公开(公告)号：CN108173884B

公开(公告)日：2021-05-04

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN110830299A

公开(公告)日：2020-02-21

申请号：CN201911088586.0

申请日：2019-11-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 姚力 ,  肖崇惠 ,  张腾 ,  严寒冰 ,  丁丽 ,  温森浩 ,  朱芸茜 ,  王小群 ,  王适文 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周昊 ,  高川 ,  周彧 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮

IPC: H04L12/24 ,  H04L29/06 ,  G06F16/11 ,  G06F16/14 ,  G06F16/16

Abstract: 本发明涉及一种网络安全事件处置方法和系统，方法包括步骤S1、录入模块获取网络安全事件，状态记为暂存，提交至审核模块；步骤S2、审核模块进行审核，状态记为待派发，审核通过，执行步骤S5，否则执行步骤S3；步骤S3、审核模块将事件退回录入模块，状态记为录入待修改；步骤S4、录入模块修改事件后提交审核模块，返回步骤S2；或审核模块取回事件，返回步骤S2；步骤S5、第一服务器将事件分发给第二服务器，状态记为待处置；步骤S6、处置模块对事件进行处置，反馈处置结果，提交归档申请，状态记为待归档；步骤S7、归档模块对处置结果进行归档，状态记为已归档。本发明记录了网络安全事件处置全过程，具有可追溯性，提高了处置效率并降低了成本。

公开(公告)号：CN110225006A

公开(公告)日：2019-09-10

申请号：CN201910446821.0

申请日：2019-05-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  刘威歆 ,  白京华 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  狄少嘉 ,  徐原 ,  李志辉 ,  郭晶 ,  胡俊 ,  张腾 ,  何能强 ,  饶毓

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种网络安全数据可视化方法、控制器和介质，所述方法包括获取待分析的网络安全数据中的原始网络拓扑数据；将所述原始网络拓扑数据中的核心实体进行聚合，得到核心实体集合；将所述原始网络拓扑数据中的关联实体进行聚合，得到关联实体集合；以所述核心实体集合、关联实体集合作为点类型，以核心实体集合和关联实体集合之间的关系作为边类型构建待显示网络拓扑数据；将所述待显示网络拓扑数据进行可视化显示。本发明能够将大规模网络安全数据在有限的空间内清晰的展示出来，从而提升了网络安全数据分析的效率和准确度。

公开(公告)号：CN110188257A

公开(公告)日：2019-08-30

申请号：CN201910304216.X

申请日：2019-04-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  何能强 ,  严寒冰 ,  丁丽 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  胡俊 ,  王小群 ,  吕利锋 ,  张腾 ,  王庆 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  周彧 ,  周昊 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静

IPC: G06F16/951

Abstract: 本发明公开了一种移动应用数据采集方法及装置，该方法包括：录制用户对该应用操作流程的脚本；加载所述脚本，根据预存储的搜索关键词列表中的关键词，指示应用客户端向应用服务器端发送请求，获取应用服务器端发送的历史消息，以使得代理服务器截取到应用服务器端发送的历史消息后写入数据库；对写入数据库的历史消息进行解析，提取该应用的文章数据。采用本发明能够全面自动采集移动应用数据。

公开(公告)号：CN119892592A

公开(公告)日：2025-04-25

申请号：CN202411995565.8

申请日：2024-12-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  楼书逸 ,  秦佳伟 ,  饶毓 ,  周昊 ,  吕卓航

IPC: H04L41/0604 ,  H04L41/0631

Abstract: 本发明涉及网络安全情报分析领域，公开了一种网络安全告警事件误报去除方法、装置、设备及介质，具体包括获取误报事件、预设自相关系数阈值、趋势误报处理间隔和周期误报处理间隔；基于趋势误报处理间隔，对误报事件进行聚类统计，得到多个趋势事件序列；基于周期误报处理间隔，将多个趋势事件序列进行序列重组，得到多个周期事件序列；计算多个周期事件序列的自相关系数，并将自相关系数和预设自相关系数阈值进行比较，以确定多个目标周期事件序列；将多个目标周期事件序列进行时频域转换，获得目标周期值，并将目标周期值非0的目标周期事件序列去除，本发明提升误报去除的简便性、精准性和广泛应用性。

公开(公告)号：CN117978504A

公开(公告)日：2024-05-03

申请号：CN202410168563.5

申请日：2024-02-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  秦佳伟 ,  郭晶 ,  吕卓航 ,  楼书逸 ,  贾世琳

IPC: H04L9/40 ,  H04L41/0681

Abstract: 本申请公开了一种流量基线设置方法、装置、电子设备及存储介质，所述方法，包括：获取当前时间周期之前的第一预设数量的历史时间周期内指定时间窗口的指定源IP与目的IP对应的第一网络流量日志；针对每一历史时间周期，根据历史时间周期内指定时间窗口的源IP与目的IP对应的第一网络流量日志统计在历史时间周期内指定时间窗口源IP与目的IP对应的上行流量大小值和下行流量大小值；根据上行流量大小值和下行流量大小值，确定历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比；根据各个历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比，确定当前时间周期内指定时间窗口的流量基线。

公开(公告)号：CN114880661A

公开(公告)日：2022-08-09

申请号：CN202210622592.5

申请日：2022-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  饶毓 ,  周昊 ,  严寒冰 ,  丁丽 ,  徐原 ,  姚力 ,  朱芸茜 ,  楼书逸 ,  贾世琳 ,  刘玲 ,  严定宇 ,  秦佳伟

IPC: G06F21/55

Abstract: 本申请提供一种威胁事件处理方法、装置、电子设备及存储介质，方法包括：获取事件集合；事件集合内包含若干威胁事件；确定事件集合中每一威胁事件对应的事件类型，得到类型集合；根据类型集合确定目标关注度等级；根据目标关注度等级和类型集合确定事件集合的威胁评分；根据所述事件集合的威胁评分确定所述事件集合的威胁程度和处理优先度。本申请提供的威胁事件处理方法，能够根据事件集合中每一威胁事件对应的事件类型，确定该事件集合对应的目标关注等级，并根据目标关注度等级和类型集合中包含的所有事件类型，确定出该事件集合对应的威胁评分，并根据威胁评分确定该事件集合的威胁程度和处理优先度，提升威胁事件处理效率。

公开(公告)号：CN113342639A

公开(公告)日：2021-09-03

申请号：CN202110548984.7

申请日：2021-05-19

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 何能强 ,  楼书逸 ,  文静 ,  秦佳伟 ,  张华 ,  崔栋 ,  孙浩 ,  关广振

IPC: G06F11/36 ,  G06F21/52

Abstract: 本公开提供一种小程序安全风险评估方法和电子设备，包括，获取需要测试的小程序的名称和APPID，根据所述名称和所述APPID检索到所述小程序，并获取所述小程序的源码文件；根据所述源码文件，获取关键字符串代码段；获取本地加密数据库中所述小程序的基本信息,根据所述基本信息和所述关键字符串代码段进行安全风险评估，得到代码评估信息；对所述小程序进行模拟点击操作，并启动漏洞扫描器进行漏洞扫描，得到漏洞扫描信息；根据所述代码评估信息和所述漏洞扫描信息生成风险评估报告，并根据所述风险评估报告进行相应处理。本公开通过对小程序采用静态检测和动态分析相结合的方法进行全面的安全风险评估，并根据所述风险评估报告进行相应处理。

公开(公告)号：CN110149343B

公开(公告)日：2021-07-16

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

公开(公告)号：CN108683569B

公开(公告)日：2020-06-09

申请号：CN201810585690.X

申请日：2018-06-06

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 严寒冰 ,  李佳 ,  马莉雅 ,  李志辉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  杜飞

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明提出一种面向云服务基础设施的业务监测方法及系统，属于云服务的基础设施领域。包括控制中心服务器以及布置在各地区的拨测服务器。其中，在各拨测服务器上布置有云服务拨测模块，在控制中心服务器上布置有拨测任务下发模块、数据采集模块、拨测数据分析模块、拨测告警模块和数据库；通过在不同地区设置拨测服务器，在控制中心服务器的WEB界面配置监测任务、拨测任务下发模块将监测任务的配置文件下发到各拨测服务器验证任务的目的IP正确性，采用了大范围异步拨测的监测方法，针对路由器、提供服务的DNS递归服务器，实现了对云服务基础设施的监测，减少数据包的丢失，实现负载均衡，具有较高的鲁棒性和稳定性。