-
公开(公告)号:CN108446186B
公开(公告)日:2022-05-13
申请号:CN201810089811.1
申请日:2018-01-30
Applicant: 国家计算机网络与信息安全管理中心 , 中时瑞安(北京)网络科技有限责任公司
Inventor: 何能强 , 严寒冰 , 孙才俊 , 张华 , 丁丽 , 李佳 , 石亚彬 , 曹中全 , 狄少嘉 , 徐原 , 何世平 , 温森浩 , 李志辉 , 姚力 , 张洪 , 朱芸茜 , 郭晶 , 朱天 , 高胜 , 胡俊 , 王小群 , 张腾 , 李挺 , 陈阳 , 李世淙 , 徐剑 , 吕利锋 , 党向磊 , 王适文 , 刘婧 , 饶毓 , 张帅 , 贾子骁 , 肖崇蕙 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 高川 , 周昊
Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法,包括以下步骤:步骤1、定位目标程序的DexFile结构体在内存中的地址,其中,所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序;步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体;步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段;步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复,从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件,适用于多种Android应用加固方案,具有通用性,且方法简单有效,便于实施和维护。
-
公开(公告)号:CN109784057A
公开(公告)日:2019-05-21
申请号:CN201910008863.6
申请日:2019-01-04
Applicant: 国家计算机网络与信息安全管理中心 , 中时瑞安(北京)网络科技有限责任公司
Inventor: 严寒冰 , 何能强 , 丁丽 , 李佳 , 张华 , 秦佳伟 , 王森淼 , 马宏谋 , 石亚彬 , 狄少嘉 , 徐原 , 温森浩 , 李志辉 , 姚力 , 朱芸茜 , 郭晶 , 朱天 , 高胜 , 胡俊 , 王小群 , 张腾 , 陈阳 , 李世淙 , 徐剑 , 吕利锋 , 党向磊 , 王适文 , 刘婧 , 饶毓 , 张帅 , 贾子骁 , 肖崇蕙 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 高川 , 周昊 , 楼书逸 , 文静 , 贾世琳 , 沈阿娜 , 占深信 , 黄薪宇 , 杜代忠
IPC: G06F21/56
Abstract: 本发明涉及一种安卓应用加固识别方法、控制器及介质,所述方法包括:获取待检测APK的四大组件比例和/或可疑文件比例,将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固;将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征,无需运行应用程序即可识别安卓应用是否加固,提高了加固识别的运行效率和准确度。
-
公开(公告)号:CN108710800A
公开(公告)日:2018-10-26
申请号:CN201810495785.2
申请日:2018-05-22
Applicant: 国家计算机网络与信息安全管理中心 , 中时瑞安(北京)网络科技有限责任公司
Inventor: 王适文 , 何能强 , 严寒冰 , 孙才俊 , 秦素娟 , 张华 , 丁丽 , 李佳 , 狄少嘉 , 徐原 , 何世平 , 温森浩 , 李志辉 , 姚力 , 张洪 , 朱芸茜 , 郭晶 , 朱天 , 高胜 , 胡俊 , 王小群 , 张腾 , 李挺 , 陈阳 , 李世淙 , 徐剑 , 吕利锋 , 党向磊 , 刘婧 , 饶毓 , 张帅 , 贾子骁 , 肖崇蕙 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 高川 , 周昊 , 楼书逸 , 文静 , 贾世琳
CPC classification number: G06F21/562 , G06K9/6267
Abstract: 本发明涉及一种安卓应用程序的加壳识别方法,包括从已标记的APK文件中提取应用特征,构建样本集,其中,所述已标记的APK文件包括标记为加固的APK文件和标记为未加固的APK文件;将所述样本集划分为训练集和测试集;根据所述样本集和测试集训练预设分类器,选择最优分类器;将待检测的APK文件输入所述最优分类器来识别其是否加壳。本发明采用静态方式提取特征,利用机器学习模型对安卓应用程序进行加壳识别,提高了加壳识别的效率和准确率。
-
公开(公告)号:CN108446186A
公开(公告)日:2018-08-24
申请号:CN201810089811.1
申请日:2018-01-30
Applicant: 国家计算机网络与信息安全管理中心 , 中时瑞安(北京)网络科技有限责任公司
Inventor: 何能强 , 严寒冰 , 孙才俊 , 张华 , 丁丽 , 李佳 , 石亚彬 , 曹中全 , 狄少嘉 , 徐原 , 何世平 , 温森浩 , 李志辉 , 姚力 , 张洪 , 朱芸茜 , 郭晶 , 朱天 , 高胜 , 胡俊 , 王小群 , 张腾 , 李挺 , 陈阳 , 李世淙 , 徐剑 , 吕利锋 , 党向磊 , 王适文 , 刘婧 , 饶毓 , 张帅 , 贾子骁 , 肖崇蕙 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 高川 , 周昊
Abstract: 本发明涉及一种从加壳Android应用程序中恢复Dex源文件的方法,包括以下步骤:步骤1、定位目标程序的DexFile结构体在内存中的地址,其中,所述目标程序为待恢复Dex源文件对应的加壳的Android应用程序;步骤2、根据所定位的地址获取目标程序对应的DexFile Header结构体;步骤3、循环遍历并加载DexFile Header结构体中所有映射的字段;步骤4、对所加载的DexFile Header结构体内的字段进行重组和修复,从而从所述目标程序中恢复Dex源文件。本发明可以有效地从加壳Android应用程序中提取出Dex源文件,适用于多种Android应用加固方案,具有通用性,且方法简单有效,便于实施和维护。
-
公开(公告)号:CN116112287B
公开(公告)日:2023-06-20
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN115811421A
公开(公告)日:2023-03-17
申请号:CN202211441628.6
申请日:2022-11-17
Applicant: 国家计算机网络与信息安全管理中心 , 恒安嘉新(北京)科技股份公司 , 国家计算机网络与信息安全管理中心浙江分中心
Inventor: 雷君 , 何能强 , 仇晨悦 , 张宇鹏 , 朱文扬 , 周彧 , 季莹莹 , 严定宇 , 郑勤健 , 周昊 , 尤杰 , 张录录 , 李雪峰 , 尚程 , 杨满智 , 梁彧 , 傅强 , 王杰 , 金红 , 高川 , 贾世琳 , 吕卓航 , 楼书逸 , 文静 , 贺铮 , 王宏宇 , 刘玲 , 张榜 , 秦佳伟 , 石桂欣
IPC: H04L9/40
Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中,该方法包括:当接收到安全监测系统发送的网络安全事件上报信息时,获取网络安全事件的日志信息;根据网络安全事件的日志信息,在备份信息数据库中确定与所述网络安全事件匹配的监管主体;生成与所述网络安全事件匹配的处理工单,并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息,在备份信息数据库中确定出相匹配的监管主体,并对监管主体发送处理工单,实现了对网络安全事件的快速响应处置,缩短了网络安全事件响应处置时间。
-
公开(公告)号:CN116112287A
公开(公告)日:2023-05-12
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN109347786A
公开(公告)日:2019-02-15
申请号:CN201810924887.1
申请日:2018-08-14
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心湖南分中心
Inventor: 康金钟 , 胡国良 , 肖刚 , 张超 , 胡嘉俊 , 张勇 , 严寒冰 , 饶毓 , 陈阳 , 雷君 , 周昊 , 李志辉 , 徐剑 , 张帅 , 吕志泉 , 韩志辉 , 马莉雅 , 高川 , 李世淙 , 贾子骁 , 温森浩 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 王适文 , 肖崇蕙
IPC: H04L29/06
Abstract: 本发明涉及一种钓鱼网站检测方法,所述方法包括:提取待检测网站的访问数据;根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数;若所有检测结果均为非钓鱼网站,则所述待检测网站为非钓鱼网站,否则,所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测,从而可以准确有效地识别钓鱼网站。
-
公开(公告)号:CN115333768B
公开(公告)日:2024-06-04
申请号:CN202210759105.X
申请日:2022-06-29
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , H04L41/0604 , H04L41/0631 , G06F18/22 , G06F16/901 , G06F40/284 , G06F40/30
Abstract: 本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质,涉及网络安全技术、人工智能、大数据领域,其中方法包括:对海量网络攻击数据进行自动化特征抽取,根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判,通过人工研判结果对数据进行标注,利用标注后的数据与剩余网络攻击数据进行相似性计算,对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选,直至全部标注完毕。此方法,通过研判人员能力的约束结合算法的泛化能力,使得有价值的网络攻击可以优先被研判,相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量,整体提升研判效率。
-
公开(公告)号:CN115242438B
公开(公告)日:2023-09-01
申请号:CN202210680348.4
申请日:2022-06-15
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明是有关于一种基于异质信息网络的潜在受害群体定位方法,包括如下步骤:步骤1:数据接入,采集接入威胁情报及多源网络数据;步骤2:数据预处理,对威胁情报中的入侵指标与网络数据碰撞得到的原始数据进行数据过滤、数据清洗和特征工程;步骤3:多源异构数据融合,面向异构数据进行实体、属性和关系提取,构建实体关系图,生成异质信息网络;步骤4:核心算法,采用语义提取、模型构建和度量分析进行受害群体定位;步骤5:业务应用,实现网络攻击事件受害群体定位,支撑事件影响分析及通报处置。本发明基于异质信息网络实现多源网络安全数据的融合与关联,实现潜在受害者定位,并提出降维预处理流程,提高分析效率,降低人工成本。
