公开(公告)号：CN104598824A

公开(公告)日：2015-05-06

申请号：CN201510044023.7

申请日：2015-01-28

Applicant: 国家计算机网络与信息安全管理中心 ,  安世盾信息技术(北京)有限公司

Inventor： 李挺 ,  韩晟 ,  李世漴 ,  徐原 ,  高胜 ,  胡俊 ,  何世平 ,  饶毓 ,  党向磊 ,  徐晓燕 ,  赵宸 ,  刘婧 ,  陈阳 ,  王盈

IPC: G06F21/56

CPC classification number: G06F21/562 ,  G06F21/52 ,  G06F21/566

Abstract: 本申请涉及一种恶意程序检测方法及其装置，该方法包括：提取待检测终端的恶意行为痕迹特征，将提取的恶意行为痕迹特征与痕迹库中的痕迹特征进行比较，最终根据比较结果判断待检测终端是否感染过恶意程序。通过本申请，可在不获得恶意程序的可执行文件的前提下，判断终端是否感染过恶意程序，从而实现对已经消亡的恶意程序的较为有效的检测和识别。

公开(公告)号：CN116032576A

公开(公告)日：2023-04-28

申请号：CN202211627252.8

申请日：2022-12-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  吕卓航 ,  严定宇 ,  严寒冰 ,  曹华平 ,  贾世琳 ,  秦佳伟 ,  饶毓 ,  高川 ,  韩志辉

IPC: H04L9/40

Abstract: 本申请实施例提供一种基于不确定性攻击资源图谱的构建方法及系统，涉及网络安全技术领域。该基于不确定性攻击资源图谱的构建方法包括：获取团伙攻击行为的原始数据；根据所述原始数据进行所述团伙攻击的数据抽取，获得攻击资源实体之间的关联关系数据；根据预设置信度算法对所述关联关系数据进行处理，获得置信度信息；根据所述关联关系数据和所述置信度信息构建不确定性图谱。该基于不确定性攻击资源图谱的构建方法可以实现提高团伙攻击分析的有效性的技术效果。

公开(公告)号：CN113242157B

公开(公告)日：2022-12-09

申请号：CN202110500263.9

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  高川 ,  肖崇蕙 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L43/04 ,  H04L43/06

Abstract: 本发明提出了一种分布式处理环境下的集中式数据质量监测方法，本申请涉及一种数据质量监测方法，尤其涉及一种分布式处理环境下的集中式数据质量监测方法，属于数据分析技术领域。根据实际监测需要配置待监测的数据灵活配置监测规则，对待监测数据进行监测，数据质量监测服务获取待监测数据后，把待监测数据集进行分块，让多个计算节点对分布式内存上的数据同时根据配置并行计算，然后将对多个计算节点上的计算结果进行汇总后生成监测结果，生成数据质量监测报告，从而辅助运维人员快速发现数据质量问题进而跟踪解决，以此提升实时数据中心平台的数据质量；解决了现有技术中存在的数据质量监测方法配置不灵活且不利于管理的技术问题。

公开(公告)号：CN112039859B

公开(公告)日：2022-12-09

申请号：CN202010831692.X

申请日：2020-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  周昊 ,  朱天 ,  明钢 ,  刘威歆

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明是有关于一种变长时间窗口下复杂图网络的聚类方法，其先选定单位时间窗口，将日志数据按照单位时间窗口划分，再计算笛卡尔积，计算聚类的簇的距离，依据距离划分攻击组织，其立足于攻击行为中的关键实体，基于模块度的衡量指标，依照关键实体与其他攻击资源的关系，采用Louvain算法对不同时间窗口内不同组织的关键实体进行聚合。然后对相邻两时间窗口下的簇进行比较与合并，从而形成在一定时间窗口下的攻击组织，实现了对变长时间窗口下的攻击组织进行了持续跟踪，并可从单位时间窗口角度对攻击组织的成员增加、减少等变化进行刻画，满足了对攻击组织变迁的了解需求。

公开(公告)号：CN115314240A

公开(公告)日：2022-11-08

申请号：CN202210712853.2

申请日：2022-06-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  楼书逸 ,  文静 ,  韩志辉 ,  严寒冰 ,  周昊 ,  饶毓 ,  贺铮 ,  严定宇 ,  刘玲 ,  秦佳伟 ,  刘燚 ,  祖小月

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明公开了一种面向加密异常流量识别的数据处理方法，所述方法包括如下步骤：获取网络中的具有标签的加密流量数据，分别将不同标签的所述加密流量数据切分为多个会话单元，其中，每个会话单元包括若干数据包；根据每个会话单元所包括的数据包生成该会话单元相应的流量图像，每个流量图像包括若干与所述数据包一一对应的图像元素，并将所有会话单元的流量图像组成第一图像集；从所述第一图像集中随机选取至少一部分的流量图像，对其中每个流量图像的至少一部分图像元素进行图形处理，并得到第二图像集，以用于根据监督式机器学习方法进行加密异常流量识别。本发明能够有效扩充用于机器学习模型的训练数据集，实现数据增强。

公开(公告)号：CN115225521A

公开(公告)日：2022-10-21

申请号：CN202210672630.8

申请日：2022-06-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  贺铮 ,  周昊 ,  贾世琳 ,  秦佳伟 ,  郭晶 ,  徐剑 ,  吕志泉 ,  韩志辉 ,  高川 ,  吕卓航 ,  刘玲 ,  张榜 ,  严定宇 ,  石桂欣

IPC: H04L41/50 ,  H04L41/0213 ,  H04L67/51 ,  H04L67/02 ,  G06F16/23

Abstract: 本发明提供一种基于配置管理数据库的资产探测方法、系统、设备及存储介质，所述方法包括以下步骤：计算实例向MID服务器发送命令；MID服务器接收指令，并向受管网络中的各种设备、应用和服务发送CI探测，或向计算实例反馈CI文件；计算实例收到MID服务器反馈后，与配置管理数据库中的CI项进行比对和新的映射，更新CI，以获取资产信息。本发明通过部署MID服务器对资产进行扫描、分类、识别、探测，并构造CI特征向量优化海量网页去重的敏感hash算法判定资产变化情况，建立动态CI，与企业配置管理数据库信息共享，结合流量信息及TCP连接等CI项信息实现服务映射，构建精细化资产管理，发现静默资产，具备更广泛的资产识别能力，保障资产列表准确性。

公开(公告)号：CN108446186B

公开(公告)日：2022-05-13

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110188257B

公开(公告)日：2021-12-31

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN108173884B

公开(公告)日：2021-05-04

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。