公开(公告)号：CN103544261B

公开(公告)日：2016-06-22

申请号：CN201310484663.0

申请日：2013-10-16

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 陈巡逊 ,  王明华 ,  李佳 ,  王琦 ,  常为领 ,  王树鹏 ,  张永铮 ,  王勇

IPC: G06F17/30

Abstract: 本发明涉及一种海量结构化日志数据全局索引管理方法，包括以下步骤：在数据存储子系统中在其内部的各个数据节点中建立关于结构化日志数据的局部数据块及索引信息，在全局索引服务器中建立全局索引表；客户端解析用户输入的查询请求，获取目标局部数据块的信息，客户端确认本地是否有全局索引服务器的地址信息，客户端根据包含有目标局部数据块的数据节点的地址信息向数据存储子系统中的相应数据节点发送远程调用请求；数据存储子系统汇总各数据节点的响应数据，将最终查询结果发送给客户端。本发明该方法有效地增加了系统的查询多样性和查询效率，并且提高了系统的可扩展性。

公开(公告)号：CN103823751B

公开(公告)日：2016-05-11

申请号：CN201310682073.9

申请日：2013-12-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  王明华 ,  云晓春 ,  王新镇 ,  李佳 ,  贺敏 ,  纪玉春 ,  胡俊

IPC: G06F11/36

Abstract: 本发明是关于一种基于特征注入的仿冒应用程序监测方法，包括以下步骤：步骤S1，获取待监测的应用程序；步骤S2，根据上述应用程序的文件结构，在待监测的应用程序中注入监测特征；步骤S3，对含有监测特征的应用程序进行数字签名；步骤S4，记录待监测应用程序被注入的监测特征与数字签名的配对信息；步骤S5，对被注入监测特征的应用程序进行监测；其中，在监测过程中，当捕获到的应用程序文件中含有被注入的监测特征时，如果该应用程序的数字签名与监测特征对应的签名不一致时，表明该捕获到的应用程序是仿冒应用程序；反之，表明不是仿冒应用程序。借由本发明，能够快速准确地识别仿冒应用程序，实现对仿冒应用程序的实时监测。

公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN104901850A

公开(公告)日：2015-09-09

申请号：CN201510322046.X

申请日：2015-06-12

Applicant: 国家计算机网络与信息安全管理中心广东分中心

Inventor： 梁斌 ,  王宜阳 ,  宋苑 ,  胡赢 ,  刘家豪 ,  李晓东 ,  李佳 ,  徐晓燕 ,  康学斌 ,  董建武

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难，其在不依赖安全检测设备的情况下，非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。

公开(公告)号：CN103905417A

公开(公告)日：2014-07-02

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN109918907B

公开(公告)日：2021-05-25

申请号：CN201910094079.1

申请日：2019-01-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  朱天 ,  饶毓 ,  高胜 ,  李志辉 ,  张腾 ,  刘婧 ,  何能强 ,  陈阳 ,  李世淙 ,  朱芸茜 ,  马莉雅 ,  周昊

IPC: G06F21/56

Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质，所述方法包括遍历Linux系统所有进程，读取所有进程的内存映射文件；基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

公开(公告)号：CN107104829B

公开(公告)日：2020-09-15

申请号：CN201710253404.5

申请日：2017-04-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 金暐 ,  邹潇湘 ,  舒敏 ,  唐积强 ,  高昕 ,  王锟 ,  李海灵 ,  董琳 ,  王中华 ,  侯美佳 ,  李佳 ,  蒋凌云 ,  何清林 ,  杜忠田 ,  马杰 ,  王佳

IPC: H04L12/24

Abstract: 本发明提供了一种基于网络拓扑数据的物理设备匹配分配方法及装置，方法包括以下步骤：获取设备T的端口信息，根据设备T的端口信息对所有物理设备进行初筛，形成待匹配物理设备列表；当待匹配物理设备列表不为空时，根据设备T的匹配矩阵判断设备T与当前物理设备是否匹配，获取设备T对应的设备N，当设备N中不包含逻辑设备时，则将与设备T的端口匹配成功的物理设备加入成功匹配结果集。本发明提供的方法能够在已有的物理网络拓扑中判断是否有符合要求拓扑条件的设备集合，并找出其所有可用的设备供用户选择，是整体实验平台资源统一管理和调度的基础，能够高效的管理实验室相关设备，提高实验设备的利用率。

公开(公告)号：CN106815019B

公开(公告)日：2020-09-01

申请号：CN201611253462.X

申请日：2016-12-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 金暐 ,  高昕 ,  邹潇湘 ,  董琳 ,  彭义刚 ,  李佳 ,  王锟 ,  云晓春 ,  舒敏 ,  李海灵 ,  王中华 ,  侯美佳 ,  曹强 ,  王坤 ,  徐娟娟

IPC: G06F9/451

Abstract: 本发明公开了一种Hadoop分布式算法的WEB界面集成方法及装置，该方法包括：当某数据获取组件被触发后，配置该数据获取组件的输入，并选择一个或多个数据处理组件作为该数据获取组件的输出；配置被选中的数据处理组件的输入，并选择其他的数据处理组件中的一个或多个作为本数据处理组件的输出，形成组件关系网；当接收到运行指令后，利用组件关系网的各组件对被触发的数据获取组件的输入数据进行处理，得到数据处理结果。借助于本发明的技术方案，在WEB界面中将选择的若干个数据获取组件和若干个数据处理组件形成组件关系网，利用组件关系网的各组件对被触发的数据获取组件的输入数据进行处理，无需编程，并且能够立即执行看到效果。

公开(公告)号：CN108173884A

公开(公告)日：2018-06-15

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN104424197B

公开(公告)日：2018-05-11

申请号：CN201310364947.6

申请日：2013-08-20

Applicant: 北京启明星辰信息安全技术有限公司 ,  国家计算机网络与信息安全管理中心 ,  北京启明星辰信息技术股份有限公司

Inventor： 肖成民 ,  徐小琳 ,  王明华 ,  李高超 ,  李佳 ,  刘阳 ,  高胜 ,  郑礼熊 ,  李向通 ,  刘亚东 ,  王虹

IPC: G06F17/30 ,  G06F8/41 ,  H04L29/12

Abstract: 本发明公开了一种IP地址库检索方法及系统，涉及计算机网络领域。本发明公开的方法包括：将IP地址库构建成源代码，其中，构建的源代码包括IP地址哈希表、索引存储表以及确证函数的信息；将所述源代码编译成目标程序；通过所述目标程序对IP地址进行检索，检索得到所述IP地址归属地信息。本发明还公开了一种IP地址库检索系统。本申请技术方案具有加载速度快、低内存占用、检索速度快、地址库保密的优点，解决了传统IP地址库检索方法的缺陷。