公开(公告)号：CN113779573B

公开(公告)日：2023-08-29

申请号：CN202110890621.1

申请日：2021-08-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  王树鹏

IPC: G06F21/56 ,  G06F11/36

Abstract: 本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。

公开(公告)号：CN111611583B

公开(公告)日：2023-07-18

申请号：CN202010272730.2

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  韩志辉 ,  何永强

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/24 ,  G06N20/00

Abstract: 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

公开(公告)号：CN112822194B

公开(公告)日：2022-12-09

申请号：CN202110019665.7

申请日：2021-01-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  朱天 ,  饶毓 ,  邱晓康 ,  王琴琴

IPC: H04L9/40

Abstract: 本发明是有关于一种识别判定DDoS攻击团伙行为的方法。本方法为：1)获取DDoS攻击记录，查询控制端IP和攻击目标IP的whois信息；2)综合DDoS攻击的攻击目标相似性、僵尸主机相似性、攻击时间相似性，计算攻击者相似性；3)以攻击者为节点构建社区网络，两个攻击者相似度超过阈值时，构建两个攻击者的连接关系。4)应用社区发现算法，计算团伙特征的一致性，通过可视化和一致性来挖掘和分析团伙行为。本发明基于时间定义攻击者的多维相似性，实现数据的降维表示。将数据应用社区发现算法来挖掘攻击团伙，使得具有相似攻击行为的攻击者可以聚成团，实现有效的团伙挖掘和属性标定，快速准确判定出攻击团伙，协助警方破案。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。

公开(公告)号：CN113364780B

公开(公告)日：2022-11-04

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L9/40

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。

公开(公告)号：CN115174493A

公开(公告)日：2022-10-11

申请号：CN202210381927.9

申请日：2022-04-12

Applicant: 北京理工大学 ,  国家计算机网络与信息安全管理中心

Inventor： 李锐光 ,  徐大伟 ,  吴阜东 ,  朱佳伟 ,  高家奇 ,  马璐 ,  严寒冰 ,  祝烈煌

IPC: H04L47/62 ,  H04L69/163 ,  H04L69/14

Abstract: 本发明公开了一种基于多线程管道技术的比特币节点探测方法，设计了高效的多线程程序运行框架，开发了具备比特币协议编解码功能的可插拔管道，提出了“存储‑消费”式节点地址管理技术，大大提升了程序探测效率。

公开(公告)号：CN113364742B

公开(公告)日：2022-10-11

申请号：CN202110534914.6

申请日：2021-05-17

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张华 ,  李文敏 ,  郭晶 ,  严寒冰 ,  朱天 ,  吕志泉 ,  任婧 ,  傅茂喜

IPC: H04L9/40 ,  H04L41/142

Abstract: 本说明书一个或多个实施例提供一种网络安全威胁定量弹性计算方法及装置，包括：从原始威胁数据中提取威胁特征；按照所述威胁特征的类型，将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征；分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数；根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数，确定所述威胁特征的威胁等级；根据所述威胁等级，输出预警信息。本实施例能够准确评估网络安全威胁程度并进行相应预警。

公开(公告)号：CN112910832B

公开(公告)日：2022-08-30

申请号：CN202010089587.3

申请日：2020-02-11

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  黄亮 ,  李佳 ,  严寒冰 ,  张良 ,  云晓春 ,  陈训逊 ,  王博 ,  周昊 ,  党向磊 ,  郑礼雄 ,  郭三川 ,  刘伟 ,  王鼎华 ,  吕志泉 ,  高川 ,  徐剑 ,  李明哲

IPC: H04L9/40

Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括：将域名转化为图片，获得图片向量；针对图片向量进行格式化，获得缩放图片向量；针对缩放图片向量进行灰度化，获得一维图片向量；针对一维图片向量进行归一化，获得归一化图片向量；根据测试集计算不同阈值情况下的准确率，以准确率最大时对应的阈值为实际应用阈值；获取归一化图片向量的直方图特征向量，计算与已知域名对应图片的相似度；根据相似度与实际应用阈值，判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片，通过图片识别，分析出仿冒国际化域名，方法具有普适性，且分析成本较低。

公开(公告)号：CN113609234A

公开(公告)日：2021-11-05

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN109190657B

公开(公告)日：2021-11-02

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。