公开(公告)号：CN109784057A

公开(公告)日：2019-05-21

申请号：CN201910008863.6

申请日：2019-01-04

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 严寒冰 ,  何能强 ,  丁丽 ,  李佳 ,  张华 ,  秦佳伟 ,  王森淼 ,  马宏谋 ,  石亚彬 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳 ,  沈阿娜 ,  占深信 ,  黄薪宇 ,  杜代忠

IPC: G06F21/56

Abstract: 本发明涉及一种安卓应用加固识别方法、控制器及介质，所述方法包括：获取待检测APK的四大组件比例和/或可疑文件比例，将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

公开(公告)号：CN108710800A

公开(公告)日：2018-10-26

申请号：CN201810495785.2

申请日：2018-05-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 王适文 ,  何能强 ,  严寒冰 ,  孙才俊 ,  秦素娟 ,  张华 ,  丁丽 ,  李佳 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/562 ,  G06K9/6267

Abstract: 本发明涉及一种安卓应用程序的加壳识别方法，包括从已标记的APK文件中提取应用特征，构建样本集，其中，所述已标记的APK文件包括标记为加固的APK文件和标记为未加固的APK文件；将所述样本集划分为训练集和测试集；根据所述样本集和测试集训练预设分类器，选择最优分类器；将待检测的APK文件输入所述最优分类器来识别其是否加壳。本发明采用静态方式提取特征，利用机器学习模型对安卓应用程序进行加壳识别，提高了加壳识别的效率和准确率。

公开(公告)号：CN108446186B

公开(公告)日：2022-05-13

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN108446186A

公开(公告)日：2018-08-24

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN109347786A

公开(公告)日：2019-02-15

申请号：CN201810924887.1

申请日：2018-08-14

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心湖南分中心

Inventor： 康金钟 ,  胡国良 ,  肖刚 ,  张超 ,  胡嘉俊 ,  张勇 ,  严寒冰 ,  饶毓 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站检测方法，所述方法包括:提取待检测网站的访问数据；根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数；若所有检测结果均为非钓鱼网站，则所述待检测网站为非钓鱼网站，否则，所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测，从而可以准确有效地识别钓鱼网站。

公开(公告)号：CN113572631B

公开(公告)日：2022-12-20

申请号：CN202110599771.7

申请日：2021-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾子骁 ,  韩志辉 ,  贾世琳 ,  吕卓航 ,  严定宇

IPC: H04L41/0803

Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括：由第一算子获取任务的第一数据包；其中，所述第一数据包由配置数据与第一源数据封装得到；由所述第一算子从所述第一数据包中获取与其对应的第一配置数据，并根据所述第一配置数据，对所述第一数据包中的第一源数据进行处理，得到第二源数据；由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包，并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下，对计算任务的计算逻辑进行更新，步骤简便且能够满足实时性要求较高的业务的需求。

公开(公告)号：CN114880661A

公开(公告)日：2022-08-09

申请号：CN202210622592.5

申请日：2022-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  饶毓 ,  周昊 ,  严寒冰 ,  丁丽 ,  徐原 ,  姚力 ,  朱芸茜 ,  楼书逸 ,  贾世琳 ,  刘玲 ,  严定宇 ,  秦佳伟

IPC: G06F21/55

Abstract: 本申请提供一种威胁事件处理方法、装置、电子设备及存储介质，方法包括：获取事件集合；事件集合内包含若干威胁事件；确定事件集合中每一威胁事件对应的事件类型，得到类型集合；根据类型集合确定目标关注度等级；根据目标关注度等级和类型集合确定事件集合的威胁评分；根据所述事件集合的威胁评分确定所述事件集合的威胁程度和处理优先度。本申请提供的威胁事件处理方法，能够根据事件集合中每一威胁事件对应的事件类型，确定该事件集合对应的目标关注等级，并根据目标关注度等级和类型集合中包含的所有事件类型，确定出该事件集合对应的威胁评分，并根据威胁评分确定该事件集合的威胁程度和处理优先度，提升威胁事件处理效率。

公开(公告)号：CN110875917B

公开(公告)日：2022-02-25

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L9/40 ,  G06F21/56

公开(公告)号：CN113255724A

公开(公告)日：2021-08-13

申请号：CN202110405262.6

申请日：2021-04-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  温森浩 ,  贾子骁 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  徐剑 ,  郭晶 ,  马莉雅 ,  冯逸 ,  吴明悦 ,  周彬

IPC: G06K9/62

Abstract: 本文公开一种识别节点类型的方法、装置、计算机存储介质及终端，本发明实施例对待区分节点类型的网络，从网络流量数据中提取节点的两个以上特征信息，其中，特征信息包括：全局被连接次数，以及全局接入流量和/或全局接入节点数量；根据提取的节点的两个以上特征信息生成节点对应的特征矩阵；对生成的网络的所有节点的特征矩阵进行聚类处理，并根据聚类结果识别节点类型。本发明实施例对从网络流量数据中提取节点的两个以上特征信息采用聚类处理，实现了节点类型的识别，提升了节点类型的识别效率。

公开(公告)号：CN113242236A

公开(公告)日：2021-08-10

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。