公开(公告)号：CN108710800A

公开(公告)日：2018-10-26

申请号：CN201810495785.2

申请日：2018-05-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 王适文 ,  何能强 ,  严寒冰 ,  孙才俊 ,  秦素娟 ,  张华 ,  丁丽 ,  李佳 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/562 ,  G06K9/6267

Abstract: 本发明涉及一种安卓应用程序的加壳识别方法，包括从已标记的APK文件中提取应用特征，构建样本集，其中，所述已标记的APK文件包括标记为加固的APK文件和标记为未加固的APK文件；将所述样本集划分为训练集和测试集；根据所述样本集和测试集训练预设分类器，选择最优分类器；将待检测的APK文件输入所述最优分类器来识别其是否加壳。本发明采用静态方式提取特征，利用机器学习模型对安卓应用程序进行加壳识别，提高了加壳识别的效率和准确率。

公开(公告)号：CN111526110B

公开(公告)日：2024-02-27

申请号：CN201910105743.8

申请日：2019-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 雷君 ,  黄蒙 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  徐剑 ,  王适文 ,  肖崇惠 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  周彧 ,  高川 ,  贾世琳 ,  文静 ,  楼书逸 ,  吕卓航

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明实施例提供了一种检测电子邮箱账户非授权登录的方法、装置、设备和介质。其中，该方法包括：采集电子邮箱账户连续登录的待检测登陆日志及其前一个登陆日志，以及电子邮箱账户在预定时间段内的历史登陆日志；基于待检测登陆日志及其前一个登陆日志，对待检测登陆日志进行分类；根据历史登陆日志、待检测登陆日志及其分类结果，确定电子邮箱账户的登录行为模式信息；将待检测登陆日志及其分类结果，以及登录行为模式信息，与预定的告警规则进行匹配；如果匹配，则将待检测用户登录行为确定为非授权用户登录行为。通过本发明实施例，解决了如何识别电子邮箱账户非授权登录的技术问题，而且可以不依赖于对电子邮件内容的分析。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN113242236B

公开(公告)日：2022-09-16

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。

公开(公告)号：CN110225006B

公开(公告)日：2022-01-04

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L9/40 ,  H04L41/14 ,  H04L43/045

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN113220526A

公开(公告)日：2021-08-06

申请号：CN202110490855.7

申请日：2021-05-06

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 严寒冰 ,  王小群 ,  王适文 ,  李友豪 ,  张红宝 ,  周忠义 ,  傅强 ,  阿曼太 ,  梁彧 ,  田野 ,  王杰 ,  杨满智 ,  蔡琳 ,  金红 ,  陈晓光

IPC: G06F11/30 ,  G06F11/34 ,  G06F21/55 ,  H04L29/06

Abstract: 本发明实施例公开了一种僵尸网络的家族规模的异常检测方法及装置。所述方法包括：以监控区间内的每天为追溯起点，按照追溯时长，确定与监控区间内每天对应的追溯时间区间；获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各家族规模，计算与监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；生成目标僵尸网络的家族规模变化趋势图；根据监控区间内每天的家族规模移动平均值和家族规模移动标准差值，计算至少一条变化趋势基线；根据各变化趋势基线，以及变化趋势图，对目标僵尸网络的家族规模进行异常检测，可以实现对僵尸网络的家族规模及家族规模变化趋势进行异常检测，可以实现自动化地监控僵尸网络的发展情况。

公开(公告)号：CN110222715B

公开(公告)日：2021-07-27

申请号：CN201910375363.6

申请日：2019-05-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于动态行为链和动态特征的样本同源分析方法，步骤如下：1：收集整理攻击样本；2：将训练样本集进行分类处理；3：将训练样本集投入沙箱运行；4：将样本进行排序整理，生成动态行为链；5：使用以训练数据集提取的行为链训练同源分析决策树模型；6：提取行为链和样本IOCs信息；7：测试数据集通过决策树模型判断所属APT组织，或所属恶意家族和类型；8：测试数据集通过知识库模糊匹配IOCs信息，得出同源信息；9：得出最终同源分析结论；本发明达到了从动态行为入手，对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果，解决了传统同源分析手段导致的样本特征单一，人工分析效率低投入大等实际问题。

公开(公告)号：CN109067723B

公开(公告)日：2021-03-02

申请号：CN201810820818.6

申请日：2018-07-24

Applicant: 国家计算机网络与信息安全管理中心 ,  上海观安信息技术股份有限公司

Inventor： 饶毓 ,  严寒冰 ,  陈曦 ,  辜乘风 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站使用者信息的追溯方法、控制器和介质，所述方法包括：获取预设数量的钓鱼网站访问数据并进行分组；以所述访问数据所划分的每个组作为节点，访问数据之间的访问关系作为边构造网络图；对所构造的网络图进行处理，去除干扰项，获取待分析的访问数据信息；根据所述待分析的访问数据信息追溯钓鱼网站使用者信息。本发明所述方法能够准确高效地追溯钓鱼网站使用者信息，具有通用性。

公开(公告)号：CN110225007A

公开(公告)日：2019-09-10

申请号：CN201910446822.5

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  张胜军 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  朱天 ,  胡俊 ,  张腾 ,  何能强

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明涉及一种webshell流量数据聚类分析方法以及控制器和介质，所述方法包括:获取webshell流量数据集合，所述webshell流量数据集合包括多条webshell流量数据；计算每条所述webshell流量数据与预设的待分析的webshell流量数据的编辑距离；将所述编辑距离小于预设距离阈值的webshell流量数据与所述待分析的webshell流量数据聚类。本发明不受webshell攻击工具类型的限制，具有通用性且准确度高。

公开(公告)号：CN109960729A

公开(公告)日：2019-07-02

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F17/27 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。