公开(公告)号：CN111797392A

公开(公告)日：2020-10-20

申请号：CN201910284057.1

申请日：2019-04-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06F21/56

Abstract: 本发明实施例公开了一种控制衍生文件无限分析的方法、装置及存储介质，涉及恶意代码分析技术领域，能够通过限制衍生文件的层级进而限制衍生文件的产生和分析，节省系统资源。所述方法包括：获取投入的待分析文件，并添加衍生层级数；若待分析文件产生衍生文件，则在父文件的衍生层级数基础上加1作为该衍生文件的衍生层级数；判断待分析文件的衍生层级数是否大于分析鉴定器的设定阈值，若是则阻止待分析文件进入分析鉴定器。

公开(公告)号：CN111541655A

公开(公告)日：2020-08-14

申请号：CN202010269784.3

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  周昊 ,  韩志辉 ,  严寒冰 ,  朱天 ,  赵国梁

IPC: H04L29/06

Abstract: 本发明涉及一种网络异常流量检测方法、控制器及介质，所述方法包括获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址，记为可疑IP地址；对所述可疑IP地址所承载服务进行自动化验证，确定恶意IP地址，所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址；基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址，所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。本发明基于流量进行IP地址级别细粒度异常分析，提高了网络异常流量检测的准确度。

公开(公告)号：CN110830299A

公开(公告)日：2020-02-21

申请号：CN201911088586.0

申请日：2019-11-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 姚力 ,  肖崇惠 ,  张腾 ,  严寒冰 ,  丁丽 ,  温森浩 ,  朱芸茜 ,  王小群 ,  王适文 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周昊 ,  高川 ,  周彧 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮

IPC: H04L12/24 ,  H04L29/06 ,  G06F16/11 ,  G06F16/14 ,  G06F16/16

Abstract: 本发明涉及一种网络安全事件处置方法和系统，方法包括步骤S1、录入模块获取网络安全事件，状态记为暂存，提交至审核模块；步骤S2、审核模块进行审核，状态记为待派发，审核通过，执行步骤S5，否则执行步骤S3；步骤S3、审核模块将事件退回录入模块，状态记为录入待修改；步骤S4、录入模块修改事件后提交审核模块，返回步骤S2；或审核模块取回事件，返回步骤S2；步骤S5、第一服务器将事件分发给第二服务器，状态记为待处置；步骤S6、处置模块对事件进行处置，反馈处置结果，提交归档申请，状态记为待归档；步骤S7、归档模块对处置结果进行归档，状态记为已归档。本发明记录了网络安全事件处置全过程，具有可追溯性，提高了处置效率并降低了成本。

公开(公告)号：CN110225006A

公开(公告)日：2019-09-10

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN110188257A

公开(公告)日：2019-08-30

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN108055138A

公开(公告)日：2018-05-18

申请号：CN201810103708.8

申请日：2018-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  贝松涛 ,  丁丽 ,  李佳 ,  阚志刚 ,  陈彪 ,  付杰 ,  冯华兵 ,  康兴豪 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L9/32 ,  H04L29/06 ,  G06Q40/04 ,  H04L12/883

Abstract: 本发明涉及一种基于区块链的应用分发记录方法和系统，所述方法包括将所有记账节点和管理服务器构建为区块链网络，所述记账节点包括第一记账节点和第二记账节点，第一记账节点包括应用商店服务器，所述第二记账节点包括安全监管服务器；所述记账节点发起记账请求进行记账，更新区块链账本信息；其中，所述记账节点发起记账请求包括：所述第一记账节点发布应用和所述第二记账节点发现存在应用违规。本发明将区块链技术应用在应用分发记录中，通过维护统一的、分布式的、不可随意篡改的账本信息来记录应用分发，具有追溯力，实现有效监管，提高了应用分发监管的效率和可靠性。

公开(公告)号：CN113900997B

公开(公告)日：2024-12-13

申请号：CN202110995686.2

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  刘玲 ,  张榜 ,  朱天 ,  周昊 ,  徐剑 ,  严定宇

IPC: G06F16/16 ,  G06F16/182 ,  G06F16/172

Abstract: 本发明属于数据处理技术领域，且公开了基于NFS的动态文件快速精准的还原处理方法，具体操作步骤如下：第一步，将需要处理的数据集中输入到待处理数据库；第二步，随后将待处理数据库中的数据系统分配到各个分级处理程序中。本发明通过预先对文件数据进行块状化处理，随后设定对应的限定值，采用阶段式文件处理的手段，有效的规避了传统的集中处理情况，本专利实现了NFS协议基于流的文件还原流程，不需要缓存大量文件，预先还设置有多个对接设备，将庞大的数据文件一分为多，同步加快其工作效率，最终在设置对应的汇总程序，预先处理好的部分文件会被拼接在一起，最终输出则是一个完整有效的还原文件。

公开(公告)号：CN114297644B

公开(公告)日：2024-08-13

申请号：CN202111454822.3

申请日：2021-12-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  朱芸茜 ,  严定宇 ,  石桂欣 ,  秦佳伟 ,  张榜 ,  刘玲 ,  王宏宇

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。

公开(公告)号：CN118316730A

公开(公告)日：2024-07-09

申请号：CN202410711421.9

申请日：2024-06-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  严定宇 ,  吕利峰 ,  贺铮 ,  周昊 ,  周彧 ,  金忠峰 ,  刘玲 ,  肖崇蕙

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明属于网络攻击检测领域，具体公开了一种针对邮箱的网络攻击异常行为检测方法，具体包括：S1：捕获网络流量PCAP数据包；S2：解析捕获的网络流量PCAP数据包，过滤邮件收件协议的加密流量；S3：对所述邮件收件协议的加密流量进行深度检测，提取非加密元数据以及会话的时间；S4：根据提取的非加密元数据以及会话的时间筛选有效交互会话，并补充源IP和目的IP的单位信息；S5：基于源IP在特定时间访问多个不同目的IP的模式，自动产生告警。本发明从攻击者的角度出发，通过对加密邮件流量的统计分析，建立收信异常行为模型，以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。

公开(公告)号：CN117879969A

公开(公告)日：2024-04-12

申请号：CN202410168702.4

申请日：2024-02-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾世琳 ,  吕卓航 ,  周昊 ,  高川 ,  贺铮

IPC: H04L9/40

Abstract: 本申请公开了一种数据异常监测方法、装置、电子设备及存储介质，所述方法，包括：获取当前时间周期内当前时间窗口的指定源IP与目的IP对应的网络流量日志；根据网络流量日志统计在当前时间窗口源IP向目的IP发送的流量大小值，以及源IP接收的目的IP发送的流量大小值；根据源IP向目的IP发送的流量大小值、源IP接收的目的IP发送的流量大小值、流量基线与流量告警阈值，判断源IP与目的IP之间传输的流量是否异常；若确定源IP与目的IP之间传输的流量异常，则生成源IP与目的IP在当前时间窗口对应的异常告警日志；对源IP与目的IP产生的异常告警日志进行联合分析，得到分析结果，从而，提高了对风险事件检测的准确性。