公开(公告)号：CN108446186B

公开(公告)日：2022-05-13

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN108446186A

公开(公告)日：2018-08-24

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN109784057A

公开(公告)日：2019-05-21

申请号：CN201910008863.6

申请日：2019-01-04

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 严寒冰 ,  何能强 ,  丁丽 ,  李佳 ,  张华 ,  秦佳伟 ,  王森淼 ,  马宏谋 ,  石亚彬 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳 ,  沈阿娜 ,  占深信 ,  黄薪宇 ,  杜代忠

IPC: G06F21/56

Abstract: 本发明涉及一种安卓应用加固识别方法、控制器及介质，所述方法包括：获取待检测APK的四大组件比例和/或可疑文件比例，将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

公开(公告)号：CN108710800A

公开(公告)日：2018-10-26

申请号：CN201810495785.2

申请日：2018-05-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 王适文 ,  何能强 ,  严寒冰 ,  孙才俊 ,  秦素娟 ,  张华 ,  丁丽 ,  李佳 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/562 ,  G06K9/6267

Abstract: 本发明涉及一种安卓应用程序的加壳识别方法，包括从已标记的APK文件中提取应用特征，构建样本集，其中，所述已标记的APK文件包括标记为加固的APK文件和标记为未加固的APK文件；将所述样本集划分为训练集和测试集；根据所述样本集和测试集训练预设分类器，选择最优分类器；将待检测的APK文件输入所述最优分类器来识别其是否加壳。本发明采用静态方式提取特征，利用机器学习模型对安卓应用程序进行加壳识别，提高了加壳识别的效率和准确率。

公开(公告)号：CN109347786A

公开(公告)日：2019-02-15

申请号：CN201810924887.1

申请日：2018-08-14

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心湖南分中心

Inventor： 康金钟 ,  胡国良 ,  肖刚 ,  张超 ,  胡嘉俊 ,  张勇 ,  严寒冰 ,  饶毓 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站检测方法，所述方法包括:提取待检测网站的访问数据；根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数；若所有检测结果均为非钓鱼网站，则所述待检测网站为非钓鱼网站，否则，所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测，从而可以准确有效地识别钓鱼网站。

公开(公告)号：CN119276526A

公开(公告)日：2025-01-07

申请号：CN202410428938.7

申请日：2024-04-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  郭晶 ,  王宏宇 ,  白寿颖 ,  刘玲

IPC: H04L9/40

Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法，首先收集已被发现的僵尸程序样本，建立僵尸网络命令与控制指令特征数据集；通过分析网络流入流出流量，识别并记录符合指令特征的会话信息，记录僵尸网络命令与控制日志；将命令与控制日志和网络流量中域名请求日志进行实时关联，在命令与控制日志增加C2控制域名字段；最后利用僵尸网络控制规模测量算法分析命令与控制日志，计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数，感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模，覆盖范围更全面，测量方法准确。

公开(公告)号：CN114826670B

公开(公告)日：2024-03-29

申请号：CN202210295069.6

申请日：2022-03-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。

公开(公告)号：CN112910832B

公开(公告)日：2022-08-30

申请号：CN202010089587.3

申请日：2020-02-11

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  黄亮 ,  李佳 ,  严寒冰 ,  张良 ,  云晓春 ,  陈训逊 ,  王博 ,  周昊 ,  党向磊 ,  郑礼雄 ,  郭三川 ,  刘伟 ,  王鼎华 ,  吕志泉 ,  高川 ,  徐剑 ,  李明哲

IPC: H04L9/40

Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括：将域名转化为图片，获得图片向量；针对图片向量进行格式化，获得缩放图片向量；针对缩放图片向量进行灰度化，获得一维图片向量；针对一维图片向量进行归一化，获得归一化图片向量；根据测试集计算不同阈值情况下的准确率，以准确率最大时对应的阈值为实际应用阈值；获取归一化图片向量的直方图特征向量，计算与已知域名对应图片的相似度；根据相似度与实际应用阈值，判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片，通过图片识别，分析出仿冒国际化域名，方法具有普适性，且分析成本较低。

公开(公告)号：CN113900997A

公开(公告)日：2022-01-07

申请号：CN202110995686.2

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  刘玲 ,  张榜 ,  朱天 ,  周昊 ,  徐剑 ,  严定宇

IPC: G06F16/16 ,  G06F16/182 ,  G06F16/172

Abstract: 本发明属于数据处理技术领域，且公开了基于NFS的动态文件快速精准的还原处理方法，具体操作步骤如下：第一步，将需要处理的数据集中输入到待处理数据库；第二步，随后将待处理数据库中的数据系统分配到各个分级处理程序中。本发明通过预先对文件数据进行块状化处理，随后设定对应的限定值，采用阶段式文件处理的手段，有效的规避了传统的集中处理情况，本专利实现了NFS协议基于流的文件还原流程，不需要缓存大量文件，预先还设置有多个对接设备，将庞大的数据文件一分为多，同步加快其工作效率，最终在设置对应的汇总程序，预先处理好的部分文件会被拼接在一起，最终输出则是一个完整有效的还原文件。