公开(公告)号：CN115242431A

公开(公告)日：2022-10-25

申请号：CN202210657643.8

申请日：2022-06-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘泳锐 ,  邢燕祯 ,  秦志鹏 ,  刘中金 ,  吕志梅 ,  陈解元 ,  范广 ,  杨朝晖 ,  李华

IPC: H04L9/40 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N5/00 ,  G06N20/20 ,  G16Y40/10 ,  G16Y40/20 ,  G16Y40/50

Abstract: 本发明涉及基于随机森林和长短期记忆网络的工业物联网数据异常检测方法，首先进行数据预处理，然后通过随机森林算法筛选出各目标流量特征，最后基于长短期记忆网络，训练获得工业物联网数据异常检测模型，用于对目标工业物联网中的待分析工业物联网流量实现异常检测；设计方法不仅综合考量了多维度数据特征，使模型能过适应真实的应用环境，提升检测准确性，而且针对多维度特征分析，引入随机森林算法对多维数据进行特征提取，以信息熵为度量构造熵值下降最快的树，到叶子节点处的熵值为零或接近零，能够很好的选择出多维数据的重要特征；整个设计方法能够有效应对工业网络物联网安全威胁，提高异常流量检测的准确率。

公开(公告)号：CN113141370B

公开(公告)日：2022-09-16

申请号：CN202110480418.7

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心山西分中心

Inventor： 秦志鹏 ,  朱杰 ,  刘泳锐 ,  杨朝晖 ,  陈解元 ,  安黎东 ,  李华 ,  范广 ,  吕志梅

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明适用于计算机网络安全技术领域，提供了一种内部网络流量的恶意DNS隧道识别方法，本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选，再从DNS请求频率，域名子域名文本特征，域名请求类型，域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道，并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库，作为数据的补充，帮助机器学习，提高预测以及检测的识别精准度，提高了工作的效率，避免了原有的人工投诉、人工审核这种方式，导致的工作速度和进度低下的问题。

公开(公告)号：CN114900360A

公开(公告)日：2022-08-12

申请号：CN202210512158.1

申请日：2022-05-12

Applicant: 国家计算机网络与信息安全管理中心山西分中心

Inventor： 秦志鹏 ,  朱杰 ,  刘泳锐 ,  李华 ,  杨朝晖 ,  陈解元 ,  范广 ,  吕志梅 ,  王鹏

IPC: H04L9/40 ,  H04L67/02 ,  H04L61/4511

Abstract: 本发明适用于域名解析服务的技术领域，提供了一种检测HTTPS流量中的DoH流量方法，通过建立公共DoH域名对应的IP地址库，识别公共DoH流量，然后识别非公共地址的DoH流量，本发明通过利用网络数据包的强特征，从HTTPS与DoH的网络数据报文中，寻找不同点；由于识别依靠网络数据报文，因此具备检测范围广，适配更多的网络场景并且误报率低。