公开(公告)号：CN106909847A

公开(公告)日：2017-06-30

申请号：CN201710087408.0

申请日：2017-02-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李佳 ,  严寒冰 ,  丁丽 ,  徐原 ,  李志辉 ,  高胜 ,  张腾 ,  狄少嘉 ,  张帅 ,  刘丙双 ,  涂波 ,  王学志 ,  吕利锋

IPC: G06F21/56 ,  G06F21/55 ,  H04L29/06

CPC classification number: G06F21/562 ,  G06F21/554 ,  H04L63/1416 ,  H04L63/145

Abstract: 本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。

公开(公告)号：CN106302440A

公开(公告)日：2017-01-04

申请号：CN201610659857.3

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道获取可疑钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，针对性获取可疑钓鱼网站列表；其包括S11-S15中的一种或其组合，S11：根据钓鱼网站样本的URL地址变换组合分析获取网站列表，URL地址包括域名的前缀、域名的后缀和域名；S12：根据钓鱼网站样本的域名注册信息反查获取网站列表；S13：根据钓鱼网站样本的IP信息反查获取网站列表；S14:根据钓鱼网站样本的页面关键内容信息关联分析获取网站列表；S15：根据钓鱼网站样本利用搜索引擎检索获取网站列表；以及获取上述步骤S11-S15网站列表后，经过黑白名单过滤，获取新增未知可疑钓鱼网站列表；S2：将上述可疑钓鱼网站经过风险评估、人工确认后，最终发现钓鱼网站。

公开(公告)号：CN106302438A

公开(公告)日：2017-01-04

申请号：CN201610659317.5

申请日：2016-08-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 胡俊 ,  严寒冰 ,  丁丽 ,  李佳 ,  张腾 ,  肖崇蕙 ,  赵慧 ,  张洪

IPC: H04L29/06

Abstract: 本发明公开一种多渠道的基于行为特征的主动监测钓鱼网站的方法，包括以下步骤：S1：根据钓鱼网站样本，有针对性的获取可疑钓鱼网站列表，其包括步骤S11-S15中的一种或其组合；S11：根据钓鱼网站样本的域名注册信息反查与关联分析获取可疑钓鱼网站；S12：根据钓鱼网站样本的IP信息反查与关联分析获取可疑钓鱼网站；S13：根据钓鱼网站样本的页面关键内容信息关联分析获取可疑钓鱼网站；S14：根据钓鱼网站样本的URL地址变换组合分析获取可疑钓鱼网站；S15：根据钓鱼网站样本利用搜索引擎检索获取可疑钓鱼网站；S2:建立钓鱼网站样本的静态特征库和行为特征库并提取可疑钓鱼网站的静态特征、行为特征；以及S3：基于静态特征和行为特征形成风险评估模型，对钓鱼网站自动化识别。

公开(公告)号：CN106131054A

公开(公告)日：2016-11-16

申请号：CN201610681152.1

申请日：2016-08-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张腾 ,  李佳 ,  李志辉 ,  张帅 ,  高胜 ,  张洪 ,  刘丙双 ,  严寒冰 ,  丁丽 ,  何世平 ,  赵慧 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  陈阳 ,  何能强 ,  李挺 ,  李世淙 ,  王适文 ,  刘婧 ,  饶毓 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1433 ,  H04L63/145 ,  H04L63/1483 ,  H04L2463/144

Abstract: 本发明公开一种基于安全云的网络入侵协同检测方法，其包括如下步骤：S1由NIDS向安全云发起授权申请；S2对授权后的NIDS动态注册，动态注册后的NIDS从安全云上获取唯一标识ID；S3，NIDS针对入侵检测的对抗性要求，从安全云实时获取特征规则库；以及S4，NIDS应用网络安全检测技术进行全面检测；其包括：NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云，在安全云侧进行事件的存储、分析、过滤和判定，然后安全云将判定为安全威胁的事件定点回传给NIDS。

公开(公告)号：CN102938769A

公开(公告)日：2013-02-20

申请号：CN201210475596.1

申请日：2012-11-22

Applicant: 国家计算机网络与信息安全管理中心 ,  北京大学

Inventor： 袁春阳 ,  杜跃进 ,  孙波 ,  许俊峰 ,  王明华 ,  李青山 ,  徐小琳 ,  何跃鹰 ,  严寒冰 ,  王营康 ,  郑礼雄 ,  张胜利 ,  李洪生 ,  轩志朋 ,  王永建 ,  林绅文 ,  杨鹏 ,  王进 ,  张伟 ,  郭承青

IPC: H04L29/06

Abstract: 本发明所述的一种Domain flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

公开(公告)号：CN101924754A

公开(公告)日：2010-12-22

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。