公开(公告)号：CN109992514A

公开(公告)日：2019-07-09

申请号：CN201910257181.9

申请日：2019-04-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 毛蔚轩 ,  孙波 ,  李应博 ,  张伟 ,  司成祥 ,  孙立远 ,  张建松 ,  李胜男 ,  盖伟麟

IPC: G06F11/36 ,  G06F21/57

Abstract: 本发明提供了一种基于可视化内容的移动应用动态分析方法，包括：点击移动应用中各类可视化内容元素，触发移动应用的动态行为，对动态行为进行分类，记录可视化内容元素和对应的动态行为；在记录中提取可视化内容元素的特征向量，根据动态行为分类的结果，构造动态行为关于可视化内容元素特征向量的关系模型；根据关系模型，预测点击待执行动态分析的移动应用的任意可视化内容元素后产生每类动态行为的概率，即动态行为触发概率；根据动态行为触发概率，采用点击策略点击待分析移动应用页面中的可视化内容元素，触发移动应用动态行为，完成对移动应用的动态分析。本发明的方法可以提高移动应用功能性测试效率和安全性测试效率。

公开(公告)号：CN108833525A

公开(公告)日：2018-11-16

申请号：CN201810582418.6

申请日：2018-06-07

Applicant: 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

Inventor： 孙波 ,  房婧 ,  王亿芳 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  侯美佳 ,  张泽亚 ,  胡小勇 ,  谢铭 ,  王峰 ,  汪军强

IPC: H04L29/08 ,  G06F8/71 ,  G06F8/61

Abstract: 本发明提供了一种基于Fiddler的HTTPS流量内容的审计方法，涉及计算机技术领域。该方法首先在局域网、企业的出口网关处安装Fiddler软件；启动Fiddler软件，生成根CA证书，并分发至局域网和企业内部的机器，使之信任；局域网和企业内部的机器的代理服务设置为部署Fiddler的服务器的IP，端口为8888；启动Fiddler并打开HTTPS协议数据的捕获开关，Fiddler底层启动捕包处理流程，捕获网卡上所有数据包。编写处理插件代码并编译为dll文件，对实时捕获的HTTPS协议数据包的请求包和返回包提取字段并保存；编写HTTPS正则匹配模块的代码并编译为exe文件，对data目录中保存的文本文件进行正则匹配，生成日志。本发明以一种最小代价、灵活部署，满足对局域网、企业内部中小客户的HTTPS流量内容的审计要求。

公开(公告)号：CN106101104A

公开(公告)日：2016-11-09

申请号：CN201610423577.2

申请日：2016-06-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 房婧 ,  孙波 ,  李应博 ,  李轶夫 ,  鲁骁 ,  姜栋 ,  张建松 ,  盖伟麟 ,  姚珊 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  陈晓光

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1483 ,  H04L61/1511

Abstract: 本发明提供了一种基于域名解析的恶意域名检测方法和系统，该方法包括:获取域名解析的请求解析数据，对域名解析的解析数据进行数据清洗，根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名；再根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名。本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，此外，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。

公开(公告)号：CN118740396A

公开(公告)日：2024-10-01

申请号：CN202310313957.0

申请日：2023-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 司成祥 ,  李应博 ,  亓培锋 ,  廖元媛 ,  王亿芳 ,  房婧 ,  李胜男 ,  胡晓旭 ,  盖伟麟 ,  樊峰峰 ,  欧悯洁

IPC: H04L9/40

Abstract: 本发明提供一种匿名通信中守卫节点监测方法和装置。所述方法包括：根据所述守卫节点更新的带宽数据计算守卫节点集的带宽标准差；在所述带宽标准差大于标准差阈值时，计算所述守卫节点集的总带宽；在所述总带宽小于守卫节点集的删除阈值时，判定所述守卫节点为异常节点；在所述总带宽大于等于守卫节点集的删除阈值时，将所述守卫节点异常次数加1；在所述守卫节点异常次数大于所述守卫节点异常次数上限时，判定所述守卫节点为异常节点。本发明可以避免由于节点带宽异常变化所导致的安全风险，保证守卫节点集的正常运行。

公开(公告)号：CN118363980B

公开(公告)日：2024-09-24

申请号：CN202410788650.0

申请日：2024-06-19

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 王振宇 ,  田正鑫 ,  饶路 ,  盖伟麟 ,  高曌 ,  胡尚坤 ,  张士俊 ,  白鑫 ,  曹可心 ,  李峰 ,  邢志鹏 ,  李东帅

IPC: G06F16/242 ,  G06F16/22 ,  G06F16/28 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明涉及数据处理技术领域，具体涉及一种SQL语句智能合并方法及系统，包括：获取历史数据库中分句向量和合句向量，待合并的SQL分句；将分句作为底层根据每任意两个合句向量之间的相似情况，构建预测树结构，并构建层次聚类树；根据预测树结构与层次聚类树中节点之间的匹配关系确定最优聚类层；对最优聚类层中聚类簇进行特征提取获得每个聚类簇的特征向量；根据特征向量之间的相似情况进行特征匹配的结果，并进行特征合并，确定合并特征向量；根据待合并的SQL分句与合并特征向量之间的特征匹配情况，计算待合并的SQL分句之间的合并概率；基于合并概率对待合并的SQL分句进行合并。本发明可以获得精度更好的SQL语句合并结果。

公开(公告)号：CN118363980A

公开(公告)日：2024-07-19

申请号：CN202410788650.0

申请日：2024-06-19

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 王振宇 ,  田正鑫 ,  饶路 ,  盖伟麟 ,  高曌 ,  胡尚坤 ,  张士俊 ,  白鑫 ,  曹可心 ,  李峰 ,  邢志鹏 ,  李东帅

IPC: G06F16/242 ,  G06F16/22 ,  G06F16/28 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明涉及数据处理技术领域，具体涉及一种SQL语句智能合并方法及系统，包括：获取历史数据库中分句向量和合句向量，待合并的SQL分句；将分句作为底层根据每任意两个合句向量之间的相似情况，构建预测树结构，并构建层次聚类树；根据预测树结构与层次聚类树中节点之间的匹配关系确定最优聚类层；对最优聚类层中聚类簇进行特征提取获得每个聚类簇的特征向量；根据特征向量之间的相似情况进行特征匹配的结果，并进行特征合并，确定合并特征向量；根据待合并的SQL分句与合并特征向量之间的特征匹配情况，计算待合并的SQL分句之间的合并概率；基于合并概率对待合并的SQL分句进行合并。本发明可以获得精度更好的SQL语句合并结果。

公开(公告)号：CN117336080A

公开(公告)日：2024-01-02

申请号：CN202311383389.8

申请日：2023-10-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周波 ,  王勇 ,  盖伟麟 ,  刘德朋 ,  李政 ,  高曌 ,  王振宇 ,  田正鑫

IPC: H04L9/40

Abstract: 本发明涉及病毒检测技术领域，公开了一种基于流量和指标的暴力破解检测系统及方法，包括安装在受监测服务器上的指标采集模块、指标分析模块、流量采集模块和流量分析模块，流量采集模块与所述流量分析模块连接，指标采集模块与所述指标分析模块连接，与流量分析模块和指标分析模块连接有检测服务器，检测服务器设有暴力破解行为检测模块，与所述检测服务器连接有数据库服务器，数据库服务器设有异常行为库模块，与所述数据库服务器连接有界面服务器，所述界面服务器设有告警界面模块。本发明解决当前基于文件扫描和样本分析的检测方法中的检测耗时久，占用资源高的问题，同时可缩短从行为发生到行为被检测的时间，提升检测的时效性。

公开(公告)号：CN115835213A

公开(公告)日：2023-03-21

申请号：CN202211468393.X

申请日：2022-11-22

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 马宏远 ,  孙波 ,  贺敏 ,  金红 ,  李胜男 ,  盖伟麟 ,  胡晓旭 ,  毛蔚轩 ,  雷晓创 ,  呼万勇

IPC: H04W12/128

Abstract: 本发明公开了一种诈骗信息的分级流式检测方法。该方法包括：获取目标信息和目标信息的发信账号；根据目标信息和发信账号确定目标信息的目标诈骗值；在目标诈骗值大于第一阈值的情况下，确定目标信息为诈骗信息；将目标信息保存至诈骗信息库。本发明解决了在对海量信息进行检测时，数据处理效率低的技术问题。

公开(公告)号：CN107360051B

公开(公告)日：2021-06-15

申请号：CN201610868077.X

申请日：2016-09-30

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  黄江 ,  杜雄杰 ,  张伟 ,  流程 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明涉及数据包识别技术，本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

公开(公告)号：CN106027559B

公开(公告)日：2019-07-05

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。