公开(公告)号：CN103051605A

公开(公告)日：2013-04-17

申请号：CN201210476237.8

申请日：2012-11-21

Applicant: 国家计算机网络与信息安全管理中心 ,  北京神州绿盟信息安全科技股份有限公司

Inventor： 徐娜 ,  周勇林 ,  王明华 ,  张腾 ,  黄明峰 ,  陈景妹 ,  朱春鸽

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明实施例提供一种数据包处理方法、装置和系统，包括：针对现有技术在检测到发往目的主机的异常数据包，阻断包含该异常数据包的数据流，导致用于进行网络攻击的异常数据包无法被完整接收，进而无法用于后续的攻击行为和特征的准确分析的问题，本发明实施例提出，如果在向目的主机发送的数据包中，确定出异常数据包，则将该异常数据包发往指定主机，在保证目的主机不会受到异常数据包攻击的同时，可以利用指定主机完整接收用于进行网络攻击的异常数据包，从而可以利用指定主机接收到的异常数据包进行后续的攻击者攻击行为和特征的准确分析，跟踪研究最新的攻击手段和方法。

公开(公告)号：CN113609234B

公开(公告)日：2023-08-29

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L41/0631 ,  H04L9/40

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN110225006B

公开(公告)日：2022-01-04

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L9/40 ,  H04L41/14 ,  H04L43/045

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN110222715B

公开(公告)日：2021-07-27

申请号：CN201910375363.6

申请日：2019-05-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于动态行为链和动态特征的样本同源分析方法，步骤如下：1：收集整理攻击样本；2：将训练样本集进行分类处理；3：将训练样本集投入沙箱运行；4：将样本进行排序整理，生成动态行为链；5：使用以训练数据集提取的行为链训练同源分析决策树模型；6：提取行为链和样本IOCs信息；7：测试数据集通过决策树模型判断所属APT组织，或所属恶意家族和类型；8：测试数据集通过知识库模糊匹配IOCs信息，得出同源信息；9：得出最终同源分析结论；本发明达到了从动态行为入手，对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果，解决了传统同源分析手段导致的样本特征单一，人工分析效率低投入大等实际问题。

公开(公告)号：CN105656908B

公开(公告)日：2020-12-01

申请号：CN201610051332.1

申请日：2016-01-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 赵慧 ,  纪玉春 ,  严寒冰 ,  郑立有 ,  肖崇蕙 ,  丁丽 ,  李晶晶 ,  张鸿江 ,  贾子骁 ,  徐原 ,  何世平 ,  李志辉 ,  姚力 ,  朱芸茜 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅

IPC: H04L29/06

Abstract: 本发明属于计算机网络信息安全领域，具体涉及一种基于全生命周期的钓鱼网站跟踪与处理的方法。包括投诉、通报、处置、归档等过程。本发明所公开的基于全生命周期的钓鱼网站跟踪与处理的方法是专门针对钓鱼事件进行监测通报和投诉处置的面向业务的全面解决方案,其能够对钓鱼网站事件通报、鉴定、受理、处置、追溯、取证等各项业务和能够对事件的流转过程和处置结果进行详细记录。

公开(公告)号：CN108306901B

公开(公告)日：2020-10-09

申请号：CN201810448681.6

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  陈阳 ,  周昊 ,  饶毓 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  狄少嘉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙 ,  程亚楠 ,  许海燕

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种获取域名WHOWAS注册信息的方法，其解决了现有方法不能及时获取域名WHOWAS注册信息的技术问题；包括以下步骤：步骤1，对域名预处理，判断域名字符组成上是否正确，并将域名处理为注册域名的结构；步骤2，首次获取和解析域名的WHOIS关键信息：步骤3，根据轮询探测策略，对已获取WHOIS关键信息的域名进行探测，对符合不同条件的域名使用不同的轮询探测策略，获取并解析域名的WHOIS关键信息；步骤4，根据WHOIS信息更新规则，判断WHOIS信息是否更新，而产生并储存WHOWAS信息。本发明广泛应用于信息技术领域。

公开(公告)号：CN110225007A

公开(公告)日：2019-09-10

申请号：CN201910446822.5

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  张胜军 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  朱天 ,  胡俊 ,  张腾 ,  何能强

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明涉及一种webshell流量数据聚类分析方法以及控制器和介质，所述方法包括:获取webshell流量数据集合，所述webshell流量数据集合包括多条webshell流量数据；计算每条所述webshell流量数据与预设的待分析的webshell流量数据的编辑距离；将所述编辑距离小于预设距离阈值的webshell流量数据与所述待分析的webshell流量数据聚类。本发明不受webshell攻击工具类型的限制，具有通用性且准确度高。

公开(公告)号：CN109918907A

公开(公告)日：2019-06-21

申请号：CN201910094079.1

申请日：2019-01-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  朱天 ,  饶毓 ,  高胜 ,  李志辉 ,  张腾 ,  刘婧 ,  何能强 ,  陈阳 ,  李世淙 ,  朱芸茜 ,  马莉雅 ,  周昊

IPC: G06F21/56

Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质，所述方法包括遍历Linux系统所有进程，读取所有进程的内存映射文件；基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

公开(公告)号：CN109190657A

公开(公告)日：2019-01-11

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。