公开(公告)号：CN108416218A

公开(公告)日：2018-08-17

申请号：CN201810189199.5

申请日：2018-03-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 方喆君 ,  何跃鹰 ,  卓子寒 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  刘中金 ,  孙中豪 ,  鲁骁 ,  李程 ,  许伟健 ,  马明 ,  黄鑫 ,  安潇羽

IPC: G06F21/57

Abstract: 本发明公开了一种Web服务器漏洞验证方法，其基本构成可以分为核心数据库、Web服务器漏洞验证两部分，本发明的一种Web服务器漏洞验证方法，本发明提出一种可行的Web服务器漏洞验证方法，通过总结Web应用漏洞的产生规律，提取Web应用存在的潜在脆弱点，从攻防对抗双方的角度研究Web服务器漏洞验证技术。

公开(公告)号：CN107908627A

公开(公告)日：2018-04-13

申请号：CN201710284207.X

申请日：2017-04-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 董建武 ,  何跃鹰 ,  赵忠华 ,  王进 ,  卓子寒 ,  刘中金 ,  方喆君

IPC: G06F17/30

CPC classification number: G06F16/951 ,  G06F16/29

Abstract: 本发明公开了一种多语言的地图POI搜索系统，系统包括POI数据索引构建、POI搜索、结果排序3个部分，POI数据索引构建部分负责对数据库中的POI数据进行预处理，以生成便于检索的POI特征。POI搜索部分负责分析用户提交的待搜索文本，在POI数据库中进行检索匹配，生成候选结果集合，结果排序部分负责综合分析候选结果与用户查询文本之间的关联程度和POI本身的特征，生成按优先级排序的最终呈现给用户搜索结果序列。该系统能够处理多种语言及输入习惯的POI搜索请求，提供了一种简洁高效的POI搜索系统。

公开(公告)号：CN107169352A

公开(公告)日：2017-09-15

申请号：CN201710175748.9

申请日：2017-03-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  何跃鹰 ,  刘中金 ,  方喆君 ,  李海灵 ,  邹潇湘 ,  高昕 ,  侯美佳

IPC: G06F21/56

CPC classification number: G06F21/565 ,  G06F2221/033

Abstract: 本发明公开了一种基于加壳文件校验和的恶意软件检测方法，首先获取并分析待检测文件，判断待检测文件是否加壳，若是则判断该壳的种类是否为验证校验和的加壳方法；若是，则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和；对加壳的待检测文件进行脱壳；计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和；判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同，若不同且脱壳能够成功，则判定待检测文件为病毒。本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败，进而躲避反病毒软件查杀这种手段，可以有效的增加未知检测能力。

公开(公告)号：CN107154926A

公开(公告)日：2017-09-12

申请号：CN201710175755.9

申请日：2017-03-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  何跃鹰 ,  刘中金 ,  董建武 ,  李海灵 ,  邹潇湘 ,  王中华 ,  王锟

IPC: H04L29/06 ,  H04L12/58

CPC classification number: H04L63/1483 ,  H04L51/22

Abstract: 本发明公开了一种针对伪造发件人的钓鱼邮件的识别方法及系统，包括：判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加；若是由发送服务器添加，则提取by字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，若匹配则判定为正常邮件，否则判定为疑似钓鱼邮件；若是由接收服务器添加，则提取From字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，若匹配则判定为正常邮件，否则判定为疑似钓鱼邮件。本发明所述技术方案能够有效识别恶意邮件，防止恶意代码以邮件为前导方式进入用户系统。

公开(公告)号：CN107038375A

公开(公告)日：2017-08-11

申请号：CN201710175350.5

申请日：2017-03-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李海灵 ,  邹潇湘 ,  王中华 ,  王锟 ,  何跃鹰 ,  卓子寒 ,  刘中金 ,  董建武

IPC: G06F21/56

CPC classification number: G06F21/561 ,  G06F21/566

Abstract: 本发明公开了一种获取被感染的宿主程序的解密方法，包括分析已感染的宿主程序，确定恶意代码的解密函数的信息位置及状态参数；根据所述状态参数编写汇编代码，将宿主文件写入内存中；根据所述解密函数的位置信息以及状态参数，将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置；运行移动至代码段的解密函数，获得宿主程序代码，调整程序入口点并保存。本发明中分析人员从始至终都不需要了解病毒的解密方法，以及所需要的参数信息的含义，可以提高分析人员的分析效率，充分利用在动态分析病毒的过程中获得到的病毒的解密方法。

公开(公告)号：CN107025407A

公开(公告)日：2017-08-08

申请号：CN201710175347.3

申请日：2017-03-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李海灵 ,  邹潇湘 ,  高昕 ,  侯美佳 ,  何跃鹰 ,  卓子寒 ,  刘中金 ,  方喆君

IPC: G06F21/56 ,  G06F21/53

CPC classification number: G06F21/563 ,  G06F21/53 ,  G06F21/564

Abstract: 本发明公开了一种office文档文件的恶意代码检测方法，首先将待检测文档文件投入虚拟沙箱执行，并监控是否存在异常行为，若存在则判定待检测文档文件为疑似溢出文档文件，并进行进一步检测；然后提取待检测文档文件的宏代码，将所述宏代码与恶意宏代码特征库匹配，若匹配成功则判定待检测文档文件为宏病毒文档文件，否则运行所述宏代码，并监控是否存在联网行为，若存在则进行进一步检测,该方法适用于企业产品，能够有效防止恶意office文档文件进入用户系统进而执行恶意行为。

公开(公告)号：CN105991780A

公开(公告)日：2016-10-05

申请号：CN201510057358.2

申请日：2015-02-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李晗 ,  叶建伟 ,  何跃鹰 ,  晏杨 ,  郭承青 ,  许俊峰 ,  云晓春

IPC: H04L29/12

Abstract: 本发明提供一种基于互联网IP地址定位数据的IP地址定位系统和方法，系统包括数据提取层、数据处理层、数据存储层和验证融合层；方法包括初始化配置参数，并对采集到的互联网IP地址定位数据进行归一化处理；对互联网IP地址定位数据进行反向验证；互联网IP地址定位数据进行融合。本发明融合多个互联网IP地址定位数据库，使它们相互补充和完善，提高了数据覆盖面；使用了内存镜像进行数据的录入，极大的提高了效率；使用反向验证及基于信任的数据融合技术，提高了数据准确度。

公开(公告)号：CN104780178A

公开(公告)日：2015-07-15

申请号：CN201510212942.0

申请日：2015-04-29

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 吴志刚 ,  李楠宁 ,  何跃鹰 ,  罗浩 ,  朱海龙 ,  林绅文 ,  常为领 ,  张树壮 ,  杜雄杰 ,  李应博 ,  刘成 ,  房婧

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L67/143

Abstract: 本发明公开了一种用于防止TCP攻击的连接管理方法。该方法包括：获取TCP连接中原始数据包的连接状态和五元组信息，基于原始数据包的五元组信息生成第一层流表的链表；基于第一层流表选择TCP连接中连接状态为第三次握手的原始数据包之后的数据包作为安全数据包；根据安全数据包的五元组信息和负载数据生成第二层流表的链表。该方法通过第一层流表来过滤TCP攻击报文，在第二层流表中缓存安全数据流的负载数据，不仅能防止TCP攻击，还能实时更新服务器的缓存，及时释放僵死连接，高效管理服务器端的缓存资源。

公开(公告)号：CN104702605A

公开(公告)日：2015-06-10

申请号：CN201510106946.0

申请日：2015-03-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  李挺 ,  何跃鹰 ,  朱海龙 ,  杨克正

IPC: H04L29/06

CPC classification number: H04L63/14 ,  H04L63/02

Abstract: 本发明公开了一种用于内外网之间的业务的恶意代码识别方法及识别设备。该方法包括：监测内外网之间的业务；将所监测到的内外网之间的业务记录到业务数据库中；将所记录的业务的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较，以确定该业务中是否包括所述已知恶意代码特征串；以及在确定所述业务中包括所述已知恶意代码特征串的情况下，在所述业务数据库中将该业务标记为恶意代码。由此，能够在内外网的数据交换过程中，快速、准确地识别出主动通过网络感染的恶意代码，从而保证内网通信安全。

公开(公告)号：CN119150299A

公开(公告)日：2024-12-17

申请号：CN202411210229.8

申请日：2024-08-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张家琦 ,  何跃鹰 ,  李建强 ,  张晓明 ,  孙中豪 ,  张建松 ,  刘中金 ,  邢燕祯 ,  邹哲

IPC: G06F21/57

Abstract: 本发明公开一种通用处理器硬件安全综合评价方法及系统，属于芯片安全技术领域。所述方法包括：构建处理器芯片的硬件安全要求，所述硬件安全要求包含功能正确性要求、数据完整性要求、信息私密性要求和系统可用性要求；根据每一硬件安全要求对处理器芯片的影响，对该硬件安全要求进行重要性赋值；基于处理器的微架构示意图，获取该处理器对应的硬件安全要求集合；其中，每一硬件安全要求对应多个测试用例；基于所述测试用例完成该处理器的确定检测和/或随机测试；依据所述检测结果与硬件安全要求的重要性赋值，得到该处理器的硬件安全综合评价结果。本发明可以实现对通用处理器硬件安全的综合评估。