公开(公告)号：CN117675290A

公开(公告)日：2024-03-08

申请号：CN202311524841.8

申请日：2023-11-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  胡俊 ,  张榜 ,  严寒冰 ,  韩志辉 ,  王宏宇 ,  严定宇 ,  贺铮

IPC: H04L9/40 ,  H04L45/02

Abstract: 本发明是有关于一种路由异常检测和处置方法，首先根据实时的路由快照和路由更新报文信息，在内存构建实时的全球路由前缀可达信息视图；然后，提取实时的路由前缀归属信息、路由传输路径三元组关系信息以及路由前缀可见性信息，再根据路由异常的特征快速检测路由异常事件。其处置方法是首先对路由事件进行定级和影响评估；然后确定事件源头和确定涉事组织机构；最后针对不同的路由异常事件类型制定不同的应急处置模版，下发到涉事组织机构，进行协同处置。本发明解决了严重影响网络和服务的性能，对行业应用造成巨大经济损失，对网络运营产生重大影响的问题，使其可以快速检测路由异常事件并进行处置，提高网络运营商路由异常事件处置能力。

公开(公告)号：CN111832019B

公开(公告)日：2024-02-23

申请号：CN202010524261.9

申请日：2020-06-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  梅瑞 ,  吕志泉 ,  严寒冰 ,  丁丽 ,  李志辉 ,  马莉雅 ,  沈元 ,  王琴琴

IPC: G06F21/56 ,  G06N3/045 ,  G06N3/006 ,  G06N3/0475 ,  G06N3/094 ,  G06F18/24

Abstract: 本发明涉及一种基于生成对抗网络的恶意代码检测方法，包括:采集恶意代码样本集和良性样本集；提取恶意代码样本集和良性样本集中每一样本的静态特征和动态特征；将每一样本的静态特征和动态特征进行组合，得到每一样本组合特征；将所有样本组合特征输入预先设置的生成器G中，生成对抗样本集；将对抗样本集输入预先设置的判别器D中，判别每个对抗样本是否为恶意代码，并标记是否为恶意代码的标签，再将附带标签的对抗样本集反馈到生成器G中，持续优化所述生成器G；将附带标签的对抗样本集作为训练集进行训练，得到恶意代码分类模型；基于恶意代码分类模型检测待测样本是否为恶意代码。本发明提高了恶意代码检测的准确度和效

公开(公告)号：CN115242438B

公开(公告)日：2023-09-01

申请号：CN202210680348.4

申请日：2022-06-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 虞宇琪 ,  彭成维 ,  唐剑琪 ,  严寒冰 ,  王强 ,  代锐 ,  韩志辉 ,  潘泉波 ,  周昊 ,  刘俊贤 ,  于洪妍 ,  曹晓菲 ,  卫斌 ,  姚怡云 ,  邹周

IPC: H04L9/40 ,  H04L41/16 ,  H04L41/14 ,  G06N3/042 ,  G06N3/088 ,  G06N3/0895

Abstract: 本发明是有关于一种基于异质信息网络的潜在受害群体定位方法，包括如下步骤：步骤1：数据接入,采集接入威胁情报及多源网络数据；步骤2：数据预处理,对威胁情报中的入侵指标与网络数据碰撞得到的原始数据进行数据过滤、数据清洗和特征工程；步骤3：多源异构数据融合,面向异构数据进行实体、属性和关系提取，构建实体关系图，生成异质信息网络；步骤4：核心算法,采用语义提取、模型构建和度量分析进行受害群体定位；步骤5：业务应用,实现网络攻击事件受害群体定位，支撑事件影响分析及通报处置。本发明基于异质信息网络实现多源网络安全数据的融合与关联，实现潜在受害者定位，并提出降维预处理流程，提高分析效率，降低人工成本。

公开(公告)号：CN116614315A

公开(公告)日：2023-08-18

申请号：CN202310887541.X

申请日：2023-07-19

Applicant: 国家计算机网络与信息安全管理中心江西分中心

Inventor： 傅小兵 ,  宗春鸿 ,  严寒冰 ,  周涛华 ,  冯波

IPC: H04L9/40 ,  H04L9/32 ,  H04L61/251

Abstract: 本发明提供了一种实现应用云安全托管的IPv6安全防护方法，运用于网络安全技术领域，其方法包括：计算业务数据包的数据包签名，将数据包签名插入业务数据包的应用层载荷数据；创建路径计算程序，将所述路径计算程序创建为验证数据包；将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点；对接收到的访问数据包进行关键要素提取，根据所述关键要素创建安全防护模型，将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成；数据包签名和路径计算程序确保了接收端接收的数据包就是应用发送的数据包，安全防护程序过滤掉非正常的访问数据包完成对应用的防护。

公开(公告)号：CN111797392B

公开(公告)日：2023-08-08

申请号：CN201910284057.1

申请日：2019-04-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06F21/56

Abstract: 本发明实施例公开了一种控制衍生文件无限分析的方法、装置及存储介质，涉及恶意代码分析技术领域，能够通过限制衍生文件的层级进而限制衍生文件的产生和分析，节省系统资源。所述方法包括：获取投入的待分析文件，并添加衍生层级数；若待分析文件产生衍生文件，则在父文件的衍生层级数基础上加1作为该衍生文件的衍生层级数；判断待分析文件的衍生层级数是否大于分析鉴定器的设定阈值，若是则阻止待分析文件进入分析鉴定器。

公开(公告)号：CN116467438A

公开(公告)日：2023-07-21

申请号：CN202211459436.8

申请日：2022-11-21

Applicant: 国家计算机网络与信息安全管理中心 ,  北京航空航天大学

Inventor： 严寒冰

IPC: G06F16/35 ,  G06F16/36 ,  G06F40/295 ,  G06N5/025 ,  H04L9/40

Abstract: 本发明公开了一种基于图注意力机制的威胁情报归因方法。本方法步骤如下：1、整理APT攻击组织的别名列表；2、根据别名列表，设计爬虫代码，并结合开源威胁情报存储库，采集公开威胁情报报告；3、自底向上进行APT攻击组织建模，设计威胁情报知识图谱结构；4、将威胁情报报告进行统一格式转化并存储，对非结构化威胁情报进行信息抽取及扩线，并用图数据库存储；5、对节点进行特征向量初始化；6、将异构网络映射为同构网络，并基于图注意力机制训练多分类模型对威胁情报报告节点分类；7、使用分类模型对待测试报告进行分类。通过以上步骤，本发明达到了以较高的准确率识别威胁情报报告类别，能有效为专家研判提供依据，减少安全分析人员压力。

公开(公告)号：CN116032576A

公开(公告)日：2023-04-28

申请号：CN202211627252.8

申请日：2022-12-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  吕卓航 ,  严定宇 ,  严寒冰 ,  曹华平 ,  贾世琳 ,  秦佳伟 ,  饶毓 ,  高川 ,  韩志辉

IPC: H04L9/40

Abstract: 本申请实施例提供一种基于不确定性攻击资源图谱的构建方法及系统，涉及网络安全技术领域。该基于不确定性攻击资源图谱的构建方法包括：获取团伙攻击行为的原始数据；根据所述原始数据进行所述团伙攻击的数据抽取，获得攻击资源实体之间的关联关系数据；根据预设置信度算法对所述关联关系数据进行处理，获得置信度信息；根据所述关联关系数据和所述置信度信息构建不确定性图谱。该基于不确定性攻击资源图谱的构建方法可以实现提高团伙攻击分析的有效性的技术效果。

公开(公告)号：CN115659331A

公开(公告)日：2023-01-31

申请号：CN202211184596.6

申请日：2022-09-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  王琴琴 ,  周彧 ,  梅瑞 ,  臧天宁

IPC: G06F21/56 ,  G06F18/23 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了基于时间序列的恶意软件归属攻击组织的判定方法。其主要步骤为：1)恶意软件的函数信息提取，提取恶意软件的函数信息；2)恶意软件的函数筛选，去除库函数和去除不包含API调用的函数；3)恶意软件的路径生成，恶意软件的路径生成依据API调用和中介中心性；4)恶意软件的特征向量化，特征使用ACFG特征对基本块进行向量化；5)恶意软件的关键路径片段生成，使用时间序列算法从路径中提取关键路径片段；6)恶意软件归属攻击组织，使用分类器进行恶意软件归属攻击组织的判定。本发明对恶意软件进行攻击组织归属准确率高。

公开(公告)号：CN113242157B

公开(公告)日：2022-12-09

申请号：CN202110500263.9

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  高川 ,  肖崇蕙 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L43/04 ,  H04L43/06

Abstract: 本发明提出了一种分布式处理环境下的集中式数据质量监测方法，本申请涉及一种数据质量监测方法，尤其涉及一种分布式处理环境下的集中式数据质量监测方法，属于数据分析技术领域。根据实际监测需要配置待监测的数据灵活配置监测规则，对待监测数据进行监测，数据质量监测服务获取待监测数据后，把待监测数据集进行分块，让多个计算节点对分布式内存上的数据同时根据配置并行计算，然后将对多个计算节点上的计算结果进行汇总后生成监测结果，生成数据质量监测报告，从而辅助运维人员快速发现数据质量问题进而跟踪解决，以此提升实时数据中心平台的数据质量；解决了现有技术中存在的数据质量监测方法配置不灵活且不利于管理的技术问题。

公开(公告)号：CN112039859B

公开(公告)日：2022-12-09

申请号：CN202010831692.X

申请日：2020-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  周昊 ,  朱天 ,  明钢 ,  刘威歆

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明是有关于一种变长时间窗口下复杂图网络的聚类方法，其先选定单位时间窗口，将日志数据按照单位时间窗口划分，再计算笛卡尔积，计算聚类的簇的距离，依据距离划分攻击组织，其立足于攻击行为中的关键实体，基于模块度的衡量指标，依照关键实体与其他攻击资源的关系，采用Louvain算法对不同时间窗口内不同组织的关键实体进行聚合。然后对相邻两时间窗口下的簇进行比较与合并，从而形成在一定时间窗口下的攻击组织，实现了对变长时间窗口下的攻击组织进行了持续跟踪，并可从单位时间窗口角度对攻击组织的成员增加、减少等变化进行刻画，满足了对攻击组织变迁的了解需求。