公开(公告)号：CN106295347B

公开(公告)日：2019-06-18

申请号：CN201510284253.0

申请日：2015-05-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭承青 ,  许俊峰 ,  何跃鹰 ,  袁春阳 ,  张文 ,  宫真真 ,  李欣 ,  李轶夫 ,  王进 ,  摆亮 ,  李晗 ,  徐剑 ,  赵忠华 ,  袁钟怡

IPC: G06F21/57

Abstract: 本发明公开了一种用于搭建漏洞验证环境的方法及装置。例如，所述方法可以包括：提供要素库，以便用户从所述要素库中选择出需要的要素，其中，所述要素库中包含用于漏洞验证的文件对应的要素，当用户完成要素的选择时，使用系统镜像文件定制技术将选择出的要素对应的文件打包，得到用于生成虚拟机的漏洞验证模板。根据本发明公开的方法及装置，测试人员可以快捷地从要素库中选择用于漏洞验证的文件对应的要素，无需手动安装相关工具，减少了对人力的耗费，提高了漏洞验证环境的搭建效率。

公开(公告)号：CN105991780B

公开(公告)日：2019-01-25

申请号：CN201510057358.2

申请日：2015-02-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李晗 ,  叶建伟 ,  何跃鹰 ,  晏杨 ,  郭承青 ,  许俊峰 ,  云晓春

IPC: H04L29/12

Abstract: 本发明提供一种基于互联网IP地址定位数据的IP地址定位系统和方法，系统包括数据提取层、数据处理层、数据存储层和验证融合层；方法包括初始化配置参数，并对采集到的互联网IP地址定位数据进行归一化处理；对互联网IP地址定位数据进行反向验证；互联网IP地址定位数据进行融合。本发明融合多个互联网IP地址定位数据库，使它们相互补充和完善，提高了数据覆盖面；使用了内存镜像进行数据的录入，极大的提高了效率；使用反向验证及基于信任的数据融合技术，提高了数据准确度。

公开(公告)号：CN102938769A

公开(公告)日：2013-02-20

申请号：CN201210475596.1

申请日：2012-11-22

Applicant: 国家计算机网络与信息安全管理中心 ,  北京大学

Inventor： 袁春阳 ,  杜跃进 ,  孙波 ,  许俊峰 ,  王明华 ,  李青山 ,  徐小琳 ,  何跃鹰 ,  严寒冰 ,  王营康 ,  郑礼雄 ,  张胜利 ,  李洪生 ,  轩志朋 ,  王永建 ,  林绅文 ,  杨鹏 ,  王进 ,  张伟 ,  郭承青

IPC: H04L29/06

Abstract: 本发明所述的一种Domain flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

公开(公告)号：CN101924754A

公开(公告)日：2010-12-22

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。

公开(公告)号：CN105991780A

公开(公告)日：2016-10-05

申请号：CN201510057358.2

申请日：2015-02-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李晗 ,  叶建伟 ,  何跃鹰 ,  晏杨 ,  郭承青 ,  许俊峰 ,  云晓春

IPC: H04L29/12

Abstract: 本发明提供一种基于互联网IP地址定位数据的IP地址定位系统和方法，系统包括数据提取层、数据处理层、数据存储层和验证融合层；方法包括初始化配置参数，并对采集到的互联网IP地址定位数据进行归一化处理；对互联网IP地址定位数据进行反向验证；互联网IP地址定位数据进行融合。本发明融合多个互联网IP地址定位数据库，使它们相互补充和完善，提高了数据覆盖面；使用了内存镜像进行数据的录入，极大的提高了效率；使用反向验证及基于信任的数据融合技术，提高了数据准确度。

公开(公告)号：CN102752026A

公开(公告)日：2012-10-24

申请号：CN201210267310.0

申请日：2012-07-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王永建 ,  宋立众 ,  许俊峰 ,  王力景

IPC: H04B3/54

Abstract: 本发明主要涉及低压电力线宽带通信技术领域，具体地说是一种应用于电力线载波通信系统中的基于THP预编码的单载波4QAM的低压电力线高速传输方法及系统，其特征在于发送端的信号先经4QAM调制，再经THP预编码，然后进行载波调制后进入低压电力线信道，接收端接收到数据后先进行载波解调，再经抽样器抽样后又经自适应均衡器进行二次均衡后，经4QAM解调器解调获得数据，本发明与现有技术相比，采用两种均衡方式相结合，在取得相似性能的情况下降低了系统的复杂度，从而降低了系统的成本。

公开(公告)号：CN102360408A

公开(公告)日：2012-02-22

申请号：CN201110290172.3

申请日：2011-09-28

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院计算技术研究所

Inventor： 郑礼雄 ,  孙波 ,  许俊峰 ,  严寒冰 ,  王伟平 ,  袁春阳 ,  林绅文 ,  杨鹏 ,  向小佳 ,  王永建 ,  王进 ,  张伟 ,  郭承青

IPC: G06F21/00 ,  G06F17/30

Abstract: 本发明提出了一种OLAP引擎辅助的、以恶意代码主控端被控端交互行为为特征的、基于挖掘的恶意代码检测方法及其对应的原型系统。其中检测方法包括首先探测网络步骤101；然后提取可疑主控端行为201；接下来扩充训练集301-303；训练分类器401；刷新Cube501；序列挖掘601-606；生成规则701。检测系统包括侦测模块、训练样本池、SVM分类器、关系数据库、OLAP引擎、特征序列挖掘引擎和知识库。

公开(公告)号：CN103685598B

公开(公告)日：2017-01-25

申请号：CN201310654507.4

申请日：2013-12-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技股份有限公司

Inventor： 郭承青 ,  袁春阳 ,  许俊峰 ,  孙敏 ,  李欣 ,  李挺 ,  丁广富 ,  候建勇 ,  王进 ,  孟强 ,  袁钟怡

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明公开了一种在IPv6网络中发现活跃IP地址的方法及装置。该方法包括：配置网路爬虫的起始统一资源定位符URL地址、以及URL记录规则，并启动网路爬虫；网路爬虫从起始URL地址开始进行搜索，记录符合URL记录规则的URL地址；通过域名提取脚本从记录的URL地址中提取域名并进行去重处理，并通过域名系统DNS解析脚本对提取的域名进行DNS解析，获取并记录相应的IPv6地址；采用网络协议IP地址扫描方法，获取并记录以该IPv6地址为中心预定范围内的其他活跃的IPv6地址，并采用路由发现方法获取到达记录的IPv6地址所经过的中间设备的IPv6地址。

公开(公告)号：CN103368972A

公开(公告)日：2013-10-23

申请号：CN201310316474.2

申请日：2013-07-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 杜跃进 ,  许俊峰 ,  孙波 ,  严寒冰 ,  袁春阳 ,  郑礼雄 ,  郭承青 ,  李欣 ,  李挺

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种网络攻击检测分析方法和系统，包括在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备；部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接；通过网络攻击监测发现设备对原始网络数据进行监测，利用网络攻击数据包特征匹配技术，监测发现网络攻击行为；网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备，同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备；网络攻击诱导分析设备模拟被攻击的主机和网络环境条件，对攻击数据包进行持续响应，使得攻击行为能够继续，通过网络攻击诱导分析设备上部署的主机和网络资源监控系统分析网络攻击的行为步骤路线和最终目的。

公开(公告)号：CN101924754B

公开(公告)日：2013-07-31

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。