公开(公告)号：CN105656908A

公开(公告)日：2016-06-08

申请号：CN201610051332.1

申请日：2016-01-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 赵慧 ,  纪玉春 ,  严寒冰 ,  郑立有 ,  肖崇蕙 ,  丁丽 ,  李晶晶 ,  张鸿江 ,  贾子骁 ,  徐原 ,  何世平 ,  李志辉 ,  姚力 ,  朱芸茜 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅

IPC: H04L29/06

CPC classification number: H04L63/1483

Abstract: 本发明属于计算机网络信息安全领域，具体涉及一种基于全生命周期的钓鱼网站跟踪与处理的方法。包括投诉、通报、处置、归档等过程。本发明所公开的基于全生命周期的钓鱼网站跟踪与处理的方法是专门针对钓鱼事件进行监测通报和投诉处置的面向业务的全面解决方案,其能够对钓鱼网站事件通报、鉴定、受理、处置、追溯、取证等各项业务和能够对事件的流转过程和处置结果进行详细记录。

公开(公告)号：CN102542290B

公开(公告)日：2015-04-15

申请号：CN201110435765.4

申请日：2011-12-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中国互联网协会

Inventor： 严寒冰 ,  李鹏 ,  孙永革 ,  孙波 ,  李锐光 ,  郝智超 ,  张宏宾 ,  林绅文 ,  王进

IPC: G06K9/62 ,  H04L12/58

Abstract: 本发明公开了一种垃圾邮件图像识别方法。该方法包括：将邮件图像划分为文本区域和非文本区域；将所述非文本区域从空域变换到频域，并分解为水平、垂直和对角方向的细节子图像；对各个细节子图像中的高频系数进行统计分析，利用噪声连通域面积的总和与非文本区域面积的比值度量邮件图像的含噪声程度；根据所述邮件图像的含噪声程度是否达到了预设门限值，判断所述邮件图像是否为垃圾邮件图像。借助于本发明的技术方案，提高了通过含噪声程度进行垃圾邮件图像识别技术的识别精度。本发明还公开了一种垃圾邮件图像识别装置，包括图像区域划分模块、图像分解模块、含噪程度计算模块和图像判别模块。

公开(公告)号：CN103905424A

公开(公告)日：2014-07-02

申请号：CN201310729327.8

申请日：2013-12-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李轶夫 ,  王永刚 ,  赵忠华 ,  姚珊 ,  徐剑

IPC: H04L29/06

Abstract: 本发明公开了一种短域名安全性评定方法，包括：将接收到的短域名还原成原始域名；对原始域名进行安全检查，根据检查结果向用户进行提示。本发明通过对短域名转换为原域名，对该域名的安全性进行判断，对有恶意的域名进行阻拦，对不确定的域名进行提示，大大提高了短域名的安全性。

公开(公告)号：CN103368972A

公开(公告)日：2013-10-23

申请号：CN201310316474.2

申请日：2013-07-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 杜跃进 ,  许俊峰 ,  孙波 ,  严寒冰 ,  袁春阳 ,  郑礼雄 ,  郭承青 ,  李欣 ,  李挺

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种网络攻击检测分析方法和系统，包括在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备；部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接；通过网络攻击监测发现设备对原始网络数据进行监测，利用网络攻击数据包特征匹配技术，监测发现网络攻击行为；网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备，同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备；网络攻击诱导分析设备模拟被攻击的主机和网络环境条件，对攻击数据包进行持续响应，使得攻击行为能够继续，通过网络攻击诱导分析设备上部署的主机和网络资源监控系统分析网络攻击的行为步骤路线和最终目的。

公开(公告)号：CN101924754B

公开(公告)日：2013-07-31

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。

公开(公告)号：CN102521838A

公开(公告)日：2012-06-27

申请号：CN201110427104.7

申请日：2011-12-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李鹏 ,  孙波 ,  王永建 ,  何跃鹰 ,  袁春阳 ,  刘辉

IPC: G06T7/00 ,  G06F17/30

Abstract: 本发明公开了一种图像检索/匹配方法。该方法首先求取两幅图像的初始匹配特征点集，然后判断并消除误匹配特征点对，再根据正确匹配特征点对的数量判断两幅图像是否匹配；其中，判断是否为误匹配特征点对，包括：在两幅图像中，分别以初始匹配特征点为中心，将图像均划分为两个以上的区域，并对各区域编号；在两幅图像中，分别以其他各初始匹配特征点所处区域的编号构成的矢量来描述该初始匹配特征点的全局特征；对两个矢量进行比较，如果相似度达到要求，则为正确的匹配特征点对。本发明方法不仅适应于图像尺度变化、图像嵌套、视角变化等复杂情况下的图像检索，而且具有较高的检索效率和识别准确率。本发明还相应公开了一种图像检索/匹配系统。

公开(公告)号：CN118509210A

公开(公告)日：2024-08-16

申请号：CN202410604637.5

申请日：2024-05-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  贾世琳 ,  张榜 ,  严定宇 ,  秦佳伟

IPC: H04L9/40

Abstract: 本发明涉及一种关联分析多源数据还原恶意代码攻击场景的方法，收集已被发现的漏洞信息，建立漏洞利用特征数据集；通过分析网络流入流出流量，识别并记录符合特征的会话信息，记录网络侧漏洞利用日志；采集蜜罐捕获的系统日志和网络会话信息，记录蜜罐侧漏洞利用日志；综合利用网络侧漏洞利用日志和蜜罐侧漏洞利用日志，建立漏洞利用日志和恶意代码的关联关系，进而发现还原恶意代码攻击场景，分析其攻击路径和攻击过程，发现其传播利用的漏洞，关联分析方法全面准确高效。

公开(公告)号：CN117640158A

公开(公告)日：2024-03-01

申请号：CN202311478796.7

申请日：2023-11-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李向宇 ,  周彧 ,  张焱喆 ,  郎波 ,  臧天宁

IPC: H04L9/40

Abstract: 本发明是有关于一种基于序列比对的木马通信特征自动提取方法，该方法借鉴生物信息学序列比对算法，以可接受的时间复杂度对恶意流量中隐含的特征进行提取，并使用控制变量分析法判断流量中的特征序列与木马某因素间的关联关系。在序列比对阶段，本发明针对不同场景下，提出了基于随机化的多子串提取及基于滑动窗口子串提取的两种方法。将提取出的子串清洗后转换为当前IDS工具可直接使用的Snort规则，对真实流量做检测。本发明无需花费人工成本，极大的提高了远控木马检测效率，对于现有的远控木马具有普遍的可检测性，检测精度高，检测算法的可扩展性好，可以应用于大规模木马数据检测。

公开(公告)号：CN116743437A

公开(公告)日：2023-09-12

申请号：CN202310590449.7

申请日：2023-05-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  付博扬 ,  周彧 ,  郎波 ,  陶慧波

IPC: H04L9/40 ,  H04L43/045

Abstract: 本发明是有关于一种对跳板节点的关联分析发现方法，通过分析僵尸网络中跳板节点流数据，发现与跳板节点连接的节点中行为高度相似的节点，从而发现属于同一僵尸网络中的多个关联节点，定位可能处于上级的C&C服务器节点，为后续溯源分析，发现和预防僵尸网络威胁提供帮助。本发明能够通过对网络流数据的分析，提取出代表网络节点行为的重要特征，对特征进行预处理后输入到构建好的程序进行分析，完成对行为相似节点的发现并输出结果。通过将高度可疑节点与跳板节点通信情况绘制流量曲线并可视化展示，进一步验证可疑IP对的上下级控制关系，实现对同一僵尸网络关联节点的发现和攻击预防。

公开(公告)号：CN115996132A

公开(公告)日：2023-04-21

申请号：CN202210657619.4

申请日：2022-06-10

Applicant: 国家计算机网络与信息安全管理中心 ,  付博扬

Inventor： 严寒冰 ,  付博扬 ,  秦佳伟 ,  贾世琳 ,  郎波

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/14

Abstract: 一种可视化分析方法、系统、电子设备及存储介质及其应用，属网络安全技术领域，包括获取网络节点流数据的网络特征，聚合相同源/目的主机的流数据的网络特征，筛选控制节点，得到控制行为相关节点的控制关系；构建网络拓扑，将控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化显示节点关系文件以及控制行为相关节点的控制关系及其相关属性；由控制关系及相关属性得到节点间的多级控制关系和网络中的异常节点。基于流数据判定僵尸网络中哪些节点是多级控制网络中的非顶层节点，从而发现网络设备之间的多级控制关系，定位可能处于跳板位置的C&C服务器节点，为后续溯源分析，发现隐藏的主机节点提供帮助。