公开(公告)号：CN115379027A

公开(公告)日：2022-11-22

申请号：CN202210462789.7

申请日：2022-04-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李广恺 ,  徐小琳 ,  王大伟 ,  李建强 ,  徐剑 ,  张榜 ,  吴兴利 ,  王丽 ,  周梅岚 ,  唐天龙

IPC: H04L69/22 ,  H04L61/4511

Abstract: 本发明实施例涉及一种DNS报文解析改进方法、装置、改进设备及存储介质，包括：获取第一设备提供的进程以及进程对应的监听端口，监听端口对应设置有第一监听端口号；在接收到第二设备发送的DNS报文的解析请求时，通过第三设备将DNS报文中的第二监听端口号更新为第一监听端口号，得到携带有第一监听端口号的DNS报文；将该DNS报文发送至第一设备对应的进程，以返回DNS报文对应的携带有第一监听端口号的应答报文；将应答报文中的第一监听端口号更新为第二监听端口号，得到携带有第二监听端口号的应答报文；将该应答报文发送给第二设备，通过创建多进程和修改DNS报文对应端口号，完成DNS报文的解析处理。由此，可以实现提高DNS报文解析的处理效率的效果。

公开(公告)号：CN114826670A

公开(公告)日：2022-07-29

申请号：CN202210295069.6

申请日：2022-03-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。

公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  G06F16/9535

Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN112769755A

公开(公告)日：2021-05-07

申请号：CN202011507902.6

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 严寒冰 ,  李明哲 ,  周昊 ,  徐剑 ,  郭晶 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  H04L29/12 ,  G06F16/242 ,  G06F16/2455

Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法，该方法包括：对DNS日志数据中若干特征字段的联合取值执行分组聚合统计，形成多级特征数据，得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源，甚至面对海量的DNS日志数据，对其进行处理并发现安全威胁，进行威胁预警不可行的问题，对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销，让整个威胁发现过程具有可行性。

公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC: H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

公开(公告)号：CN110135157B

公开(公告)日：2021-04-09

申请号：CN201910272315.4

申请日：2019-04-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  刘洁然 ,  沈元 ,  周彧 ,  徐剑 ,  周昊 ,  高川

IPC: G06F21/56 ,  G06F8/53

Abstract: 本公开实施例提供了一种恶意软件同源性分析方法、系统、电子设备及存储介质。其中，该方法包括：获取恶意软件的样本的数据集；从样本的数据集中提取反汇编代码文本以及带属性的控制流程图；基于反汇编代码文本以及带属性的控制流程图，构建深度神经网络模型；通过深度神经网络模型，识别恶意软件的同源性。通过该技术方案，解决了如何提高恶意软件相似性分析的准确性的技术问题，可以识别新的、未知的恶意软件的同源性，挖掘其背后的组织信息，从而可以快速地定位攻击来源或攻击者，以便于可采取更快速、更准确的防治方法，进而可以帮助安全专家构建完整的攻击场景，而且可以跟踪攻击者。

公开(公告)号：CN108717449A

公开(公告)日：2018-10-30

申请号：CN201810480432.5

申请日：2018-05-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  周亮 ,  庞伟 ,  赵景坤 ,  兰英 ,  陈阳 ,  周昊 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: G06F17/30

Abstract: 本发明提供一种信息处理方法及系统，涉及数据处理技术领域。该方法包括：获得网络请求；解析所述网络请求中的目标用户代理字段；根据预设匹配规则，确定与所述目标用户代理字段相匹配的目标信息，所述目标信息包括系统版本、系统名称、浏览器版本、设备名称中的至少一种。本方案通过从网络请求中解析用户代理字段，以匹配得到目标信息，一方面无需释放额外的识别代码给终端设备，另一方面有助于减少终端设备中浏览器内存资源的占用量。其中，目标信息可以包括系统版本、系统名称、浏览器版本、设备名称中的至少一种信息。

公开(公告)号：CN108306901A

公开(公告)日：2018-07-20

申请号：CN201810448681.6

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  陈阳 ,  周昊 ,  饶毓 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  狄少嘉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙 ,  程亚楠 ,  许海燕

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种获取域名WHOWAS注册信息的方法，其解决了现有方法不能及时获取域名WHOWAS注册信息的技术问题；包括以下步骤：步骤1，对域名预处理，判断域名字符组成上是否正确，并将域名处理为注册域名的结构；步骤2，首次获取和解析域名的WHOIS关键信息：步骤3，根据轮询探测策略，对已获取WHOIS关键信息的域名进行探测，对符合不同条件的域名使用不同的轮询探测策略，获取并解析域名的WHOIS关键信息；步骤4，根据WHOIS信息更新规则，判断WHOIS信息是否更新，而产生并储存WHOWAS信息。本发明广泛应用于信息技术领域。