公开(公告)号：CN109347786A

公开(公告)日：2019-02-15

申请号：CN201810924887.1

申请日：2018-08-14

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心湖南分中心

Inventor： 康金钟 ,  胡国良 ,  肖刚 ,  张超 ,  胡嘉俊 ,  张勇 ,  严寒冰 ,  饶毓 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站检测方法，所述方法包括:提取待检测网站的访问数据；根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数；若所有检测结果均为非钓鱼网站，则所述待检测网站为非钓鱼网站，否则，所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测，从而可以准确有效地识别钓鱼网站。

公开(公告)号：CN102938769A

公开(公告)日：2013-02-20

申请号：CN201210475596.1

申请日：2012-11-22

Applicant: 国家计算机网络与信息安全管理中心 ,  北京大学

Inventor： 袁春阳 ,  杜跃进 ,  孙波 ,  许俊峰 ,  王明华 ,  李青山 ,  徐小琳 ,  何跃鹰 ,  严寒冰 ,  王营康 ,  郑礼雄 ,  张胜利 ,  李洪生 ,  轩志朋 ,  王永建 ,  林绅文 ,  杨鹏 ,  王进 ,  张伟 ,  郭承青

IPC: H04L29/06

Abstract: 本发明所述的一种Domain flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

公开(公告)号：CN119276526A

公开(公告)日：2025-01-07

申请号：CN202410428938.7

申请日：2024-04-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  郭晶 ,  王宏宇 ,  白寿颖 ,  刘玲

IPC: H04L9/40

Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法，首先收集已被发现的僵尸程序样本，建立僵尸网络命令与控制指令特征数据集；通过分析网络流入流出流量，识别并记录符合指令特征的会话信息，记录僵尸网络命令与控制日志；将命令与控制日志和网络流量中域名请求日志进行实时关联，在命令与控制日志增加C2控制域名字段；最后利用僵尸网络控制规模测量算法分析命令与控制日志，计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数，感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模，覆盖范围更全面，测量方法准确。

公开(公告)号：CN113761912B

公开(公告)日：2024-04-16

申请号：CN202110909793.9

申请日：2021-08-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 严寒冰 ,  王琴琴 ,  周彧 ,  梅瑞 ,  张永铮

IPC: G06F40/289 ,  G06F40/216 ,  G06F18/214 ,  G06F18/2431 ,  G06N3/0464 ,  G06N3/09

Abstract: 本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置，本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析，由于这两种特征综合了恶意软件的静态特征和动态特征，所以本发明的特征更加全面，使用自然语言处理的技术将特征向量化，同时本发明使用模型解释技术将分类器的结果进行解释，使得分类结果更加有说服力，从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。

公开(公告)号：CN114826670B

公开(公告)日：2024-03-29

申请号：CN202210295069.6

申请日：2022-03-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN113904796B

公开(公告)日：2023-11-17

申请号：CN202110995717.4

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  严定宇 ,  吕利锋 ,  严寒冰 ,  饶毓 ,  吕志泉 ,  秦佳伟

IPC: H04L9/40 ,  G06F21/56

Abstract: 本发明属于网络安全技术领域，且公开了一种网络流量安全检测的设备后门检测方法，包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本，对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本，通过回溯过往的流量异常增多时，设备的异常现象，与注册表之间进行联合比对，并对当前进行实时监控，得出相较于只检查当前IP异常通讯和单一排查注册项，效率相对较高，且准确性通过比对也得到提升。

公开(公告)号：CN113779573B

公开(公告)日：2023-08-29

申请号：CN202110890621.1

申请日：2021-08-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  王树鹏

IPC: G06F21/56 ,  G06F11/36

Abstract: 本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。

公开(公告)号：CN111611583B

公开(公告)日：2023-07-18

申请号：CN202010272730.2

申请日：2020-04-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  梅瑞 ,  王琴琴 ,  韩志辉 ,  何永强

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/24 ,  G06N20/00

Abstract: 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

公开(公告)号：CN112822194B

公开(公告)日：2022-12-09

申请号：CN202110019665.7

申请日：2021-01-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  朱天 ,  饶毓 ,  邱晓康 ,  王琴琴

IPC: H04L9/40

Abstract: 本发明是有关于一种识别判定DDoS攻击团伙行为的方法。本方法为：1)获取DDoS攻击记录，查询控制端IP和攻击目标IP的whois信息；2)综合DDoS攻击的攻击目标相似性、僵尸主机相似性、攻击时间相似性，计算攻击者相似性；3)以攻击者为节点构建社区网络，两个攻击者相似度超过阈值时，构建两个攻击者的连接关系。4)应用社区发现算法，计算团伙特征的一致性，通过可视化和一致性来挖掘和分析团伙行为。本发明基于时间定义攻击者的多维相似性，实现数据的降维表示。将数据应用社区发现算法来挖掘攻击团伙，使得具有相似攻击行为的攻击者可以聚成团，实现有效的团伙挖掘和属性标定，快速准确判定出攻击团伙，协助警方破案。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。