公开(公告)号：CN115811421A

公开(公告)日：2023-03-17

申请号：CN202211441628.6

申请日：2022-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心浙江分中心

Inventor： 雷君 ,  何能强 ,  仇晨悦 ,  张宇鹏 ,  朱文扬 ,  周彧 ,  季莹莹 ,  严定宇 ,  郑勤健 ,  周昊 ,  尤杰 ,  张录录 ,  李雪峰 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  金红 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮 ,  王宏宇 ,  刘玲 ,  张榜 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40

Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中，该方法包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。

公开(公告)号：CN119276526A

公开(公告)日：2025-01-07

申请号：CN202410428938.7

申请日：2024-04-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  郭晶 ,  王宏宇 ,  白寿颖 ,  刘玲

IPC: H04L9/40

Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法，首先收集已被发现的僵尸程序样本，建立僵尸网络命令与控制指令特征数据集；通过分析网络流入流出流量，识别并记录符合指令特征的会话信息，记录僵尸网络命令与控制日志；将命令与控制日志和网络流量中域名请求日志进行实时关联，在命令与控制日志增加C2控制域名字段；最后利用僵尸网络控制规模测量算法分析命令与控制日志，计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数，感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模，覆盖范围更全面，测量方法准确。

公开(公告)号：CN119276519A

公开(公告)日：2025-01-07

申请号：CN202310818093.8

申请日：2023-07-05

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  王宏宇 ,  严定宇 ,  韩志辉 ,  贺铮 ,  周彧

IPC: H04L9/40 ,  G06F18/23 ,  G06F18/231

Abstract: 本发明是一种基于行为离群及统计特征的rootkit威胁检测方法和系统。通过识别已经加载的系统驱动，聚类获取系统驱动划分库；在待检测系统上，获取系统API的系统调用的堆栈跟踪及其子调用，使用调用和子调用的内存地址，查找内核模块在磁盘上的位置。通过检测的内核模块，获取其路径导出表，采用聚类时相同时的距离算法，查询驱动划分库的方法，判定系统中存在异常RootKit模块。其系统包括系统驱动识别器、驱动划分库建立器、受测系统数据采集器和RootKit检测器，本发明有效判定Rootkit威胁，解决了对未知恶意代码和具备自我隐藏行为情况下的rootkit检测问题。

公开(公告)号：CN113177205B

公开(公告)日：2023-09-15

申请号：CN202110460211.3

申请日：2021-04-27

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 何能强 ,  王宏宇 ,  文静 ,  王晓明 ,  刘子豪 ,  高华 ,  尚程 ,  阿曼太 ,  梁彧 ,  蔡琳 ,  杨满智 ,  王杰 ,  田野 ,  金红 ,  陈晓光

IPC: G06F21/56 ,  G06F16/955

Abstract: 本发明实施例公开了一种恶意应用检测系统及方法。该系统包括：采集模块，用于采集用户访问应用程序的行为记录，并从行为记录中提取与各应用程序相关的URL；用户为订购应用检测业务的用户；样本筛选模块，用于获取与各应用程序的URL匹配的应用程序样本，并从应用程序样本中筛选出待测应用程序样本；样本检测模块，用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测；推送模块，用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告，并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。本实施例的技术方案，可以实现无需下载额外的移动终端应用，即可有效提醒用户及时卸载已安装的恶意应用。

公开(公告)号：CN113609234A

公开(公告)日：2021-11-05

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN119167366A

公开(公告)日：2024-12-20

申请号：CN202411176029.5

申请日：2024-08-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李艺涛 ,  白寿颖 ,  秦佳伟 ,  王宏宇 ,  严寒冰 ,  贺铮 ,  谷雨

IPC: G06F21/57

Abstract: 本公开提供一种Java静态污点分析方法及相关设备。具体包括：获取待分析的源代码；其中，所述源代码包括至少一应用程序接口；基于所述应用程序接口的功能，确定所述应用程序接口的类型；基于所述应用程序接口与动态特性的关系，标注与动态特性关联的应用程序接口为动态特性关联接口；基于所述源代码和所述动态特性关联接口，构建控制流图、函数调用图和第一图中间表示；获取被污染变量，根据所述被污染变量、所述应用程序接口的类型以及所述第一图中间表示，确定污点数据流；根据所述污点数据流和所述函数调用图，确定污染路径。采用这样的技术方案，无需编译源代码有助于节约分析成本，增加了分析结果的可读性。

公开(公告)号：CN114297644B

公开(公告)日：2024-08-13

申请号：CN202111454822.3

申请日：2021-12-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  朱芸茜 ,  严定宇 ,  石桂欣 ,  秦佳伟 ,  张榜 ,  刘玲 ,  王宏宇

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。

公开(公告)号：CN115619245A

公开(公告)日：2023-01-17

申请号：CN202210991590.3

申请日：2022-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  刘玲 ,  张榜 ,  贾世琳 ,  秦佳伟 ,  严寒冰 ,  曹华平 ,  郑开发 ,  郭晶 ,  胡俊 ,  徐剑 ,  饶毓 ,  吕志泉 ,  韩志辉 ,  高川 ,  吕卓航 ,  贺铮 ,  王宏宇 ,  严定宇 ,  石桂欣 ,  史帅 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  孟艳青 ,  冯福伟

IPC: G06Q10/0639 ,  G06Q10/0635 ,  G06Q50/26 ,  G06F18/22 ,  G06F18/23213 ,  G06F18/213 ,  G06F18/214 ,  G06F18/24

Abstract: 本发明公开了一种基于数据降维方法的画像构建和分类方法及系统。方法包括：获取目标用户对应的至少一个画像维度，其中，每个所述画像维度中包括至少一个画像特征；根据每个所述画像特征生成对应的画像特征向量；根据每个所述画像特征向量生成所述目标用户的画像特征向量集；将所述画像特征向量集输入预先训练的画像分类模型中，得到所述目标用户的至少一个用户画像。本发明的方案能够对用户画像进行精确构建，从而解决现有技术对用户画像构建不全面的问题，从而通过用户画像进行全面且完善的数据分析。

公开(公告)号：CN114297644A

公开(公告)日：2022-04-08

申请号：CN202111454822.3

申请日：2021-12-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  朱芸茜 ,  严定宇 ,  石桂欣 ,  秦佳伟 ,  张榜 ,  刘玲 ,  王宏宇

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。

公开(公告)号：CN119561864A

公开(公告)日：2025-03-04

申请号：CN202411844577.0

申请日：2024-12-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王宏宇 ,  陆希玉 ,  石建 ,  肖崇蕙 ,  贾子骁 ,  吕志泉

IPC: H04L43/08 ,  H04L41/08 ,  H04L69/22 ,  H04L69/18 ,  H04L41/14

Abstract: 本申请公开了一种用户态多协议网络拨测方法、装置、设备及介质，涉及网络通信技术领域，包括根据拨测配置文件确定配置参数；基于用户态协议栈和配置参数生成支持多类型协议的协议仿真网络拨测数据包，并生成网络拨测任务，将网络拨测任务和协议仿真网络拨测数据包传输至任务定时器，以便任务定时器将协议仿真网络拨测数据包发送至拨测目标端；获取任务定时器反馈的拨测目标端基于协议仿真网络拨测数据包生成的响应消息，关闭网络拨测任务的执行程序，完成与拨测目标端的多协议仿真网络拨测，提高协议支持类型、场景及业务需求多样性和普适性，提升数据处理效率，实现拨测系统和业务系统相互拨测，全面评估业务系统所在网络整体性能。