公开(公告)号：CN114760234B

公开(公告)日：2024-05-10

申请号：CN202210329289.6

申请日：2022-03-30

Applicant: 中核武汉核电运行技术股份有限公司

Inventor： 丁鼎定 ,  高汉军 ,  冯蔚 ,  梁景煊 ,  许克珂

IPC: H04L43/18 ,  H04L69/22

Abstract: 本发明提供了一种工控系统协议解析结果的验证系统和方法，包括协议解析模块、数据包构造模块和网络交互模块，所述协议解析模块用于采集通信流量，解析协议的字段构成，并记录字段取值信息；所述数据包构造模块根据数据包使用的协议栈，逐层构造每层协议内容；所述网络交互模块用于管理其内部的协议自动机子模块，并将其他较为独立的模块功能整合为完整的工作流程。本发明提供的工控系统协议解析结果的验证系统和方法能够对协议解析结果进行系统性验证，并且能够对协议设计的安全性进行验证。

公开(公告)号：CN117978484A

公开(公告)日：2024-05-03

申请号：CN202410112925.9

申请日：2024-01-25

Applicant: 中核武汉核电运行技术股份有限公司 ,  中国核能电力股份有限公司 ,  福建福清核电有限公司

Inventor： 冯蔚 ,  罗俊 ,  高汉军 ,  季诚 ,  张登 ,  陈伟 ,  曹端 ,  罗杨 ,  梁景煊 ,  童航

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/25 ,  G06N3/0442 ,  G06N3/0455 ,  G06N3/048 ,  G06N3/049 ,  G06N3/067

Abstract: 本公开属于核电技术领域，具体涉及基于多模态攻击路径图的攻击预测方法及装置。本公开的多模态模型能够综合不同数据源的信息，包括网络资产探测数据、漏洞信息数据、威胁情报数据和安防设备日志数据，将它们有效地融合成一个综合性的特征向量。不仅能够准确地识别已知攻击模式，还能够适应新的威胁和攻击路线。这种自适应学习的能力使得模型在面对未知威胁时也能够做出有力的预测和决策。同时，模型的输出经过softmax函数激活，以生成概率分布，从而为每个潜在的攻击路线提供了权重评分。

公开(公告)号：CN117875695A

公开(公告)日：2024-04-12

申请号：CN202311721776.8

申请日：2023-12-13

Applicant: 中核武汉核电运行技术股份有限公司

Inventor： 尹飞 ,  梁景煊 ,  高汉军 ,  冯蔚

IPC: G06Q10/0635 ,  G06F21/57

Abstract: 本发明提供了一种基于CVSS漏洞评分标准的核电厂系统风险评估方法，包括：获取若干个现有资产的资产价值参数以及CVSS漏洞评分数据；对若干个现有资产的CVSS漏洞评分数据进行数据拟合，以生成核电厂资产漏洞CVSS得分拟合公式；基于拟合公式计算出待评价资产的各个漏洞的风险发生概率参数；基于风险概率发生参数以及待评价资产的资产价值参数，计算出待评价资产的风险值；基于待评价资产的风险值，计算出待评价资产所属系统的风险值。本发明还提供一种风险评估装置，包括数据获取模块、数据拟合模块、风险发生概率参数计算模块、资产风险评估模块、系统风险评估模块。本发明能有效提升对核电厂资产风险评估的准确性与有效性。

公开(公告)号：CN117675323A

公开(公告)日：2024-03-08

申请号：CN202311631353.7

申请日：2023-11-29

Applicant: 中核武汉核电运行技术股份有限公司 ,  中国核能电力股份有限公司 ,  秦山核电有限公司

Inventor： 冯蔚 ,  马文博 ,  高汉军 ,  干炯申 ,  高良彬 ,  许克珂 ,  尹飞 ,  石淏中

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/09 ,  G06N3/042

Abstract: 本公开属于核电技术领域，具体涉及基于相似度计算的攻击预判方法及装置。本公开提供了一种基于知识图谱相似度计算的方法，通过分析先验知识，不仅能够识别已知攻击模式，还能够预测未知的新型攻击。相似度计算旨在评估新的网络活动与已知攻击和正常行为之间的相似性程度，从而确定网络是否存在潜在的风险。这种方法的优势在于，它可以通过不断学习进行自适应，以应对新出现的威胁，而无需等待相关专家手动更新规则。

公开(公告)号：CN117668854A

公开(公告)日：2024-03-08

申请号：CN202311633000.0

申请日：2023-11-29

Applicant: 中核武汉核电运行技术股份有限公司 ,  中国核能电力股份有限公司 ,  秦山核电有限公司

Inventor： 梁景煊 ,  罗杨 ,  冯蔚 ,  程伟 ,  许克珂 ,  丁鼎定 ,  高汉军 ,  尹飞

IPC: G06F21/57 ,  G06F18/22

Abstract: 本公开属于核电技术领域，具体涉及基于工业控制资产指纹识别的漏洞检测评估方法及装置。本公开的基于资产指纹相似性的风险漏洞关联方法通过收集和分析不同资产的指纹信息，能够识别拥有相似资产指纹的资产，减少了在同一情况下由于人工选择不同的属性值而导致的评分差异，提升了漏洞评分的可重复性，并根据相似性关联的原理，推测它们可能面临相同或相似的风险以及漏洞。这样，本公开的方法为工控系统内的资产漏洞检测评估提供便利，且能有效地帮助组织快速识别并优先处理潜在的安全威胁，提高整体网络安全防护水平。

公开(公告)号：CN111431752B

公开(公告)日：2023-04-07

申请号：CN202010250979.3

申请日：2020-04-01

Applicant: 中核武汉核电运行技术股份有限公司 ,  江苏核电有限公司 ,  深圳融安网络科技有限公司

Inventor： 高汉军 ,  徐霞军 ,  曲鸣 ,  赵磊 ,  张登 ,  王略 ,  鲁星言 ,  刘敏 ,  尹飞 ,  祁武振 ,  许克珂 ,  刘学科 ,  王俊凯 ,  谭天然 ,  聂文 ,  邓玉 ,  要韦达 ,  屠芮 ,  徐继龙 ,  袁森 ,  蔡宏林 ,  滕俐军

IPC: H04L41/147 ,  H04L41/14 ,  H04L43/0876 ,  H04L43/16 ,  H04L47/50

Abstract: 本发明涉及工业控制安全技术领域，具体涉及一种基于自适应流量控制的安全探测方法。目前主动式指纹探测技术大多采用多任务的方式进行扫描探测，通过限制多进程或多线程数量的方式对引入的探测包进行限流，仅通过限制进程或线程数量的方法，控制粒度不够精准，无前瞻性。本发明包括：自适应调度，流量预测和网络流量实时监测。流量预测具体包括：步骤一：数据清洗；步骤二：特征选取；步骤三：建立模型；步骤四：模型训练。基于此方法实现的设备指纹探测能达到对工业控制系统的业务流量无干扰，无流量波峰出现，流速平稳。

公开(公告)号：CN114793335A

公开(公告)日：2022-07-26

申请号：CN202110102376.3

申请日：2021-01-26

Applicant: 中核武汉核电运行技术股份有限公司

Inventor： 尹飞 ,  高汉军 ,  任宇阳 ,  王志明 ,  王乃千

IPC: H04W12/0433 ,  H04W12/06 ,  H04W12/08 ,  H04W84/12

Abstract: 本发明属于无线通信领域，具体涉及一种基于密码动态变化的无线局域网接入方法。原技术无法保证网络信息的完整性、保密性和可用性，程序容易解密，因此并不安全。本方法包括：步骤一：在终端上安装软件；步骤二：终端首次接入；步骤三：终端认证激活；步骤四：终端获取完整权限；步骤五：接入期间密码动态变更。本发明为克服现有的无线接入技术中，采用静态密钥易破解，以及接入后密钥不变导致破解风险较大这两个弊端。从采用动态密钥、二次接入、接入过程中下发动态密钥进行重连这几处入手，提出一种新的无线接入系统，提高无线接入安全性。

公开(公告)号：CN114387126A

公开(公告)日：2022-04-22

申请号：CN202111622849.9

申请日：2021-12-28

Applicant: 中核武汉核电运行技术股份有限公司

Inventor： 张登 ,  梁景煊 ,  高汉军 ,  尹飞 ,  孙代杰

IPC: G06Q50/06 ,  H04L9/40

Abstract: 本发明提供了一种基于行为白名单自学习的核电工控网络边界安全管理方法，包括如下步骤：步骤S1：获取核电工控边界资产信息；步骤S2：建立与资产网络的数据连接；步骤S3：判断是否需要通过学习添加新的白名单，若是则进入步骤S41，若否则进入步骤S42；步骤S41：进入学习模式，在学习模式下不对任何行为做阻断；步骤S42：进入管理模式，在管理模式下阻断所有未被记录在白名单中的行为。本发明提供的基于行为白名单自学习的核电工控网络边界安全管理方法有效提升对核电工控网络边界的网络安全管理精度。

公开(公告)号：CN112910921A

公开(公告)日：2021-06-04

申请号：CN202110230890.5

申请日：2021-03-02

Applicant: 中核武汉核电运行技术股份有限公司 ,  中国核能电力股份有限公司 ,  江苏核电有限公司

Inventor： 张登 ,  马文博 ,  赵磊 ,  许克珂 ,  高汉军 ,  苏辉 ,  朱旭东

IPC: H04L29/06

Abstract: 本发明属于信息防护领域，具体涉及一种工控边界网络安全防护方法。现有技术工控边界防护过于单一，缺乏有效监测和审计，从管理大区到生产大区的安全威胁不可知不可控。本方法包括四个部分：在生产大区和管理大区之间接入安全区；建立四道安全防线；集中分析和监测；分级应急处置。本方法实现了对工控边界网络行为的监测，保障工控边界数据接入服务器(如PI服务器)的主机安全，同时在受到非法入侵时能够以逻辑链路和物理链路隔离方式阻断，全面提高工控系统的边界安全防护水平。

公开(公告)号：CN111478893A

公开(公告)日：2020-07-31

申请号：CN202010255249.2

申请日：2020-04-02

Applicant: 中核武汉核电运行技术股份有限公司 ,  深圳融安网络科技有限公司

Inventor： 鲁星言 ,  曲鸣 ,  高汉军 ,  聂红伟 ,  尹飞 ,  张登 ,  许克珂 ,  王俊凯 ,  聂文 ,  滕俐军

IPC: H04L29/06

Abstract: 本发明涉及工业控制安全技术领域，具体涉及一种慢速HTTP攻击的检测方法。现有技术缺陷在于需要对历史流量进行计算学习、模型训练花费较多时间且计算复杂；或者哈希表会随时间推移越来越大，且判断阈值难以确定，容易产生误报。本发明包括步骤一：接收网络数据报文；步骤二：分析ICMP应答报文；步骤三：分析HTTP请求端报文；步骤四：系统判定处理本发明提供一种结合被动检测和主动探测的HTTP慢速攻击检测方法，改变现有检测方法耗时长、误报率高的问题。