公开(公告)号：CN112235264B

公开(公告)日：2022-10-14

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L9/40 ,  H04L47/2483 ,  H04L47/2441 ,  H04L67/141 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN111597109B

公开(公告)日：2022-03-11

申请号：CN202010335247.4

申请日：2020-04-24

Applicant: 清华大学 ,  国家计算机网络与信息安全管理中心

Inventor： 高健 ,  许怡文 ,  姜宇 ,  罗冰 ,  何跃鹰 ,  张晓明 ,  张嘉玮 ,  孙中豪 ,  曹可建 ,  李建强 ,  何清林 ,  王庆 ,  邢燕祯

IPC: G06F11/36 ,  G06F11/22 ,  G06F11/26

Abstract: 本发明实施例提供一种跨架构固件堆内存的缺陷检测方法及系统。该方法包括：获取仿真器和固件中的应用程序，在仿真器中基于二进制翻译技术对应用程序进行解析，使得应用程序与预设测试环境系统架构进行适配；通过遍历执行注册堆内存读写钩子函数和堆内存分配钩子函数，映射生成影子内存，基于影子内存执行预设内存缺陷检测算法，得到堆内存缺陷检测结果。本发明实施例通过仿真执行模块的跨平台特性，免于将检测工具部署到固件所在设备中，极大克服了传统内存检测工具需要部署到设备中的不切实际需求，提高对固件测试的效率，解决IoT设备存储空间有限的问题，同时内存缺陷检测模块也为在跨架构固件场景下检测多种堆内存缺陷提供有效解决方案。

公开(公告)号：CN108429802B

公开(公告)日：2021-01-26

申请号：CN201810188373.4

申请日：2018-03-07

Applicant: 国家计算机网络与信息安全管理中心 ,  清华大学

Inventor： 刘中金 ,  李勇 ,  肖少然 ,  方喆君 ,  张晓明 ,  何跃鹰

IPC: H04L29/08 ,  H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明提供一种物联网设备信息获取方法及装置。该方法包括：根据获取的流量数据序列及其与物联网设备的对应关系，获取部分物联网设备的设备信息，将设备信息已知物联网设备的流量特征分为预设数目的流量模式，并分别获取设备信息已知物联网设备的流量特征和设备信息未知物联网设备的流量特征在这些流量模式上的模式分布向量，根据设备信息未知物联网设备与设备信息已知物联网设备的模式分布向量相似度，将相似度最大值对应的设备信息已知物联网设备的设备信息作为设备信息未知物联网设备的设备信息，从而能够高效地获取物联网设备的设备信息，克服对云平台的流量规则进行分析以获得相应物联网设备的设备信息十分费时费力的问题。

公开(公告)号：CN112235264A

公开(公告)日：2021-01-15

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN112202783A

公开(公告)日：2021-01-08

申请号：CN202011061288.5

申请日：2020-09-30

Applicant: 国家计算机网络与信息安全管理中心 ,  信联科技(南京)有限公司

Inventor： 包秀国 ,  刘中金 ,  何跃鹰 ,  邹学强 ,  黄亮 ,  叶青 ,  李明柱 ,  吴涛 ,  郭涛

IPC: H04L29/06 ,  H04W12/12 ,  G06N3/04 ,  G06N3/08 ,  G06N20/10

Abstract: 本发明涉及一种基于自适应深度学习的5G网络异常检测方法及系统，针对已有网络异常检测方案进行实质性扩展，应用深度学习识别技术，构建两阶段分级检测技术，先通过分设于各个无线电接入网基础设施中的异常症状检测模块，在满足5G网络速率的情况下，针对网络流量进行检测，发现异常流量，并构建症状包；然后通过向网络异常检测模块进行上传，由网络异常检测模块针对症状包进行症状分析诊断，之后经过一系列措施获得诊断结果的操作动作，针对相应无线电接入网的资源与功能进行优化，使其具有管理流量波动的自适应能力，能够在必要时实现更多计算资源的调配部署，能够高效实现5G网络的异常流量检测，保证5G网络环境下的安全工作。

公开(公告)号：CN107888605B

公开(公告)日：2020-11-24

申请号：CN201711205653.3

申请日：2017-11-27

Applicant: 国家计算机网络与信息安全管理中心 ,  清华大学

Inventor： 刘中金 ,  李勇 ,  丁璟韬 ,  杨应人 ,  方喆君 ,  张晓明 ,  何跃鹰

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种物联网云平台流量安全分析方法和系统，其中，所述方法包括：S1，分别从蜂窝网络流量和固网流量中提取物联网流量；所述物联网包括服务器和设备；S2，从所述物联网流量中提取服务器侧信息和设备侧信息；S3，根据所述服务器侧信息对所述服务器进行安全分析；根据所述设备侧信息对所述设备进行安全分析。本发明提供的一种物联网云平台流量安全分析方法和系统，通过大量分析物联网设备和服务器之间的通信数据，完成统一的物联网云平台流量安全分析，定位了物联网各平台潜在的安全风险，提高了物联网的安全性能。

公开(公告)号：CN111756746A

公开(公告)日：2020-10-09

申请号：CN202010591580.1

申请日：2020-06-24

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 王庆 ,  何跃鹰 ,  王鲁华 ,  李建强 ,  曹钰洁 ,  王书亚 ,  林冠洲 ,  李超

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种网络攻防比赛动态Flag防作弊应用方法，在攻击方提交攻击结果信息，由系统进行分析的过程中，基于满足预设各正确要求的Flag信息的提交，Flag服务器针对相应虚拟节点上的相应服务，转发攻防对抗环境管理系统所生成的新Flag信息，实现不同攻防轮次下，被成功攻破服务中Flag信息的及时更新，保证整个网络攻防比赛在整个比赛周期中，Flag信息的唯一性与准确性，并针对存在疑点的Flag分析结果，记录相应攻击方的告警信息，并结合攻防各方分别所对应解题步骤的采集，实现网络攻防比赛结果的客观评价，保证了比赛结果的准确判定，提高了比赛的公正性。

公开(公告)号：CN109460775B

公开(公告)日：2020-09-11

申请号：CN201811102220.X

申请日：2018-09-20

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 王进 ,  龚晓菲 ,  时忆杰 ,  何跃鹰

IPC: G06K9/62

Abstract: 本发明实施例提供了一种基于信息熵的数据填充方法及装置，其中，方法包括：对已有数据中属性值完整的完整数据的属性值进行求均值或求众数，得到已有数据中缺少属性值的缺失数据中的预填充属性值；将预填充属性值预填充在缺失数据中，获得预填充后缺失数据；采用硬聚类算法K‑means，对预填充后缺失数据以及完整数据进行聚类，获得与预填充后缺失数据处于同一簇内，且与预填充后缺失数据相似度达到预设条件的完整数据，作为相似完整数据；计算相似完整数据的信息熵；基于信息熵，计算相似完整数据中的属性值对缺失数据的属性值所作贡献的权重；利用权重与相似完整数据的属性值，计算缺失属性值；将缺失属性值填充在缺失数据中。

公开(公告)号：CN110855602A

公开(公告)日：2020-02-28

申请号：CN201810955881.0

申请日：2018-08-21

Applicant: 国家计算机网络与信息安全管理中心 ,  清华大学

Inventor： 刘中金 ,  李勇 ,  惠铄迪 ,  金德鹏 ,  李建强 ,  方喆君 ,  张晓明 ,  何跃鹰

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明实施例提供一种物联网云平台事件识别方法及系统。该方法包括：采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包对应的应用层协议；若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件。本发明实施例通过提取物联网云平台端口的数据包的特征值，并根据特征值来确定云平台事件，能够准确识别出物联网云平台事件，为后续解决物联网安全问题的方法提供了前提保障。

公开(公告)号：CN110572409A

公开(公告)日：2019-12-13

申请号：CN201910870521.5

申请日：2019-09-16

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 王进 ,  时忆杰 ,  杨诗曼 ,  何跃鹰

IPC: H04L29/06

Abstract: 本发明实施例提供了一种工业互联网的安全风险预测的方法、装置、电子设备及存储介质，方法包括：基于预先设置的主机探查方法，生成主机探查列表；在已有的漏洞库中，查找各个主机存在的服务和/或通信协议的漏洞和漏洞描述信息；基于各个主机存在的漏洞，在已有的漏洞评分系统中获取对应的漏洞基本分数；建立攻击规则库；以重要主机对应的待预测漏洞为起始漏洞攻击节点，逆向生成攻击图；根据各个漏洞的基本攻击概率和攻击图，获取累计攻击概率最大的漏洞攻击节点和攻击概率最大的攻击路径。可见，应用本发明实施例，不像相关技术使用传统漏洞扫描工具对互联网中的设备进行漏洞检测，可以在不影响网络运行的基础上，预测工业互联网的安全风险。