公开(公告)号：CN119276519A

公开(公告)日：2025-01-07

申请号：CN202310818093.8

申请日：2023-07-05

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  王宏宇 ,  严定宇 ,  韩志辉 ,  贺铮 ,  周彧

IPC: H04L9/40 ,  G06F18/23 ,  G06F18/231

Abstract: 本发明是一种基于行为离群及统计特征的rootkit威胁检测方法和系统。通过识别已经加载的系统驱动，聚类获取系统驱动划分库；在待检测系统上，获取系统API的系统调用的堆栈跟踪及其子调用，使用调用和子调用的内存地址，查找内核模块在磁盘上的位置。通过检测的内核模块，获取其路径导出表，采用聚类时相同时的距离算法，查询驱动划分库的方法，判定系统中存在异常RootKit模块。其系统包括系统驱动识别器、驱动划分库建立器、受测系统数据采集器和RootKit检测器，本发明有效判定Rootkit威胁，解决了对未知恶意代码和具备自我隐藏行为情况下的rootkit检测问题。

公开(公告)号：CN114826670B

公开(公告)日：2024-03-29

申请号：CN202210295069.6

申请日：2022-03-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN116633622A

公开(公告)日：2023-08-22

申请号：CN202310597426.9

申请日：2023-05-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贾世琳 ,  雷君 ,  周昊 ,  秦佳伟 ,  贾子骁 ,  陆希玉 ,  吕志泉 ,  韩志辉

IPC: H04L9/40 ,  G06F40/30

Abstract: 本申请提供一种网络流量检测方法、装置、存储介质及电子设备，涉及通信领域。其中，电子设备接收待处理请求；从待处理请求中提取待处理文本；根据待处理文本的语义信息，确定待处理请求的访问目的。如此，相较于对网络请求所呈现的行为特征，本方案通过对待处理请求中的文本进行分析，能够取得更为准确的检测效果。

公开(公告)号：CN111611583B

公开(公告)日：2023-07-18

申请号：CN202010272730.2

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  韩志辉 ,  何永强

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/24 ,  G06N20/00

Abstract: 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。

公开(公告)号：CN113364780B

公开(公告)日：2022-11-04

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L9/40

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。

公开(公告)号：CN113609234A

公开(公告)日：2021-11-05

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN109190657B

公开(公告)日：2021-11-02

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。

公开(公告)号：CN113572631A

公开(公告)日：2021-10-29

申请号：CN202110599771.7

申请日：2021-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾子骁 ,  韩志辉 ,  贾世琳 ,  吕卓航 ,  严定宇

IPC: H04L12/24

Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括：由第一算子获取任务的第一数据包；其中，所述第一数据包由配置数据与第一源数据封装得到；由所述第一算子从所述第一数据包中获取与其对应的第一配置数据，并根据所述第一配置数据，对所述第一数据包中的第一源数据进行处理，得到第二源数据；由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包，并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下，对计算任务的计算逻辑进行更新，步骤简便且能够满足实时性要求较高的业务的需求。

公开(公告)号：CN113364780A

公开(公告)日：2021-09-07

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。