公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN109347786A

公开(公告)日：2019-02-15

申请号：CN201810924887.1

申请日：2018-08-14

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心湖南分中心

Inventor： 康金钟 ,  胡国良 ,  肖刚 ,  张超 ,  胡嘉俊 ,  张勇 ,  严寒冰 ,  饶毓 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站检测方法，所述方法包括:提取待检测网站的访问数据；根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数；若所有检测结果均为非钓鱼网站，则所述待检测网站为非钓鱼网站，否则，所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测，从而可以准确有效地识别钓鱼网站。

公开(公告)号：CN113572631B

公开(公告)日：2022-12-20

申请号：CN202110599771.7

申请日：2021-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾子骁 ,  韩志辉 ,  贾世琳 ,  吕卓航 ,  严定宇

IPC: H04L41/0803

Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括：由第一算子获取任务的第一数据包；其中，所述第一数据包由配置数据与第一源数据封装得到；由所述第一算子从所述第一数据包中获取与其对应的第一配置数据，并根据所述第一配置数据，对所述第一数据包中的第一源数据进行处理，得到第二源数据；由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包，并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下，对计算任务的计算逻辑进行更新，步骤简便且能够满足实时性要求较高的业务的需求。

公开(公告)号：CN114880661A

公开(公告)日：2022-08-09

申请号：CN202210622592.5

申请日：2022-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  饶毓 ,  周昊 ,  严寒冰 ,  丁丽 ,  徐原 ,  姚力 ,  朱芸茜 ,  楼书逸 ,  贾世琳 ,  刘玲 ,  严定宇 ,  秦佳伟

IPC: G06F21/55

Abstract: 本申请提供一种威胁事件处理方法、装置、电子设备及存储介质，方法包括：获取事件集合；事件集合内包含若干威胁事件；确定事件集合中每一威胁事件对应的事件类型，得到类型集合；根据类型集合确定目标关注度等级；根据目标关注度等级和类型集合确定事件集合的威胁评分；根据所述事件集合的威胁评分确定所述事件集合的威胁程度和处理优先度。本申请提供的威胁事件处理方法，能够根据事件集合中每一威胁事件对应的事件类型，确定该事件集合对应的目标关注等级，并根据目标关注度等级和类型集合中包含的所有事件类型，确定出该事件集合对应的威胁评分，并根据威胁评分确定该事件集合的威胁程度和处理优先度，提升威胁事件处理效率。

公开(公告)号：CN110875917B

公开(公告)日：2022-02-25

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L9/40 ,  G06F21/56

公开(公告)号：CN113255724A

公开(公告)日：2021-08-13

申请号：CN202110405262.6

申请日：2021-04-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  温森浩 ,  贾子骁 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  徐剑 ,  郭晶 ,  马莉雅 ,  冯逸 ,  吴明悦 ,  周彬

IPC: G06K9/62

Abstract: 本文公开一种识别节点类型的方法、装置、计算机存储介质及终端，本发明实施例对待区分节点类型的网络，从网络流量数据中提取节点的两个以上特征信息，其中，特征信息包括：全局被连接次数，以及全局接入流量和/或全局接入节点数量；根据提取的节点的两个以上特征信息生成节点对应的特征矩阵；对生成的网络的所有节点的特征矩阵进行聚类处理，并根据聚类结果识别节点类型。本发明实施例对从网络流量数据中提取节点的两个以上特征信息采用聚类处理，实现了节点类型的识别，提升了节点类型的识别效率。

公开(公告)号：CN113242236A

公开(公告)日：2021-08-10

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。

公开(公告)号：CN113239968A

公开(公告)日：2021-08-10

申请号：CN202110404731.2

申请日：2021-04-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  张宇鹏 ,  雷君 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  徐剑 ,  郭晶 ,  马莉雅 ,  冯逸 ,  吴明悦 ,  周彬

IPC: G06K9/62

Abstract: 本文公开一种实现服务器分类的方法、装置、计算机存储介质及终端，本发明实施例从待确定服务类型的服务器的网络会话数据中获取服务器的服务信息；其中，服务信息包括：提供的服务类型及次数；将预先确定的两个服务器是否提供相同类型服务的成对约束信息与获取的服务信息通过半监督层次聚类算法进行聚类后，实现了具有多项服务功能的服务器的分类。

公开(公告)号：CN110149343B

公开(公告)日：2021-07-16

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。