公开(公告)号：CN106302440A

公开(公告)日：2017-01-04

申请号：CN201610659857.3

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道获取可疑钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，针对性获取可疑钓鱼网站列表；其包括S11-S15中的一种或其组合，S11：根据钓鱼网站样本的URL地址变换组合分析获取网站列表，URL地址包括域名的前缀、域名的后缀和域名；S12：根据钓鱼网站样本的域名注册信息反查获取网站列表；S13：根据钓鱼网站样本的IP信息反查获取网站列表；S14:根据钓鱼网站样本的页面关键内容信息关联分析获取网站列表；S15：根据钓鱼网站样本利用搜索引擎检索获取网站列表；以及获取上述步骤S11-S15网站列表后，经过黑白名单过滤，获取新增未知可疑钓鱼网站列表；S2：将上述可疑钓鱼网站经过风险评估、人工确认后，最终发现钓鱼网站。

公开(公告)号：CN106302438A

公开(公告)日：2017-01-04

申请号：CN201610659317.5

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道的基于行为特征的主动监测钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，有针对性的获取可疑钓鱼网站列表，其包括步骤S11-S15中的一种或其组合；S11：根据钓鱼网站样本的域名注册信息反查与关联分析获取可疑钓鱼网站；S12：根据钓鱼网站样本的IP信息反查与关联分析获取可疑钓鱼网站；S13：根据钓鱼网站样本的页面关键内容信息关联分析获取可疑钓鱼网站；S14：根据钓鱼网站样本的URL地址变换组合分析获取可疑钓鱼网站；S15：根据钓鱼网站样本利用搜索引擎检索获取可疑钓鱼网站；S2:建立钓鱼网站样本的静态特征库和行为特征库并提取可疑钓鱼网站的静态特征、行为特征；以及S3：基于静态特征和行为特征形成风险评估模型，对钓鱼网站自动化识别。

公开(公告)号：CN106131054A

公开(公告)日：2016-11-16

申请号：CN201610681152.1

申请日：2016-08-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张腾 ,  李佳 ,  李志辉 ,  张帅 ,  高胜 ,  张洪 ,  刘丙双 ,  严寒冰 ,  丁丽 ,  何世平 ,  赵慧 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  陈阳 ,  何能强 ,  李挺 ,  李世淙 ,  王适文 ,  刘婧 ,  饶毓 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1433 ,  H04L63/145 ,  H04L63/1483 ,  H04L2463/144

Abstract: 本发明公开一种基于安全云的网络入侵协同检测方法，其包括如下步骤：S1由NIDS向安全云发起授权申请；S2对授权后的NIDS动态注册，动态注册后的NIDS从安全云上获取唯一标识ID；S3，NIDS针对入侵检测的对抗性要求，从安全云实时获取特征规则库；以及S4，NIDS应用网络安全检测技术进行全面检测；其包括：NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云，在安全云侧进行事件的存储、分析、过滤和判定，然后安全云将判定为安全威胁的事件定点回传给NIDS。

公开(公告)号：CN104834891A

公开(公告)日：2015-08-12

申请号：CN201510083460.X

申请日：2015-02-16

Applicant: 北京建筑大学 ,  北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 刘亚姝 ,  徐彬 ,  严寒冰 ,  张洪刚 ,  李思远 ,  徐原 ,  胡俊 ,  高胜 ,  何世平 ,  饶毓 ,  徐晓燕 ,  刘婧 ,  党向磊 ,  李世淙 ,  赵宸

IPC: G06K9/00 ,  G06K9/46 ,  G06Q10/10

Abstract: 本发明公开了一种中文图像型垃圾邮件过滤方法，包括：在图像背景下提取得到图像中的汉字；使用汉字的关键点对汉字的字符特征进行表示；将字符特征与预先设置的样本库进行匹配，识别出垃圾邮件；对垃圾邮件进行过滤。本发明还公开了一种中文图像型垃圾邮件过滤系统。本发明在中文图像型垃圾邮件过滤中既能保留一定程度的语义信息，又能快速准确的进行识别，本发明可以在只使用很小的特征库下，得到极低的误识别率和很高的准确率。本发明具有更宽松的字符识别要求，能够适应更多变，背景更复杂的图像；对较广泛的图片都能到达较好的效果；在对中文的过滤应用中，本发明从实际垃圾邮件图像中提取少量关键字样本库，使得算法效率大大提高。

公开(公告)号：CN102938769A

公开(公告)日：2013-02-20

申请号：CN201210475596.1

申请日：2012-11-22

Applicant: 国家计算机网络与信息安全管理中心 ,  北京大学

Inventor： 袁春阳 ,  杜跃进 ,  孙波 ,  许俊峰 ,  王明华 ,  李青山 ,  徐小琳 ,  何跃鹰 ,  严寒冰 ,  王营康 ,  郑礼雄 ,  张胜利 ,  李洪生 ,  轩志朋 ,  王永建 ,  林绅文 ,  杨鹏 ,  王进 ,  张伟 ,  郭承青

IPC: H04L29/06

Abstract: 本发明所述的一种Domain flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

公开(公告)号：CN101924754A

公开(公告)日：2010-12-22

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。