公开(公告)号：CN116112287A

公开(公告)日：2023-05-12

申请号：CN202310364357.7

申请日：2023-04-07

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心山西分中心

Inventor： 秦佳伟 ,  殷伟 ,  严定宇 ,  秦志鹏 ,  贺铮 ,  周昊 ,  贾世琳 ,  张宇鹏 ,  肖崇蕙 ,  刘玲 ,  张榜

IPC: H04L9/40

Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置，包括：获取网络流量和网络资产信息；从网络流量中提取情报特征；根据网络资产信息，确定资产语义特征；将情报特征输入预设的异常检测模型中，由异常检测模型输出第一检测结果；将资产语义特征输入预设的资产检测模型中，由资产检测模型输出第二检测结果；按照五元组和数据包统计特征对网络流量进行聚类，得到多组子流量；根据时间特征，计算各组子流量的周期系数；根据第一检测结果、第二检测结果和周期系数，确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性，能够全面准确的检测攻击组织的攻击行为。

公开(公告)号：CN116112287B

公开(公告)日：2023-06-20

申请号：CN202310364357.7

申请日：2023-04-07

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心山西分中心

Inventor： 秦佳伟 ,  殷伟 ,  严定宇 ,  秦志鹏 ,  贺铮 ,  周昊 ,  贾世琳 ,  张宇鹏 ,  肖崇蕙 ,  刘玲 ,  张榜

IPC: H04L9/40

Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置，包括：获取网络流量和网络资产信息；从网络流量中提取情报特征；根据网络资产信息，确定资产语义特征；将情报特征输入预设的异常检测模型中，由异常检测模型输出第一检测结果；将资产语义特征输入预设的资产检测模型中，由资产检测模型输出第二检测结果；按照五元组和数据包统计特征对网络流量进行聚类，得到多组子流量；根据时间特征，计算各组子流量的周期系数；根据第一检测结果、第二检测结果和周期系数，确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性，能够全面准确的检测攻击组织的攻击行为。

公开(公告)号：CN109347786A

公开(公告)日：2019-02-15

申请号：CN201810924887.1

申请日：2018-08-14

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心湖南分中心

Inventor： 康金钟 ,  胡国良 ,  肖刚 ,  张超 ,  胡嘉俊 ,  张勇 ,  严寒冰 ,  饶毓 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站检测方法，所述方法包括:提取待检测网站的访问数据；根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数；若所有检测结果均为非钓鱼网站，则所述待检测网站为非钓鱼网站，否则，所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测，从而可以准确有效地识别钓鱼网站。

公开(公告)号：CN118316730A

公开(公告)日：2024-07-09

申请号：CN202410711421.9

申请日：2024-06-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  严定宇 ,  吕利峰 ,  贺铮 ,  周昊 ,  周彧 ,  金忠峰 ,  刘玲 ,  肖崇蕙

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明属于网络攻击检测领域，具体公开了一种针对邮箱的网络攻击异常行为检测方法，具体包括：S1：捕获网络流量PCAP数据包；S2：解析捕获的网络流量PCAP数据包，过滤邮件收件协议的加密流量；S3：对所述邮件收件协议的加密流量进行深度检测，提取非加密元数据以及会话的时间；S4：根据提取的非加密元数据以及会话的时间筛选有效交互会话，并补充源IP和目的IP的单位信息；S5：基于源IP在特定时间访问多个不同目的IP的模式，自动产生告警。本发明从攻击者的角度出发，通过对加密邮件流量的统计分析，建立收信异常行为模型，以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。

公开(公告)号：CN111861545B

公开(公告)日：2022-10-18

申请号：CN202010573448.8

申请日：2020-06-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘婧 ,  钟盛海 ,  肖崇蕙 ,  王丽宏 ,  闫昊 ,  马莉雅 ,  郭舒 ,  黄洪仁 ,  王士承 ,  黑一鸣

IPC: G06Q30/02

Abstract: 本申请涉及一种用户行为画像的构建方法、装置、设备及存储介质，所述方法包括：构建用户行为画像模型；生成用户行为特征向量和生成行为对象特征向量；计算分组判别结果与设定分组的分组误差，和，将用户行为特征向量和行为对象特征向量重构生成行为矩阵，并计算重构生成的行为矩阵为用户行为矩阵的生成概率；根据最小化模型方法，优化用户行为画像模型，更新用户行为画像模型参数；用户行为画像模型构建成功，向构建成功的用户行为画像模型输入用户行为数据，获得与用户行为数据对应的用户行为画像。用以解决现有的用户行为画像模型构建时更专注于用户的共性，难以获取具有个性化且可区分性的用户行为画像的问题。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN108717449A

公开(公告)日：2018-10-30

申请号：CN201810480432.5

申请日：2018-05-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  周亮 ,  庞伟 ,  赵景坤 ,  兰英 ,  陈阳 ,  周昊 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: G06F17/30

Abstract: 本发明提供一种信息处理方法及系统，涉及数据处理技术领域。该方法包括：获得网络请求；解析所述网络请求中的目标用户代理字段；根据预设匹配规则，确定与所述目标用户代理字段相匹配的目标信息，所述目标信息包括系统版本、系统名称、浏览器版本、设备名称中的至少一种。本方案通过从网络请求中解析用户代理字段，以匹配得到目标信息，一方面无需释放额外的识别代码给终端设备，另一方面有助于减少终端设备中浏览器内存资源的占用量。其中，目标信息可以包括系统版本、系统名称、浏览器版本、设备名称中的至少一种信息。

公开(公告)号：CN108306901A

公开(公告)日：2018-07-20

申请号：CN201810448681.6

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  陈阳 ,  周昊 ,  饶毓 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  狄少嘉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙 ,  程亚楠 ,  许海燕

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种获取域名WHOWAS注册信息的方法，其解决了现有方法不能及时获取域名WHOWAS注册信息的技术问题；包括以下步骤：步骤1，对域名预处理，判断域名字符组成上是否正确，并将域名处理为注册域名的结构；步骤2，首次获取和解析域名的WHOIS关键信息：步骤3，根据轮询探测策略，对已获取WHOIS关键信息的域名进行探测，对符合不同条件的域名使用不同的轮询探测策略，获取并解析域名的WHOIS关键信息；步骤4，根据WHOIS信息更新规则，判断WHOIS信息是否更新，而产生并储存WHOWAS信息。本发明广泛应用于信息技术领域。

公开(公告)号：CN108173884A

公开(公告)日：2018-06-15

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN110515981B

公开(公告)日：2022-04-12

申请号：CN201810489734.9

申请日：2018-05-21

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘婧 ,  王丽宏 ,  郭杰 ,  肖崇蕙 ,  钟盛海 ,  顾杰 ,  王士承 ,  盛傢伟 ,  黄洪仁

IPC: G06F16/2458 ,  G06Q30/02

Abstract: 本发明涉及一种基于时空轨迹的用户识别方法及装置，包括：获取待识别用户的兴趣区域；构建待识别用户和数据库中用户的时空关系网络；利用node2vec算法计算所述待识别用户的特征向量和数据库中用户的特征向量；计算待识别用户特征向量与数据库中用户特征向量的相似度；通过所述相似度的排序，识别数据库中与待识别用户最相似的用户。本发明提供的技术方案综合考虑用户自身行为与用户间关系特征，兼顾对用户行为的稳定性和差异性的特征描述。其中，用户兴趣区域的获取更多的考虑行为稳定性，网络边权的设计更多的考虑差异性，采用多视角自主表示学习有助于获得更加鲁棒性的用户向量表示。