公开(公告)号：CN110225007A

公开(公告)日：2019-09-10

申请号：CN201910446822.5

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  张胜军 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  朱天 ,  胡俊 ,  张腾 ,  何能强

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明涉及一种webshell流量数据聚类分析方法以及控制器和介质，所述方法包括:获取webshell流量数据集合，所述webshell流量数据集合包括多条webshell流量数据；计算每条所述webshell流量数据与预设的待分析的webshell流量数据的编辑距离；将所述编辑距离小于预设距离阈值的webshell流量数据与所述待分析的webshell流量数据聚类。本发明不受webshell攻击工具类型的限制，具有通用性且准确度高。

公开(公告)号：CN109918907A

公开(公告)日：2019-06-21

申请号：CN201910094079.1

申请日：2019-01-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  朱天 ,  饶毓 ,  高胜 ,  李志辉 ,  张腾 ,  刘婧 ,  何能强 ,  陈阳 ,  李世淙 ,  朱芸茜 ,  马莉雅 ,  周昊

IPC: G06F21/56

Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质，所述方法包括遍历Linux系统所有进程，读取所有进程的内存映射文件；基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

公开(公告)号：CN109190657A

公开(公告)日：2019-01-11

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。

公开(公告)号：CN108683569A

公开(公告)日：2018-10-19

申请号：CN201810585690.X

申请日：2018-06-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 严寒冰 ,  李佳 ,  马莉雅 ,  李志辉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  杜飞

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明提出一种面向云服务基础设施的业务监测方法及系统，属于云服务的基础设施领域。包括控制中心服务器以及布置在各地区的拨测服务器。其中，在各拨测服务器上布置有云服务拨测模块，在控制中心服务器上布置有拨测任务下发模块、数据采集模块、拨测数据分析模块、拨测告警模块和数据库；通过在不同地区设置拨测服务器，在控制中心服务器的WEB界面配置监测任务、拨测任务下发模块将监测任务的配置文件下发到各拨测服务器验证任务的目的IP正确性，采用了大范围异步拨测的监测方法，针对路由器、提供服务的DNS递归服务器，实现了对云服务基础设施的监测，减少数据包的丢失，实现负载均衡，具有较高的鲁棒性和稳定性。

公开(公告)号：CN108632286A

公开(公告)日：2018-10-09

申请号：CN201810454494.9

申请日：2018-05-14

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭晶 ,  严寒冰 ,  丁丽 ,  李佳 ,  陈阳 ,  刘婧 ,  张腾 ,  张帅 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  李世淙 ,  徐剑 ,  党向磊 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  许世彪 ,  张健 ,  宋磊 ,  沈炯

IPC: H04L29/06

CPC classification number: H04L69/18 ,  H04L69/22

Abstract: 本发明公开了一种多应用混合数据的解析方法，主要包括，A，获取待解析的多应用混合数据；B，根据A数据的多种特征，为数据增加应用标记；C，根据B应用标记，使用统一接口调用相应解析算法；D，根据B应用标记，将C解析算法的输出结果输出到相应的解析结果表；E，针对新的应用，采用标准化方法实现框架的快速扩展。本发明能够识别混合数据中的多种应用，并采用统一接口对各种应用数据进行协议解析的目的，通过此方法提供了一个统一框架，能够识别混合数据中的多种应用，通过统一接口自动调用相应的解析算法实现解析，通过应用标记自动存到相应的解析结果表，并能够快速、标准化的扩展新的应用类型。

公开(公告)号：CN108615264A

公开(公告)日：2018-10-02

申请号：CN201810437147.5

申请日：2018-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  北京大学

Inventor： 董建武 ,  余肇飞 ,  孙波 ,  司成祥 ,  姜栋 ,  张建松 ,  胡晓旭 ,  张腾 ,  刘健 ,  毛蔚轩 ,  刘云昊

IPC: G06T19/20 ,  G06T17/00

Abstract: 本发明公开了一种基于对偶分解的三维相位解缠方法，包括问题定义和子问题并行求解，本发明一种基于对偶分解的三维相位解缠方法，提出了一个基于对偶分解的快速求解方法，利用对偶分解将原问题分解为若干可并行独立求解的简单子问题，通过优化对偶问题快速逼近原问题的解，实验表明，该算法在保证相同的求解准确度下，相比于直接优化原问题显著减少了运行时间。

公开(公告)号：CN108229172A

公开(公告)日：2018-06-29

申请号：CN201810148627.X

申请日：2018-02-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  李志辉 ,  张腾 ,  温森浩 ,  陈阳 ,  王适文 ,  姚力 ,  朱芸茜 ,  徐剑 ,  雷君 ,  王小群 ,  肖崇蕙 ,  贾子骁 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06F21/56

Abstract: 本发明涉及一种基于windows平台的跨层次数据流追踪方法，包括获取windows操作系统内核态和用户态之间用于进行数据交换的API信息；运行待分析程序，执行待分析程序的指令；遍历操作系统中的进程，获取与待分析程序进程名称一致的进程，标记为监控进程；将执行监控进程时所产生的数据标记为用户态被监控数据；所述待分析程序调用API过程中，若对应的输入参数为所述用户态被监控数据，则将输入后映射的内核数据标记为内核态被监控数据；对用户态被监控数据和内核态被监控数据进行数据流追踪分析，从而判断待分析程序是否有恶意行为发生。本发明可以分析同时具有用户态代码和内核态代码的恶意程序，能够完整地监控数据在程序中的处理过程，准确度高。

公开(公告)号：CN106909847A

公开(公告)日：2017-06-30

申请号：CN201710087408.0

申请日：2017-02-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李佳 ,  严寒冰 ,  丁丽 ,  徐原 ,  李志辉 ,  高胜 ,  张腾 ,  狄少嘉 ,  张帅 ,  刘丙双 ,  涂波 ,  王学志 ,  吕利锋

IPC: G06F21/56 ,  G06F21/55 ,  H04L29/06

CPC classification number: G06F21/562 ,  G06F21/554 ,  H04L63/1416 ,  H04L63/145

Abstract: 本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。

公开(公告)号：CN106302440A

公开(公告)日：2017-01-04

申请号：CN201610659857.3

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道获取可疑钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，针对性获取可疑钓鱼网站列表；其包括S11-S15中的一种或其组合，S11：根据钓鱼网站样本的URL地址变换组合分析获取网站列表，URL地址包括域名的前缀、域名的后缀和域名；S12：根据钓鱼网站样本的域名注册信息反查获取网站列表；S13：根据钓鱼网站样本的IP信息反查获取网站列表；S14:根据钓鱼网站样本的页面关键内容信息关联分析获取网站列表；S15：根据钓鱼网站样本利用搜索引擎检索获取网站列表；以及获取上述步骤S11-S15网站列表后，经过黑白名单过滤，获取新增未知可疑钓鱼网站列表；S2：将上述可疑钓鱼网站经过风险评估、人工确认后，最终发现钓鱼网站。

公开(公告)号：CN106302438A

公开(公告)日：2017-01-04

申请号：CN201610659317.5

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道的基于行为特征的主动监测钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，有针对性的获取可疑钓鱼网站列表，其包括步骤S11-S15中的一种或其组合；S11：根据钓鱼网站样本的域名注册信息反查与关联分析获取可疑钓鱼网站；S12：根据钓鱼网站样本的IP信息反查与关联分析获取可疑钓鱼网站；S13：根据钓鱼网站样本的页面关键内容信息关联分析获取可疑钓鱼网站；S14：根据钓鱼网站样本的URL地址变换组合分析获取可疑钓鱼网站；S15：根据钓鱼网站样本利用搜索引擎检索获取可疑钓鱼网站；S2:建立钓鱼网站样本的静态特征库和行为特征库并提取可疑钓鱼网站的静态特征、行为特征；以及S3：基于静态特征和行为特征形成风险评估模型，对钓鱼网站自动化识别。