面临的主要安全威胁。

公开(公告)号：CN107643945A

公开(公告)日：2018-01-30

申请号：CN201710714145.1

申请日：2017-08-16

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 宋子锋 ,  韩勇 ,  程长春 ,  许洪强 ,  郭建成 ,  陶洪铸 ,  周劼英 ,  杨维永 ,  朱世顺 ,  刘苇 ,  祁龙云 ,  吕小亮 ,  魏兴慎

IPC: G06F9/48 ,  G06F11/30

Abstract: 本发明公开了一种Windows xp系统下监控进程创建和销毁的方法，包括以下步骤：1，当一个进程被创建或销毁时，在Windows xp系统内核中注册一个进程通知回调，使得系统在进程的创建和销毁时会调用此进程通知回调例程；2，通过此通知回调例程获取引发该通知的进程pid，并通过该pid获得引发该通知的进程对象指针，通过层层解析进程对象中的数据结构，获得该进程的全路径名；3，将进程的创建或销毁状态，以及该进程的pid和全路径名信息记录到日志文件中，以便其他相关程序使用。与现有方法相比，本方法通用性强，兼容性好，灵活性高，适合具有高安全性和实时性要求的安全防护场合。

公开(公告)号：CN104363131B

公开(公告)日：2017-11-21

申请号：CN201410540266.5

申请日：2014-10-14

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网山西省电力公司

Inventor： 黄益彬 ,  金倩倩 ,  杨维永 ,  俞皓 ,  朱应飞 ,  朱世顺 ,  宋述停 ,  王强

IPC: H04L12/26 ,  H04L29/08

Abstract: 本发明公开了一种基于有限状态机动态可扩展的电力通信协议异常检测方法，通过协议描述规则对电力通信协议L2‑L7层（链路层到应用层）定义、协议状态机逻辑及异常处理逻辑进行描述，形成协议规则定义文件，然后通过协议规则解析引擎将协议规则定义文件翻译成协议规则库，根据协议规则库对网络数据包进行协议解析、状态检测及异常处理，不仅能够实现对各种应用层协议的动态扩展支持，能够实现对应用层协议上、下文状态检测与异常处理的动态扩展支持，便于电力通信协议异常检测，具有良好的应用前景。

公开(公告)号：CN107493265A

公开(公告)日：2017-12-19

申请号：CN201710605143.9

申请日：2017-07-24

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 许洪强 ,  黄益彬 ,  郭建成 ,  陶洪铸 ,  周劼英 ,  韩勇 ,  程长春 ,  朱世顺 ,  杨维永 ,  陈功胜 ,  李牧野 ,  杨雨轩 ,  景娜

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/24

CPC classification number: H04L63/1425 ,  H04L41/0213 ,  H04L43/08 ,  H04L43/16 ,  H04L63/02 ,  H04L63/1466

Abstract: 本发明公开了一种面向工业控制系统的网络安全监控方法，包括以下步骤：采集工业控制系统内部监测对象的相关信息；对采集到的相关信息进行安全分析；当分析发现有潜在异常行为时，生成相关安全管控命令，并下发到相关监测对象进行执行，阻断异常行为。本发明通过对工业控制系统的核心联网设备进行丰富的数据采集，实现了对外设接入、人员操作、网络外联等工业控制系统主要安全隐患行为的实时监视，同时，通过对各种行为进行分析处理，及时发现并阻断异常行为，真正实现了工业控制系统的主动防御。对于难以将传统安全防护措施有效应用到工业控制系统的现状，从监控预警的角度很好的解决了当前工业控制系统面临的主要安全威胁。

公开(公告)号：CN107491693A

公开(公告)日：2017-12-19

申请号：CN201710605146.2

申请日：2017-07-24

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网公司

Inventor： 郭建成 ,  刘苇 ,  许洪强 ,  陶洪铸 ,  周劼英 ,  祁龙云 ,  吕小亮 ,  魏兴慎 ,  宋子锋 ,  韩勇 ,  程长春 ,  杨维永 ,  朱世顺

IPC: G06F21/55 ,  G06F21/57

CPC classification number: G06F21/552 ,  G06F21/577

Abstract: 本发明公开了一种具有自学习特性的工控操作系统主动防御方法，包括以下步骤：步骤一，根据可信策略判决程序是否可以执行，如果可执行，监控业务行为，根据检测到的主客体访问操作；步骤二，根据步骤一，监控业务调用生成的日志，实现非确定性安全策略学习；步骤三，在Linux内核层监控系统调用的行为，收集相应的系统调用信息，根据步骤一和步骤二生成的安全策略，判断本系统调用是否允许或拒绝；步骤四，根据步骤一和步骤二，以自学习的系统强制访问控制为基础，辅助以应用可信度量，构建工控操作系统主动防御体系。本发明可以实现在已存在缺陷漏洞的情况下，仍然能够对攻击免疫，具有自动学习、应用简单、业务影响小等特性。

公开(公告)号：CN104363131A

公开(公告)日：2015-02-18

申请号：CN201410540266.5

申请日：2014-10-14

Applicant: 国家电网公司 ,  南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司 ,  国网山西省电力公司

Inventor： 黄益彬 ,  金倩倩 ,  杨维永 ,  俞皓 ,  朱应飞 ,  朱世顺 ,  宋述停 ,  王强

IPC: H04L12/26 ,  H04L29/08

Abstract: 本发明公开了一种基于有限状态机动态可扩展的电力通信协议异常检测方法，通过协议描述规则对电力通信协议L2-L7层（链路层到应用层）定义、协议状态机逻辑及异常处理逻辑进行描述，形成协议规则定义文件，然后通过协议规则解析引擎将协议规则定义文件翻译成协议规则库，根据协议规则库对网络数据包进行协议解析、状态检测及异常处理，不仅能够实现对各种应用层协议的动态扩展支持，能够实现对应用层协议上、下文状态检测与异常处理的动态扩展支持，便于电力通信协议异常检测，具有良好的应用前景。

公开(公告)号：CN107483409B

公开(公告)日：2019-02-26

申请号：CN201710599376.2

申请日：2017-07-21

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司

Inventor： 陶洪铸 ,  祁龙云 ,  许洪强 ,  郭建成 ,  周劼英 ,  宋子锋 ,  韩勇 ,  程长春 ,  杨维永 ,  朱世顺 ,  刘苇 ,  吕小亮 ,  魏兴慎 ,  杨雨轩 ,  李牧野 ,  景娜

IPC: H04L29/06 ,  G06F11/32 ,  G06F11/34

Abstract: 本发明公开了一种面向工控操作系统的操作指令实时监测回显的方法，包括：用户登录主机时，主机系统为用户创建一个session，并将登录信息记录到日志文件中；用户登录主机后，在session中执行脚本程序，将session下的所有操作和屏幕回显记录到日志文件中；通过主机系统API接口，将日志文件加入监视列表，日志文件发生变化，进行解析，并将解析结果上报后台。本发明可以实时监测到用户登录主机的所有操作和回显，同时可以对非法操作及非法入侵进行实时阻断，增加主机监测的透明度，降低安全风险。

公开(公告)号：CN107483409A

公开(公告)日：2017-12-15

申请号：CN201710599376.2

申请日：2017-07-21

Applicant: 南京南瑞集团公司 ,  南京南瑞信息通信科技有限公司

Inventor： 陶洪铸 ,  祁龙云 ,  许洪强 ,  郭建成 ,  周劼英 ,  宋子锋 ,  韩勇 ,  程长春 ,  杨维永 ,  朱世顺 ,  刘苇 ,  吕小亮 ,  魏兴慎 ,  杨雨轩 ,  李牧野 ,  景娜

IPC: H04L29/06 ,  G06F11/32 ,  G06F11/34

CPC classification number: H04L63/0815 ,  G06F11/324 ,  G06F11/3438 ,  H04L63/1425 ,  H04L63/1441

Abstract: 本发明公开了一种面向工控操作系统的操作指令实时监测回显的方法，包括：用户登录主机时，主机系统为用户创建一个session，并将登录信息记录到日志文件中；用户登录主机后，在session中执行script程序，将session下的所有操作和屏幕回显记录到日志文件中；通过主机系统API接口，将日志文件加入监视列表，日志文件发生变化，进行解析，并将解析结果上报后台。本发明可以实时监测到用户登录主机的所有操作和回显，同时可以对非法操作及非法入侵进行实时阻断，增加主机监测的透明度，降低安全风险。

公开(公告)号：CN102306258B

公开(公告)日：2013-09-25

申请号：CN201110285961.8

申请日：2011-09-23

Applicant: 国网电力科学研究院 ,  南京南瑞集团公司 ,  国家电网公司

Inventor： 朱世顺 ,  金倩倩 ,  刘行 ,  董珏 ,  陈刚 ,  朱晓欢

IPC: G06F21/57

Abstract: 本发明公开了一种基于可配置知识库的UNIX主机安全配置审计方法。知识库包括用于安全审计的系统配置规则库及能为用户提供信息安全决策支撑的安全加固建议库，支持针对不同UNIX操作系统类型及安全审计需求对知识库进行灵活定制。本系统根据UNIX操作系统类型、审计需求等过滤条件对知识库提供的审计项进行筛选，实施UNIX主机系统的自动化配置审计、漏洞分析、风险评级、加固实施风险分析，并形成报表。本发明有利于及时发现主机系统存在的安全隐患，最终实现对UNIX主机系统的安全防护。

公开(公告)号：CN101894230B

公开(公告)日：2013-04-10

申请号：CN201010226032.5

申请日：2010-07-14

Applicant: 国网电力科学研究院 ,  南京南瑞集团公司 ,  国家电网公司

Inventor： 朱世顺 ,  郭骞 ,  唐汗青 ,  林为民 ,  余勇 ,  从正海 ,  杨维永

IPC: G06F21/57 ,  H04L12/24

Abstract: 本发明公开了一种基于静态和动态分析技术的主机系统安全评估方法，分析评估主机系统是否存在安全风险。本系统包括：静态数据采集器、动态数据采集器、远程分析服务器。通过本方法对主机系统安全性进行安全评估时的流程是通过上传静态数据采集器，采集主机系统概要文件参数、服务列表、进程信息等静态安全数据，远程分析器进行综合关联分析，根据静态安全数据分析结果，对主机系统的服务响应、漏洞匹配、深度逻辑安全等进行动态分析，通过静态和动态分析技术相结合的方法，确定主机系统是否存在安全风险。