公开(公告)号：CN115168854A

公开(公告)日：2022-10-11

申请号：CN202210730116.5

申请日：2022-06-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  高川 ,  贾世林 ,  严寒冰 ,  吕志泉 ,  徐剑 ,  严定宇 ,  刘玲 ,  张榜 ,  王宏宇 ,  亓子森

IPC: G06F21/56

Abstract: 本发明是有关于一种基于TTPs和多维特征的组织归因方法、装置、电子设备及存储介质，包括，提取若干已知恶意代码的多维特征向量，生成数据集；构建模型，使用所述数据集对模型进行训练；将未知恶意代码输入至训练好的模型中，获取所述未知恶意代码的所属组织信息。相对于传统人工分析比对的方式，在处理大量恶意代码样本时，效率更高，速度更快。

公开(公告)号：CN108446186B

公开(公告)日：2022-05-13

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN110188257B

公开(公告)日：2021-12-31

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN113761912A

公开(公告)日：2021-12-07

申请号：CN202110909793.9

申请日：2021-08-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 严寒冰 ,  王琴琴 ,  周彧 ,  梅瑞 ,  张永铮

IPC: G06F40/289 ,  G06F40/216 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置，本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析，由于这两种特征综合了恶意软件的静态特征和动态特征，所以本发明的特征更加全面，使用自然语言处理的技术将特征向量化，同时本发明使用模型解释技术将分类器的结果进行解释，使得分类结果更加有说服力，从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。

公开(公告)号：CN113347184A

公开(公告)日：2021-09-03

申请号：CN202110609568.3

申请日：2021-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  周昊 ,  高川 ,  严寒冰 ,  丁丽 ,  贾子骁 ,  吕志泉 ,  郭晶 ,  王宏宇

IPC: H04L29/06 ,  H04L29/08 ,  G06F16/172

Abstract: 本发明实施例公开了一种网络流量安全检测引擎的测试方法、装置、设备及介质。该方法包括：获取实际网络流量，并根据实际网络流量进行网络流量变形，生成变形网络流量；根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试。该方法可以减少网络流量的存储空间，降低存储成本；可以对未知攻击流量进行预研，可以构建畸形、异常等网络流量，便于根据变形网络流量进行网络流量安全检测引擎自身缺陷的检测。

公开(公告)号：CN108173884B

公开(公告)日：2021-05-04

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN112738040A

公开(公告)日：2021-04-30

申请号：CN202011507913.4

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  徐剑 ,  郭晶 ,  周昊 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06

Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置，该方法包括：获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销，以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，可对不断涌现的新威胁类型和威胁迹象进行检测，综合了机器诊断和专家诊断意见，提高检测的覆盖范围，以便能够发现网络中的各种安全威胁。

公开(公告)号：CN111865925A

公开(公告)日：2020-10-30

申请号：CN202010591185.3

申请日：2020-06-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  饶毓 ,  周昊 ,  王东 ,  吕卓航 ,  马莉雅

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明涉及一种基于网络流量的诈骗团伙识别方法、控制器和介质，所述方法包括获取多个待测账号的网络诈骗流量，并从所述网络诈骗流量中提取每一待测账号对应的网络诈骗数据；基于所述网络诈骗数据对所述多个待测账号中的每两个待测账号依次进行关联度计算，得到第一关联度，若所述第一关联度大于第一关联度阈值，则将对应的待测账号合并为待识别团伙；基于所述网络诈骗数据对所述待识别团伙与预设的历史已有团伙进行关联度计算，得到第二关联度，若所述第二关联度大于第二关联度阈值，则将所述待识别团伙与所述历史已有团伙合并为诈骗团伙。本发明能够快速、准确地识别网络诈骗团伙，并能追溯诈骗团伙识身份。

公开(公告)号：CN111797392A

公开(公告)日：2020-10-20

申请号：CN201910284057.1

申请日：2019-04-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06F21/56

Abstract: 本发明实施例公开了一种控制衍生文件无限分析的方法、装置及存储介质，涉及恶意代码分析技术领域，能够通过限制衍生文件的层级进而限制衍生文件的产生和分析，节省系统资源。所述方法包括：获取投入的待分析文件，并添加衍生层级数；若待分析文件产生衍生文件，则在父文件的衍生层级数基础上加1作为该衍生文件的衍生层级数；判断待分析文件的衍生层级数是否大于分析鉴定器的设定阈值，若是则阻止待分析文件进入分析鉴定器。

公开(公告)号：CN106909847B

公开(公告)日：2020-10-16

申请号：CN201710087408.0

申请日：2017-02-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李佳 ,  严寒冰 ,  丁丽 ,  徐原 ,  李志辉 ,  高胜 ,  张腾 ,  狄少嘉 ,  张帅 ,  刘丙双 ,  涂波 ,  王学志 ,  吕利锋

IPC: G06F21/56 ,  G06F21/55 ,  H04L29/06

Abstract: 本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。