公开(公告)号：CN114297644B

公开(公告)日：2024-08-13

申请号：CN202111454822.3

申请日：2021-12-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  朱芸茜 ,  严定宇 ,  石桂欣 ,  秦佳伟 ,  张榜 ,  刘玲 ,  王宏宇

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。

公开(公告)号：CN118316730A

公开(公告)日：2024-07-09

申请号：CN202410711421.9

申请日：2024-06-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  严定宇 ,  吕利峰 ,  贺铮 ,  周昊 ,  周彧 ,  金忠峰 ,  刘玲 ,  肖崇蕙

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明属于网络攻击检测领域，具体公开了一种针对邮箱的网络攻击异常行为检测方法，具体包括：S1：捕获网络流量PCAP数据包；S2：解析捕获的网络流量PCAP数据包，过滤邮件收件协议的加密流量；S3：对所述邮件收件协议的加密流量进行深度检测，提取非加密元数据以及会话的时间；S4：根据提取的非加密元数据以及会话的时间筛选有效交互会话，并补充源IP和目的IP的单位信息；S5：基于源IP在特定时间访问多个不同目的IP的模式，自动产生告警。本发明从攻击者的角度出发，通过对加密邮件流量的统计分析，建立收信异常行为模型，以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。

公开(公告)号：CN115619245A

公开(公告)日：2023-01-17

申请号：CN202210991590.3

申请日：2022-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  刘玲 ,  张榜 ,  贾世琳 ,  秦佳伟 ,  严寒冰 ,  曹华平 ,  郑开发 ,  郭晶 ,  胡俊 ,  徐剑 ,  饶毓 ,  吕志泉 ,  韩志辉 ,  高川 ,  吕卓航 ,  贺铮 ,  王宏宇 ,  严定宇 ,  石桂欣 ,  史帅 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  孟艳青 ,  冯福伟

IPC: G06Q10/0639 ,  G06Q10/0635 ,  G06Q50/26 ,  G06F18/22 ,  G06F18/23213 ,  G06F18/213 ,  G06F18/214 ,  G06F18/24

Abstract: 本发明公开了一种基于数据降维方法的画像构建和分类方法及系统。方法包括：获取目标用户对应的至少一个画像维度，其中，每个所述画像维度中包括至少一个画像特征；根据每个所述画像特征生成对应的画像特征向量；根据每个所述画像特征向量生成所述目标用户的画像特征向量集；将所述画像特征向量集输入预先训练的画像分类模型中，得到所述目标用户的至少一个用户画像。本发明的方案能够对用户画像进行精确构建，从而解决现有技术对用户画像构建不全面的问题，从而通过用户画像进行全面且完善的数据分析。

公开(公告)号：CN114826670A

公开(公告)日：2022-07-29

申请号：CN202210295069.6

申请日：2022-03-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN114297644A

公开(公告)日：2022-04-08

申请号：CN202111454822.3

申请日：2021-12-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  朱芸茜 ,  严定宇 ,  石桂欣 ,  秦佳伟 ,  张榜 ,  刘玲 ,  王宏宇

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。

公开(公告)号：CN118673492A

公开(公告)日：2024-09-20

申请号：CN202410531244.6

申请日：2024-04-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 白寿颖 ,  楼书逸 ,  严定宇 ,  严寒冰 ,  李超 ,  张榜

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请提供一种面向移动应用WebView页面用户敏感输入的检测方法及相关设备。通过对待测移动应用进行动态执行，获取多个第一页面布局文件；对多个第一页面布局文件进行自动化测试，得到第二页面布局文件；通过组件识别方法识别第二页面布局文件和与第二页面布局文件对应的页面截图，得到能够接收用户输入的敏感组件集合；识别页面截图的文本信息，通过预先训练好的模型得到候选文本和候选文本位置坐标；根据敏感组件和敏感组件位置坐标，候选文本和候选文本位置坐标，确定与敏感组件匹配的提示词；根据提示词，确定敏感组件收集的信息类型，最终能够输出移动应用WebView页面的用户敏感输入，对于移动应用隐私合规分析具有重要意义。

公开(公告)号：CN115333768B

公开(公告)日：2024-06-04

申请号：CN202210759105.X

申请日：2022-06-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  王宏宇 ,  贺铮 ,  韩志辉 ,  严寒冰 ,  周昊 ,  刘玲 ,  严定宇 ,  高川 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40 ,  H04L41/0604 ,  H04L41/0631 ,  G06F18/22 ,  G06F16/901 ,  G06F40/284 ,  G06F40/30

Abstract: 本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质，涉及网络安全技术、人工智能、大数据领域，其中方法包括：对海量网络攻击数据进行自动化特征抽取，根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判，通过人工研判结果对数据进行标注，利用标注后的数据与剩余网络攻击数据进行相似性计算，对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选，直至全部标注完毕。此方法，通过研判人员能力的约束结合算法的泛化能力，使得有价值的网络攻击可以优先被研判，相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量，整体提升研判效率。

公开(公告)号：CN117675290A

公开(公告)日：2024-03-08

申请号：CN202311524841.8

申请日：2023-11-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  胡俊 ,  张榜 ,  严寒冰 ,  韩志辉 ,  王宏宇 ,  严定宇 ,  贺铮

IPC: H04L9/40 ,  H04L45/02

Abstract: 本发明是有关于一种路由异常检测和处置方法，首先根据实时的路由快照和路由更新报文信息，在内存构建实时的全球路由前缀可达信息视图；然后，提取实时的路由前缀归属信息、路由传输路径三元组关系信息以及路由前缀可见性信息，再根据路由异常的特征快速检测路由异常事件。其处置方法是首先对路由事件进行定级和影响评估；然后确定事件源头和确定涉事组织机构；最后针对不同的路由异常事件类型制定不同的应急处置模版，下发到涉事组织机构，进行协同处置。本发明解决了严重影响网络和服务的性能，对行业应用造成巨大经济损失，对网络运营产生重大影响的问题，使其可以快速检测路由异常事件并进行处置，提高网络运营商路由异常事件处置能力。

公开(公告)号：CN117081866B

公开(公告)日：2024-01-23

申请号：CN202311340776.3

申请日：2023-10-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严定宇 ,  秦佳伟 ,  贺铮 ,  陆希玉 ,  金忠峰 ,  吴陈浩 ,  丁关雄 ,  秦志鹏 ,  曹岳 ,  靳晓辉

IPC: H04L9/40

Abstract: 本申请提供一种基于网络的病毒防护方法、装置、存储介质和电子设备；该方法包括：令每个节点按照预设的网络拓扑构建表示网络中各个节点之间是否邻接的邻接矩阵；令每个节点获取清除概率，利用清除概率构建该节点处于各个预设状态下的概率的变化量；令每个节点获取单节点感染概率，利用邻接矩阵的特征值和单节点感染概率构建稳态指标，并利用稳态指标判断变化量是否达到零点稳态；响应于确定变化量未达到零点稳态，令该节点将每个邻接节点的受控态概率之和确定为邻居影响值，并利用清除概率和单节点感染概率构建影响门限值，令该节点比对邻居影响值与影响门限值，并按照比对结果执行预设的防护选择策略。

公开(公告)号：CN117081866A

公开(公告)日：2023-11-17

申请号：CN202311340776.3

申请日：2023-10-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严定宇 ,  秦佳伟 ,  贺铮 ,  陆希玉 ,  金忠峰 ,  吴陈浩 ,  丁关雄 ,  秦志鹏 ,  曹岳 ,  靳晓辉

IPC: H04L9/40

Abstract: 本申请提供一种基于网络的病毒防护方法、装置、存储介质和电子设备；该方法包括：令每个节点按照预设的网络拓扑构建表示网络中各个节点之间是否邻接的邻接矩阵；令每个节点获取清除概率，利用清除概率构建该节点处于各个预设状态下的概率的变化量；令每个节点获取单节点感染概率，利用邻接矩阵的特征值和单节点感染概率构建稳态指标，并利用稳态指标判断变化量是否达到零点稳态；响应于确定变化量未达到零点稳态，令该节点将每个邻接节点的受控态概率之和确定为邻居影响值，并利用清除概率和单节点感染概率构建影响门限值，令该节点比对邻居影响值与影响门限值，并按照比对结果执行预设的防护选择策略。