公开(公告)号：CN113364742B

公开(公告)日：2022-10-11

申请号：CN202110534914.6

申请日：2021-05-17

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张华 ,  李文敏 ,  郭晶 ,  严寒冰 ,  朱天 ,  吕志泉 ,  任婧 ,  傅茂喜

IPC: H04L9/40 ,  H04L41/142

Abstract: 本说明书一个或多个实施例提供一种网络安全威胁定量弹性计算方法及装置，包括：从原始威胁数据中提取威胁特征；按照所述威胁特征的类型，将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征；分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数；根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数，确定所述威胁特征的威胁等级；根据所述威胁等级，输出预警信息。本实施例能够准确评估网络安全威胁程度并进行相应预警。

公开(公告)号：CN111967002A

公开(公告)日：2020-11-20

申请号：CN202010655631.2

申请日：2020-07-09

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  王小群 ,  王适文 ,  严寒冰 ,  孙才俊 ,  郭晶 ,  姚力 ,  贾子骁 ,  雷君 ,  马莉雅 ,  张华 ,  秦素娟 ,  高飞 ,  李文敏 ,  温巧燕 ,  秦佳伟 ,  王华伟 ,  涂腾飞 ,  王森淼 ,  崔栋

IPC: G06F21/55 ,  G06F21/56 ,  G06F21/53 ,  G06K9/62 ,  G06N20/10

Abstract: 本说明书一个或多个实施例提供一种应用程序的加壳检测方法及装置，包括：对应用程序样本中的每个安卓应用程序，提取出应用特征组，基于所述应用程序样本的所有应用特征组，构建训练集和测试集，利用所述训练集对至少一种分类器进行训练，得到训练后的至少一种加壳分类器，利用所述测试集对至少一种加壳分类器进行测试，得到至少一组测试结果，根据至少一组测试结果，确定出最优的加壳分类器，利用所述最优的加壳分类器对待测的安卓应用程序进行分类，确定所述待测的安卓应用程序是否加壳。本实施例能够有效地从大量安卓应用程序中筛选出加壳的安卓应用程序。

公开(公告)号：CN113364742A

公开(公告)日：2021-09-07

申请号：CN202110534914.6

申请日：2021-05-17

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张华 ,  李文敏 ,  郭晶 ,  严寒冰 ,  朱天 ,  吕志泉 ,  任婧 ,  傅茂喜

IPC: H04L29/06 ,  H04L12/24

Abstract: 本说明书一个或多个实施例提供一种网络安全威胁定量弹性计算方法及装置，包括：从原始威胁数据中提取威胁特征；按照所述威胁特征的类型，将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征；分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数；根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数，确定所述威胁特征的威胁等级；根据所述威胁等级，输出预警信息。本实施例能够准确评估网络安全威胁程度并进行相应预警。

公开(公告)号：CN119475330A

公开(公告)日：2025-02-18

申请号：CN202411400544.7

申请日：2024-10-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张榜 ,  肖崇蕙 ,  饶毓 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  周成飞

IPC: G06F21/56 ,  G06F16/958 ,  G06F16/951

Abstract: 本申请提供一种网页分析识别方法、装置及电子设备，涉及网络安全领域。该方法中，获取待检测网页网址；根据待检测网页网址爬取待检测网页内容，待检测网页内容包括源代码数据和图片数据；对源代码数据和图片数据分别进行预处理，得到页面的结构特征数据，将页面的结构特征数据与预设的FOFA规则的关键字一一对应得到对应关系；将FOFA规则加载至预设的AC算法的分析模块，并将结构特征数据作为输入数据，利用分析模块将输入数据与关键字对应的关键值进行匹配分析，输出匹配的规则标识；根据匹配的规则标识，从预设的数据库中匹配规则标识的相关描述信息，根据相关描述信息确定是否为恶意网址，能够适应不同类型网址。

公开(公告)号：CN119276526A

公开(公告)日：2025-01-07

申请号：CN202410428938.7

申请日：2024-04-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  郭晶 ,  王宏宇 ,  白寿颖 ,  刘玲

IPC: H04L9/40

Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法，首先收集已被发现的僵尸程序样本，建立僵尸网络命令与控制指令特征数据集；通过分析网络流入流出流量，识别并记录符合指令特征的会话信息，记录僵尸网络命令与控制日志；将命令与控制日志和网络流量中域名请求日志进行实时关联，在命令与控制日志增加C2控制域名字段；最后利用僵尸网络控制规模测量算法分析命令与控制日志，计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数，感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模，覆盖范围更全面，测量方法准确。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。

公开(公告)号：CN113364780B

公开(公告)日：2022-11-04

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L9/40

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。

公开(公告)号：CN113609234A

公开(公告)日：2021-11-05

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN113364780A

公开(公告)日：2021-09-07

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。

公开(公告)号：CN108737373B

公开(公告)日：2020-09-22

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。