-
公开(公告)号:CN108306901A
公开(公告)日:2018-07-20
申请号:CN201810448681.6
申请日:2018-05-11
Applicant: 国家计算机网络与信息安全管理中心 , 哈尔滨工业大学(威海)
Inventor: 严寒冰 , 张兆心 , 陈阳 , 周昊 , 饶毓 , 雷君 , 李志辉 , 徐剑 , 张帅 , 吕志泉 , 韩志辉 , 马莉雅 , 高川 , 李世淙 , 贾子骁 , 狄少嘉 , 温森浩 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 王适文 , 肖崇蕙 , 程亚楠 , 许海燕
Abstract: 本发明提供一种获取域名WHOWAS注册信息的方法,其解决了现有方法不能及时获取域名WHOWAS注册信息的技术问题;包括以下步骤:步骤1,对域名预处理,判断域名字符组成上是否正确,并将域名处理为注册域名的结构;步骤2,首次获取和解析域名的WHOIS关键信息:步骤3,根据轮询探测策略,对已获取WHOIS关键信息的域名进行探测,对符合不同条件的域名使用不同的轮询探测策略,获取并解析域名的WHOIS关键信息;步骤4,根据WHOIS信息更新规则,判断WHOIS信息是否更新,而产生并储存WHOWAS信息。本发明广泛应用于信息技术领域。
-
公开(公告)号:CN108173884A
公开(公告)日:2018-06-15
申请号:CN201810231224.1
申请日:2018-03-20
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 朱天 , 严寒冰 , 丁丽 , 李佳 , 饶毓 , 温森浩 , 李志辉 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 吕利锋 , 陈阳 , 李世淙 , 徐剑 , 王适文 , 肖崇蕙 , 贾子骁 , 张帅 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 周昊 , 高川 , 楼书逸
IPC: H04L29/06
Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法,包括:获取预设时间内的DDoS攻击行为的所有控制端IP,以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹;计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度,以及利用肉鸡轨迹相似度;根据所计算的所有的任意两个控制端IP,以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图;根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源,建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列,找到DDoS攻击事件发生期间这些攻击资源的关联和归属,从而支持对重要、组织性的DDoS攻击群体的发现。
-
公开(公告)号:CN103944788A
公开(公告)日:2014-07-23
申请号:CN201410188835.4
申请日:2014-05-06
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明是关于一种基于网络通信行为的未知木马检测方法,包括以下步骤:采集网络通信行为的原始数据;对采集到的原始数据进行预处理;根据木马通信特征,提取经预处理后数据中的特征;基于正常通信行为和木马通信行为,建立可疑规则库;及利用可疑规则库,对预处理后数据进行检测,以确定未知木马;其中,利用可疑规则库对预处理后数据的检测,实质上是对预处理后数据进行匹配的问题,是匹配可疑规则库中规则的过程。借由本发明,实现对未知木马的高效检测。
-
公开(公告)号:CN113238912B
公开(公告)日:2022-12-06
申请号:CN202110500278.5
申请日:2021-05-08
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 丁丽 , 吕卓航 , 楼书逸 , 严寒冰 , 李志辉 , 朱天 , 饶毓 , 周昊 , 高川 , 徐剑 , 郭晶 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 贾世琳 , 贺铮
Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法,本申请涉及一种聚合处理方法,尤其涉及一种网络安全日志数据的聚合处理方法,属于数据处理领域。本发明首先,基于预先设置的配置获取不同类型的日志数据,然后,对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容;最后,根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损,同时保留了业务分析中需要的细节信息,保证实时分析过程中相关数据的完整性的同时,提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。
-
公开(公告)号:CN113609234A
公开(公告)日:2021-11-05
申请号:CN202110671288.5
申请日:2021-06-17
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F16/28 , G06F16/901 , G06F11/34 , H04L12/24 , H04L29/06
Abstract: 本发明公开一种网络实体行为关联构建方法及系统,属于网络安全领域,聚焦网空威胁框架下的实体行为关联,采用实时计算结合离线计算方式,通过整合流量日志、多源威胁情报、碎片化告警日志,实现实体关系抽取,针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射,利用分布式图数据融合技术实现网络实体行为关联构建,能够充分利用威胁情报和漏洞知识数据,全方位地感知网络空间威胁。
-
Patent Agency Ranking
公开(公告)号:CN109190657B
公开(公告)日:2021-11-02
申请号:CN201810791347.0
申请日:2018-07-18
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 韩志辉 , 吕志泉 , 梅瑞 , 严寒冰 , 丁丽 , 李佳 , 沈元 , 张帅 , 李志辉 , 张腾 , 陈阳 , 王适文 , 马莉雅 , 高川 , 周昊 , 周彧 , 何永强 , 袁伟华 , 吕承琨 , 李骏杰 , 卞玉捷
IPC: G06K9/62
Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法,步骤如下:1、收集已知APT组织的恶意样本;2、过滤并还原处理训练数据集的样本;3、对样本进行静态分析,提取数据切片;4、对样本及其他训练数据集的样本进行动态分析,提取数据切片;5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式;6、格式化所有数据切片为灰度图形式并按功能分类;7、计算所有灰度图并分类保存计算结果到指纹数据库;8、测试数据集中的样本所属组织;通过以上步骤,实现了一种基于数据切片及图像哈希组合的样本同源分析方法,减少人工,时间成本,解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。
-
公开(公告)号:CN111723373A
公开(公告)日:2020-09-29
申请号:CN201910210484.5
申请日:2019-03-19
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 韩志辉 , 吕志泉 , 梅瑞 , 严寒冰 , 丁丽 , 李佳 , 沈元 , 张帅 , 李志辉 , 张腾 , 陈阳 , 王适文 , 马莉雅 , 高川 , 周昊 , 周彧 , 袁炯晔 , 童志明
Abstract: 本发明提出一种复合式二进制文档的漏洞利用文件检测方法及装置,其中所述方法包括:获取待检测的复合式二进制文档,并进行文件结构校验;判断文件结构是否异常,如果为异常,则进一步检测,否则判定所述待检测复合式二进制文档为正常文件;进一步在文件结构存在异常区域数据段检测敏感特征,若存在敏感特征,则判定所述复合式二进制文档为恶意,否则判定为正常文件。本发明还相应给出实现该方法的装置。通过本发明方法,不需要提取新的特征,即能够有效检测新出现的漏洞利用文件。而仅针对结构异常区域进行敏感特征检测,能够避免误报,进一步提高检测的准确性。
-
公开(公告)号:CN108737373B
公开(公告)日:2020-09-22
申请号:CN201810324981.3
申请日:2018-04-12
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 吕志泉 , 韩志辉 , 何永强 , 吴毓书 , 张萌 , 杨亚龙 , 杨华 , 李世淙 , 陈阳 , 徐剑 , 饶毓 , 严寒冰 , 丁丽 , 李佳 , 常霞 , 狄少嘉 , 徐原 , 温森浩 , 李志辉 , 姚力 , 朱芸茜 , 郭晶 , 朱天 , 高胜 , 胡俊 , 王小群 , 张腾 , 吕利锋 , 何能强 , 李挺 , 王适文 , 刘婧 , 肖崇蕙 , 贾子骁 , 张帅 , 马莉雅 , 雷君 , 周彧 , 周昊 , 高川
IPC: H04L29/06
Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下:1、获取网络设备的底层权限;2、在目标设备的底层系统创建一个进程;3、在该进程中注册异常函数,接管最终异常事件;4、在该进程中注册相关信息的取证函数API‑Application Programming Interface,包括:获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数;5、创建一个管道;6、根据用户输入,确认取证信息的类别;7、执行相应的取证函数,通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法,解决了现有信息取证方法的局限性。
-
公开(公告)号:CN110875917A
公开(公告)日:2020-03-10
申请号:CN201811030020.8
申请日:2018-09-04
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明实施例提供了一种检测挖矿病毒的方法、装置及存储介质,用以解决现有的挖矿病毒检测方法具有延迟性,并且难以发现未知的挖矿病毒的问题。该方法包括:读取计算机的中央处理器的调试存储区中的指令以及图形处理器中的指令;确定从所述调试存储区中连续读取的M条指令均为运算指令,且从所述图形处理器中连续读取的N条指令均为运算指令;M、N均为大于1的自然数;确定所述M条指令的堆栈信息以及所述N条指令的堆栈信息所属的进程是威胁进程,所述威胁进程中存在挖矿病毒。
-
公开(公告)号:CN110798439A
公开(公告)日:2020-02-14
申请号:CN201811025294.8
申请日:2018-09-04
Applicant: 国家计算机网络与信息安全管理中心 , 北京安天网络安全技术有限公司
Inventor: 严寒冰 , 黄云宇 , 丁丽 , 李佳 , 刘广柱 , 康学斌 , 郭晶 , 贾子骁 , 王小丰 , 肖新光 , 高胜 , 温森浩 , 李志辉 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 吕利锋 , 陈阳 , 张世淙 , 徐剑 , 王适文 , 饶毓 , 肖崇蕙 , 张帅 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 周昊 , 高川 , 楼书逸
IPC: H04L29/06
Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质,所述方法通过已知物联网僵尸网络木马的控制节点信息;提取相应脚本文件名,作为脚本名称字典集;对高频IP网段主动进行全端口扫描探测,获取并筛选出重要端口的指纹信息;根据脚本名称字典集,对存在重要指纹信息的目标端口进行自动化感染脚本盲猜;针对盲猜获得的自动化感染脚本,提取自动化感染脚本中存放的木马下载链接;根据木马下载链接下载所述木马,并进行检测识别,将所述木马分类,为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法,能够实现主动获取物联网僵尸网络木马,为后续的监测及获取威胁情报提供有效信息。
-
-
-
-
-
-
-
-
-
Search Results
79
records
(took 0.1 seconds)
