-
公开(公告)号:CN116112287B
公开(公告)日:2023-06-20
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN110808988B
公开(公告)日:2021-09-10
申请号:CN201911086071.7
申请日:2019-11-08
Applicant: 国家计算机网络与信息安全管理中心山西分中心 , 北京信联科汇科技有限公司
Abstract: 本发明涉及一种基于信息特征熵和长短期记忆网络的物联网卡业务异常检测方法,针对物联网卡业务分析,综合考量不同维度特征,加入信息特征熵概念,很好刻画不同时段特征分布的随机程度,同时引入了长短期记忆网络模型,通过对各维度特征历史时段特征熵值的学习训练,构建特征熵值预测模型,用以预测新时段的特征熵,并与实际特征熵进行对比分析,能够有效提高了物联网卡异常业务检测的准确性和效率。
-
公开(公告)号:CN110808988A
公开(公告)日:2020-02-18
申请号:CN201911086071.7
申请日:2019-11-08
Applicant: 国家计算机网络与信息安全管理中心山西分中心 , 北京信联科汇科技有限公司
Abstract: 本发明涉及一种基于信息特征熵和长短期记忆网络的物联网卡业务异常检测方法,针对物联网卡业务分析,综合考量不同维度特征,加入信息特征熵概念,很好刻画不同时段特征分布的随机程度,同时引入了长短期记忆网络模型,通过对各维度特征历史时段特征熵值的学习训练,构建特征熵值预测模型,用以预测新时段的特征熵,并与实际特征熵进行对比分析,能够有效提高了物联网卡异常业务检测的准确性和效率。
-
公开(公告)号:CN114900360B
公开(公告)日:2023-09-22
申请号:CN202210512158.1
申请日:2022-05-12
Applicant: 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40 , H04L67/02 , H04L61/4511
Abstract: 本发明适用于域名解析服务的技术领域,提供了一种检测HTTPS流量中的DoH流量方法,通过建立公共DoH域名对应的IP地址库,识别公共DoH流量,然后识别非公共地址的DoH流量,本发明通过利用网络数据包的强特征,从HTTPS与DoH的网络数据报文中,寻找不同点;由于识别依靠网络数据报文,因此具备检测范围广,适配更多的网络场景并且误报率低。
-
公开(公告)号:CN116112287A
公开(公告)日:2023-05-12
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
Patent Agency Ranking
公开(公告)号:CN113141370B
公开(公告)日:2022-09-16
申请号:CN202110480418.7
申请日:2021-04-30
Applicant: 国家计算机网络与信息安全管理中心山西分中心
Abstract: 本发明适用于计算机网络安全技术领域,提供了一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。
-
公开(公告)号:CN114900360A
公开(公告)日:2022-08-12
申请号:CN202210512158.1
申请日:2022-05-12
Applicant: 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40 , H04L67/02 , H04L61/4511
Abstract: 本发明适用于域名解析服务的技术领域,提供了一种检测HTTPS流量中的DoH流量方法,通过建立公共DoH域名对应的IP地址库,识别公共DoH流量,然后识别非公共地址的DoH流量,本发明通过利用网络数据包的强特征,从HTTPS与DoH的网络数据报文中,寻找不同点;由于识别依靠网络数据报文,因此具备检测范围广,适配更多的网络场景并且误报率低。
-
公开(公告)号:CN110851422B
公开(公告)日:2025-05-09
申请号:CN201911078822.0
申请日:2019-11-06
Applicant: 国家计算机网络与信息安全管理中心山西分中心
IPC: G06F18/2433 , G06F18/23213 , G06F18/213 , G06F18/15 , G06N20/00 , H04L9/40
Abstract: 本发明涉及一种基于机器学习的数据异常监测模型构建方法,考虑到单一特征分析结果的片面性和不足,在对平台业务数据的分析中,引入了皮尔逊相关系数和方差扩大因子来对不同特征进行特征提取,提取出合适的特征数据进入聚类模型,对提升模型准确率有很大的提升;并且针对聚类模型,选用K‑means算法的改进算法I‑K‑means算法模型,由于设计的主要目的是做异常处理,所以该算法不用将聚类进行到底再找异常,相比较于其它原始算法速度较快;综上基于机器学习建立的模型具有自学习、自演化的特性,可以适应复杂多变的网络环境,能够检测出未知异常,满足实时准确的需求。
-
公开(公告)号:CN113141370A
公开(公告)日:2021-07-20
申请号:CN202110480418.7
申请日:2021-04-30
Applicant: 国家计算机网络与信息安全管理中心山西分中心
Abstract: 本发明适用于计算机网络安全技术领域,提供了一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。
-
公开(公告)号:CN110851422A
公开(公告)日:2020-02-28
申请号:CN201911078822.0
申请日:2019-11-06
Applicant: 国家计算机网络与信息安全管理中心山西分中心
Abstract: 本发明涉及一种基于机器学习的数据异常监测模型构建方法,考虑到单一特征分析结果的片面性和不足,在对平台业务数据的分析中,引入了皮尔逊相关系数和方差扩大因子来对不同特征进行特征提取,提取出合适的特征数据进入聚类模型,对提升模型准确率有很大的提升;并且针对聚类模型,选用K-means算法的改进算法I-K-means算法模型,由于设计的主要目的是做异常处理,所以该算法不用将聚类进行到底再找异常,相比较于其它原始算法速度较快;综上基于机器学习建立的模型具有自学习、自演化的特性,可以适应复杂多变的网络环境,能够检测出未知异常,满足实时准确的需求。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.054 seconds)
