公开(公告)号：CN106909847B

公开(公告)日：2020-10-16

申请号：CN201710087408.0

申请日：2017-02-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李佳 ,  严寒冰 ,  丁丽 ,  徐原 ,  李志辉 ,  高胜 ,  张腾 ,  狄少嘉 ,  张帅 ,  刘丙双 ,  涂波 ,  王学志 ,  吕利锋

IPC: G06F21/56 ,  G06F21/55 ,  H04L29/06

Abstract: 本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。

公开(公告)号：CN111541655A

公开(公告)日：2020-08-14

申请号：CN202010269784.3

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  周昊 ,  韩志辉 ,  严寒冰 ,  朱天 ,  赵国梁

IPC: H04L29/06

Abstract: 本发明涉及一种网络异常流量检测方法、控制器及介质，所述方法包括获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址，记为可疑IP地址；对所述可疑IP地址所承载服务进行自动化验证，确定恶意IP地址，所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址；基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址，所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。本发明基于流量进行IP地址级别细粒度异常分析，提高了网络异常流量检测的准确度。

公开(公告)号：CN110830299A

公开(公告)日：2020-02-21

申请号：CN201911088586.0

申请日：2019-11-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 姚力 ,  肖崇惠 ,  张腾 ,  严寒冰 ,  丁丽 ,  温森浩 ,  朱芸茜 ,  王小群 ,  王适文 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周昊 ,  高川 ,  周彧 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮

IPC: H04L12/24 ,  H04L29/06 ,  G06F16/11 ,  G06F16/14 ,  G06F16/16

Abstract: 本发明涉及一种网络安全事件处置方法和系统，方法包括步骤S1、录入模块获取网络安全事件，状态记为暂存，提交至审核模块；步骤S2、审核模块进行审核，状态记为待派发，审核通过，执行步骤S5，否则执行步骤S3；步骤S3、审核模块将事件退回录入模块，状态记为录入待修改；步骤S4、录入模块修改事件后提交审核模块，返回步骤S2；或审核模块取回事件，返回步骤S2；步骤S5、第一服务器将事件分发给第二服务器，状态记为待处置；步骤S6、处置模块对事件进行处置，反馈处置结果，提交归档申请，状态记为待归档；步骤S7、归档模块对处置结果进行归档，状态记为已归档。本发明记录了网络安全事件处置全过程，具有可追溯性，提高了处置效率并降低了成本。

公开(公告)号：CN106302440B

公开(公告)日：2019-12-10

申请号：CN201610659857.3

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道获取可疑钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，针对性获取可疑钓鱼网站列表；其包括S11‑S15中的一种或其组合，S11：根据钓鱼网站样本的URL地址变换组合分析获取网站列表，URL地址包括域名的前缀、域名的后缀和域名；S12：根据钓鱼网站样本的域名注册信息反查获取网站列表；S13：根据钓鱼网站样本的IP信息反查获取网站列表；S14:根据钓鱼网站样本的页面关键内容信息关联分析获取网站列表；S15：根据钓鱼网站样本利用搜索引擎检索获取网站列表；以及获取上述步骤S11‑S15网站列表后，经过黑白名单过滤，获取新增未知可疑钓鱼网站列表；S2：将上述可疑钓鱼网站经过风险评估、人工确认后，最终发现钓鱼网站。

公开(公告)号：CN110225006A

公开(公告)日：2019-09-10

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN110188257A

公开(公告)日：2019-08-30

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN108055138A

公开(公告)日：2018-05-18

申请号：CN201810103708.8

申请日：2018-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  贝松涛 ,  丁丽 ,  李佳 ,  阚志刚 ,  陈彪 ,  付杰 ,  冯华兵 ,  康兴豪 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L9/32 ,  H04L29/06 ,  G06Q40/04 ,  H04L12/883

Abstract: 本发明涉及一种基于区块链的应用分发记录方法和系统，所述方法包括将所有记账节点和管理服务器构建为区块链网络，所述记账节点包括第一记账节点和第二记账节点，第一记账节点包括应用商店服务器，所述第二记账节点包括安全监管服务器；所述记账节点发起记账请求进行记账，更新区块链账本信息；其中，所述记账节点发起记账请求包括：所述第一记账节点发布应用和所述第二记账节点发现存在应用违规。本发明将区块链技术应用在应用分发记录中，通过维护统一的、分布式的、不可随意篡改的账本信息来记录应用分发，具有追溯力，实现有效监管，提高了应用分发监管的效率和可靠性。

公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN102739473A

公开(公告)日：2012-10-17

申请号：CN201210236470.9

申请日：2012-07-09

Applicant: 南京中兴特种软件有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 汪立冬 ,  孙波 ,  严寒冰 ,  袁春阳 ,  张晓明 ,  戴丽 ,  孙浩 ,  严伟

IPC: H04L12/26 ,  H04L12/56

Abstract: 一种应用智能网卡的网络检测方法，所述的智能网卡串接于局域网或小型企业网出口处、且存储ACL规则，首先采用网卡管理模块将服务器端的五元组ACL规则下发到智能网卡存储模块中；然后，智能网卡接收网络数据，并对其进行流还原处理；在智能网卡的数据处理模块中，将处理后的报文与存储模块中已有的ACL规则进行匹配，并采取相应的丢弃、透传、打标签、发送报文或发送日志的动作。本发明将服务器对网络数据的分析和检测动作交给智能网卡处理，有效地降低后台服务器CPU负担，同时，提供多种标准兼容接口，让现有的相关网络处理程序无缝的使用智能网卡，进一步发挥智能网卡对网络数据的分析和检测的优势。该方法适合网络检测等多种场景。

公开(公告)号：CN102542290A

公开(公告)日：2012-07-04

申请号：CN201110435765.4

申请日：2011-12-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中国互联网协会

Inventor： 严寒冰 ,  李鹏 ,  孙永革 ,  孙波 ,  李锐光 ,  郝智超 ,  张宏宾 ,  林绅文 ,  王进

IPC: G06K9/62 ,  H04L12/58

Abstract: 本发明公开了一种垃圾邮件图像识别方法。该方法包括：将邮件图像划分为文本区域和非文本区域；将所述非文本区域从空域变换到频域，并分解为水平、垂直和对角方向的细节子图像；对各个细节子图像中的高频系数进行统计分析，利用噪声连通域面积的总和与非文本区域面积的比值度量邮件图像的含噪声程度；根据所述邮件图像的含噪声程度是否达到了预设门限值，判断所述邮件图像是否为垃圾邮件图像。借助于本发明的技术方案，提高了通过含噪声程度进行垃圾邮件图像识别技术的识别精度。本发明还公开了一种垃圾邮件图像识别装置，包括图像区域划分模块、图像分解模块、含噪程度计算模块和图像判别模块。