公开(公告)号：CN110213226A

公开(公告)日：2019-09-06

申请号：CN201910327057.5

申请日：2019-04-23

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司信息通信分公司 ,  国家电网有限公司

发明人： 金倩倩 ,  刘行 ,  高鹏 ,  郭靓 ,  徐旸 ,  李炜键 ,  廖鹏 ,  刘莹 ,  樊涛 ,  杨维永 ,  姜训

IPC分类号： H04L29/06 ,  G06F17/50

摘要： 本发明公开了一种基于风险全要素辨识关联的网络攻击场景重建方法及系统，属于网络安全技术领域。方法包括：确定网络安全风险全要素；确定攻击阶段状态，关联网络安全风险全要素确定各攻击阶段状态间的转换条件和转换动作，构成网络攻击阶段有限状态机；获取新的攻击数据，并将新的攻击数据标准化为网络安全风险全要素；将标准化得到的网络安全风险全要素输入攻击阶段有限状态机，确定攻击阶段有限状态机的状态，此状态机即为网络空间中的攻击场景。本发明通过基于攻击阶段的状态机实现了实时的攻击场景自动重建。

公开(公告)号：CN110213226B

公开(公告)日：2021-08-24

申请号：CN201910327057.5

申请日：2019-04-23

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司信息通信分公司 ,  国家电网有限公司

发明人： 金倩倩 ,  刘行 ,  高鹏 ,  郭靓 ,  徐旸 ,  李炜键 ,  廖鹏 ,  刘莹 ,  樊涛 ,  杨维永 ,  姜训

IPC分类号： H04L29/06 ,  G06F30/20

摘要： 本发明公开了一种基于风险全要素辨识关联的网络攻击场景重建方法及系统，属于网络安全技术领域。方法包括：确定网络安全风险全要素；确定攻击阶段状态，关联网络安全风险全要素确定各攻击阶段状态间的转换条件和转换动作，构成网络攻击阶段有限状态机；获取新的攻击数据，并将新的攻击数据标准化为网络安全风险全要素；将标准化得到的网络安全风险全要素输入攻击阶段有限状态机，确定攻击阶段有限状态机的状态，此状态机即为网络空间中的攻击场景。本发明通过基于攻击阶段的状态机实现了实时的攻击场景自动重建。

公开(公告)号：CN118118198A

公开(公告)日：2024-05-31

申请号：CN202211530044.6

申请日：2022-11-30

申请人： 南京南瑞信息通信科技有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

发明人： 魏兴慎 ,  曹永健 ,  周剑 ,  杨维永 ,  高鹏 ,  张浩天 ,  刘苇 ,  祁龙云 ,  吴超 ,  朱江 ,  郭靓 ,  张付存 ,  朱溢铭 ,  周小明 ,  刘剑 ,  刘行 ,  张文杰 ,  田秋涵 ,  姜训 ,  郭楠楠

IPC分类号： H04L9/40

摘要： 本发明公开一种基于脆弱性的网络攻击路径生成方法及存储介质，利用系统扫描工具检测系统存在的脆弱信息，基于累计分布函数构建脆弱性可利用概率模型，结合CVSS脆弱性评估系统量化攻击途径、攻击复杂度以及身份认证指标，计算前置节点攻击成功概率。搜索在系统脆弱性被成功攻击条件下，导致攻击级联的其他新攻击后置节点。通过构建节点间脆弱性攻击有向图，确定初始攻击前置节点，消除攻击路径存在闭环状态，结合深度优先搜索算法开始进行深度遍历，不断搜索新攻击后置节点。本发明计算攻击后置节点的攻击成功概率，确定攻击成功概率之和最大的为最优攻击路径。

公开(公告)号：CN114139144A

公开(公告)日：2022-03-04

申请号：CN202111305749.3

申请日：2021-11-05

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国家电网有限公司 ,  国网江苏省电力有限公司

发明人： 俞皓 ,  蒋勇 ,  石庆周 ,  刘凯乐 ,  从正海 ,  郭金龙 ,  刘金锁 ,  王晔 ,  郭靓 ,  姜训 ,  刘强 ,  季叶飞 ,  王国青 ,  赵嘉莅 ,  赵倩 ,  陈莉 ,  乔勇

IPC分类号： G06F21/53 ,  G06F21/55

摘要： 本发明公开一种非挂载式的虚拟机vmdk文件内容深度检查方法，包括：将vmdk文件分解成多个文档文件的集合；遍历分解后的多个文档文件，查找windows注册表文件文档文件和图片文件；通过windows注册表文件获取USB使用痕迹信息，根据USB使用痕迹信息完成对USB的深度检查；对查找到的文档文件和图片文件进行分析，通过查找指定关键词完成对文档文件和图片文件的深度检查。本发明能够实现通过非挂载vmdk文件的方式解析vmdk文件所存储的虚拟机中的内容，完成深度检查，可提高检查效率，降低复杂度和检查成本。

公开(公告)号：CN112217808A

公开(公告)日：2021-01-12

申请号：CN202011031386.4

申请日：2020-09-27

申请人： 南京南瑞信息通信科技有限公司

发明人： 姜帆 ,  王哲力 ,  姜训 ,  俞皓 ,  贾雪 ,  徐胜国 ,  赵亚光 ,  马腾鹏 ,  鲁国亮 ,  王志勇

IPC分类号： H04L29/06

摘要： 本发明公开了基于消息队列的级联架构防火墙联动封解禁装置及方法，该装置包括：业务节点，用于：执行封解禁流程的实体操作节点，位于级联架构中的中心或末端；消息队列组件，用于：执行防火墙封解禁实体消息的传递；防火墙接口引擎组件，用于：适配操作不同厂商品牌防火墙的封解禁指令，实现防火墙的指令接口。本发明通过解除模块间耦合，借助消息队列，传递封解禁指令，并实现消息的级联传递，及时处理自上而下的防火墙封解禁命令，实现实时预警处置。

公开(公告)号：CN115865453A

公开(公告)日：2023-03-28

申请号：CN202211487052.7

申请日：2022-11-25

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网河南省电力公司信息通信公司 ,  国网重庆市电力公司

发明人： 姜帆 ,  李斌斌 ,  闫丽景 ,  刘剑 ,  张付存 ,  王晔 ,  郭靓 ,  陈刚 ,  姜训 ,  徐胜国 ,  俞皓 ,  党芳芳 ,  程杰 ,  贾雪 ,  王朝兴 ,  从正海 ,  金鹏 ,  邵波 ,  马腾鹏 ,  郭金龙

IPC分类号： H04L9/40 ,  H04L67/1095

摘要： 本发明公开了基于内生情报的情报共享系统、方法、装置及存储介质，包括二级设备，用于实时更新并上传其本地情报库至一级设备；一级设备，用于接收二级设备上传的本地情报库；每隔预设的时间间隔对多个二级设备的本地情报库进行共性信息抽取和质量评估，得到二级设备共性情报信息和一级设备共享信息分发给相应的二级设备，并形成总部级威胁情报库。本发明提高了情报共享的灵活性和安全分析人员的处置效率。同时，本发明构建了一种适用于企业内实际应用的威胁情报标准架构的本地情报库，提高了数据的可读性和处理效率。

公开(公告)号：CN114844707B

公开(公告)日：2024-04-02

申请号：CN202210492336.9

申请日：2022-05-07

申请人： 南京南瑞信息通信科技有限公司

发明人： 徐胜国 ,  鲁国亮 ,  王晔 ,  郭靓 ,  张付存 ,  姜训 ,  吴道林 ,  王朝兴 ,  王志勇 ,  洪昊 ,  刘剑 ,  屠正伟

IPC分类号： H04L9/40 ,  H04L41/069 ,  H04L67/1095 ,  G06F16/36 ,  G06F16/901 ,  G06F9/455

摘要： 本发明公开了一种基于图数据库的电网网络安全分析方法及系统，其方法包括：采集各种电网网络安全数据，对所述安全数据进行去噪去重处理后存储到数据库mysql中；采用多线程并行的方式，将数据库mysql中每个数据表通过单独线程加载到内存集合；在内存合集中构建各类节点和关系形成Neo4jCypher语句；基于Neo4jCypher语句通过图数据库Neo4j全量和增量构建知识图谱；编写DockerFile文件将上述步骤打包成镜像，运行到docker容器中实现快速部署；本发明能够提高攻击链路溯源能力以及部署灵活性和拓展性。

公开(公告)号：CN114070629B

公开(公告)日：2023-10-20

申请号：CN202111362550.4

申请日：2021-11-16

申请人： 南京南瑞信息通信科技有限公司

发明人： 贾雪 ,  姜训 ,  张付存 ,  王晔 ,  郭靓 ,  余军 ,  徐胜国 ,  俞皓

IPC分类号： H04L9/40

摘要： 本发明公开了一种针对APT攻击的安全编排与自动化响应方法、装置及系统，所述方法包括获取日志数据；获取本地威胁情报库，所述本地威胁情报库中包括威胁主体信息、访问方式信息，攻击目标信息和攻击指标信息，用于进行威胁的判断和分析；基于人工智能方法，对所述日志数据进行规则匹配，生成安全威胁事件告警；利用所述本地威胁情报库对所述安全威胁事件告警进行分析，识别出告警数据；对识别出的告警数据进行告警严重程度划分，根据预设的告警严重程度与响应剧本的关联关系，对攻击源进行响应操作，并通报预警。本发明能够实现安全响应的速度和效率高，平均故障响应时间短，大幅提升了安全运营的效能和成熟度。

公开(公告)号：CN113986656B

公开(公告)日：2023-12-19

申请号：CN202111195342.X

申请日：2021-10-14

申请人： 南京南瑞信息通信科技有限公司

发明人： 徐胜国 ,  贾雪 ,  鲁国亮 ,  王晔 ,  郭靓 ,  张付存 ,  姜训

IPC分类号： G06F11/30 ,  G06F11/32 ,  G06F16/28

摘要： 本发明公开了一种基于数据中台的电网数据安全监测系统，该系统通过对接数据保护伞操作日志、SDDP接口数据、脱敏日志数据、阿里云平台登录日志和ODPS操作日志统一运用数据中台的实时计算和MaxCompute数据仓库存储能力，经过数据分析、数据计算、告警入库和数据存储，快速分析并生成告警，解决安全组件相对独立，关联分析度不高问题。

公开(公告)号：CN116684128A

公开(公告)日：2023-09-01

申请号：CN202310590596.4

申请日：2023-05-24

申请人： 南京南瑞信息通信科技有限公司

发明人： 徐胜国 ,  胡游君 ,  郭靓 ,  刘剑 ,  姜训 ,  刘强 ,  俞皓 ,  王清华 ,  徐雪菲 ,  纪元 ,  臧燕

IPC分类号： H04L9/40 ,  H04L41/0604 ,  H04L41/069

摘要： 本发明公开了一种基于网络攻击行为自适应分类的告警降噪方法及系统，包括获取系统数据，并进行去噪处理和标记化；加载告警规则，通过实时流计算方式对告警规则开启监听窗口；匹配告警规则；利用训练数据对自适应分类模型进行离线训练，形成灰名单数据；进行在线检测；根据告警类型总结告警过滤规则，进行二次过滤。本发明相较于传统的仅基于规则的告警降噪检测，利用模型的方式，不容易被绕过且能够更加灵活准确的发现真正的攻击。可以通过不断的学习训练，学习新的攻击行为规律，识别最新的攻击行为；具有多场景的适应性，针对不同的应用场景，只需采用对应的数据进行训练，即可迅速部署模型，实现对应场景的告警降噪检测，无需重复开发。