公开(公告)号：CN108614862A

公开(公告)日：2018-10-02

申请号：CN201810265932.7

申请日：2018-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 陈阳 ,  刘婧 ,  朱天 ,  饶毓 ,  张帅 ,  雷君 ,  徐小琳 ,  王振宇

IPC: G06F17/30 ,  G06F8/30

Abstract: 本发明涉及一种基于流计算引擎的实时标签处理方法和装置，所述方法包括:步骤1、根据标签处理任务的需求设定标签处理任务类型；步骤2、根据所设定的标签处理任务类型，配置数据源信息、标签处理信息和数据输出信息；步骤3、根据所配置的数据源信息、标签处理信息和数据输出信息，生成标签处理任务配置元数据；步骤4、根据所述标签处理任务配置元数据，创建并执行所述标签处理任务。本发明通过简单配置自动化构建数据标签处理的任务流程。在标签处理任务中，根据元数据定义及标签处理规则定义进行标签处理，实现对多源数据进行标签处理，使数据标签处理过程规范化，提高了大数据实时标签处理方法的通用性和效率。

公开(公告)号：CN108306901A

公开(公告)日：2018-07-20

申请号：CN201810448681.6

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  陈阳 ,  周昊 ,  饶毓 ,  雷君 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  狄少嘉 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙 ,  程亚楠 ,  许海燕

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种获取域名WHOWAS注册信息的方法，其解决了现有方法不能及时获取域名WHOWAS注册信息的技术问题；包括以下步骤：步骤1，对域名预处理，判断域名字符组成上是否正确，并将域名处理为注册域名的结构；步骤2，首次获取和解析域名的WHOIS关键信息：步骤3，根据轮询探测策略，对已获取WHOIS关键信息的域名进行探测，对符合不同条件的域名使用不同的轮询探测策略，获取并解析域名的WHOIS关键信息；步骤4，根据WHOIS信息更新规则，判断WHOIS信息是否更新，而产生并储存WHOWAS信息。本发明广泛应用于信息技术领域。

公开(公告)号：CN108173884A

公开(公告)日：2018-06-15

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN105138907A

公开(公告)日：2015-12-09

申请号：CN201510435009.X

申请日：2015-07-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何世平 ,  胡俊 ,  徐原 ,  高胜 ,  党向磊 ,  徐晓燕 ,  赵慧 ,  陈阳 ,  李世淙 ,  刘婧 ,  赵宸 ,  饶毓

IPC: G06F21/55

CPC classification number: G06F21/554

Abstract: 本发明提供一种主动探测被攻击网站的方法和系统，所述方法包括：(1)获取待检测网站信息并生成需要检测的任务文件；(2)将所述任务文件发送到对应的检测微引擎进行检测；(3)对所述任务文件中的每个网站进行安全检测并生成结果文件；(4)获得并解析所述结果文件，得到结果信息，若有网站被攻击信息则向管理员报警。本发明通过检测微引擎检测网站是否受到各种网站攻击，并且使用轮询机制，各个模块同时运行，可以使整个系统有很大的吞吐量，可以检测大批量的网站。

公开(公告)号：CN105025025A

公开(公告)日：2015-11-04

申请号：CN201510435008.5

申请日：2015-07-22

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高胜 ,  胡俊 ,  何世平 ,  徐原 ,  赵慧 ,  徐晓燕 ,  刘婧 ,  陈阳 ,  李世淙 ,  党向磊 ,  饶毓 ,  赵宸

IPC: H04L29/06 ,  H04L29/12 ,  H04L29/08

Abstract: 本发明提供一种基于云平台的域名主动检测方法和系统，该方法包括：(1)将各处理微引擎注册到云平台上，初始化微引擎配置参数；(2)配置并生成域名检测任务，并将其发送到云平台；(3)调度所述域名检测任务到指定的微引擎程序，执行完成后将任务执行结果以文本方式存储到FTP服务器中；(4)从FTP服务器中获取执行结果文件，并将解析后的所述执行结果文件存储到数据库中。针对该方法构建了一种主动检测的系统，本发明运用云平台资源在各地域个运营商进行域名安全主动检测，能够高效完成Ipv4段DNS服务器判定。

公开(公告)号：CN119835037A

公开(公告)日：2025-04-15

申请号：CN202411949295.7

申请日：2024-12-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  吕卓航 ,  楼书逸 ,  饶毓 ,  周昊 ,  秦佳伟

IPC: H04L9/40 ,  G06F18/214 ,  G06N3/0895

Abstract: 本发明涉及网络安全技术领域，公开了一种基于多源标签弱监督学习的安全日志分析方法，方法包括：在标签日志数据集中获取相似日志样本，并将相似日志样本组合为子样本集合；以子样本集合中各个日志样本的类型相同为目标，通过目标分类器，对子样本集合中日志样本的各个标签对应的对比权重进行更新，获得权重值矩阵；对比权重用于指示日志样本的候选标签信息与其他预测标签的差异距离；基于权重值矩阵生成目标样本日志对应的目标标签，并根据目标样本日志以及目标标签对日志分析模型进行训练；其中，训练后的日志分析模型用于对安全日志进行分析。本发明能够提高安全日志分析的准确性。

公开(公告)号：CN119475330A

公开(公告)日：2025-02-18

申请号：CN202411400544.7

申请日：2024-10-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张榜 ,  肖崇蕙 ,  饶毓 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  周成飞

IPC: G06F21/56 ,  G06F16/958 ,  G06F16/951

Abstract: 本申请提供一种网页分析识别方法、装置及电子设备，涉及网络安全领域。该方法中，获取待检测网页网址；根据待检测网页网址爬取待检测网页内容，待检测网页内容包括源代码数据和图片数据；对源代码数据和图片数据分别进行预处理，得到页面的结构特征数据，将页面的结构特征数据与预设的FOFA规则的关键字一一对应得到对应关系；将FOFA规则加载至预设的AC算法的分析模块，并将结构特征数据作为输入数据，利用分析模块将输入数据与关键字对应的关键值进行匹配分析，输出匹配的规则标识；根据匹配的规则标识，从预设的数据库中匹配规则标识的相关描述信息，根据相关描述信息确定是否为恶意网址，能够适应不同类型网址。

公开(公告)号：CN119109697A

公开(公告)日：2024-12-10

申请号：CN202411400533.9

申请日：2024-10-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张榜 ,  肖崇蕙 ,  饶毓 ,  石建 ,  温森浩 ,  姚力 ,  邓焕

IPC: H04L9/40

Abstract: 本申请涉及基于流量数据的仿冒网站识别方法、设备、介质和产品，方法包括：基于已知仿冒网站集合进行特征提取和汇总，确定行业定向仿冒网站对应的网站模板。然后，基于网站模板进行网站模板特征分析，并基于粗放规则和流量数据进行流量碰撞，确定可疑网站集合。进而，基于可疑网站集合进行多维特征分析，并基于精细规则和可疑网站集合进行仿冒网站识别，确定待确认仿冒网站集合。最终，基于操作指令和待确认仿冒网站集合，得到已确认仿冒网站。通过设置粗放规则和精细规则两层仿冒网站筛选和识别操作，使得仿冒网站识别更加具有针对性和准确性，并更加深入地挖掘了仿冒网站的本质特征，减少了误报和漏报，提高了仿冒网站识别的准确度。

公开(公告)号：CN113904796B

公开(公告)日：2023-11-17

申请号：CN202110995717.4

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  严定宇 ,  吕利锋 ,  严寒冰 ,  饶毓 ,  吕志泉 ,  秦佳伟

IPC: H04L9/40 ,  G06F21/56

Abstract: 本发明属于网络安全技术领域，且公开了一种网络流量安全检测的设备后门检测方法，包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本，对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本，通过回溯过往的流量异常增多时，设备的异常现象，与注册表之间进行联合比对，并对当前进行实时监控，得出相较于只检查当前IP异常通讯和单一排查注册项，效率相对较高，且准确性通过比对也得到提升。

公开(公告)号：CN112822194B

公开(公告)日：2022-12-09

申请号：CN202110019665.7

申请日：2021-01-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  朱天 ,  饶毓 ,  邱晓康 ,  王琴琴

IPC: H04L9/40

Abstract: 本发明是有关于一种识别判定DDoS攻击团伙行为的方法。本方法为：1)获取DDoS攻击记录，查询控制端IP和攻击目标IP的whois信息；2)综合DDoS攻击的攻击目标相似性、僵尸主机相似性、攻击时间相似性，计算攻击者相似性；3)以攻击者为节点构建社区网络，两个攻击者相似度超过阈值时，构建两个攻击者的连接关系。4)应用社区发现算法，计算团伙特征的一致性，通过可视化和一致性来挖掘和分析团伙行为。本发明基于时间定义攻击者的多维相似性，实现数据的降维表示。将数据应用社区发现算法来挖掘攻击团伙，使得具有相似攻击行为的攻击者可以聚成团，实现有效的团伙挖掘和属性标定，快速准确判定出攻击团伙，协助警方破案。