公开(公告)号：CN116527307A

公开(公告)日：2023-08-01

申请号：CN202310245623.4

申请日：2023-03-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  贺铮 ,  金忠峰 ,  严寒冰 ,  王宏宇 ,  严定宇 ,  刘玲 ,  张榜 ,  郭晶

IPC: H04L9/40 ,  G06F18/23

Abstract: 本发明提供一种基于社区发现的僵尸网络检测方法，该方法将流量数据转换为图数据，利用社区发现对网络图进行划分，对划分后的社区利用节点重叠度和相似度进行检测，据此发现僵尸网络。检测方法包括：基于节点重叠度的可疑社区检测；基于节点相似度的僵尸网络社区检测和节点类型判别。对于输入的流量行为图数据，第一阶段利用社区发现算法对图中节点进行划分并计算社区节点重叠度，以重叠度为依据筛选可疑社区。对于第一阶段输出的可疑社区，第二阶段基于聚类的思想计算每个可疑社区内部的节点相似度，将具有高节点相似度的社区输出为僵尸网络社区。最后一个阶段负责对僵尸网络内部节点的具体类型进行判定并输出最终检测结果。

公开(公告)号：CN115174493B

公开(公告)日：2023-07-14

申请号：CN202210381927.9

申请日：2022-04-12

Applicant: 北京理工大学 ,  国家计算机网络与信息安全管理中心

Inventor： 李锐光 ,  徐大伟 ,  吴阜东 ,  朱佳伟 ,  高家奇 ,  马璐 ,  严寒冰 ,  祝烈煌

IPC: H04L47/62 ,  H04L69/163 ,  H04L69/14

Abstract: 本发明公开了一种基于多线程管道技术的比特币节点探测方法，设计了高效的多线程程序运行框架，开发了具备比特币协议编解码功能的可插拔管道，提出了“存储‑消费”式节点地址管理技术，大大提升了程序探测效率。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN115242438A

公开(公告)日：2022-10-25

申请号：CN202210680348.4

申请日：2022-06-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 虞宇琪 ,  彭成维 ,  唐剑琪 ,  严寒冰 ,  王强 ,  代锐 ,  韩志辉 ,  潘泉波 ,  周昊 ,  刘俊贤 ,  于洪妍 ,  曹晓菲 ,  卫斌 ,  姚怡云 ,  邹周

IPC: H04L9/40 ,  H04L41/16 ,  H04L41/14 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明是有关于一种基于异质信息网络的潜在受害群体定位方法，包括如下步骤：步骤1：数据接入,采集接入威胁情报及多源网络数据；步骤2：数据预处理,对威胁情报中的入侵指标与网络数据碰撞得到的原始数据进行数据过滤、数据清洗和特征工程；步骤3：多源异构数据融合,面向异构数据进行实体、属性和关系提取，构建实体关系图，生成异质信息网络；步骤4：核心算法,采用语义提取、模型构建和度量分析进行受害群体定位；步骤5：业务应用,实现网络攻击事件受害群体定位，支撑事件影响分析及通报处置。本发明基于异质信息网络实现多源网络安全数据的融合与关联，实现潜在受害者定位，并提出降维预处理流程，提高分析效率，降低人工成本。

公开(公告)号：CN113242236B

公开(公告)日：2022-09-16

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。

公开(公告)号：CN112737101B

公开(公告)日：2022-08-26

申请号：CN202011418780.3

申请日：2020-12-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  桑亚飞

IPC: H02J13/00 ,  G06Q50/06

Abstract: 本发明涉及一种面向多监测域的网络安全风险评估方法及系统，其中面向多监测域的网络安全风险评估方法，包括：对资产的机密性、完整性、可用性和资产类型重要性进行评分，以得到资产的价值；对资产进行脆弱性扫描，得到资产的脆弱性值；对资产在预设周期内的多源威胁检测引擎告警日志进行分析，得到资产所遭受攻击的威胁度值；根据资产的价值、脆弱性值和威胁度值，得出资产安全风险值；根据资产的安全风险值，计算该资产所在子域在预设周期内的安全风险值；根据子域的安全风险值，计算该子域所在全网在预设周期内的安全风险值。本发明从多维度对多子域多资产安全风险进行监测评估，改善现有方法面向单一信息系统或单一资产安全风险评估的局限性。

公开(公告)号：CN114760216A

公开(公告)日：2022-07-15

申请号：CN202210377822.6

申请日：2022-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾子骁 ,  张宇鹏 ,  严寒冰 ,  吕志泉 ,  惠榛 ,  刘佳男 ,  于泽研 ,  翟墨涵

IPC: H04L43/08 ,  H04L9/40

Abstract: 本申请的实施例公开了一种扫描探测事件确定方法、装置及电子设备，涉及网络安全技术领域，为提高扫描探测事件的检测效率而发明。所述方法，包括：获取待分析流量中的报文；提取所述待分析流量中的报文中各条报文的源IP地址；根据所述各条报文中的源IP地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源IP地址相同；基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。本申请适用于扫描探测事件的检测。

公开(公告)号：CN113904796A

公开(公告)日：2022-01-07

申请号：CN202110995717.4

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  严定宇 ,  吕利锋 ,  严寒冰 ,  饶毓 ,  吕志泉 ,  秦佳伟

IPC: H04L9/40 ,  G06F21/56

Abstract: 本发明属于网络安全技术领域，且公开了网络安全检测用流量的设备后门检测方法，包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本，对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本，通过回溯过往的流量异常增多时，设备的异常现象，与注册表之间进行联合比对，并对当前进行实时监控，得出相较于只检查当前IP异常通讯和单一排查注册项，效率相对较高，且准确性通过比对也得到提升。

公开(公告)号：CN110225006B

公开(公告)日：2022-01-04

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L9/40 ,  H04L41/14 ,  H04L43/045

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN113779573A

公开(公告)日：2021-12-10

申请号：CN202110890621.1

申请日：2021-08-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  王树鹏

IPC: G06F21/56 ,  G06F11/36

Abstract: 本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。