公开(公告)号：CN116668192A

公开(公告)日：2023-08-29

申请号：CN202310919144.6

申请日：2023-07-26

申请人： 国网山东省电力公司信息通信公司

发明人： 李明 ,  曲延盛 ,  王云霄 ,  黄华 ,  李宁 ,  张文斌 ,  赵丽娜 ,  毛波 ,  刘维特 ,  张婕 ,  刘子函 ,  任乐

IPC分类号： H04L9/40 ,  G06F40/30 ,  G06F40/289 ,  G06F16/35 ,  G06F18/22 ,  G06F18/23213 ,  G06F18/24 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/09

摘要： 本发明属于移动设备、物联网、医疗健康等技术领域，提供了一种网络用户行为异常检测方法及系统。该方法包括，获取用户属性信息和用户的操作行为数据，对用户属性信息和操作行为数据进行预处理；根据预处理后的用户属性信息和用户的操作行为数据，分别进行聚类，得到用户类型和访问服务类型；根据用户的操作行为数据，得到不同访问服务类型的访问时间、频次、数据量和持续时长信息；构建以访问时间和访问服务类型为坐标，以频次、数据量和持续时长信息为像素信息，构建用户行为语义图；采用特征提取网络提取用户行为语义图的特征图；基于用户类型选择神经网络分析特征图，检测用户异常行为。

公开(公告)号：CN115906083A

公开(公告)日：2023-04-04

申请号：CN202211489368.X

申请日：2022-11-25

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司

发明人： 黄华 ,  陈剑飞 ,  刘子函 ,  刘建毅 ,  李宁 ,  张文斌 ,  韩兴旺 ,  倪金超 ,  赵丽娜 ,  盛华

IPC分类号： G06F21/56 ,  G06N20/00

摘要： 本申请实施例提供了一种恶意代码溯源方法、系统、设备及存储介质，用以解决现有的APT恶意代码攻击溯源分析准确率较低的技术问题。方法包括：实时收集正在进行攻击的APT恶意代码组织数据；将所述正在进行攻击的APT恶意代码组织数据输入预先训练的恶意代码组织溯源模型中，输出预测的APT恶意代码组织溯源结果；其中，所述恶意代码组织溯源模型是通过反汇编语言训练的。本申请将实时攻击的恶意代码转化为Asm2Vec函数所需类型，语义表示学习模型Asm2Vec揭示恶意代码汇编语言之间语义关系，不需要任何先验知识，也不需要数据之间的正确映射。只需在向量库中搜索即可实现同源分析，以针对特定组织的攻击实时精确防御。

公开(公告)号：CN110661811A

公开(公告)日：2020-01-07

申请号：CN201910957764.2

申请日：2019-10-10

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司

发明人： 于航 ,  张丞 ,  王云霄 ,  李宁 ,  郭小燕 ,  马琳 ,  陈琳 ,  张文斌 ,  赵丽娜 ,  王高洲 ,  王惠剑 ,  韩兴旺 ,  刘荫 ,  韩圣亚 ,  郭爽爽 ,  徐浩 ,  张悦 ,  黄振 ,  汤琳琳 ,  殷齐林 ,  朱璐 ,  张璞

IPC分类号： H04L29/06

摘要： 本发明公开了一种防火墙策略管理方法，包括以下步骤：周期性采集防火墙策略并执行范式化操作；对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。还公开了一种防火墙策略管理装置，及时发现其中未申请而进行策略变更的现象，对全网防火墙策略进行梳理，发现其中的覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略，审计是否存在开通高危端口的策略。

公开(公告)号：CN110620790A

公开(公告)日：2019-12-27

申请号：CN201910957979.4

申请日：2019-10-10

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司

发明人： 王高洲 ,  张丞 ,  王云霄 ,  李宁 ,  郭小燕 ,  马琳 ,  张文斌 ,  赵丽娜 ,  陈琳 ,  于航 ,  王惠剑 ,  韩兴旺 ,  刘荫 ,  韩圣亚 ,  张悦 ,  徐浩 ,  朱璐 ,  李小川

IPC分类号： H04L29/06

摘要： 本发明公开了一种网络安全设备联动处置方法，包括以下步骤：S1、建立多源网络安全设备原始告警日志与标准化日志的映射关系；S2、设定不同安全场景下告警日志权值的关联分析规则和触发阈值的响应处置规则；S3、收集安全设备原始告警日志并对原始告警日志进行标准化；S4、根据收集的日志信息判断是否符合该安全场景下的关联分析规则，如果否，根据响应处置规则进行响应处置；如果是，转到步骤S3。还公开了一种网络安全设备联动处置装置，将多种安全设备协同联动，对出现的疑似网络攻击事件进行自动化的发现、研判、响应、处置。

公开(公告)号：CN108933791A

公开(公告)日：2018-12-04

申请号：CN201810743757.8

申请日：2018-07-09

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司

发明人： 田兵 ,  严文涛 ,  严莉 ,  王玮 ,  李明 ,  张丞 ,  郭小燕 ,  王云霄 ,  马琳 ,  陈琳 ,  于航 ,  张文斌 ,  孟鑫 ,  黄杉

IPC分类号： H04L29/06

摘要： 本发明公开了一种基于电力信息网安全防护策略智能优化方法，包括以下步骤：数据采集步骤：对防火墙运行状态、策略调度、日志、作业执行进行采集分析，分析结果入库；数据审计处理步骤：对防火墙运行状态、策略生命周期、日志进行分析管理，对作业执行结果进行审计，生成分析报告及告警报告；可视化展示步骤：对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。还公开了一种优化装置，实现对电力信息网安全日志数据的自动抽取，丰富安全日志库的信息量并进行大数据分析，对网络安全威胁进行可视化呈现。

公开(公告)号：CN117692176A

公开(公告)日：2024-03-12

申请号：CN202311570630.8

申请日：2023-11-22

申请人： 国网山东省电力公司信息通信公司 ,  国网信息通信产业集团有限公司

发明人： 黄华 ,  王云霄 ,  廖逍 ,  崔蔚 ,  李政 ,  刘子函 ,  李明 ,  曲延盛 ,  李宁 ,  张文斌 ,  刘维特

IPC分类号： H04L9/40 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/08

摘要： 本发明提供了一种用于VXLAN的网络隐身实现方法及系统，包括：在应用建立通信隧道过程中，实时获取隧道数据；对获取的隧道数据域名进行分割，获得域名的词序列和字符序列；以所述词序列和字符序列作为应用内置的预先训练的隧道数据检测模型的输入，获得隧道数据的实时识别结果；基于隧道数据的检测结果，执行隧道建立动作的启停，实现应用在VXLAN下的网络隐身。

公开(公告)号：CN116866084B

公开(公告)日：2023-11-21

申请号：CN202311098883.X

申请日：2023-08-30

申请人： 国网山东省电力公司信息通信公司 ,  山东省计算中心(国家超级计算济南中心)

发明人： 曲延盛 ,  李明 ,  王云霄 ,  黄华 ,  张文斌 ,  张婕 ,  任乐 ,  刘维特 ,  赵丽娜 ,  赵大伟 ,  徐丽娟

IPC分类号： H04L9/40 ,  G06N3/092 ,  G06N3/006 ,  G06N7/01

公开(公告)号：CN116866084A

公开(公告)日：2023-10-10

申请号：CN202311098883.X

申请日：2023-08-30

申请人： 国网山东省电力公司信息通信公司 ,  山东省计算中心(国家超级计算济南中心)

发明人： 曲延盛 ,  李明 ,  王云霄 ,  黄华 ,  张文斌 ,  张婕 ,  任乐 ,  刘维特 ,  赵丽娜 ,  赵大伟 ,  徐丽娟

IPC分类号： H04L9/40 ,  G06N3/092 ,  G06N3/006 ,  G06N7/01

摘要： 本发明提出了基于强化学习的入侵响应决策方法及系统，涉及电力控制技术领域，获取电力控制系统的网络配置及设备的资产信息和安全信息，构建攻击图和贝叶斯攻击图；入侵发生时，基于构建的攻击图，利用深度强化学习算法，从动态策略集中选择最优的防护策略进行动态响应；入侵发生后，基于构建的贝叶斯攻击图，利用Q‑Learning粒子群优化算法，从静态策略集中选择最优的防护策略进行静态响应；本发明在攻击发生时采用深度强化学习DDQN算法进行策略选择，解决了强化学习DQN算法的高估问题，提高了决策质量；在攻击发生后采用Q‑Learning优化粒子群算法的参数进行策略选择，避免了局部最优解。

公开(公告)号：CN114661463A

公开(公告)日：2022-06-24

申请号：CN202210234741.0

申请日：2022-03-09

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司

发明人： 曲延盛 ,  李宁 ,  刘学 ,  桑林 ,  刘子雁 ,  张文斌 ,  马琳 ,  程兴防 ,  刘维特

IPC分类号： G06F9/50 ,  G06F11/34 ,  G06N3/04 ,  G06N3/08

摘要： 本发明提供了基于BP神经网络的系统资源预测方法及系统，方法包括提取电网数据库中表征系统资源利用信息的数据集合，所述数据集合中包括多个采集数据项，每个采集数据项包括采集时间和当前采集时间下的数据值；根据所述数据集合，基于时段特征、用户特征和功能特征形成BP神经网络模型的输入数；将所述输入数据输入训练好的BP神经网络模型中，得到当前输入数据下的系统资源使用量。本发明利用机器学习方法分析预测资源需求量，对提取到的数据集合进行合理选取，使得输入数据的简洁性和与预测数据的相关性得到提高，减少了预测模型的复杂度，同时合理地指导系统中资源的分配，最终达到降本增效的目的。

公开(公告)号：CN114006748A

公开(公告)日：2022-02-01

申请号：CN202111267185.9

申请日：2021-10-28

申请人： 国网山东省电力公司信息通信公司 ,  国家电网有限公司 ,  国网山东省电力公司庆云县供电公司 ,  国网山东省电力公司诸城市供电公司 ,  国网山东省电力公司烟台供电公司 ,  国网山东省电力公司青岛市即墨区供电公司 ,  国网山东省电力公司聊城供电公司 ,  国网山东省电力公司威海市文登区供电公司

发明人： 王云霄 ,  陈剑飞 ,  曲延盛 ,  李明 ,  冯晓麟 ,  徐明伟 ,  崔豪驿 ,  乔玉 ,  冯涛 ,  孙强 ,  黄华 ,  程兴防 ,  盛华 ,  张文斌 ,  张婕 ,  马琳 ,  赵丽娜 ,  李宁 ,  刘维特 ,  任乐

IPC分类号： H04L9/40

摘要： 本发明提出了一种网络安全综合监控方法、系统、设备和存储介质，该方法包括：采集安全监控设备的系统日志，并对系统日志范式化处理；根据安全监控设备的类型配置系统日志中告警信息的关联策略；通过匹配范式化处理后的系统日志和关联策略，生成安全事件和高危告警事件；封禁安全监控设备发送的高危告警事件地址并共享所述高危告警信息。基于该方法，还提出了一种网络安全综合监控系统、设备和存储介质。本发明首先利用syslog采集安全设备告警，通过网络安全告警智能分析将告警汇总关联分析，对告警进行范式化处理，制定统一告警信息处理格式标准，联动防火墙实现一键封禁或者批量解封，提高了网络攻击预警的及时性。