公开(公告)号：CN110149343A

公开(公告)日：2019-08-20

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

公开(公告)号：CN108737373A

公开(公告)日：2018-11-02

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

CPC classification number: H04L63/302 ,  H04L63/1433

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API-Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

公开(公告)号：CN108615199A

公开(公告)日：2018-10-02

申请号：CN201810448870.3

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  朱天 ,  丁丽 ,  李佳 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静

IPC: G06Q50/00 ,  G06F17/30

Abstract: 本发明提供一种基于互联网公开论坛注册情况的用户活动轨迹挖掘方法，其解决了现有方法无法追溯互联网虚拟用户身份的技术问题；包括以下步骤：步骤1，通过论坛站点拓展发现当前互联网空间中的论坛站点，即进行域名收集；步骤2，识别域名是否为中文论坛站点；步骤3，通过基于注册机制的论坛站点查重接口发现探测用户互联网论坛活动行迹。本发明广泛应用于信息技术领域。

公开(公告)号：CN111526110B

公开(公告)日：2024-02-27

申请号：CN201910105743.8

申请日：2019-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 雷君 ,  黄蒙 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  徐剑 ,  王适文 ,  肖崇惠 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  周彧 ,  高川 ,  贾世琳 ,  文静 ,  楼书逸 ,  吕卓航

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明实施例提供了一种检测电子邮箱账户非授权登录的方法、装置、设备和介质。其中，该方法包括：采集电子邮箱账户连续登录的待检测登陆日志及其前一个登陆日志，以及电子邮箱账户在预定时间段内的历史登陆日志；基于待检测登陆日志及其前一个登陆日志，对待检测登陆日志进行分类；根据历史登陆日志、待检测登陆日志及其分类结果，确定电子邮箱账户的登录行为模式信息；将待检测登陆日志及其分类结果，以及登录行为模式信息，与预定的告警规则进行匹配；如果匹配，则将待检测用户登录行为确定为非授权用户登录行为。通过本发明实施例，解决了如何识别电子邮箱账户非授权登录的技术问题，而且可以不依赖于对电子邮件内容的分析。

公开(公告)号：CN113609234B

公开(公告)日：2023-08-29

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L41/0631 ,  H04L9/40

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN113242236B

公开(公告)日：2022-09-16

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。

公开(公告)号：CN112737101B

公开(公告)日：2022-08-26

申请号：CN202011418780.3

申请日：2020-12-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  桑亚飞

IPC: H02J13/00 ,  G06Q50/06

Abstract: 本发明涉及一种面向多监测域的网络安全风险评估方法及系统，其中面向多监测域的网络安全风险评估方法，包括：对资产的机密性、完整性、可用性和资产类型重要性进行评分，以得到资产的价值；对资产进行脆弱性扫描，得到资产的脆弱性值；对资产在预设周期内的多源威胁检测引擎告警日志进行分析，得到资产所遭受攻击的威胁度值；根据资产的价值、脆弱性值和威胁度值，得出资产安全风险值；根据资产的安全风险值，计算该资产所在子域在预设周期内的安全风险值；根据子域的安全风险值，计算该子域所在全网在预设周期内的安全风险值。本发明从多维度对多子域多资产安全风险进行监测评估，改善现有方法面向单一信息系统或单一资产安全风险评估的局限性。

公开(公告)号：CN114760216A

公开(公告)日：2022-07-15

申请号：CN202210377822.6

申请日：2022-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾子骁 ,  张宇鹏 ,  严寒冰 ,  吕志泉 ,  惠榛 ,  刘佳男 ,  于泽研 ,  翟墨涵

IPC: H04L43/08 ,  H04L9/40

Abstract: 本申请的实施例公开了一种扫描探测事件确定方法、装置及电子设备，涉及网络安全技术领域，为提高扫描探测事件的检测效率而发明。所述方法，包括：获取待分析流量中的报文；提取所述待分析流量中的报文中各条报文的源IP地址；根据所述各条报文中的源IP地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源IP地址相同；基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。本申请适用于扫描探测事件的检测。

公开(公告)号：CN113904796A

公开(公告)日：2022-01-07

申请号：CN202110995717.4

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  严定宇 ,  吕利锋 ,  严寒冰 ,  饶毓 ,  吕志泉 ,  秦佳伟

IPC: H04L9/40 ,  G06F21/56

Abstract: 本发明属于网络安全技术领域，且公开了网络安全检测用流量的设备后门检测方法，包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本，对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本，通过回溯过往的流量异常增多时，设备的异常现象，与注册表之间进行联合比对，并对当前进行实时监控，得出相较于只检查当前IP异常通讯和单一排查注册项，效率相对较高，且准确性通过比对也得到提升。