公开(公告)号：CN110225007A

公开(公告)日：2019-09-10

申请号：CN201910446822.5

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  张胜军 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  朱天 ,  胡俊 ,  张腾 ,  何能强

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明涉及一种webshell流量数据聚类分析方法以及控制器和介质，所述方法包括:获取webshell流量数据集合，所述webshell流量数据集合包括多条webshell流量数据；计算每条所述webshell流量数据与预设的待分析的webshell流量数据的编辑距离；将所述编辑距离小于预设距离阈值的webshell流量数据与所述待分析的webshell流量数据聚类。本发明不受webshell攻击工具类型的限制，具有通用性且准确度高。

公开(公告)号：CN109960729A

公开(公告)日：2019-07-02

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F17/27 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN109918907A

公开(公告)日：2019-06-21

申请号：CN201910094079.1

申请日：2019-01-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  朱天 ,  饶毓 ,  高胜 ,  李志辉 ,  张腾 ,  刘婧 ,  何能强 ,  陈阳 ,  李世淙 ,  朱芸茜 ,  马莉雅 ,  周昊

IPC: G06F21/56

Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质，所述方法包括遍历Linux系统所有进程，读取所有进程的内存映射文件；基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

公开(公告)号：CN106131054A

公开(公告)日：2016-11-16

申请号：CN201610681152.1

申请日：2016-08-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张腾 ,  李佳 ,  李志辉 ,  张帅 ,  高胜 ,  张洪 ,  刘丙双 ,  严寒冰 ,  丁丽 ,  何世平 ,  赵慧 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  陈阳 ,  何能强 ,  李挺 ,  李世淙 ,  王适文 ,  刘婧 ,  饶毓 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1433 ,  H04L63/145 ,  H04L63/1483 ,  H04L2463/144

Abstract: 本发明公开一种基于安全云的网络入侵协同检测方法，其包括如下步骤：S1由NIDS向安全云发起授权申请；S2对授权后的NIDS动态注册，动态注册后的NIDS从安全云上获取唯一标识ID；S3，NIDS针对入侵检测的对抗性要求，从安全云实时获取特征规则库；以及S4，NIDS应用网络安全检测技术进行全面检测；其包括：NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云，在安全云侧进行事件的存储、分析、过滤和判定，然后安全云将判定为安全威胁的事件定点回传给NIDS。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN109918907B

公开(公告)日：2021-05-25

申请号：CN201910094079.1

申请日：2019-01-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  朱天 ,  饶毓 ,  高胜 ,  李志辉 ,  张腾 ,  刘婧 ,  何能强 ,  陈阳 ,  李世淙 ,  朱芸茜 ,  马莉雅 ,  周昊

IPC: G06F21/56

Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质，所述方法包括遍历Linux系统所有进程，读取所有进程的内存映射文件；基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

公开(公告)号：CN112492059A

公开(公告)日：2021-03-12

申请号：CN202011288625.4

申请日：2020-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 马莉雅 ,  雷君 ,  龙泉 ,  何能强 ,  李鹏超 ,  金红 ,  陈晓光 ,  杨满智 ,  蔡琳 ,  尚程 ,  王利丽

IPC: H04L29/12 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种DGA域名检测模型训练方法、DGA域名检测方法、装置及存储介质，该模型训练方法包括：步骤S1，获取多个域名样本的域名信息；步骤S2，对于所述多个域名样本中的DGA域名和非DGA域名，分别根据所述域名信息中的至少一部分信息来训练用于特征提取的循环神经网络；并且，计算所述DGA域名对应的所述循环神经网络的输出与所述非DGA域名对应的所述循环神经网络的输出的比值，作为所述域名信息中的至少一部分信息的特征；步骤S3，将所述特征输入到一个分类器中进行训练，以得到DGA域名分类器，以便利用训练好的该DGA域名分类器来判断待检测域名是否来自于域名生成算法DGA。

公开(公告)号：CN104156638B

公开(公告)日：2018-04-20

申请号：CN201410250845.6

申请日：2014-06-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  云晓春 ,  王宇 ,  王明华 ,  赵慧 ,  张鸿江 ,  徐晓燕 ,  严寒冰 ,  李佳 ,  纪玉春 ,  赵宸 ,  金红 ,  杨满智 ,  王小华 ,  陈普贵

IPC: G06F21/12 ,  G06F21/44

Abstract: 本发明是关于一种面向安卓系统软件的扩展签名的实现方法，该方法包括：S1，获取开发者生成的安卓程序文件；S2，对上述程序文件进行数字签名，生成扩展签名证书文件；S3，将扩展签名证书文件存放在安卓程序文件中的META‑INF目录下；S4，将带有扩展签名证书文件的安卓程序解压文件重新打包生成安卓程序文件，完成扩展签名。本发明在不破坏安卓系统自签名机制的基础上进行了一次扩展签名，该扩展签名可用于开发者身份认证、安全检测认证等第三方数字认证，提高了安卓系统的安全性。

公开(公告)号：CN105046113A

公开(公告)日：2015-11-11

申请号：CN201510316849.4

申请日：2015-06-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  李佳 ,  纪玉春 ,  王新镇 ,  马宏谋 ,  李挺 ,  李世淙 ,  张淼 ,  胡鸽 ,  李承泽 ,  何世平

IPC: G06F21/12

CPC classification number: G06F21/12

Abstract: 本发明是关于一种基于随机性检验的Android软件加固检测方法，其特征在于包括以下步骤：步骤S1，将训练样本集进行预处理后，再通过随机性检测计算确定阈值；步骤S2，将待测apk文件进行预处理后，再通过随机性检测计算得到测试数据；步骤S3，将该测试数据与该阈值进行比对，若该测试数据属于该阈值的范围内，则该待测apk文件为加固的文件，若该测试数据不属于该阈值的范围内，则该待测apk文件不是加固的文件。本发明提出的检测方法对于加固软件的检测是有效的并有较高的准确率和较低的误报率，有助于发现潜在的恶意软件。

公开(公告)号：CN104156638A

公开(公告)日：2014-11-19

申请号：CN201410250845.6

申请日：2014-06-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  云晓春 ,  王宇 ,  王明华 ,  赵慧 ,  张鸿江 ,  徐晓燕 ,  严寒冰 ,  李佳 ,  纪玉春 ,  赵宸 ,  金红 ,  杨满智 ,  王小华 ,  陈普贵

IPC: G06F21/12 ,  G06F21/44

CPC classification number: G06F21/12 ,  G06F21/44

Abstract: 本发明是关于一种面向安卓系统软件的扩展签名的实现方法，该方法包括：S1，获取开发者生成的安卓程序文件；S2，对上述程序文件进行数字签名，生成扩展签名证书文件；S3，将扩展签名证书文件存放在安卓程序文件中的META-INF目录下；S4，将带有扩展签名证书文件的安卓程序解压文件重新打包生成安卓程序文件，完成扩展签名。本发明在不破坏安卓系统自签名机制的基础上进行了一次扩展签名，该扩展签名可用于开发者身份认证、安全检测认证等第三方数字认证，提高了安卓系统的安全性。