公开(公告)号：CN119629030A

公开(公告)日：2025-03-14

申请号：CN202411853313.1

申请日：2024-12-16

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 姚磊 ,  王战虎 ,  张健

IPC: H04L41/0631 ,  H04L41/0677 ,  H04L67/14 ,  H04L67/141 ,  H04L69/22 ,  H04L69/163

Abstract: 本申请提供了一种连接异常检测方法、电子设备和计算机可读存储介质，其中，该方法可以包括：将获得的业务流量进行筛选，以确定出待识别业务报文；对所述待识别业务报文进行识别，确定待识别业务报文的源端口是否发生变化；在确定待识别业务报文的源端口未发生变化，且接收到重置报文的情况下，基于所述待识别业务报文所使用的目标协议的当前会话建立数据，确定出连接异常原因。通过上述方法可以更准确地实现设备之间的通信协议的断链或重连现象的原因的确定。

公开(公告)号：CN119835194A

公开(公告)日：2025-04-15

申请号：CN202411812135.8

申请日：2024-12-10

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 姚磊 ,  王战虎 ,  张健

IPC: H04L43/0823 ,  H04L69/08 ,  H04L69/22

Abstract: 本申请实施例公开了一种用于SV协议报文的异常检测方法、装置、网关、存储介质及产品，涉及变电站自动化技术领域。该方法包括：获取SV协议报文；提取SV协议报文中各抽样值数据单元的前置关键字段和电信号数据集字段；验证各抽样值数据单元的前置关键字段的合法性；将电信号数据集字段输入至SV报文时序异常检测Transformer模型，以得到SV报文的异常度在经过合法性验证确定SV协议报文包括非法的前置关键字段，或者异常度大于或等于预设异常阈值的情况下，确定SV协议报文为异常。该方案可检测到SV协议报文中多个数据集的电信号数据的在时间上的变化是否存在异常，并据此提高SV协议报文异常检测的准确性。

公开(公告)号：CN119766565A

公开(公告)日：2025-04-04

申请号：CN202411983247.X

申请日：2024-12-31

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 姚磊 ,  王战虎 ,  张健

IPC: H04L9/40

Abstract: 本申请实施例公开了一种报文处理方法、计算设备、机器可读存储介质及程序产品，属于网络安全领域。报文处理方法包括：接收基于GOOSE协议的目标报文；对目标报文进行提取，得到目标报文对应的特征信息组；基于特征信息组，确定每个特征字段对应的逻辑功能码；根据所有逻辑功能码，确定目标报文的处理策略。通过对基于GOOSE协议的报文进行特征分析，通过提取的特征字段推导的逻辑功能码，进而能够准确检测出基于通过GOOSE协议传输的攻击报文，避免网络安全隐患。

公开(公告)号：CN119728816A

公开(公告)日：2025-03-28

申请号：CN202411862883.7

申请日：2024-12-17

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 姚磊 ,  王战虎 ,  张健

IPC: H04L69/22 ,  H04L9/40 ,  G06N3/0464

Abstract: 本申请实施例提供一种用于EtherCAT协议报文的处理方法、装置、存储介质及程序产品。方法包括：接收待检测的EtherCAT协议报文；根据报文检测模型确定EtherCAT协议报文的异常检测评分，报文检测模型用于检测EtherCAT协议报文是否异常；在异常检测评分小于或等于预设阈值时，提取EtherCAT协议报文中的关键数据；根据从站地址、命令类型和数据字段值判断是否满足EtherCAT协议报文的允许传输条件；在未满足允许传输条件时，阻断EtherCAT协议报文的传输，能适应不断变化的网络环境和新攻击手段，提高EtherCAT协议报文检测准确率，降低EtherCAT协议报文的误报率和漏报率。

公开(公告)号：CN119814386A

公开(公告)日：2025-04-11

申请号：CN202411838718.8

申请日：2024-12-13

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 姚磊 ,  张健 ,  王战虎

IPC: H04L9/40

Abstract: 本申请实施例涉及工业网络安全技术领域，尤其是一种数据交互方法、装置及存储介质。方法包括：接收客户端发送的S7Comm‑plus协议报文；确定S7Comm‑plus协议报文的报文类型；根据报文类型确定对S7Comm‑plus协议报文的处理方式，处理方式包括报文加密和安全属性检查；基于处理方式处理S7Comm‑plus协议报文，以得到处理后的S7Comm‑plus协议报文；将处理后的S7Comm‑plus协议报文发送至设备端；接收设备端返回的响应数据；将处理后的响应数据发送至客户端。通过上述方案可以提高数据的保密性和安全性，且有效地防止非法访问和恶意控制，提高数据交互的安全。

公开(公告)号：CN119728226A

公开(公告)日：2025-03-28

申请号：CN202411862709.2

申请日：2024-12-17

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 姚磊 ,  王战虎 ,  张健

IPC: H04L9/40 ,  H04L69/22

Abstract: 本申请实施例涉及工业网络安全技术领域，尤其是一种PowerLink协议报文的处理方法、装置、存储介质及程序产品。包括：接收PowerLink协议报文；删除其以太网头部字节和以太网尾部字节；获取删减后的PowerLink协议报文中与其报文头的偏移量为第一预设数量字节的服务类型字节的字节值；确定服务类型的功能码类型；对功能码类型进行解码，以得到解码信息；获取该报文中与报文头的偏移量为第二预设数量字节的地址节点的字节值；根据负载长度、解码信息以及地址节点的字节值处理PowerLink协议报文，提高对PowerLink协议报文处理效率，得到更好的处理效果，对报文进行深入分析，以提高报文检测的准确性。