公开(公告)号：CN111723181A

公开(公告)日：2020-09-29

申请号：CN202010553659.5

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 张晓明 ,  何跃鹰 ,  孙中豪 ,  张嘉玮 ,  曹可建 ,  王占丰 ,  马玮骏 ,  毛传奇

IPC: G06F16/33 ,  G06N20/00

Abstract: 本发明公开了一种基于主动学习的工控协议逆向分析方法，包括导入、初步分析、变异、匹配、合并，通过对工控协议pcap报文样本进行初步分析，掌握工控协议的部分报文格式和状态机，然后再利用该结果与工控机进行交互式主动学习，不断获取新的报文，从而更为准确和完整地推断出协议个词法和语法，且在对协议进行逆向分析时采用了Needleman-Wunsch序列比对算法，该算法通过相似度计分、最优回溯步骤推断协议的格式和状态机，有效保证了分析结果的准确性，同时结合主动学习过程，将响应报文与初步分析结果中的协议格式进行匹配，判断报文是否与这些协议格式相匹配，并根据需求进行反复的匹配，显著提高工控协议逆向的准确性和覆盖度。

公开(公告)号：CN111723579A

公开(公告)日：2020-09-29

申请号：CN202010553222.1

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 张晓明 ,  何跃鹰 ,  孙中豪 ,  张嘉玮 ,  曹可建 ,  王占丰 ,  马玮骏 ,  毛传奇

IPC: G06F40/30 ,  G06F11/10 ,  G06F16/33

Abstract: 本发明公开了一种工控协议字段与语义逆向推断方法，包括导入、分类、分析和匹配，本发明结构科学合理，使用安全方便，通过根据报文的源IP地址以及长度对报文进行分类，将具有相同IP地址和长度的报文归为同一集合中，随后对每类集合的报文进行逐字节分析，然后再根据部分语义的特征与字节的特征进行比对，将分析后的报文中匹配到相应的语义的字节为独立的字段，则该字段的语义为对应的语义，从而实现工控协议的字段与语义逆向推断，解决了字段划分的不精确从而导致语义分析失败的问题，且准确地推断出协议的词法和语法，保证分析结果的正确性。

公开(公告)号：CN109788081A

公开(公告)日：2019-05-21

申请号：CN201910044333.7

申请日：2019-01-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 曹华平 ,  李晗 ,  马玮骏 ,  卢卫 ,  马旸 ,  赵煜 ,  王占丰 ,  蔡冰 ,  邱凌志 ,  焦亮

IPC: H04L29/12 ,  H04L12/26

Abstract: 本发明涉及DNS服务器评价方法技术领域，具体为一种DNS服务器持续测量与服务质量评价方法。步骤1：目标开放DNS服务器集合构建，从IP地址数据库中提取某个区域IP；步骤2：向该服务器发送多个域名的DNS请求；步骤3：对在线的DNS服务器测量结果进行分析；步骤4：对在线的DNS服务器测量结果进行分析；步骤5：根据每个目的DNS服务器的平均在线率Ai、平均解析时延Bi、平均解析正确率Ci。本发明通过这种方法可以客观、有效、准确地评价DNS服务器的服务状态，提高DNS服务评价的水平和准确性。

公开(公告)号：CN110213130A

公开(公告)日：2019-09-06

申请号：CN201910477261.5

申请日：2019-06-03

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  胡超 ,  马玮骏 ,  田益凡 ,  毛传奇 ,  陈嘉欣 ,  杭天 ,  谢赓

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明涉及一种基于迭代优化的工控协议格式分析方法，包括：将pcap文件中的报文数据导入，并加载到报文数据集中，之后用户自定义工控协议的格式以及各个字段的语义，再设置相似度分值，然后将报文数据集中的报文与自定义的协议格式逐个进行匹配，若匹配成功，则将该报文删除，直至所有报文都匹配完成，采用Needleman-Wunsch序列比对算法对报文数据集中的报文进行逆向分析，得到新的协议分析结果，之后用户判断是否结束此次协议逆向分析，若需要继续进行迭代分析，则将原来pcap文件中的所有报文重新加载到报文数据集中，然后再转步骤S2，否则结束分析。本发明基于迭代优化的工控协议格式分析方法，其能更为准确地推断出协议的格式和语法，保证分析结果的准确性。

公开(公告)号：CN107920115B

公开(公告)日：2020-08-11

申请号：CN201711144496.X

申请日：2017-11-17

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  马玮骏 ,  翁年凤 ,  毛传奇 ,  陈嘉欣

IPC: H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种基于时延和地理一致性约束的城市级IP定位方法，该方法首先通过大量测量建立测量点与目标城市的时延区间；然后，测量测量点对待验证的IP的时延并获取网络路径的逐跳IP；之后，检验待验证的IP的时延是否在目标城市的时延区间内，同时检验待验证IP网络路径内同一时延区间最后几跳的IP地理位置进行一致性验证确定待验证IP的最大可能位置。通过本发明可以对IP定位库中IP定位结果进行检验，广泛应用于网络攻击跟踪溯源、定向广告、在线防欺诈、网络空间态势呈现等领域，可有效改善IP定位的精度。

公开(公告)号：CN107920115A

公开(公告)日：2018-04-17

申请号：CN201711144496.X

申请日：2017-11-17

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  马玮骏 ,  翁年凤 ,  毛传奇 ,  陈嘉欣

IPC: H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种基于时延和地理一致性约束的城市级IP定位方法，该方法首先通过大量测量建立测量点与目标城市的时延区间；然后，测量测量点对待验证的IP的时延并获取网络路径的逐跳IP；之后，检验待验证的IP的时延是否在目标城市的时延区间内，同时检验待验证IP网络路径内同一时延区间最后几跳的IP地理位置进行一致性验证确定待验证IP的最大可能位置。通过本发明可以对IP定位库中IP定位结果进行检验，广泛应用于网络攻击跟踪溯源、定向广告、在线防欺诈、网络空间态势呈现等领域，可有效改善IP定位的精度。