公开(公告)号：CN108446186B

公开(公告)日：2022-05-13

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN109784057A

公开(公告)日：2019-05-21

申请号：CN201910008863.6

申请日：2019-01-04

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 严寒冰 ,  何能强 ,  丁丽 ,  李佳 ,  张华 ,  秦佳伟 ,  王森淼 ,  马宏谋 ,  石亚彬 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳 ,  沈阿娜 ,  占深信 ,  黄薪宇 ,  杜代忠

IPC: G06F21/56

Abstract: 本发明涉及一种安卓应用加固识别方法、控制器及介质，所述方法包括：获取待检测APK的四大组件比例和/或可疑文件比例，将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

公开(公告)号：CN108710800A

公开(公告)日：2018-10-26

申请号：CN201810495785.2

申请日：2018-05-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 王适文 ,  何能强 ,  严寒冰 ,  孙才俊 ,  秦素娟 ,  张华 ,  丁丽 ,  李佳 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/562 ,  G06K9/6267

Abstract: 本发明涉及一种安卓应用程序的加壳识别方法，包括从已标记的APK文件中提取应用特征，构建样本集，其中，所述已标记的APK文件包括标记为加固的APK文件和标记为未加固的APK文件；将所述样本集划分为训练集和测试集；根据所述样本集和测试集训练预设分类器，选择最优分类器；将待检测的APK文件输入所述最优分类器来识别其是否加壳。本发明采用静态方式提取特征，利用机器学习模型对安卓应用程序进行加壳识别，提高了加壳识别的效率和准确率。

公开(公告)号：CN108446186A

公开(公告)日：2018-08-24

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN119106014A

公开(公告)日：2024-12-10

申请号：CN202411006526.0

申请日：2024-07-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭晶 ,  徐剑 ,  金忠峰 ,  严寒冰 ,  曹华平 ,  唐积强 ,  狄少嘉 ,  徐原

IPC: G06F16/17 ,  G06F16/14 ,  G06F16/18

Abstract: 本发明是有关于一种任务驱动的海量网络日志高效筛选分发方法及装置，针对超大规模网络日志数据筛选分发存在的性能瓶颈问题，提出了一种多任务高效并行筛选和分发的创新方案。该方案聚焦于网络日志数据的智能化筛选与灵活分发，旨在整合共性计算需求、消除重复运算、优化资源配置、提升任务并发处理能力。具体实施中，本发明通过分解与合并跨任务日志筛选逻辑，结合常驻实时数据筛选与周期性离线筛选任务，系统性地完成了数据的精细化按需筛选、字段富化、数据分级和历史数据预存储，从而能够根据上层业务的实际需求，为不同任务动态且精准地分发合适的数据，为网络威胁监测、流量行为分析等应用提供数据支撑。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN105119909B

公开(公告)日：2019-02-19

申请号：CN201510434950.X

申请日：2015-07-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高胜 ,  胡俊 ,  何世平 ,  徐原 ,  赵慧 ,  徐晓燕 ,  刘婧 ,  陈阳 ,  李世淙 ,  党向磊 ,  饶毓 ,  赵宸

IPC: H04L29/06 ,  G06T7/00

Abstract: 本发明涉及一种基于页面视觉相似性的仿冒网站检测方法和系统，包括，获取待检测网站地址列表；逐一将该列表中的网站地址与预设白名单相匹配，若匹配则允许用户访问该网站地址并对其添加白名单标记；否则将当前网站地址与预设黑名单相匹配，若匹配禁止用户访问该网站地址并对其添加黑名单标记；若当前网站地址不在预设白名单和黑名单内，则根据待检测网站地址列表对应的网页内容与预设白名单进行相似度度量，获取最大相似度值，并与预设阈值T比较；判断待检测网站地址列表中是否存在未添加标记的网站地址，若存在则重新检测，否则结束。利用该方法完成仿冒网站检测一定程度上缩减了用户访问仿冒网站的概率，降低了误入虚假网站带来的损失。

公开(公告)号：CN105138907A

公开(公告)日：2015-12-09

申请号：CN201510435009.X

申请日：2015-07-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何世平 ,  胡俊 ,  徐原 ,  高胜 ,  党向磊 ,  徐晓燕 ,  赵慧 ,  陈阳 ,  李世淙 ,  刘婧 ,  赵宸 ,  饶毓

IPC: G06F21/55

CPC classification number: G06F21/554

Abstract: 本发明提供一种主动探测被攻击网站的方法和系统，所述方法包括：(1)获取待检测网站信息并生成需要检测的任务文件；(2)将所述任务文件发送到对应的检测微引擎进行检测；(3)对所述任务文件中的每个网站进行安全检测并生成结果文件；(4)获得并解析所述结果文件，得到结果信息，若有网站被攻击信息则向管理员报警。本发明通过检测微引擎检测网站是否受到各种网站攻击，并且使用轮询机制，各个模块同时运行，可以使整个系统有很大的吞吐量，可以检测大批量的网站。

公开(公告)号：CN105025025A

公开(公告)日：2015-11-04

申请号：CN201510435008.5

申请日：2015-07-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高胜 ,  胡俊 ,  何世平 ,  徐原 ,  赵慧 ,  徐晓燕 ,  刘婧 ,  陈阳 ,  李世淙 ,  党向磊 ,  饶毓 ,  赵宸

IPC: H04L29/06 ,  H04L29/12 ,  H04L29/08

Abstract: 本发明提供一种基于云平台的域名主动检测方法和系统，该方法包括：(1)将各处理微引擎注册到云平台上，初始化微引擎配置参数；(2)配置并生成域名检测任务，并将其发送到云平台；(3)调度所述域名检测任务到指定的微引擎程序，执行完成后将任务执行结果以文本方式存储到FTP服务器中；(4)从FTP服务器中获取执行结果文件，并将解析后的所述执行结果文件存储到数据库中。针对该方法构建了一种主动检测的系统，本发明运用云平台资源在各地域个运营商进行域名安全主动检测，能够高效完成Ipv4段DNS服务器判定。

公开(公告)号：CN104978579A

公开(公告)日：2015-10-14

申请号：CN201510316314.7

申请日：2015-06-10

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学 ,  北京建筑大学

Inventor： 严寒冰 ,  李思远 ,  刘亚姝 ,  张洪刚 ,  徐彬 ,  张帅 ,  徐原 ,  高胜 ,  胡俊

IPC: G06K9/34

CPC classification number: G06K9/344

Abstract: 本发明公开了一种对图像型垃圾邮件进行过滤的方法及装置，通过WAF模型对邮件图像中识别出的关键词进行关键词重构，并基于重构后的关键词对邮件进行判断和过滤，从而解决现有技术中基于图像过滤垃圾邮件准确率低的问题。