公开(公告)号：CN115168569A

公开(公告)日：2022-10-11

申请号：CN202210491080.X

申请日：2022-05-07

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  吕宁 ,  黄亮 ,  于晶 ,  侯雄斌 ,  侯爽 ,  李婷 ,  葛旭东 ,  任雪纯

IPC: G06F16/35 ,  G06F16/335 ,  G06F40/30 ,  G06F40/295

Abstract: 本发明公开了一种基于UEBA的数据处理方法和系统，该方法包括：获取待处理的数据条目，并基于语义注解算法将所述数据条目转换为语义体；其中，所述语义体包括所述数据条目的注解结果和原始日志；设定时间窗口，并将所述时间窗口内形成的所有语义体进行特征汇总，并基于特征汇总后的语义体生成画像体；将生成的画像体按预设策略存放于目标存储位置；基于目标时间窗口范围和目标存储位置范围，将生成的画像体进行聚合，以得到数据处理结果。该方法利用多源异构的数据资料，抽取能够反映网络实体画像特征的信息，并对这些信息加以聚合，得到上述实体的更全面的画像；解决了现有技术中存在的数据处理量较大，且画像中对实体信息描述不全面的技术问题。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。

公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  G06F16/9535

Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN112769755A

公开(公告)日：2021-05-07

申请号：CN202011507902.6

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 严寒冰 ,  李明哲 ,  周昊 ,  徐剑 ,  郭晶 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  H04L29/12 ,  G06F16/242 ,  G06F16/2455

Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法，该方法包括：对DNS日志数据中若干特征字段的联合取值执行分组聚合统计，形成多级特征数据，得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源，甚至面对海量的DNS日志数据，对其进行处理并发现安全威胁，进行威胁预警不可行的问题，对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销，让整个威胁发现过程具有可行性。

公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC: H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

公开(公告)号：CN118413361A

公开(公告)日：2024-07-30

申请号：CN202410492101.9

申请日：2024-04-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 黄亮 ,  戚艳红 ,  黄恬 ,  熊颖 ,  程冕 ,  戴光耀 ,  周炎龙

IPC: H04L9/40 ,  H04L43/062 ,  H04L41/142

Abstract: 本发明提供了一种基于时空特征分析的测绘组织发现系统，涉及电数字数据处理领域，包括流量监控模块、数据分析模块、模式识别模块和响应报告模块，所述流量监控模块用于对流量的访问连接情况进行监控，所述数据分析模块用于对访问连接信息进行时空特征分析，所述模式识别模块基于分析结果识别出测绘组织以及测绘模式，所述响应报告模块用于对识别结果进行响应并生成报告信息；本系统通过分析流量的时空特征来发现测绘组织，能够更准确的发现出测绘行为，为网络安全提供防御基础。

公开(公告)号：CN109189743B

公开(公告)日：2021-09-28

申请号：CN201810671449.9

申请日：2018-06-26

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 黄亮 ,  孙立远 ,  曹开研 ,  王振宇 ,  李斌斌 ,  王树鹏

IPC: G06F16/178 ,  G06F16/182 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明公开一种面向大流量实时图数据的低资源消耗的超级节点识别过滤方法和系统，属于大数据预处理领域。该方法包括：1)接收图数据并对其进行格式转化；2)根据过滤规则对格式转化之后的数据进行过滤；3)识别过滤之后的数据中的超级节点，并根据识别出的超级节点对所述过滤规则进行动态修改。该系统包括数据接收模块、数据过滤模块、过滤规则管理模块以及超级节点识别模块。本发明可在海量实时图数据流中识别出超级节点，是一种低资源消耗的超级节点识别方案，只需极少资源就可以在海量数据中识别出超级节点。

公开(公告)号：CN109189743A

公开(公告)日：2019-01-11

申请号：CN201810671449.9

申请日：2018-06-26

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 黄亮 ,  孙立远 ,  曹开研 ,  王振宇 ,  李斌斌 ,  王树鹏

IPC: G06F16/178 ,  G06F16/182 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明公开一种面向大流量实时图数据的低资源消耗的超级节点识别过滤方法和系统，属于大数据预处理领域。该方法包括：1)接收图数据并对其进行格式转化；2)根据过滤规则对格式转化之后的数据进行过滤；3)识别过滤之后的数据中的超级节点，并根据识别出的超级节点对所述过滤规则进行动态修改。该系统包括数据接收模块、数据过滤模块、过滤规则管理模块以及超级节点识别模块。本发明可在海量实时图数据流中识别出超级节点，是一种低资源消耗的超级节点识别方案，只需极少资源就可以在海量数据中识别出超级节点。

公开(公告)号：CN107423309A

公开(公告)日：2017-12-01

申请号：CN201610384446.8

申请日：2016-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐杰 ,  陈训逊 ,  王博 ,  王东安 ,  包秀国 ,  黄亮

IPC: G06F17/30 ,  G06K9/62

CPC classification number: G06F16/583 ,  G06K9/6215

Abstract: 本发明涉及一种基于模糊哈希算法相似图片检索方法及系统，其通过分片模块，根据设定的分片值，对图片进行分片；通过哈希算法模块，读取一部分图片内容，用哈希算法计算，得到每一个分片的哈希值；通过压缩映射算法模块，将每片的哈希值进行压缩，映射为一个更短的哈希值；通过连接哈希值算法模块，将每片压缩后的哈希值连在一起，得到该图片的模糊哈希值；最后通过比较算法模块，将待检索的两个图片的模糊哈希值采用加权的汉明距离方法计算相似程度，给出检索结果；解决了图像背景色被改变，或被裁剪、旋转或者某一个像素被修改后相似的图像的比较问题。本发明能够应用于海量互联网图片中的有害图片发现。

公开(公告)号：CN106503015A

公开(公告)日：2017-03-15

申请号：CN201510564860.2

申请日：2015-09-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 陈训逊 ,  王博 ,  黄亮 ,  王东安 ,  薛晨 ,  刘阳 ,  宁曼

IPC: G06F17/30

CPC classification number: G06F16/958 ,  G06F16/337

Abstract: 本发明公开了一种构建用户画像的方法。其中，构建用户画像的方法包括：获取用户互联网上网日志数据并进行预处理，对预处理后的互联网上网日志数据进行特征提取，得到用户的属性特征，然后基于已建立的多维特征库训练的标签分类，根据用户的属性特征在多维特征库中进行匹配，得到用户的多维度属性标签，根据多维度属性标签构建用户画像。通过上述方式，本发明能够构建出全息的多维度用户画像，从而能够满足运营商/企业/公司快速精准广告投放和用户群体的消费行为的推荐。