公开(公告)号：CN109190657B

公开(公告)日：2021-11-02

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。

公开(公告)号：CN111818018B

公开(公告)日：2021-09-21

申请号：CN202010559056.6

申请日：2020-06-18

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张华 ,  涂腾飞 ,  严寒冰 ,  温巧燕 ,  秦素娟 ,  高川 ,  周昊 ,  虞宇琪 ,  饶路 ,  王森淼 ,  高飞 ,  李文敏 ,  金正平 ,  时忆杰

IPC: H04L29/06 ,  H04L29/08 ,  G06F40/289 ,  G06F21/56 ,  G06K9/62

Abstract: 本发明公开的基于机器学习模型的SQL注入攻击检测方法，涉及网络安全技术领域，通过采用训练过的机器学习模型，支持检测多种类型SQL注入的检测，能够简单、有效地检测HTTP请求中各个类型的SQL注入攻击，降低了检测SQL注入攻击的难度，提高了检测SQL注入攻击的效率及精确度。

公开(公告)号：CN111723373A

公开(公告)日：2020-09-29

申请号：CN201910210484.5

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  袁炯晔 ,  童志明

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/78

Abstract: 本发明提出一种复合式二进制文档的漏洞利用文件检测方法及装置，其中所述方法包括：获取待检测的复合式二进制文档，并进行文件结构校验；判断文件结构是否异常，如果为异常，则进一步检测，否则判定所述待检测复合式二进制文档为正常文件；进一步在文件结构存在异常区域数据段检测敏感特征，若存在敏感特征，则判定所述复合式二进制文档为恶意，否则判定为正常文件。本发明还相应给出实现该方法的装置。通过本发明方法，不需要提取新的特征，即能够有效检测新出现的漏洞利用文件。而仅针对结构异常区域进行敏感特征检测，能够避免误报，进一步提高检测的准确性。

公开(公告)号：CN108737373B

公开(公告)日：2020-09-22

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

公开(公告)号：CN110875917A

公开(公告)日：2020-03-10

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明实施例提供了一种检测挖矿病毒的方法、装置及存储介质，用以解决现有的挖矿病毒检测方法具有延迟性，并且难以发现未知的挖矿病毒的问题。该方法包括：读取计算机的中央处理器的调试存储区中的指令以及图形处理器中的指令；确定从所述调试存储区中连续读取的M条指令均为运算指令，且从所述图形处理器中连续读取的N条指令均为运算指令；M、N均为大于1的自然数；确定所述M条指令的堆栈信息以及所述N条指令的堆栈信息所属的进程是威胁进程，所述威胁进程中存在挖矿病毒。

公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN107580022A

公开(公告)日：2018-01-12

申请号：CN201710651994.7

申请日：2017-08-02

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  舒敏 ,  丁丽 ,  李佳 ,  郭伟 ,  林浩 ,  张华 ,  姜春晓 ,  徐蕾 ,  胡兵 ,  刘杨 ,  阚志刚 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明涉及一种数据共享系统和方法，所述系统包括：一个或多个数据中心服务器、一个或多个数据管理服务器和数据库，其中，所述数据中心服务器用于接收客户端提交的数据信息，进行数据交换以及发送客户端所需获取数据信息，并对客户端提交的数据信息，交换的数据信息以及发送客户端所需获取数据信息进行检验和评估，将客户端提交的数据信息和客户端所需获取数据信息以及对应的检验和评估结果存储在数据库中；所述数据管理服务器用于管理对应的一个或多个个数据中心服务器，并将客户端提交数据和客户端获取数据的过程信息存储到数据库中。本发明能对数据发现、共享公开审计，且还能提供可信的数据评估过程，提高了数据共享的可靠性。

公开(公告)号：CN107483455A

公开(公告)日：2017-12-15

申请号：CN201710743088.X

申请日：2017-08-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李志辉 ,  李书豪 ,  周昊 ,  张永铮 ,  饶毓 ,  张帅 ,  贾子骁 ,  吕志泉 ,  韩志辉 ,  姚力

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及一种基于流的网络节点异常检测方法和系统，所述方法包括：根据待检测节点的历史网络流量数据，获取稳定通信对象集，所述稳定通信对象集包括稳定通信端口集和稳定通信对端集；根据所述稳定通信对象集和待检测节点的历史网络流量数据，获取多维特征统计阈值；获取待检测节点的实时网络流量数据，根据所述多维特征统计阈值对所述待检测节点进行检测和评价。所述方法和系统能够基于形成网络流数据的网络节点，通过对网络流量特征的细致划分，对其可能遭受网络攻击等异常事件，进行实时检测，检测准确率高。

公开(公告)号：CN107463806A

公开(公告)日：2017-12-12

申请号：CN201710470839.5

申请日：2017-06-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李志辉 ,  何能强 ,  姜春晓 ,  徐蕾 ,  傅强 ,  王硕 ,  刘杨 ,  严寒冰 ,  丁丽 ,  李佳 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F21/12 ,  G06F21/60 ,  G06F21/64 ,  H04L9/32

Abstract: 本发明涉及一种Android应用程序安装包的签名和验签方法，所述签名方法包括：获取开发者身份信息和开发者公钥信息；采用开发者私钥对所获取的信息进行签名，得到第一签名信息；第三方机构对开发者身份信息、开发者公钥信息和第一签名信息进行验证，若通过，则采用CA私钥生成第一数字证书；将所述第一数字证书添加到源程序文件中；采用开发者公钥和开发者私钥，对Android程序源文件进行签名，生成第二数字证书，并生成APK文件。本发明通过数字证书对开发者身份进行认证，无需增加额外的签名工具和验签工具，节约了成本；此外，用于认证开发者身份的数字证书放置在APK文件内，不能被删除，更加安全可靠。

公开(公告)号：CN119892592A

公开(公告)日：2025-04-25

申请号：CN202411995565.8

申请日：2024-12-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  楼书逸 ,  秦佳伟 ,  饶毓 ,  周昊 ,  吕卓航

IPC: H04L41/0604 ,  H04L41/0631

Abstract: 本发明涉及网络安全情报分析领域，公开了一种网络安全告警事件误报去除方法、装置、设备及介质，具体包括获取误报事件、预设自相关系数阈值、趋势误报处理间隔和周期误报处理间隔；基于趋势误报处理间隔，对误报事件进行聚类统计，得到多个趋势事件序列；基于周期误报处理间隔，将多个趋势事件序列进行序列重组，得到多个周期事件序列；计算多个周期事件序列的自相关系数，并将自相关系数和预设自相关系数阈值进行比较，以确定多个目标周期事件序列；将多个目标周期事件序列进行时频域转换，获得目标周期值，并将目标周期值非0的目标周期事件序列去除，本发明提升误报去除的简便性、精准性和广泛应用性。