-
公开(公告)号:CN116112287A
公开(公告)日:2023-05-12
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN119835040A
公开(公告)日:2025-04-15
申请号:CN202411964827.4
申请日:2024-12-30
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , H04L61/4511
Abstract: 本发明涉及网络安全大数据分析技术领域,公开了一种面向安全业务的多源日志数据关联分析方法,方法包括:获取网络行为数据;网络行为数据包括流数据以及域名数据;针对域名数据,根据源IP、请求域名以及请求类型在指定时间窗口内进行数据聚合,获得各个第一数据集合;针对流数据,根据流数据的五元组在指定时间窗口内进行数据聚合,获得各个第二数据集合;将各个第一数据集合与各个第二数据集合,按照IP地址或域名进行关联,获得日志集合;对日志集合进行网络安全分析,获得分析结果。本发明能够提高网络安全分析的准确率和效率。
-
公开(公告)号:CN117955714A
公开(公告)日:2024-04-30
申请号:CN202410110037.3
申请日:2024-01-25
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40
Abstract: 本申请提供一种高威胁网络组织深层次刻画方法及相关设备。所述方法包括:预先进行网络数据收集;对所述网络数据进行信息提取,根据提取的信息生成高威胁网络组织画像;监测网络异常行为,并将所述网络异常行为与所述高威胁网络组织画像比对和关联,更新所述高威胁网络组织资源库以及高威胁网络组织画像。根据整合的网络数据作为空间资产,同时根据对网络数据提取的信息进行高威胁网络组织画像的绘制,全面描述高威胁网络组织的特征,最后利用高威胁网络组织画像对异常网络活动进行监测,更新高威胁网络组织画像的同时,使高威胁网络组织画像对攻击行为的判断更加准确,提高网络安全。
-
公开(公告)号:CN116827816A
公开(公告)日:2023-09-29
申请号:CN202310280397.3
申请日:2023-03-21
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L43/08 , H04L43/18 , H04L43/50 , H04L41/14 , H04L61/5007
Abstract: 本申请实施例提供一种网站的IPv6网络支持度测试方法及装置,在单纯IPv6网络的测试环境下,获取目标网站的网络信息,根据网络信息,确定支持度指标,根据各项支持度指标,综合确定目标网站的IPv6支持度,能够全面准确的测试网站的IPv6支持度。
-
公开(公告)号:CN116527307A
公开(公告)日:2023-08-01
申请号:CN202310245623.4
申请日:2023-03-15
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明提供一种基于社区发现的僵尸网络检测方法,该方法将流量数据转换为图数据,利用社区发现对网络图进行划分,对划分后的社区利用节点重叠度和相似度进行检测,据此发现僵尸网络。检测方法包括:基于节点重叠度的可疑社区检测;基于节点相似度的僵尸网络社区检测和节点类型判别。对于输入的流量行为图数据,第一阶段利用社区发现算法对图中节点进行划分并计算社区节点重叠度,以重叠度为依据筛选可疑社区。对于第一阶段输出的可疑社区,第二阶段基于聚类的思想计算每个可疑社区内部的节点相似度,将具有高节点相似度的社区输出为僵尸网络社区。最后一个阶段负责对僵尸网络内部节点的具体类型进行判定并输出最终检测结果。
-
Patent Agency Ranking
公开(公告)号:CN113904796A
公开(公告)日:2022-01-07
申请号:CN202110995717.4
申请日:2021-08-27
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明属于网络安全技术领域,且公开了网络安全检测用流量的设备后门检测方法,包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本,对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本,通过回溯过往的流量异常增多时,设备的异常现象,与注册表之间进行联合比对,并对当前进行实时监控,得出相较于只检查当前IP异常通讯和单一排查注册项,效率相对较高,且准确性通过比对也得到提升。
-
公开(公告)号:CN119885253A
公开(公告)日:2025-04-25
申请号:CN202411818233.2
申请日:2024-12-11
Applicant: 国家计算机网络与信息安全管理中心 , 北京邮电大学
IPC: G06F21/62 , G06F21/60 , G06F18/241 , G06F18/20 , G06N3/08
Abstract: 本申请提供一种数据分类方法、装置、设备及存储介质,该方法包括:获取待处理数据;将所述待处理数据输入数据分类模型中,得到分类数据和所述分类数据的类别;所述数据分类模型为深度学习模型;根据所述分类数据的类别,基于自然语言处理技术和预设识别规则处理所述分类数据,确定敏感信息。本申请实现了对数据的精确分类,并能够识别和处理敏感信息,增强了数据安全性。
-
公开(公告)号:CN119884071A
公开(公告)日:2025-04-25
申请号:CN202411818236.6
申请日:2024-12-11
Applicant: 国家计算机网络与信息安全管理中心 , 北京邮电大学
Abstract: 本申请提供一种用于在分布式环境中管理数据库的方法及相关设备。该方法包括:执行数据库实例的探测任务,以探测到目标数据库实例,获取所述目标数据库实例的物理存储位置和配置信息,基于所述物理存储位置和配置信息,获取所述目标数据库实例对应的数据库的第一特征信息,获取预设的数据库中的第二特征信息,确定所述第一特征信息与所述第二特征信息是否匹配,响应于所述第一特征信息和所述第二特征信息匹配,获取所述数据库的类型和版本,以管理所述数据库。通过上述方法能够在分布式的复杂环境中,自动化地识别和定位数据库实例及其存储位置,减少人工干预,提高数据库探测的效率与准确性。
-
公开(公告)号:CN119835037A
公开(公告)日:2025-04-15
申请号:CN202411949295.7
申请日:2024-12-27
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , G06F18/214 , G06N3/0895
Abstract: 本发明涉及网络安全技术领域,公开了一种基于多源标签弱监督学习的安全日志分析方法,方法包括:在标签日志数据集中获取相似日志样本,并将相似日志样本组合为子样本集合;以子样本集合中各个日志样本的类型相同为目标,通过目标分类器,对子样本集合中日志样本的各个标签对应的对比权重进行更新,获得权重值矩阵;对比权重用于指示日志样本的候选标签信息与其他预测标签的差异距离;基于权重值矩阵生成目标样本日志对应的目标标签,并根据目标样本日志以及目标标签对日志分析模型进行训练;其中,训练后的日志分析模型用于对安全日志进行分析。本发明能够提高安全日志分析的准确性。
-
公开(公告)号:CN118316730B
公开(公告)日:2025-01-21
申请号:CN202410711421.9
申请日:2024-06-04
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明属于网络攻击检测领域,具体公开了一种针对邮箱的网络攻击异常行为检测方法,具体包括:S1:捕获网络流量PCAP数据包;S2:解析捕获的网络流量PCAP数据包,过滤邮件收件协议的加密流量;S3:对所述邮件收件协议的加密流量进行深度检测,提取非加密元数据以及会话的时间;S4:根据提取的非加密元数据以及会话的时间筛选有效交互会话,并补充源IP和目的IP的单位信息;S5:基于源IP在特定时间访问多个不同目的IP的模式,自动产生告警。本发明从攻击者的角度出发,通过对加密邮件流量的统计分析,建立收信异常行为模型,以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。
-
-
-
-
-
-
-
-
-
Search Results
47
records
(took 0.065 seconds)
