公开(公告)号：CN113572631A

公开(公告)日：2021-10-29

申请号：CN202110599771.7

申请日：2021-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾子骁 ,  韩志辉 ,  贾世琳 ,  吕卓航 ,  严定宇

IPC: H04L12/24

Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括：由第一算子获取任务的第一数据包；其中，所述第一数据包由配置数据与第一源数据封装得到；由所述第一算子从所述第一数据包中获取与其对应的第一配置数据，并根据所述第一配置数据，对所述第一数据包中的第一源数据进行处理，得到第二源数据；由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包，并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下，对计算任务的计算逻辑进行更新，步骤简便且能够满足实时性要求较高的业务的需求。

公开(公告)号：CN113364780A

公开(公告)日：2021-09-07

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。

公开(公告)号：CN111526110A

公开(公告)日：2020-08-11

申请号：CN201910105743.8

申请日：2019-02-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 雷君 ,  黄蒙 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  徐剑 ,  王适文 ,  肖崇惠 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  周彧 ,  高川 ,  贾世琳 ,  文静 ,  楼书逸 ,  吕卓航

IPC: H04L29/06 ,  H04L12/58

Abstract: 本发明实施例提供了一种检测电子邮箱账户非授权登录的方法、装置、设备和介质。其中，该方法包括：采集电子邮箱账户连续登录的待检测登陆日志及其前一个登陆日志，以及电子邮箱账户在预定时间段内的历史登陆日志；基于待检测登陆日志及其前一个登陆日志，对待检测登陆日志进行分类；根据历史登陆日志、待检测登陆日志及其分类结果，确定电子邮箱账户的登录行为模式信息；将待检测登陆日志及其分类结果，以及登录行为模式信息，与预定的告警规则进行匹配；如果匹配，则将待检测用户登录行为确定为非授权用户登录行为。通过本发明实施例，解决了如何识别电子邮箱账户非授权登录的技术问题，而且可以不依赖于对电子邮件内容的分析。

公开(公告)号：CN119892592A

公开(公告)日：2025-04-25

申请号：CN202411995565.8

申请日：2024-12-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  楼书逸 ,  秦佳伟 ,  饶毓 ,  周昊 ,  吕卓航

IPC: H04L41/0604 ,  H04L41/0631

Abstract: 本发明涉及网络安全情报分析领域，公开了一种网络安全告警事件误报去除方法、装置、设备及介质，具体包括获取误报事件、预设自相关系数阈值、趋势误报处理间隔和周期误报处理间隔；基于趋势误报处理间隔，对误报事件进行聚类统计，得到多个趋势事件序列；基于周期误报处理间隔，将多个趋势事件序列进行序列重组，得到多个周期事件序列；计算多个周期事件序列的自相关系数，并将自相关系数和预设自相关系数阈值进行比较，以确定多个目标周期事件序列；将多个目标周期事件序列进行时频域转换，获得目标周期值，并将目标周期值非0的目标周期事件序列去除，本发明提升误报去除的简便性、精准性和广泛应用性。

公开(公告)号：CN117978504A

公开(公告)日：2024-05-03

申请号：CN202410168563.5

申请日：2024-02-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  秦佳伟 ,  郭晶 ,  吕卓航 ,  楼书逸 ,  贾世琳

IPC: H04L9/40 ,  H04L41/0681

Abstract: 本申请公开了一种流量基线设置方法、装置、电子设备及存储介质，所述方法，包括：获取当前时间周期之前的第一预设数量的历史时间周期内指定时间窗口的指定源IP与目的IP对应的第一网络流量日志；针对每一历史时间周期，根据历史时间周期内指定时间窗口的源IP与目的IP对应的第一网络流量日志统计在历史时间周期内指定时间窗口源IP与目的IP对应的上行流量大小值和下行流量大小值；根据上行流量大小值和下行流量大小值，确定历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比；根据各个历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比，确定当前时间周期内指定时间窗口的流量基线。

公开(公告)号：CN113572631B

公开(公告)日：2022-12-20

申请号：CN202110599771.7

申请日：2021-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾子骁 ,  韩志辉 ,  贾世琳 ,  吕卓航 ,  严定宇

IPC: H04L41/0803

Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括：由第一算子获取任务的第一数据包；其中，所述第一数据包由配置数据与第一源数据封装得到；由所述第一算子从所述第一数据包中获取与其对应的第一配置数据，并根据所述第一配置数据，对所述第一数据包中的第一源数据进行处理，得到第二源数据；由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包，并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下，对计算任务的计算逻辑进行更新，步骤简便且能够满足实时性要求较高的业务的需求。

公开(公告)号：CN113242236A

公开(公告)日：2021-08-10

申请号：CN202110500723.8

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  韩志辉 ,  王适文 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明提出了一种网络实体威胁图谱构建方法，本申请涉及一种威胁图谱构建方法，尤其涉及一种网络实体威胁图谱构建方法，属于网络安全领域。本发明首先，接入采集各类网络安全日志数据并进行规范化处理，然后，对数据中的网络安全实体进行识别并抽取关联关系和使用统计分析、机器学习等方法对网络安全实体进行标签标注；最后，基于网络实体标定结果和标签知识实现网络实体威胁图谱绘制。保提高了安全数据到知识的转换效率，帮助网络安全分析人员更加高效的进行网络安全事件发现和分析，具有较强的实用性和可操作性。解决了现有技术中存在的网络安全分析业务中相关数据组织管理关联性弱、数据表现形式单一的技术问题。

公开(公告)号：CN110149343B

公开(公告)日：2021-07-16

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

公开(公告)号：CN111885001A

公开(公告)日：2020-11-03

申请号：CN202010590026.1

申请日：2020-06-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 饶毓 ,  严寒冰 ,  周昊 ,  王东 ,  吕卓航 ,  马莉雅

IPC: H04L29/06

Abstract: 本发明涉及一种异常登录行为识别方法、控制器及介质，所述方法包括获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；将所述异常登录请求对应的IP地址确定为异常IP地址。本发明通过对登录账号行为进行多个维度的分析，能够更加准确地识别出异常登陆行为，减少误判。

公开(公告)号：CN110149343A

公开(公告)日：2019-08-20

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。