公开(公告)号：CN119892592A

公开(公告)日：2025-04-25

申请号：CN202411995565.8

申请日：2024-12-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  楼书逸 ,  秦佳伟 ,  饶毓 ,  周昊 ,  吕卓航

IPC: H04L41/0604 ,  H04L41/0631

Abstract: 本发明涉及网络安全情报分析领域，公开了一种网络安全告警事件误报去除方法、装置、设备及介质，具体包括获取误报事件、预设自相关系数阈值、趋势误报处理间隔和周期误报处理间隔；基于趋势误报处理间隔，对误报事件进行聚类统计，得到多个趋势事件序列；基于周期误报处理间隔，将多个趋势事件序列进行序列重组，得到多个周期事件序列；计算多个周期事件序列的自相关系数，并将自相关系数和预设自相关系数阈值进行比较，以确定多个目标周期事件序列；将多个目标周期事件序列进行时频域转换，获得目标周期值，并将目标周期值非0的目标周期事件序列去除，本发明提升误报去除的简便性、精准性和广泛应用性。

公开(公告)号：CN118509210A

公开(公告)日：2024-08-16

申请号：CN202410604637.5

申请日：2024-05-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  贾世琳 ,  张榜 ,  严定宇 ,  秦佳伟

IPC: H04L9/40

Abstract: 本发明涉及一种关联分析多源数据还原恶意代码攻击场景的方法，收集已被发现的漏洞信息，建立漏洞利用特征数据集；通过分析网络流入流出流量，识别并记录符合特征的会话信息，记录网络侧漏洞利用日志；采集蜜罐捕获的系统日志和网络会话信息，记录蜜罐侧漏洞利用日志；综合利用网络侧漏洞利用日志和蜜罐侧漏洞利用日志，建立漏洞利用日志和恶意代码的关联关系，进而发现还原恶意代码攻击场景，分析其攻击路径和攻击过程，发现其传播利用的漏洞，关联分析方法全面准确高效。

公开(公告)号：CN117978504A

公开(公告)日：2024-05-03

申请号：CN202410168563.5

申请日：2024-02-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  秦佳伟 ,  郭晶 ,  吕卓航 ,  楼书逸 ,  贾世琳

IPC: H04L9/40 ,  H04L41/0681

Abstract: 本申请公开了一种流量基线设置方法、装置、电子设备及存储介质，所述方法，包括：获取当前时间周期之前的第一预设数量的历史时间周期内指定时间窗口的指定源IP与目的IP对应的第一网络流量日志；针对每一历史时间周期，根据历史时间周期内指定时间窗口的源IP与目的IP对应的第一网络流量日志统计在历史时间周期内指定时间窗口源IP与目的IP对应的上行流量大小值和下行流量大小值；根据上行流量大小值和下行流量大小值，确定历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比；根据各个历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比，确定当前时间周期内指定时间窗口的流量基线。

公开(公告)号：CN115996132A

公开(公告)日：2023-04-21

申请号：CN202210657619.4

申请日：2022-06-10

Applicant: 国家计算机网络与信息安全管理中心 ,  付博扬

Inventor： 严寒冰 ,  付博扬 ,  秦佳伟 ,  贾世琳 ,  郎波

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/14

Abstract: 一种可视化分析方法、系统、电子设备及存储介质及其应用，属网络安全技术领域，包括获取网络节点流数据的网络特征，聚合相同源/目的主机的流数据的网络特征，筛选控制节点，得到控制行为相关节点的控制关系；构建网络拓扑，将控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化显示节点关系文件以及控制行为相关节点的控制关系及其相关属性；由控制关系及相关属性得到节点间的多级控制关系和网络中的异常节点。基于流数据判定僵尸网络中哪些节点是多级控制网络中的非顶层节点，从而发现网络设备之间的多级控制关系，定位可能处于跳板位置的C&C服务器节点，为后续溯源分析，发现隐藏的主机节点提供帮助。

公开(公告)号：CN114880661A

公开(公告)日：2022-08-09

申请号：CN202210622592.5

申请日：2022-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  饶毓 ,  周昊 ,  严寒冰 ,  丁丽 ,  徐原 ,  姚力 ,  朱芸茜 ,  楼书逸 ,  贾世琳 ,  刘玲 ,  严定宇 ,  秦佳伟

IPC: G06F21/55

Abstract: 本申请提供一种威胁事件处理方法、装置、电子设备及存储介质，方法包括：获取事件集合；事件集合内包含若干威胁事件；确定事件集合中每一威胁事件对应的事件类型，得到类型集合；根据类型集合确定目标关注度等级；根据目标关注度等级和类型集合确定事件集合的威胁评分；根据所述事件集合的威胁评分确定所述事件集合的威胁程度和处理优先度。本申请提供的威胁事件处理方法，能够根据事件集合中每一威胁事件对应的事件类型，确定该事件集合对应的目标关注等级，并根据目标关注度等级和类型集合中包含的所有事件类型，确定出该事件集合对应的威胁评分，并根据威胁评分确定该事件集合的威胁程度和处理优先度，提升威胁事件处理效率。

公开(公告)号：CN113342639A

公开(公告)日：2021-09-03

申请号：CN202110548984.7

申请日：2021-05-19

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  楼书逸 ,  文静 ,  秦佳伟 ,  张华 ,  崔栋 ,  孙浩 ,  关广振

IPC: G06F11/36 ,  G06F21/52

Abstract: 本公开提供一种小程序安全风险评估方法和电子设备，包括，获取需要测试的小程序的名称和APPID，根据所述名称和所述APPID检索到所述小程序，并获取所述小程序的源码文件；根据所述源码文件，获取关键字符串代码段；获取本地加密数据库中所述小程序的基本信息,根据所述基本信息和所述关键字符串代码段进行安全风险评估，得到代码评估信息；对所述小程序进行模拟点击操作，并启动漏洞扫描器进行漏洞扫描，得到漏洞扫描信息；根据所述代码评估信息和所述漏洞扫描信息生成风险评估报告，并根据所述风险评估报告进行相应处理。本公开通过对小程序采用静态检测和动态分析相结合的方法进行全面的安全风险评估，并根据所述风险评估报告进行相应处理。

公开(公告)号：CN109784057A

公开(公告)日：2019-05-21

申请号：CN201910008863.6

申请日：2019-01-04

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 严寒冰 ,  何能强 ,  丁丽 ,  李佳 ,  张华 ,  秦佳伟 ,  王森淼 ,  马宏谋 ,  石亚彬 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳 ,  沈阿娜 ,  占深信 ,  黄薪宇 ,  杜代忠

IPC: G06F21/56

Abstract: 本发明涉及一种安卓应用加固识别方法、控制器及介质，所述方法包括：获取待检测APK的四大组件比例和/或可疑文件比例，将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

公开(公告)号：CN119167366A

公开(公告)日：2024-12-20

申请号：CN202411176029.5

申请日：2024-08-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李艺涛 ,  白寿颖 ,  秦佳伟 ,  王宏宇 ,  严寒冰 ,  贺铮 ,  谷雨

IPC: G06F21/57

Abstract: 本公开提供一种Java静态污点分析方法及相关设备。具体包括：获取待分析的源代码；其中，所述源代码包括至少一应用程序接口；基于所述应用程序接口的功能，确定所述应用程序接口的类型；基于所述应用程序接口与动态特性的关系，标注与动态特性关联的应用程序接口为动态特性关联接口；基于所述源代码和所述动态特性关联接口，构建控制流图、函数调用图和第一图中间表示；获取被污染变量，根据所述被污染变量、所述应用程序接口的类型以及所述第一图中间表示，确定污点数据流；根据所述污点数据流和所述函数调用图，确定污染路径。采用这样的技术方案，无需编译源代码有助于节约分析成本，增加了分析结果的可读性。

公开(公告)号：CN114297644B

公开(公告)日：2024-08-13

申请号：CN202111454822.3

申请日：2021-12-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  朱芸茜 ,  严定宇 ,  石桂欣 ,  秦佳伟 ,  张榜 ,  刘玲 ,  王宏宇

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。

公开(公告)号：CN118316730A

公开(公告)日：2024-07-09

申请号：CN202410711421.9

申请日：2024-06-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  严定宇 ,  吕利峰 ,  贺铮 ,  周昊 ,  周彧 ,  金忠峰 ,  刘玲 ,  肖崇蕙

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明属于网络攻击检测领域，具体公开了一种针对邮箱的网络攻击异常行为检测方法，具体包括：S1：捕获网络流量PCAP数据包；S2：解析捕获的网络流量PCAP数据包，过滤邮件收件协议的加密流量；S3：对所述邮件收件协议的加密流量进行深度检测，提取非加密元数据以及会话的时间；S4：根据提取的非加密元数据以及会话的时间筛选有效交互会话，并补充源IP和目的IP的单位信息；S5：基于源IP在特定时间访问多个不同目的IP的模式，自动产生告警。本发明从攻击者的角度出发，通过对加密邮件流量的统计分析，建立收信异常行为模型，以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。