公开(公告)号：CN103544258A

公开(公告)日：2014-01-29

申请号：CN201310484503.6

申请日：2013-10-16

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 云晓春 ,  徐小琳 ,  王明华 ,  刘阳 ,  李志辉 ,  吴广君 ,  王树鹏 ,  王勇 ,  常为领

IPC: G06F17/30

CPC classification number: G06F17/30864

Abstract: 本发明涉及一种大数据多区间查询条件下的基数估计方法及装置，包括以下步骤：按照数值属性对大数据预先划分成多个分区；建立树形索引结构，每个分区作为树形索引结构的一个节点；获取待写入树形索引结构的数据源，对支持区间查询条件的数据源进行倒排索引处理；将经过倒排索引处理的数据源写入树形索引结构中的节点内，将数据源的相应部分分别写入数据文件及基数估算器内；根据区间查询条件在树形索引结构中查询满足区间查询条件的节点，得到节点中的基数估算器，对基数估算器进行逻辑处理，得到基数估算值。本发明通过降低数据的计算精度提高基数统计效率，在任意多区间查询条件下，具备较高的查询效率，使用了大数据增量更新技术提高索引数据在线更新效率。

公开(公告)号：CN110875917B

公开(公告)日：2022-02-25

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L9/40 ,  G06F21/56

公开(公告)号：CN113255724A

公开(公告)日：2021-08-13

申请号：CN202110405262.6

申请日：2021-04-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  温森浩 ,  贾子骁 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  徐剑 ,  郭晶 ,  马莉雅 ,  冯逸 ,  吴明悦 ,  周彬

IPC: G06K9/62

Abstract: 本文公开一种识别节点类型的方法、装置、计算机存储介质及终端，本发明实施例对待区分节点类型的网络，从网络流量数据中提取节点的两个以上特征信息，其中，特征信息包括：全局被连接次数，以及全局接入流量和/或全局接入节点数量；根据提取的节点的两个以上特征信息生成节点对应的特征矩阵；对生成的网络的所有节点的特征矩阵进行聚类处理，并根据聚类结果识别节点类型。本发明实施例对从网络流量数据中提取节点的两个以上特征信息采用聚类处理，实现了节点类型的识别，提升了节点类型的识别效率。

公开(公告)号：CN113242236A

公开(公告)日：2021-08-10

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。

公开(公告)号：CN113239968A

公开(公告)日：2021-08-10

申请号：CN202110404731.2

申请日：2021-04-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  张宇鹏 ,  雷君 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  徐剑 ,  郭晶 ,  马莉雅 ,  冯逸 ,  吴明悦 ,  周彬

IPC: G06K9/62

Abstract: 本文公开一种实现服务器分类的方法、装置、计算机存储介质及终端，本发明实施例从待确定服务类型的服务器的网络会话数据中获取服务器的服务信息；其中，服务信息包括：提供的服务类型及次数；将预先确定的两个服务器是否提供相同类型服务的成对约束信息与获取的服务信息通过半监督层次聚类算法进行聚类后，实现了具有多项服务功能的服务器的分类。

公开(公告)号：CN110149343B

公开(公告)日：2021-07-16

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

公开(公告)号：CN112737101A

公开(公告)日：2021-04-30

申请号：CN202011418780.3

申请日：2020-12-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  桑亚飞

IPC: H02J13/00 ,  G06Q50/06

Abstract: 本发明涉及一种面向多监测域的网络安全风险评估方法及系统，其中面向多监测域的网络安全风险评估方法，包括：对资产的机密性、完整性、可用性和资产类型重要性进行评分，以得到资产的价值；对资产进行脆弱性扫描，得到资产的脆弱性值；对资产在预设周期内的多源威胁检测引擎告警日志进行分析，得到资产所遭受攻击的威胁度值；根据资产的价值、脆弱性值和威胁度值，得出资产安全风险值；根据资产的安全风险值，计算该资产所在子域在预设周期内的安全风险值；根据子域的安全风险值，计算该子域所在全网在预设周期内的安全风险值。本发明从多维度对多子域多资产安全风险进行监测评估，改善现有方法面向单一信息系统或单一资产安全风险评估的局限性。

公开(公告)号：CN107580022B

公开(公告)日：2020-11-06

申请号：CN201710651994.7

申请日：2017-08-02

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  舒敏 ,  丁丽 ,  李佳 ,  郭伟 ,  林浩 ,  张华 ,  姜春晓 ,  徐蕾 ,  胡兵 ,  刘杨 ,  阚志刚 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明涉及一种数据共享系统和方法，所述系统包括：一个或多个数据中心服务器、一个或多个数据管理服务器和数据库，其中，所述数据中心服务器用于接收客户端提交的数据信息，进行数据交换以及发送客户端所需获取数据信息，并对客户端提交的数据信息，交换的数据信息以及发送客户端所需获取数据信息进行检验和评估，将客户端提交的数据信息和客户端所需获取数据信息以及对应的检验和评估结果存储在数据库中；所述数据管理服务器用于管理对应的一个或多个个数据中心服务器，并将客户端提交数据和客户端获取数据的过程信息存储到数据库中。本发明能对数据发现、共享公开审计，且还能提供可信的数据评估过程，提高了数据共享的可靠性。

公开(公告)号：CN111832019A

公开(公告)日：2020-10-27

申请号：CN202010524261.9

申请日：2020-06-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  梅瑞 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  马莉雅 ,  沈元 ,  王琴琴

IPC: G06F21/56 ,  G06N3/04 ,  G06N3/00

Abstract: 本发明涉及一种基于生成对抗网络的恶意代码检测方法，包括:采集恶意代码样本集和良性样本集；提取恶意代码样本集和良性样本集中每一样本的静态特征和动态特征；将每一样本的静态特征和动态特征进行组合，得到每一样本组合特征；将所有样本组合特征输入预先设置的生成器G中，生成对抗样本集；将对抗样本集输入预先设置的判别器D中，判别每个对抗样本是否为恶意代码，并标记是否为恶意代码的标签，再将附带标签的对抗样本集反馈到生成器G中，持续优化所述生成器G；将附带标签的对抗样本集作为训练集进行训练，得到恶意代码分类模型；基于恶意代码分类模型检测待测样本是否为恶意代码。本发明提高了恶意代码检测的准确度和效率。

公开(公告)号：CN111726322A

公开(公告)日：2020-09-29

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L29/06 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。