公开(公告)号：CN106295347A

公开(公告)日：2017-01-04

申请号：CN201510284253.0

申请日：2015-05-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭承青 ,  许俊峰 ,  何跃鹰 ,  袁春阳 ,  张文 ,  宫真真 ,  李欣 ,  李轶夫 ,  王进 ,  摆亮 ,  李晗 ,  徐剑 ,  赵忠华 ,  袁钟怡

IPC: G06F21/57

CPC classification number: G06F21/577 ,  G06F2221/033

Abstract: 本发明公开了一种用于搭建漏洞验证环境的方法及装置。例如，所述方法可以包括：提供要素库，以便用户从所述要素库中选择出需要的要素，其中，所述要素库中包含用于漏洞验证的文件对应的要素，当用户完成要素的选择时，使用系统镜像文件定制技术将选择出的要素对应的文件打包，得到用于生成虚拟机的漏洞验证模板。根据本发明公开的方法及装置，测试人员可以快捷地从要素库中选择用于漏洞验证的文件对应的要素，无需手动安装相关工具，减少了对人力的耗费，提高了漏洞验证环境的搭建效率。

公开(公告)号：CN106101104A

公开(公告)日：2016-11-09

申请号：CN201610423577.2

申请日：2016-06-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 房婧 ,  孙波 ,  李应博 ,  李轶夫 ,  鲁骁 ,  姜栋 ,  张建松 ,  盖伟麟 ,  姚珊 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  陈晓光

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1483 ,  H04L61/1511

Abstract: 本发明提供了一种基于域名解析的恶意域名检测方法和系统，该方法包括:获取域名解析的请求解析数据，对域名解析的解析数据进行数据清洗，根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名；再根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名。本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，此外，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。

公开(公告)号：CN104754044A

公开(公告)日：2015-07-01

申请号：CN201510122996.8

申请日：2015-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  李挺 ,  何跃鹰 ,  朱海龙 ,  杨克正

IPC: H04L29/08 ,  G06F17/30

Abstract: 本发明公开了一种用于审核WWW服务器的公网服务的方法和设备。该方法包括：向WWW服务器发送第一HTTP请求包，第一HTTP请求包请求获取由WWW服务器提供的关于要审核的公网服务所属的业务的非特定文件；从WWW服务器接收第一HTTP响应包，第一HTTP响应包包括所述业务的非特定文件；根据要审核的公网服务的预设的非特定文件标准对所述业务的非特定文件进行审核，以确定所述业务的非特定文件中是否包括符合所述非特定文件标准的内容；在确定所述业务的非特定文件中包括符合所述非特定文件标准的内容的情况下，确定WWW服务器提供要审核的公网服务。由此，能够快速准确地掌握异地WWW服务器对于公网业务的架设情况。

公开(公告)号：CN107360051B

公开(公告)日：2021-06-15

申请号：CN201610868077.X

申请日：2016-09-30

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  黄江 ,  杜雄杰 ,  张伟 ,  流程 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明涉及数据包识别技术，本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

公开(公告)号：CN106027559B

公开(公告)日：2019-07-05

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN108650225A

公开(公告)日：2018-10-12

申请号：CN201810291930.5

申请日：2018-04-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 孙波 ,  胡晓旭 ,  司成祥 ,  姜栋 ,  张建松 ,  董建武 ,  侯美佳 ,  盖伟麟 ,  李轶夫 ,  李建清 ,  贾鹏 ,  王伟 ,  吴云鹏

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1433 ,  H04L63/1441

Abstract: 本申请提供了一种远程安全监测设备、系统及远程安全监测方法，能够提升安全监测效率以及监控准确性。远程安全监测系统包括：远程安全监测设备，基于预先设置的智能设备指纹库，对智能设备进行端口和漏洞扫描，确定智能设备存在扫描风险，进行预警；接收智能设备恶意使用行为信息以及异常流量数据信息，与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配，检测智能设备是否存在恶意使用行为和隐私侵犯行为，若存在，进行预警；智能设备，用于采集智能设备行为信息以及原始流量数据信息，对智能设备行为信息以及原始流量数据信息进行分析，获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备。

公开(公告)号：CN107360051A

公开(公告)日：2017-11-17

申请号：CN201610868077.X

申请日：2016-09-30

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  黄江 ,  杜雄杰 ,  张伟 ,  流程 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L43/18 ,  H04L63/14 ,  H04L69/18

Abstract: 本发明涉及数据包识别技术，本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

公开(公告)号：CN103905424A

公开(公告)日：2014-07-02

申请号：CN201310729327.8

申请日：2013-12-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李轶夫 ,  王永刚 ,  赵忠华 ,  姚珊 ,  徐剑

IPC: H04L29/06

Abstract: 本发明公开了一种短域名安全性评定方法，包括：将接收到的短域名还原成原始域名；对原始域名进行安全检查，根据检查结果向用户进行提示。本发明通过对短域名转换为原域名，对该域名的安全性进行判断，对有恶意的域名进行阻拦，对不确定的域名进行提示，大大提高了短域名的安全性。

公开(公告)号：CN108833525B

公开(公告)日：2021-06-25

申请号：CN201810582418.6

申请日：2018-06-07

Applicant: 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

Inventor： 孙波 ,  房婧 ,  王亿芳 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  侯美佳 ,  张泽亚 ,  胡小勇 ,  谢铭 ,  王峰 ,  汪军强

IPC: H04L29/08 ,  G06F8/71 ,  G06F8/61

Abstract: 本发明提供了一种基于Fiddler的HTTPS流量内容的审计方法，涉及计算机技术领域。该方法首先在局域网、企业的出口网关处安装Fiddler软件；启动Fiddler软件，生成根CA证书，并分发至局域网和企业内部的机器，使之信任；局域网和企业内部的机器的代理服务设置为部署Fiddler的服务器的IP，端口为8888；启动Fiddler并打开HTTPS协议数据的捕获开关，Fiddler底层启动捕包处理流程，捕获网卡上所有数据包。编写处理插件代码并编译为dll文件，对实时捕获的HTTPS协议数据包的请求包和返回包提取字段并保存；编写HTTPS正则匹配模块的代码并编译为exe文件，对data目录中保存的文本文件进行正则匹配，生成日志。本发明以一种最小代价、灵活部署，满足对局域网、企业内部中小客户的HTTPS流量内容的审计要求。

公开(公告)号：CN108650225B

公开(公告)日：2021-03-02

申请号：CN201810291930.5

申请日：2018-04-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 孙波 ,  胡晓旭 ,  司成祥 ,  姜栋 ,  张建松 ,  董建武 ,  侯美佳 ,  盖伟麟 ,  李轶夫 ,  李建清 ,  贾鹏 ,  王伟 ,  吴云鹏

IPC: H04L29/06

Abstract: 本申请提供了一种远程安全监测设备、系统及远程安全监测方法，能够提升安全监测效率以及监控准确性。远程安全监测系统包括：远程安全监测设备，基于预先设置的智能设备指纹库，对智能设备进行端口和漏洞扫描，确定智能设备存在扫描风险，进行预警；接收智能设备恶意使用行为信息以及异常流量数据信息，与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配，检测智能设备是否存在恶意使用行为和隐私侵犯行为，若存在，进行预警；智能设备，用于采集智能设备行为信息以及原始流量数据信息，对智能设备行为信息以及原始流量数据信息进行分析，获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备。