公开(公告)号：CN108306901B

公开(公告)日：2020-10-09

申请号：CN201810448681.6

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  陈阳 ,  周昊 ,  饶毓 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  狄少嘉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙 ,  程亚楠 ,  许海燕

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种获取域名WHOWAS注册信息的方法，其解决了现有方法不能及时获取域名WHOWAS注册信息的技术问题；包括以下步骤：步骤1，对域名预处理，判断域名字符组成上是否正确，并将域名处理为注册域名的结构；步骤2，首次获取和解析域名的WHOIS关键信息：步骤3，根据轮询探测策略，对已获取WHOIS关键信息的域名进行探测，对符合不同条件的域名使用不同的轮询探测策略，获取并解析域名的WHOIS关键信息；步骤4，根据WHOIS信息更新规则，判断WHOIS信息是否更新，而产生并储存WHOWAS信息。本发明广泛应用于信息技术领域。

公开(公告)号：CN110225007A

公开(公告)日：2019-09-10

申请号：CN201910446822.5

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  张胜军 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  朱天 ,  胡俊 ,  张腾 ,  何能强

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明涉及一种webshell流量数据聚类分析方法以及控制器和介质，所述方法包括:获取webshell流量数据集合，所述webshell流量数据集合包括多条webshell流量数据；计算每条所述webshell流量数据与预设的待分析的webshell流量数据的编辑距离；将所述编辑距离小于预设距离阈值的webshell流量数据与所述待分析的webshell流量数据聚类。本发明不受webshell攻击工具类型的限制，具有通用性且准确度高。

公开(公告)号：CN109960729A

公开(公告)日：2019-07-02

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F17/27 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN108683569A

公开(公告)日：2018-10-19

申请号：CN201810585690.X

申请日：2018-06-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 严寒冰 ,  李佳 ,  马莉雅 ,  李志辉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  杜飞

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明提出一种面向云服务基础设施的业务监测方法及系统，属于云服务的基础设施领域。包括控制中心服务器以及布置在各地区的拨测服务器。其中，在各拨测服务器上布置有云服务拨测模块，在控制中心服务器上布置有拨测任务下发模块、数据采集模块、拨测数据分析模块、拨测告警模块和数据库；通过在不同地区设置拨测服务器，在控制中心服务器的WEB界面配置监测任务、拨测任务下发模块将监测任务的配置文件下发到各拨测服务器验证任务的目的IP正确性，采用了大范围异步拨测的监测方法，针对路由器、提供服务的DNS递归服务器，实现了对云服务基础设施的监测，减少数据包的丢失，实现负载均衡，具有较高的鲁棒性和稳定性。

公开(公告)号：CN108632286A

公开(公告)日：2018-10-09

申请号：CN201810454494.9

申请日：2018-05-14

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭晶 ,  严寒冰 ,  丁丽 ,  李佳 ,  陈阳 ,  刘婧 ,  张腾 ,  张帅 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  李世淙 ,  徐剑 ,  党向磊 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  许世彪 ,  张健 ,  宋磊 ,  沈炯

IPC: H04L29/06

CPC classification number: H04L69/18 ,  H04L69/22

Abstract: 本发明公开了一种多应用混合数据的解析方法，主要包括，A，获取待解析的多应用混合数据；B，根据A数据的多种特征，为数据增加应用标记；C，根据B应用标记，使用统一接口调用相应解析算法；D，根据B应用标记，将C解析算法的输出结果输出到相应的解析结果表；E，针对新的应用，采用标准化方法实现框架的快速扩展。本发明能够识别混合数据中的多种应用，并采用统一接口对各种应用数据进行协议解析的目的，通过此方法提供了一个统一框架，能够识别混合数据中的多种应用，通过统一接口自动调用相应的解析算法实现解析，通过应用标记自动存到相应的解析结果表，并能够快速、标准化的扩展新的应用类型。

公开(公告)号：CN108446186A

公开(公告)日：2018-08-24

申请号：CN201810089811.1

申请日：2018-01-30

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  严寒冰 ,  孙才俊 ,  张华 ,  丁丽 ,  李佳 ,  石亚彬 ,  曹中全 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: G06F11/14 ,  G06F21/56

Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法，包括以下步骤：步骤1、定位目标程序的DexFile结构体在内存中的地址，其中，所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序；步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体；步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段；步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复，从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件，适用于多种Android应用加固方案，具有通用性，且方法简单有效，便于实施和维护。

公开(公告)号：CN108229172A

公开(公告)日：2018-06-29

申请号：CN201810148627.X

申请日：2018-02-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  张帅 ,  严寒冰 ,  丁丽 ,  李佳 ,  李志辉 ,  张腾 ,  温森浩 ,  陈阳 ,  王适文 ,  姚力 ,  朱芸茜 ,  徐剑 ,  雷君 ,  王小群 ,  肖崇蕙 ,  贾子骁 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06F21/56

Abstract: 本发明涉及一种基于windows平台的跨层次数据流追踪方法，包括获取windows操作系统内核态和用户态之间用于进行数据交换的API信息；运行待分析程序，执行待分析程序的指令；遍历操作系统中的进程，获取与待分析程序进程名称一致的进程，标记为监控进程；将执行监控进程时所产生的数据标记为用户态被监控数据；所述待分析程序调用API过程中，若对应的输入参数为所述用户态被监控数据，则将输入后映射的内核数据标记为内核态被监控数据；对用户态被监控数据和内核态被监控数据进行数据流追踪分析，从而判断待分析程序是否有恶意行为发生。本发明可以分析同时具有用户态代码和内核态代码的恶意程序，能够完整地监控数据在程序中的处理过程，准确度高。