公开(公告)号：CN113779573B

公开(公告)日：2023-08-29

申请号：CN202110890621.1

申请日：2021-08-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  王树鹏

IPC: G06F21/56 ,  G06F11/36

Abstract: 本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。

公开(公告)号：CN111611583B

公开(公告)日：2023-07-18

申请号：CN202010272730.2

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  韩志辉 ,  何永强

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/24 ,  G06N20/00

Abstract: 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

公开(公告)号：CN109190657B

公开(公告)日：2021-11-02

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。

公开(公告)号：CN111723373A

公开(公告)日：2020-09-29

申请号：CN201910210484.5

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  袁炯晔 ,  童志明

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/78

Abstract: 本发明提出一种复合式二进制文档的漏洞利用文件检测方法及装置，其中所述方法包括：获取待检测的复合式二进制文档，并进行文件结构校验；判断文件结构是否异常，如果为异常，则进一步检测，否则判定所述待检测复合式二进制文档为正常文件；进一步在文件结构存在异常区域数据段检测敏感特征，若存在敏感特征，则判定所述复合式二进制文档为恶意，否则判定为正常文件。本发明还相应给出实现该方法的装置。通过本发明方法，不需要提取新的特征，即能够有效检测新出现的漏洞利用文件。而仅针对结构异常区域进行敏感特征检测，能够避免误报，进一步提高检测的准确性。

公开(公告)号：CN110875917A

公开(公告)日：2020-03-10

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明实施例提供了一种检测挖矿病毒的方法、装置及存储介质，用以解决现有的挖矿病毒检测方法具有延迟性，并且难以发现未知的挖矿病毒的问题。该方法包括：读取计算机的中央处理器的调试存储区中的指令以及图形处理器中的指令；确定从所述调试存储区中连续读取的M条指令均为运算指令，且从所述图形处理器中连续读取的N条指令均为运算指令；M、N均为大于1的自然数；确定所述M条指令的堆栈信息以及所述N条指令的堆栈信息所属的进程是威胁进程，所述威胁进程中存在挖矿病毒。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN113779573A

公开(公告)日：2021-12-10

申请号：CN202110890621.1

申请日：2021-08-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  王树鹏

IPC: G06F21/56 ,  G06F11/36

Abstract: 本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。

公开(公告)号：CN110222715B

公开(公告)日：2021-07-27

申请号：CN201910375363.6

申请日：2019-05-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于动态行为链和动态特征的样本同源分析方法，步骤如下：1：收集整理攻击样本；2：将训练样本集进行分类处理；3：将训练样本集投入沙箱运行；4：将样本进行排序整理，生成动态行为链；5：使用以训练数据集提取的行为链训练同源分析决策树模型；6：提取行为链和样本IOCs信息；7：测试数据集通过决策树模型判断所属APT组织，或所属恶意家族和类型；8：测试数据集通过知识库模糊匹配IOCs信息，得出同源信息；9：得出最终同源分析结论；本发明达到了从动态行为入手，对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果，解决了传统同源分析手段导致的样本特征单一，人工分析效率低投入大等实际问题。

公开(公告)号：CN111611583A

公开(公告)日：2020-09-01

申请号：CN202010272730.2

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  韩志辉 ,  何永强

IPC: G06F21/56 ,  G06K9/62 ,  G06N20/00

Abstract: 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

公开(公告)号：CN109190657A

公开(公告)日：2019-01-11

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。