公开(公告)号：CN112039859B

公开(公告)日：2022-12-09

申请号：CN202010831692.X

申请日：2020-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  周昊 ,  朱天 ,  明钢 ,  刘威歆

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明是有关于一种变长时间窗口下复杂图网络的聚类方法，其先选定单位时间窗口，将日志数据按照单位时间窗口划分，再计算笛卡尔积，计算聚类的簇的距离，依据距离划分攻击组织，其立足于攻击行为中的关键实体，基于模块度的衡量指标，依照关键实体与其他攻击资源的关系，采用Louvain算法对不同时间窗口内不同组织的关键实体进行聚合。然后对相邻两时间窗口下的簇进行比较与合并，从而形成在一定时间窗口下的攻击组织，实现了对变长时间窗口下的攻击组织进行了持续跟踪，并可从单位时间窗口角度对攻击组织的成员增加、减少等变化进行刻画，满足了对攻击组织变迁的了解需求。

公开(公告)号：CN115168852A

公开(公告)日：2022-10-11

申请号：CN202210689851.6

申请日：2022-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 强倩 ,  朱天 ,  姜松浩 ,  涂登彪 ,  王博 ,  周立 ,  戴光耀 ,  熊颖 ,  程冕 ,  周炎龙 ,  黄恬

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本公开公开了一种恶意代码检测系统训练方法及装置、电子设备和存储介质，涉及信息处理领域。主要技术方案包括：基于第一训练检测模型，得到第二训练恶意代码样本；对得到的第二训练恶意代码样本进行标注，用其对第三训练恶意代码样本进行更新；重复获取第二训练恶意代码样本，迭代更新第三训练恶意代码样本，以使用最新的第三训练恶意代码样本对第一训练检测模型进行训练；当满足训练终止条件后，得到预设检测模型。与相关技术相比，重复获取第二训练恶意代码样本，迭代更新第三训练恶意代码样本，以使用最新的第三训练恶意代码样本对第一训练检测模型进行训练，进而得到了基于深度学习方法且提供训练样本动态标注功能的恶意代码检测系统。

公开(公告)号：CN108446186B

公开(公告)日：2022-05-13

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN110188257B

公开(公告)日：2021-12-31

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN108173884B

公开(公告)日：2021-05-04

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN111541655A

公开(公告)日：2020-08-14

申请号：CN202010269784.3

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  周昊 ,  韩志辉 ,  严寒冰 ,  朱天 ,  赵国梁

IPC: H04L29/06

Abstract: 本发明涉及一种网络异常流量检测方法、控制器及介质，所述方法包括获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址，记为可疑IP地址；对所述可疑IP地址所承载服务进行自动化验证，确定恶意IP地址，所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址；基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址，所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。本发明基于流量进行IP地址级别细粒度异常分析，提高了网络异常流量检测的准确度。

公开(公告)号：CN110225006A

公开(公告)日：2019-09-10

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN110188257A

公开(公告)日：2019-08-30

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN108055138A

公开(公告)日：2018-05-18

申请号：CN201810103708.8

申请日：2018-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  贝松涛 ,  丁丽 ,  李佳 ,  阚志刚 ,  陈彪 ,  付杰 ,  冯华兵 ,  康兴豪 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L9/32 ,  H04L29/06 ,  G06Q40/04 ,  H04L12/883

Abstract: 本发明涉及一种基于区块链的应用分发记录方法和系统，所述方法包括将所有记账节点和管理服务器构建为区块链网络，所述记账节点包括第一记账节点和第二记账节点，第一记账节点包括应用商店服务器，所述第二记账节点包括安全监管服务器；所述记账节点发起记账请求进行记账，更新区块链账本信息；其中，所述记账节点发起记账请求包括：所述第一记账节点发布应用和所述第二记账节点发现存在应用违规。本发明将区块链技术应用在应用分发记录中，通过维护统一的、分布式的、不可随意篡改的账本信息来记录应用分发，具有追溯力，实现有效监管，提高了应用分发监管的效率和可靠性。

公开(公告)号：CN103605794B

公开(公告)日：2017-02-15

申请号：CN201310651985.X

申请日：2013-12-05

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  王明华 ,  云晓春 ,  李佳 ,  贺敏 ,  纪玉春 ,  何能强 ,  高胜 ,  朱天

IPC: G06F17/30 ,  G06N3/02

Abstract: 本发明公开了一种网站分类方法，包括：获取网站的多维属性，利用集合对多维属性进行表示；针对表示多维属性的集合，进行自编码特征学习；利用自编码学习结果，进行网站聚类学习，得到用于进行网站分类的支持向量机SVM；步骤S104，对任意一个未经标注的网站进行分类时，先进行步骤S101和步骤S102，得到与该网站对应的自编码学习结果；然后将该结构输入到步骤S103得到的SVM中，进行网站分类，得到网站的类别。本发明的网站分类方法能高效准确的按照行业类别对网站进行分类，并且能快速侦测具有恶意特征的钓鱼网页；采用多维属性描述的方式，增加系统的便利性与通用性；且系统具有极强的稳定性。