公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  G06F16/9535

Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN112769755A

公开(公告)日：2021-05-07

申请号：CN202011507902.6

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 严寒冰 ,  李明哲 ,  周昊 ,  徐剑 ,  郭晶 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  H04L29/12 ,  G06F16/242 ,  G06F16/2455

Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法，该方法包括：对DNS日志数据中若干特征字段的联合取值执行分组聚合统计，形成多级特征数据，得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源，甚至面对海量的DNS日志数据，对其进行处理并发现安全威胁，进行威胁预警不可行的问题，对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销，让整个威胁发现过程具有可行性。

公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC: H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

公开(公告)号：CN112738040A

公开(公告)日：2021-04-30

申请号：CN202011507913.4

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  徐剑 ,  郭晶 ,  周昊 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06

Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置，该方法包括：获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销，以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，可对不断涌现的新威胁类型和威胁迹象进行检测，综合了机器诊断和专家诊断意见，提高检测的覆盖范围，以便能够发现网络中的各种安全威胁。

公开(公告)号：CN115811421A

公开(公告)日：2023-03-17

申请号：CN202211441628.6

申请日：2022-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心浙江分中心

Inventor： 雷君 ,  何能强 ,  仇晨悦 ,  张宇鹏 ,  朱文扬 ,  周彧 ,  季莹莹 ,  严定宇 ,  郑勤健 ,  周昊 ,  尤杰 ,  张录录 ,  李雪峰 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  金红 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮 ,  王宏宇 ,  刘玲 ,  张榜 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40

Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中，该方法包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。

公开(公告)号：CN117879969A

公开(公告)日：2024-04-12

申请号：CN202410168702.4

申请日：2024-02-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾世琳 ,  吕卓航 ,  周昊 ,  高川 ,  贺铮

IPC: H04L9/40

Abstract: 本申请公开了一种数据异常监测方法、装置、电子设备及存储介质，所述方法，包括：获取当前时间周期内当前时间窗口的指定源IP与目的IP对应的网络流量日志；根据网络流量日志统计在当前时间窗口源IP向目的IP发送的流量大小值，以及源IP接收的目的IP发送的流量大小值；根据源IP向目的IP发送的流量大小值、源IP接收的目的IP发送的流量大小值、流量基线与流量告警阈值，判断源IP与目的IP之间传输的流量是否异常；若确定源IP与目的IP之间传输的流量异常，则生成源IP与目的IP在当前时间窗口对应的异常告警日志；对源IP与目的IP产生的异常告警日志进行联合分析，得到分析结果，从而，提高了对风险事件检测的准确性。

公开(公告)号：CN115619245A

公开(公告)日：2023-01-17

申请号：CN202210991590.3

申请日：2022-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  刘玲 ,  张榜 ,  贾世琳 ,  秦佳伟 ,  严寒冰 ,  曹华平 ,  郑开发 ,  郭晶 ,  胡俊 ,  徐剑 ,  饶毓 ,  吕志泉 ,  韩志辉 ,  高川 ,  吕卓航 ,  贺铮 ,  王宏宇 ,  严定宇 ,  石桂欣 ,  史帅 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  孟艳青 ,  冯福伟

IPC: G06Q10/0639 ,  G06Q10/0635 ,  G06Q50/26 ,  G06F18/22 ,  G06F18/23213 ,  G06F18/213 ,  G06F18/214 ,  G06F18/24

Abstract: 本发明公开了一种基于数据降维方法的画像构建和分类方法及系统。方法包括：获取目标用户对应的至少一个画像维度，其中，每个所述画像维度中包括至少一个画像特征；根据每个所述画像特征生成对应的画像特征向量；根据每个所述画像特征向量生成所述目标用户的画像特征向量集；将所述画像特征向量集输入预先训练的画像分类模型中，得到所述目标用户的至少一个用户画像。本发明的方案能够对用户画像进行精确构建，从而解决现有技术对用户画像构建不全面的问题，从而通过用户画像进行全面且完善的数据分析。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN119835037A

公开(公告)日：2025-04-15

申请号：CN202411949295.7

申请日：2024-12-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  吕卓航 ,  楼书逸 ,  饶毓 ,  周昊 ,  秦佳伟

IPC: H04L9/40 ,  G06F18/214 ,  G06N3/0895

Abstract: 本发明涉及网络安全技术领域，公开了一种基于多源标签弱监督学习的安全日志分析方法，方法包括：在标签日志数据集中获取相似日志样本，并将相似日志样本组合为子样本集合；以子样本集合中各个日志样本的类型相同为目标，通过目标分类器，对子样本集合中日志样本的各个标签对应的对比权重进行更新，获得权重值矩阵；对比权重用于指示日志样本的候选标签信息与其他预测标签的差异距离；基于权重值矩阵生成目标样本日志对应的目标标签，并根据目标样本日志以及目标标签对日志分析模型进行训练；其中，训练后的日志分析模型用于对安全日志进行分析。本发明能够提高安全日志分析的准确性。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。