公开(公告)号：CN111723181A

公开(公告)日：2020-09-29

申请号：CN202010553659.5

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 张晓明 ,  何跃鹰 ,  孙中豪 ,  张嘉玮 ,  曹可建 ,  王占丰 ,  马玮骏 ,  毛传奇

IPC: G06F16/33 ,  G06N20/00

Abstract: 本发明公开了一种基于主动学习的工控协议逆向分析方法，包括导入、初步分析、变异、匹配、合并，通过对工控协议pcap报文样本进行初步分析，掌握工控协议的部分报文格式和状态机，然后再利用该结果与工控机进行交互式主动学习，不断获取新的报文，从而更为准确和完整地推断出协议个词法和语法，且在对协议进行逆向分析时采用了Needleman-Wunsch序列比对算法，该算法通过相似度计分、最优回溯步骤推断协议的格式和状态机，有效保证了分析结果的准确性，同时结合主动学习过程，将响应报文与初步分析结果中的协议格式进行匹配，判断报文是否与这些协议格式相匹配，并根据需求进行反复的匹配，显著提高工控协议逆向的准确性和覆盖度。

公开(公告)号：CN111625448A

公开(公告)日：2020-09-04

申请号：CN202010374049.9

申请日：2020-05-06

Applicant: 清华大学 ,  国家计算机网络与信息安全管理中心

Inventor： 罗正雄 ,  左飞龙 ,  姜宇 ,  罗冰 ,  何跃鹰 ,  张晓明 ,  张嘉玮 ,  孙中豪 ,  曹可建 ,  李建强 ,  王进 ,  刘中金 ,  张家琦

IPC: G06F11/36

Abstract: 本发明实施例提供一种协议包生成方法、装置、设备及存储介质，所述方法包括：根据预设的协议包格式规范，确定用于生成目标协议包的多个目标数据块即各自对应的生成规则；根据目标数据块的生成规则，在数据块语料库中查找对应的第一数据块；根据协议包格式规范和第一数据块，生成目标协议包。本发明实施例通过根据协议包格式规范，确定用于生成目标协议包的目标数据块及各自的生成规则，然后在数据块语料库中查找到对应的由有价值的第一协议包拆分而成的第一数据块；最后根据预设的协议包格式规范和查找到的第一数据块，生成目标协议包，通过学习有价值的协议包中的有价值的部分，保证目标协议包的高质量，提高新生成协议包的有效性的概率。

公开(公告)号：CN110262420A

公开(公告)日：2019-09-20

申请号：CN201910525672.7

申请日：2019-06-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  李建强 ,  刘中金 ,  孙中豪 ,  张晓明 ,  王进 ,  王庆 ,  何跃鹰

IPC: G05B19/418

Abstract: 本发明涉及一种分布式工业控制网络安全检测系统，无需对现有的工业控制系统架构进行改造，包括无需修改现有的工控网络结构进行修改，无需更换工业通讯协议，无需对工控系统网络内各种设备进行改造，仅通过基于该平台设计的分布式架构，分别部署检测平台服务端、客户端，基于分布式服务通讯协议实现客户端和服务端通讯，基于特定端口实现数据传输，检测任务下发、结果归集；另外该检测系统针对传统工业控制控制网络的封闭性，创造性的提出了基于VPN的工控内网检测技术，通过VPN在检测平台服务端和内网系统客户端的简易部署，打通VPN通道，实现外网检测工具和内网之间的通讯，从而实现非互联网环境下的安全检测服务。

公开(公告)号：CN108600195A

公开(公告)日：2018-09-28

申请号：CN201810298559.5

申请日：2018-04-04

Applicant: 国家计算机网络与信息安全管理中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 张晓明 ,  何跃鹰 ,  刘中金 ,  方喆君 ,  孙中豪 ,  张嘉玮 ,  李建强 ,  王占丰 ,  胡超 ,  田益凡 ,  罗冰

IPC: H04L29/06 ,  H04L12/863

Abstract: 本发明公开了一种基于增量学习的快速工控协议格式逆向推断方法，能快速推断协议的格式和语法，通过增量式的序列比对方法极大地减少协议逆向分析过程中的计算复杂度，从而能在较短时间内推断出协议的格式和语法，并能保持较高的分析准确度，IPRI方法在对协议进行逆向分析时采用了目前国际上较为认可和流行的Needleman-Wunsch序列比对算法，该算法通过相似度计分、最优回溯等步骤能较为准确地推断协议的格式和语法，保证了分析结果的准确性。

公开(公告)号：CN108416218A

公开(公告)日：2018-08-17

申请号：CN201810189199.5

申请日：2018-03-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 方喆君 ,  何跃鹰 ,  卓子寒 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  刘中金 ,  孙中豪 ,  鲁骁 ,  李程 ,  许伟健 ,  马明 ,  黄鑫 ,  安潇羽

IPC: G06F21/57

Abstract: 本发明公开了一种Web服务器漏洞验证方法，其基本构成可以分为核心数据库、Web服务器漏洞验证两部分，本发明的一种Web服务器漏洞验证方法，本发明提出一种可行的Web服务器漏洞验证方法，通过总结Web应用漏洞的产生规律，提取Web应用存在的潜在脆弱点，从攻防对抗双方的角度研究Web服务器漏洞验证技术。

公开(公告)号：CN112235264B

公开(公告)日：2022-10-14

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L9/40 ,  H04L47/2483 ,  H04L47/2441 ,  H04L67/141 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN111597109B

公开(公告)日：2022-03-11

申请号：CN202010335247.4

申请日：2020-04-24

Applicant: 清华大学 ,  国家计算机网络与信息安全管理中心

Inventor： 高健 ,  许怡文 ,  姜宇 ,  罗冰 ,  何跃鹰 ,  张晓明 ,  张嘉玮 ,  孙中豪 ,  曹可建 ,  李建强 ,  何清林 ,  王庆 ,  邢燕祯

IPC: G06F11/36 ,  G06F11/22 ,  G06F11/26

Abstract: 本发明实施例提供一种跨架构固件堆内存的缺陷检测方法及系统。该方法包括：获取仿真器和固件中的应用程序，在仿真器中基于二进制翻译技术对应用程序进行解析，使得应用程序与预设测试环境系统架构进行适配；通过遍历执行注册堆内存读写钩子函数和堆内存分配钩子函数，映射生成影子内存，基于影子内存执行预设内存缺陷检测算法，得到堆内存缺陷检测结果。本发明实施例通过仿真执行模块的跨平台特性，免于将检测工具部署到固件所在设备中，极大克服了传统内存检测工具需要部署到设备中的不切实际需求，提高对固件测试的效率，解决IoT设备存储空间有限的问题，同时内存缺陷检测模块也为在跨架构固件场景下检测多种堆内存缺陷提供有效解决方案。

公开(公告)号：CN112235264A

公开(公告)日：2021-01-15

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN110351250A

公开(公告)日：2019-10-18

申请号：CN201910525671.2

申请日：2019-06-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 摆亮 ,  李建强 ,  刘中金 ,  孙中豪 ,  张晓明 ,  王进 ,  王庆 ,  何跃鹰

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种多数据源安全知识归集系统，能够有效应对当前安全网络知识库系统的数据来源多样、种类多样、数据元素丰富、以及知识实时更新的特点，其中数据采集自动化程度高，可大大减少知识收集成本，并且该设计实现人工与自动化收集并行，实现全面知识收集；同时该设计通过严谨、可靠的知识审核验证流程，实现知识安全可用归集，以及基于自动化工具验证，减少人工审核过程和人工审核错误率，最大化提高审核验证效率；另一方面通过人工审核验证过程，实现重点、难点知识的分类、识别、审核、验证，人工审核验证的加入，弥补了工具自动验证过程中高难度知识的辨识，如此基于工具和人工双重验证，实现了严谨、可靠、安全的知识过滤，收集。

公开(公告)号：CN110232012A

公开(公告)日：2019-09-13

申请号：CN201810182350.2

申请日：2018-03-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京信联科汇科技有限公司

Inventor： 张晓明 ,  何跃鹰 ,  张嘉玮 ,  孙中豪 ,  刘中金 ,  方喆君 ,  李明柱 ,  郭涛

IPC: G06F11/36

Abstract: 本发明公开了一种基于xml的模糊测试语言协议测试脚本和测试引擎，所述协议测试脚本包括根据工控和物联网协议报文格式，基于模糊测试语言和状态机自动生成测试脚本和针对被测设备状态，基于模糊测试语言生成监测脚本。本发明提供一种基于xml的模糊测试语言协议测试脚本和测试引擎，基于此语言自动生成测试脚本和监测脚本，并且提供测试引擎能够自动解析脚本语言生成测试数据包并发送给被测设备，完成测试任务，这种高效的模糊测试语言使得检测系统扩展新协议非常方便，而测试引擎架构也保证了发包机制的灵活性和扩展性。