公开(公告)号：CN115811421A

公开(公告)日：2023-03-17

申请号：CN202211441628.6

申请日：2022-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心浙江分中心

Inventor： 雷君 ,  何能强 ,  仇晨悦 ,  张宇鹏 ,  朱文扬 ,  周彧 ,  季莹莹 ,  严定宇 ,  郑勤健 ,  周昊 ,  尤杰 ,  张录录 ,  李雪峰 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  金红 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮 ,  王宏宇 ,  刘玲 ,  张榜 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40

Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中，该方法包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。

公开(公告)号：CN113177205B

公开(公告)日：2023-09-15

申请号：CN202110460211.3

申请日：2021-04-27

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 何能强 ,  王宏宇 ,  文静 ,  王晓明 ,  刘子豪 ,  高华 ,  尚程 ,  阿曼太 ,  梁彧 ,  蔡琳 ,  杨满智 ,  王杰 ,  田野 ,  金红 ,  陈晓光

IPC: G06F21/56 ,  G06F16/955

Abstract: 本发明实施例公开了一种恶意应用检测系统及方法。该系统包括：采集模块，用于采集用户访问应用程序的行为记录，并从行为记录中提取与各应用程序相关的URL；用户为订购应用检测业务的用户；样本筛选模块，用于获取与各应用程序的URL匹配的应用程序样本，并从应用程序样本中筛选出待测应用程序样本；样本检测模块，用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测；推送模块，用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告，并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。本实施例的技术方案，可以实现无需下载额外的移动终端应用，即可有效提醒用户及时卸载已安装的恶意应用。

公开(公告)号：CN112492059A

公开(公告)日：2021-03-12

申请号：CN202011288625.4

申请日：2020-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 马莉雅 ,  雷君 ,  龙泉 ,  何能强 ,  李鹏超 ,  金红 ,  陈晓光 ,  杨满智 ,  蔡琳 ,  尚程 ,  王利丽

IPC: H04L29/12 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种DGA域名检测模型训练方法、DGA域名检测方法、装置及存储介质，该模型训练方法包括：步骤S1，获取多个域名样本的域名信息；步骤S2，对于所述多个域名样本中的DGA域名和非DGA域名，分别根据所述域名信息中的至少一部分信息来训练用于特征提取的循环神经网络；并且，计算所述DGA域名对应的所述循环神经网络的输出与所述非DGA域名对应的所述循环神经网络的输出的比值，作为所述域名信息中的至少一部分信息的特征；步骤S3，将所述特征输入到一个分类器中进行训练，以得到DGA域名分类器，以便利用训练好的该DGA域名分类器来判断待检测域名是否来自于域名生成算法DGA。

公开(公告)号：CN113177205A

公开(公告)日：2021-07-27

申请号：CN202110460211.3

申请日：2021-04-27

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 何能强 ,  王宏宇 ,  文静 ,  王晓明 ,  刘子豪 ,  高华 ,  尚程 ,  阿曼太 ,  梁彧 ,  蔡琳 ,  杨满智 ,  王杰 ,  田野 ,  金红 ,  陈晓光

IPC: G06F21/56 ,  G06F16/955

Abstract: 本发明实施例公开了一种恶意应用检测系统及方法。该系统包括：采集模块，用于采集用户访问应用程序的行为记录，并从行为记录中提取与各应用程序相关的URL；用户为订购应用检测业务的用户；样本筛选模块，用于获取与各应用程序的URL匹配的应用程序样本，并从应用程序样本中筛选出待测应用程序样本；样本检测模块，用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测；推送模块，用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告，并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。本实施例的技术方案，可以实现无需下载额外的移动终端应用，即可有效提醒用户及时卸载已安装的恶意应用。

公开(公告)号：CN113132346A

公开(公告)日：2021-07-16

申请号：CN202110244294.2

申请日：2021-03-05

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 马莉雅 ,  肖崇蕙 ,  贾世琳 ,  姚力 ,  雷君 ,  龙泉 ,  何能强 ,  陈晓光 ,  杨满智 ,  冯福伟

IPC: H04L29/06

Abstract: 本发明是关于一种移动应用信息窃取回传主控地址的检测方法及系统，对移动应用程序逆向反编译后用静态分析法得到应用申请的所有操作行为、操作行为的权限许可状态、程序中各函数的调用逻辑、程序外连的静态I P及URL地址，用动态监测法得到应用程序运行时外联的动态I P及URL地址，用关联分析法将得到的外连地址和黑名单地址情报库进行碰撞得到主控地址和攻击者信息，并检测出移动应用是否具有应用信息窃取行为，是否具有应用信息回传主控地址行为以及应用程序回传应用信息时机。多种方法的结合，有效提高应用信息窃取行为发现的准确性，解决了传统检测方法的不足。用加固应用脱壳技术扩大了检测范围，使其能适用于非加固类和加固类移动应用的检测。

公开(公告)号：CN115225308B

公开(公告)日：2024-03-12

申请号：CN202210540565.3

申请日：2022-05-17

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心浙江分中心 ,  北京邮电大学

Inventor： 何能强 ,  雷君 ,  龙泉 ,  张华 ,  王华伟 ,  涂腾飞 ,  齐坚钧 ,  季莹莹 ,  郑勤健 ,  王森淼 ,  张耀武 ,  崔栋 ,  马敏燕 ,  刘思琦

IPC: H04L9/40 ,  G06F18/22

Abstract: 本申请提供一种大规模群体攻击流量的攻击团伙识别方法及相关设备。该方法包括：获取预设时间攻击流量的日志数据，并对日志数据进行预处理，得到预处理数据；根据预处理数据建立关系字典，并根据关系字典构建交换矩阵模型；对交换矩阵模型进行相似度计算处理，识别出至少一个攻击团伙。无需多种类型的流量，使得攻击团伙识别的限制小、可扩展性强，因此适用于各类流量的攻击团伙识别，能够高效精确识别出攻击团伙。

公开(公告)号：CN115225308A

公开(公告)日：2022-10-21

申请号：CN202210540565.3

申请日：2022-05-17

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心浙江分中心 ,  北京邮电大学

Inventor： 何能强 ,  雷君 ,  龙泉 ,  张华 ,  王华伟 ,  涂腾飞 ,  齐坚钧 ,  季莹莹 ,  郑勤健 ,  王森淼 ,  张耀武 ,  崔栋 ,  马敏燕 ,  刘思琦

IPC: H04L9/40 ,  G06K9/62

Abstract: 本申请提供一种大规模群体攻击流量的攻击团伙识别方法及相关设备。该方法包括：获取预设时间攻击流量的日志数据，并对日志数据进行预处理，得到预处理数据；根据预处理数据建立关系字典，并根据关系字典构建交换矩阵模型；对交换矩阵模型进行相似度计算处理，识别出至少一个攻击团伙。无需多种类型的流量，使得攻击团伙识别的限制小、可扩展性强，因此适用于各类流量的攻击团伙识别，能够高效精确识别出攻击团伙。

公开(公告)号：CN113849785B

公开(公告)日：2024-01-30

申请号：CN202110866631.1

申请日：2021-07-29

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  秦佳伟 ,  贾世林 ,  张华 ,  涂腾飞 ,  关振智 ,  关广振

IPC: G06F21/31 ,  G06F11/36

Abstract: 本公开提供一种针对应用程序的移动终端信息资产使用行为识别方法，包括：确定移动终端中与用户敏感信息相关的信息资产；基于插桩和内核监控，获取目标应用程序获取和/或使用信息资产的行为；获取目标应用程序的用户协议，并基于语义分析模型，获取用户协议中与用户信息采集和/或使用相关的协议；比对目标应用程序获取和/或使用信息资产的行为和与用户信息采集和/或使用相关的协议，识别目标应用程序获取和/或使用信息资产的行为中的违规行为。本公开通过插桩和内核监控，获取应用程序实际使用移动终端中信息资产的行为，并与该应用程序在用户协议中声明的权限做对比，能够准(56)对比文件曾繁冲 等.基于 UC／OS - II 的 UCGUI 和LWIP 资源整合的研究.成都信息工程学院学报.2007,第22卷(第5期),第614-617页.王国胤;张清华;马希骜;杨青山.知识不确定性问题的粒计算模型.软件学报.2010,(第04期),第676-694页.

公开(公告)号：CN111967002A

公开(公告)日：2020-11-20

申请号：CN202010655631.2

申请日：2020-07-09

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  王小群 ,  王适文 ,  严寒冰 ,  孙才俊 ,  郭晶 ,  姚力 ,  贾子骁 ,  雷君 ,  马莉雅 ,  张华 ,  秦素娟 ,  高飞 ,  李文敏 ,  温巧燕 ,  秦佳伟 ,  王华伟 ,  涂腾飞 ,  王森淼 ,  崔栋

IPC: G06F21/55 ,  G06F21/56 ,  G06F21/53 ,  G06K9/62 ,  G06N20/10

Abstract: 本说明书一个或多个实施例提供一种应用程序的加壳检测方法及装置，包括：对应用程序样本中的每个安卓应用程序，提取出应用特征组，基于所述应用程序样本的所有应用特征组，构建训练集和测试集，利用所述训练集对至少一种分类器进行训练，得到训练后的至少一种加壳分类器，利用所述测试集对至少一种加壳分类器进行测试，得到至少一组测试结果，根据至少一组测试结果，确定出最优的加壳分类器，利用所述最优的加壳分类器对待测的安卓应用程序进行分类，确定所述待测的安卓应用程序是否加壳。本实施例能够有效地从大量安卓应用程序中筛选出加壳的安卓应用程序。

公开(公告)号：CN108737373B

公开(公告)日：2020-09-22

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。