公开(公告)号：CN115811421A

公开(公告)日：2023-03-17

申请号：CN202211441628.6

申请日：2022-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心浙江分中心

Inventor： 雷君 ,  何能强 ,  仇晨悦 ,  张宇鹏 ,  朱文扬 ,  周彧 ,  季莹莹 ,  严定宇 ,  郑勤健 ,  周昊 ,  尤杰 ,  张录录 ,  李雪峰 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  金红 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮 ,  王宏宇 ,  刘玲 ,  张榜 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40

Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中，该方法包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。

公开(公告)号：CN109347786A

公开(公告)日：2019-02-15

申请号：CN201810924887.1

申请日：2018-08-14

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心湖南分中心

Inventor： 康金钟 ,  胡国良 ,  肖刚 ,  张超 ,  胡嘉俊 ,  张勇 ,  严寒冰 ,  饶毓 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站检测方法，所述方法包括:提取待检测网站的访问数据；根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数；若所有检测结果均为非钓鱼网站，则所述待检测网站为非钓鱼网站，否则，所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测，从而可以准确有效地识别钓鱼网站。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。

公开(公告)号：CN112910832B

公开(公告)日：2022-08-30

申请号：CN202010089587.3

申请日：2020-02-11

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  黄亮 ,  李佳 ,  严寒冰 ,  张良 ,  云晓春 ,  陈训逊 ,  王博 ,  周昊 ,  党向磊 ,  郑礼雄 ,  郭三川 ,  刘伟 ,  王鼎华 ,  吕志泉 ,  高川 ,  徐剑 ,  李明哲

IPC: H04L9/40

Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括：将域名转化为图片，获得图片向量；针对图片向量进行格式化，获得缩放图片向量；针对缩放图片向量进行灰度化，获得一维图片向量；针对一维图片向量进行归一化，获得归一化图片向量；根据测试集计算不同阈值情况下的准确率，以准确率最大时对应的阈值为实际应用阈值；获取归一化图片向量的直方图特征向量，计算与已知域名对应图片的相似度；根据相似度与实际应用阈值，判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片，通过图片识别，分析出仿冒国际化域名，方法具有普适性，且分析成本较低。

公开(公告)号：CN109190657B

公开(公告)日：2021-11-02

申请号：CN201810791347.0

申请日：2018-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  何永强 ,  袁伟华 ,  吕承琨 ,  李骏杰 ,  卞玉捷

IPC: G06K9/62

Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法，步骤如下：1、收集已知APT组织的恶意样本；2、过滤并还原处理训练数据集的样本；3、对样本进行静态分析，提取数据切片；4、对样本及其他训练数据集的样本进行动态分析，提取数据切片；5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式；6、格式化所有数据切片为灰度图形式并按功能分类；7、计算所有灰度图并分类保存计算结果到指纹数据库；8、测试数据集中的样本所属组织；通过以上步骤，实现了一种基于数据切片及图像哈希组合的样本同源分析方法，减少人工，时间成本，解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。

公开(公告)号：CN111818018B

公开(公告)日：2021-09-21

申请号：CN202010559056.6

申请日：2020-06-18

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张华 ,  涂腾飞 ,  严寒冰 ,  温巧燕 ,  秦素娟 ,  高川 ,  周昊 ,  虞宇琪 ,  饶路 ,  王森淼 ,  高飞 ,  李文敏 ,  金正平 ,  时忆杰

IPC: H04L29/06 ,  H04L29/08 ,  G06F40/289 ,  G06F21/56 ,  G06K9/62

Abstract: 本发明公开的基于机器学习模型的SQL注入攻击检测方法，涉及网络安全技术领域，通过采用训练过的机器学习模型，支持检测多种类型SQL注入的检测，能够简单、有效地检测HTTP请求中各个类型的SQL注入攻击，降低了检测SQL注入攻击的难度，提高了检测SQL注入攻击的效率及精确度。

公开(公告)号：CN111723373A

公开(公告)日：2020-09-29

申请号：CN201910210484.5

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  袁炯晔 ,  童志明

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/78

Abstract: 本发明提出一种复合式二进制文档的漏洞利用文件检测方法及装置，其中所述方法包括：获取待检测的复合式二进制文档，并进行文件结构校验；判断文件结构是否异常，如果为异常，则进一步检测，否则判定所述待检测复合式二进制文档为正常文件；进一步在文件结构存在异常区域数据段检测敏感特征，若存在敏感特征，则判定所述复合式二进制文档为恶意，否则判定为正常文件。本发明还相应给出实现该方法的装置。通过本发明方法，不需要提取新的特征，即能够有效检测新出现的漏洞利用文件。而仅针对结构异常区域进行敏感特征检测，能够避免误报，进一步提高检测的准确性。

公开(公告)号：CN108737373B

公开(公告)日：2020-09-22

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

公开(公告)号：CN111526110A

公开(公告)日：2020-08-11

申请号：CN201910105743.8

申请日：2019-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 雷君 ,  黄蒙 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  徐剑 ,  王适文 ,  肖崇惠 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  周彧 ,  高川 ,  贾世琳 ,  文静 ,  楼书逸 ,  吕卓航

IPC: H04L29/06 ,  H04L12/58

Abstract: 本发明实施例提供了一种检测电子邮箱账户非授权登录的方法、装置、设备和介质。其中，该方法包括：采集电子邮箱账户连续登录的待检测登陆日志及其前一个登陆日志，以及电子邮箱账户在预定时间段内的历史登陆日志；基于待检测登陆日志及其前一个登陆日志，对待检测登陆日志进行分类；根据历史登陆日志、待检测登陆日志及其分类结果，确定电子邮箱账户的登录行为模式信息；将待检测登陆日志及其分类结果，以及登录行为模式信息，与预定的告警规则进行匹配；如果匹配，则将待检测用户登录行为确定为非授权用户登录行为。通过本发明实施例，解决了如何识别电子邮箱账户非授权登录的技术问题，而且可以不依赖于对电子邮件内容的分析。

公开(公告)号：CN110875917A

公开(公告)日：2020-03-10

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明实施例提供了一种检测挖矿病毒的方法、装置及存储介质，用以解决现有的挖矿病毒检测方法具有延迟性，并且难以发现未知的挖矿病毒的问题。该方法包括：读取计算机的中央处理器的调试存储区中的指令以及图形处理器中的指令；确定从所述调试存储区中连续读取的M条指令均为运算指令，且从所述图形处理器中连续读取的N条指令均为运算指令；M、N均为大于1的自然数；确定所述M条指令的堆栈信息以及所述N条指令的堆栈信息所属的进程是威胁进程，所述威胁进程中存在挖矿病毒。