公开(公告)号：CN108737373A

公开(公告)日：2018-11-02

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

CPC classification number: H04L63/302 ,  H04L63/1433

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API-Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

公开(公告)号：CN104754044B

公开(公告)日：2018-01-05

申请号：CN201510122996.8

申请日：2015-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  李挺 ,  何跃鹰 ,  朱海龙 ,  杨克正

IPC: H04L29/08 ,  G06F17/30

Abstract: 本发明公开了一种用于审核WWW服务器的公网服务的方法和设备。该方法包括：向WWW服务器发送第一HTTP请求包，第一HTTP请求包请求获取由WWW服务器提供的关于要审核的公网服务所属的业务的非特定文件；从WWW服务器接收第一HTTP响应包，第一HTTP响应包包括所述业务的非特定文件；根据要审核的公网服务的预设的非特定文件标准对所述业务的非特定文件进行审核，以确定所述业务的非特定文件中是否包括符合所述非特定文件标准的内容；在确定所述业务的非特定文件中包括符合所述非特定文件标准的内容的情况下，确定WWW服务器提供要审核的公网服务。由此，能够快速准确地掌握异地WWW服务器对于公网业务的架设情况。

公开(公告)号：CN109960729A

公开(公告)日：2019-07-02

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F17/27 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN106131054A

公开(公告)日：2016-11-16

申请号：CN201610681152.1

申请日：2016-08-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张腾 ,  李佳 ,  李志辉 ,  张帅 ,  高胜 ,  张洪 ,  刘丙双 ,  严寒冰 ,  丁丽 ,  何世平 ,  赵慧 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  陈阳 ,  何能强 ,  李挺 ,  李世淙 ,  王适文 ,  刘婧 ,  饶毓 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1433 ,  H04L63/145 ,  H04L63/1483 ,  H04L2463/144

Abstract: 本发明公开一种基于安全云的网络入侵协同检测方法，其包括如下步骤：S1由NIDS向安全云发起授权申请；S2对授权后的NIDS动态注册，动态注册后的NIDS从安全云上获取唯一标识ID；S3，NIDS针对入侵检测的对抗性要求，从安全云实时获取特征规则库；以及S4，NIDS应用网络安全检测技术进行全面检测；其包括：NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云，在安全云侧进行事件的存储、分析、过滤和判定，然后安全云将判定为安全威胁的事件定点回传给NIDS。

公开(公告)号：CN104598824B

公开(公告)日：2016-04-06

申请号：CN201510044023.7

申请日：2015-01-28

Applicant: 国家计算机网络与信息安全管理中心 ,  安世盾信息技术(北京)有限公司

Inventor： 李挺 ,  韩晟 ,  李世漴 ,  徐原 ,  高胜 ,  胡俊 ,  何世平 ,  饶毓 ,  党向磊 ,  徐晓燕 ,  赵宸 ,  刘婧 ,  陈阳 ,  王盈

IPC: G06F21/56

Abstract: 本申请涉及一种恶意程序检测方法及其装置，该方法包括：提取待检测终端的恶意行为痕迹特征，将提取的恶意行为痕迹特征与痕迹库中的痕迹特征进行比较，最终根据比较结果判断待检测终端是否感染过恶意程序。通过本申请，可在不获得恶意程序的可执行文件的前提下，判断终端是否感染过恶意程序，从而实现对已经消亡的恶意程序的较为有效的检测和识别。