公开(公告)号：CN110515981A

公开(公告)日：2019-11-29

申请号：CN201810489734.9

申请日：2018-05-21

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘婧 ,  王丽宏 ,  郭杰 ,  肖崇蕙 ,  钟盛海 ,  顾杰 ,  王士承 ,  盛傢伟 ,  黄洪仁

IPC: G06F16/2458 ,  G06Q30/02

Abstract: 本发明涉及一种基于时空轨迹的用户识别方法及装置，包括：获取待识别用户的兴趣区域；构建待识别用户和数据库中用户的时空关系网络；利用node2vec算法计算所述待识别用户的特征向量和数据库中用户的特征向量；计算待识别用户特征向量与数据库中用户特征向量的相似度；通过所述相似度的排序，识别数据库中与待识别用户最相似的用户。本发明提供的技术方案综合考虑用户自身行为与用户间关系特征，兼顾对用户行为的稳定性和差异性的特征描述。其中，用户兴趣区域的获取更多的考虑行为稳定性，网络边权的设计更多的考虑差异性，采用多视角自主表示学习有助于获得更加鲁棒性的用户向量表示。

公开(公告)号：CN110225006A

公开(公告)日：2019-09-10

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN110188257A

公开(公告)日：2019-08-30

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN108055138A

公开(公告)日：2018-05-18

申请号：CN201810103708.8

申请日：2018-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  贝松涛 ,  丁丽 ,  李佳 ,  阚志刚 ,  陈彪 ,  付杰 ,  冯华兵 ,  康兴豪 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L9/32 ,  H04L29/06 ,  G06Q40/04 ,  H04L12/883

Abstract: 本发明涉及一种基于区块链的应用分发记录方法和系统，所述方法包括将所有记账节点和管理服务器构建为区块链网络，所述记账节点包括第一记账节点和第二记账节点，第一记账节点包括应用商店服务器，所述第二记账节点包括安全监管服务器；所述记账节点发起记账请求进行记账，更新区块链账本信息；其中，所述记账节点发起记账请求包括：所述第一记账节点发布应用和所述第二记账节点发现存在应用违规。本发明将区块链技术应用在应用分发记录中，通过维护统一的、分布式的、不可随意篡改的账本信息来记录应用分发，具有追溯力，实现有效监管，提高了应用分发监管的效率和可靠性。

公开(公告)号：CN119475330A

公开(公告)日：2025-02-18

申请号：CN202411400544.7

申请日：2024-10-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张榜 ,  肖崇蕙 ,  饶毓 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  周成飞

IPC: G06F21/56 ,  G06F16/958 ,  G06F16/951

Abstract: 本申请提供一种网页分析识别方法、装置及电子设备，涉及网络安全领域。该方法中，获取待检测网页网址；根据待检测网页网址爬取待检测网页内容，待检测网页内容包括源代码数据和图片数据；对源代码数据和图片数据分别进行预处理，得到页面的结构特征数据，将页面的结构特征数据与预设的FOFA规则的关键字一一对应得到对应关系；将FOFA规则加载至预设的AC算法的分析模块，并将结构特征数据作为输入数据，利用分析模块将输入数据与关键字对应的关键值进行匹配分析，输出匹配的规则标识；根据匹配的规则标识，从预设的数据库中匹配规则标识的相关描述信息，根据相关描述信息确定是否为恶意网址，能够适应不同类型网址。

公开(公告)号：CN118316730B

公开(公告)日：2025-01-21

申请号：CN202410711421.9

申请日：2024-06-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  严定宇 ,  吕利峰 ,  贺铮 ,  周昊 ,  周彧 ,  金忠峰 ,  刘玲 ,  肖崇蕙

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明属于网络攻击检测领域，具体公开了一种针对邮箱的网络攻击异常行为检测方法，具体包括：S1：捕获网络流量PCAP数据包；S2：解析捕获的网络流量PCAP数据包，过滤邮件收件协议的加密流量；S3：对所述邮件收件协议的加密流量进行深度检测，提取非加密元数据以及会话的时间；S4：根据提取的非加密元数据以及会话的时间筛选有效交互会话，并补充源IP和目的IP的单位信息；S5：基于源IP在特定时间访问多个不同目的IP的模式，自动产生告警。本发明从攻击者的角度出发，通过对加密邮件流量的统计分析，建立收信异常行为模型，以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。

公开(公告)号：CN119109697A

公开(公告)日：2024-12-10

申请号：CN202411400533.9

申请日：2024-10-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张榜 ,  肖崇蕙 ,  饶毓 ,  石建 ,  温森浩 ,  姚力 ,  邓焕

IPC: H04L9/40

Abstract: 本申请涉及基于流量数据的仿冒网站识别方法、设备、介质和产品，方法包括：基于已知仿冒网站集合进行特征提取和汇总，确定行业定向仿冒网站对应的网站模板。然后，基于网站模板进行网站模板特征分析，并基于粗放规则和流量数据进行流量碰撞，确定可疑网站集合。进而，基于可疑网站集合进行多维特征分析，并基于精细规则和可疑网站集合进行仿冒网站识别，确定待确认仿冒网站集合。最终，基于操作指令和待确认仿冒网站集合，得到已确认仿冒网站。通过设置粗放规则和精细规则两层仿冒网站筛选和识别操作，使得仿冒网站识别更加具有针对性和准确性，并更加深入地挖掘了仿冒网站的本质特征，减少了误报和漏报，提高了仿冒网站识别的准确度。

公开(公告)号：CN113609234A

公开(公告)日：2021-11-05

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。

公开(公告)号：CN108737373B

公开(公告)日：2020-09-22

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。