公开(公告)号：CN108055246B

公开(公告)日：2020-11-24

申请号：CN201711227117.3

申请日：2017-11-29

申请人： 国家计算机网络与信息安全管理中心

发明人： 孙波 ,  张建松 ,  司成祥 ,  李应博 ,  张伟 ,  杜雄杰 ,  姜栋 ,  房婧 ,  姚姗 ,  高昕 ,  李轶夫 ,  刘成 ,  侯美佳 ,  盖伟麟 ,  王亿芳 ,  董建武 ,  胡晓旭 ,  王梦禹 ,  毛蔚轩 ,  张泽亚 ,  李胜男

IPC分类号： H04L29/06

摘要： 本发明提供了一种非正常网络空间资产自动加入黑名单的控制系统，其包括检测单元、接收单元、处理模块，通过处理模块对企业的网络空间资产进行处理，将检测到的企业同一IP上绑定超过预定数目个域名或同一域名上绑定超过预定数目个数据，则将其加入黑名单，并只获取该IP的预定数目个域名或域名上的预定数目个数据。本发明通过处理模块将非正常企业IP的域名以及非正常企业域名的数据加入黑名单，使得本发明能够将网络中真正重要的网络资产过滤后，再进行安全分析。本发明通过将非正常网络空间资产加黑后，可以快速实现企业对网络资产进行处理，使企业的网络资产都是企业的真实资产。

公开(公告)号：CN111950282A

公开(公告)日：2020-11-17

申请号：CN202010653575.9

申请日：2020-07-08

申请人： 国家计算机网络与信息安全管理中心 ,  北京永信至诚科技股份有限公司

发明人： 孙波 ,  李应博 ,  张伟 ,  司成祥 ,  张建松 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  房婧 ,  侯美佳 ,  孟杰

IPC分类号： G06F40/295 ,  G06F16/2458 ,  G06Q50/00

摘要： 本申请公开了一种基于网络行为特征的扩线分析方法和装置，其中，所述方法包括：基于预设的协议特征知识库和命名实体识别技术，利用预设的数据挖掘算法对网络行为数据进行深度挖掘，获得目标网络行为数据；将深度挖掘出的所述目标网络行为数据，采用预设的社会网络行为分析算法进行运算分析，按照不同网络行为类型进行分析统计及归类，实现对不同网络社交圈的社群网络划分；构建以社群网络为核心的关系网络，基于获取的同一关系网络中的网络行为特征数据实现扩线分析，并将扩线结果呈现在显示屏上。采用本申请所述的基于网络行为特征的扩线分析方法，提高了人员关系梳理、推导、关联的效率，丰富了扩线的显示方式，极大提升了用户的使用体验。

公开(公告)号：CN110460611A

公开(公告)日：2019-11-15

申请号：CN201910762659.3

申请日：2019-08-16

申请人： 国家计算机网络与信息安全管理中心

发明人： 孙波 ,  李应博 ,  张伟 ,  司成祥 ,  张建松 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  房婧 ,  侯美佳 ,  董建武

IPC分类号： H04L29/06 ,  G06N20/00

摘要： 本发明涉及网络检测技术领域，尤其是一种基于机器学习的全流量攻击检测技术，其步骤为：(1)获取漏洞利用数据包，捕获网络数据包；(2)提取规则，通过获取的漏洞利用的网络数据包，通过该数据包对漏洞利用的网络特征分析并进行规则提取；(3)测试规则，线下使用yara官方的规则测试工具，对提取出来的规则和捕获到的漏洞利用数据包进行测试；(4)规则应用，将测试后的规则在后续的流量分析里进行应用，对匹配该规则的会话进行告警并保存原始的流量数据包，本发明能够提升分析工作的效率，大大提高安全对抗的能力。

公开(公告)号：CN109992514A

公开(公告)日：2019-07-09

申请号：CN201910257181.9

申请日：2019-04-01

申请人： 国家计算机网络与信息安全管理中心

发明人： 毛蔚轩 ,  孙波 ,  李应博 ,  张伟 ,  司成祥 ,  孙立远 ,  张建松 ,  李胜男 ,  盖伟麟

IPC分类号： G06F11/36 ,  G06F21/57

摘要： 本发明提供了一种基于可视化内容的移动应用动态分析方法，包括：点击移动应用中各类可视化内容元素，触发移动应用的动态行为，对动态行为进行分类，记录可视化内容元素和对应的动态行为；在记录中提取可视化内容元素的特征向量，根据动态行为分类的结果，构造动态行为关于可视化内容元素特征向量的关系模型；根据关系模型，预测点击待执行动态分析的移动应用的任意可视化内容元素后产生每类动态行为的概率，即动态行为触发概率；根据动态行为触发概率，采用点击策略点击待分析移动应用页面中的可视化内容元素，触发移动应用动态行为，完成对移动应用的动态分析。本发明的方法可以提高移动应用功能性测试效率和安全性测试效率。

公开(公告)号：CN108833525A

公开(公告)日：2018-11-16

申请号：CN201810582418.6

申请日：2018-06-07

申请人： 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

发明人： 孙波 ,  房婧 ,  王亿芳 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  侯美佳 ,  张泽亚 ,  胡小勇 ,  谢铭 ,  王峰 ,  汪军强

IPC分类号： H04L29/08 ,  G06F8/71 ,  G06F8/61

摘要： 本发明提供了一种基于Fiddler的HTTPS流量内容的审计方法，涉及计算机技术领域。该方法首先在局域网、企业的出口网关处安装Fiddler软件；启动Fiddler软件，生成根CA证书，并分发至局域网和企业内部的机器，使之信任；局域网和企业内部的机器的代理服务设置为部署Fiddler的服务器的IP，端口为8888；启动Fiddler并打开HTTPS协议数据的捕获开关，Fiddler底层启动捕包处理流程，捕获网卡上所有数据包。编写处理插件代码并编译为dll文件，对实时捕获的HTTPS协议数据包的请求包和返回包提取字段并保存；编写HTTPS正则匹配模块的代码并编译为exe文件，对data目录中保存的文本文件进行正则匹配，生成日志。本发明以一种最小代价、灵活部署，满足对局域网、企业内部中小客户的HTTPS流量内容的审计要求。

公开(公告)号：CN118332500A

公开(公告)日：2024-07-12

申请号：CN202410530163.4

申请日：2024-04-29

申请人： 国家计算机网络与信息安全管理中心

发明人： 司成祥 ,  毛蔚轩 ,  房婧 ,  李胜男 ,  张梦菲

IPC分类号： G06F18/25 ,  G06F16/25 ,  G06N3/043 ,  G06F18/22 ,  H04L67/10

摘要： 本发明涉及大数据技术领域，公开了一种服务于云上服务资产探测的多源数据智能融合方法，首先对不同服务器数据源的信息进行标准化处理，统一数据源格式，具体包括格式化处理、使用ETL工具和自有数据处理代码进行数据转换和清洗；使用Magika工具，基于AI技术识别文件格式和内容；采用深度学习模型进行数据特征提取和分类；进行数据源加权与自动优化迭代，采用加权平均方法，根据每个数据源的权重计算综合置信度；利用机器学习和模式识别技术，创建自规则指纹库；构建基于模糊逻辑的分析框架，进行数据融合，输出探测结果集。本发明通过测绘系统对公有云资产进行了多维度的统计分析，揭示了资产的暴露状况，包括归属单位、活跃主机、开放端口和外部服务等关键信息，为风险评估和管理奠定了基础。

公开(公告)号：CN108650229B

公开(公告)日：2021-07-16

申请号：CN201810298535.X

申请日：2018-04-03

申请人： 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

发明人： 孙波 ,  房靖 ,  杜雄杰 ,  姚珊 ,  侯美佳 ,  董建武 ,  李胜男 ,  张泽亚 ,  刘云昊 ,  谢印东 ,  王俊彪 ,  韩兆岩 ,  李硕 ,  冯家玮

IPC分类号： H04L29/06 ,  G06F21/55

摘要： 本申请提供了一种网络应用行为解析还原方法及系统，能够提升信息安全审计的安全精度。网络应用行为解析还原方法包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；对获取的网络应用行为信息流进行信息安全审计。

公开(公告)号：CN108833525B

公开(公告)日：2021-06-25

申请号：CN201810582418.6

申请日：2018-06-07

申请人： 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

发明人： 孙波 ,  房婧 ,  王亿芳 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  侯美佳 ,  张泽亚 ,  胡小勇 ,  谢铭 ,  王峰 ,  汪军强

IPC分类号： H04L29/08 ,  G06F8/71 ,  G06F8/61

摘要： 本发明提供了一种基于Fiddler的HTTPS流量内容的审计方法，涉及计算机技术领域。该方法首先在局域网、企业的出口网关处安装Fiddler软件；启动Fiddler软件，生成根CA证书，并分发至局域网和企业内部的机器，使之信任；局域网和企业内部的机器的代理服务设置为部署Fiddler的服务器的IP，端口为8888；启动Fiddler并打开HTTPS协议数据的捕获开关，Fiddler底层启动捕包处理流程，捕获网卡上所有数据包。编写处理插件代码并编译为dll文件，对实时捕获的HTTPS协议数据包的请求包和返回包提取字段并保存；编写HTTPS正则匹配模块的代码并编译为exe文件，对data目录中保存的文本文件进行正则匹配，生成日志。本发明以一种最小代价、灵活部署，满足对局域网、企业内部中小客户的HTTPS流量内容的审计要求。

公开(公告)号：CN111949696A

公开(公告)日：2020-11-17

申请号：CN202010652499.X

申请日：2020-07-08

申请人： 国家计算机网络与信息安全管理中心 ,  北京永信至诚科技股份有限公司

发明人： 孙波 ,  李应博 ,  张伟 ,  司成祥 ,  张建松 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  王亿芳 ,  胡晓旭 ,  王梦禹 ,  孟杰

IPC分类号： G06F16/2457 ,  G06F16/2458 ,  G06F16/248

摘要： 本申请公开了一种全要素关联分析方法和装置，其中，所述方法包括：获得目标对象的目标元数据，并进行关键数据提取；利用预设的领域知识智能关联规则和智能算法将提取的所述关键数据进行深入挖掘和关联分析，生成目标对象的全要素关联模型图数据；将获取的全要素关联模型图数据，根据需要呈现在显示屏上。采用本申请所述的全要素关联分析方法，能够提高人群社会关系和人员关系梳理、推导以及关联分析的效率，依托大数据智能分析平台，提供目标人群的全要素关联关系数据，极大提升了用户的使用体验。

公开(公告)号：CN110445802A

公开(公告)日：2019-11-12

申请号：CN201910759084.X

申请日：2019-08-16

申请人： 国家计算机网络与信息安全管理中心

发明人： 孙波 ,  李应博 ,  张伟 ,  司成祥 ,  张建松 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  王亿芳 ,  胡晓旭 ,  王梦禹

IPC分类号： H04L29/06 ,  H04L9/32

摘要： 本发明涉及网络防护技术领域，尤其是一种基于数字证书的威胁发现模型构建技术，其步骤为：(1)对指定IP端的端口进行探测：(1.1)获取端口证书的详细信息；(1.2)获取连接响应时间差；(1.3)获取端口连接首页信息；(1.4)获取其他端口信息；(2)对获取的数据进行分析：(2.1)对于证书进行分析；(2.2)计算首页超连接量；(2.3)分析连接响应时间；(2.4)对于首页信息进行数据大小分析；(2.5)对应探测到的其他端口进行筛选分析，本发明能够构建可疑窃密指纹分析模型，实现对特定场景的针对性监测与发现。