公开(公告)号：CN115168569A

公开(公告)日：2022-10-11

申请号：CN202210491080.X

申请日：2022-05-07

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  吕宁 ,  黄亮 ,  于晶 ,  侯雄斌 ,  侯爽 ,  李婷 ,  葛旭东 ,  任雪纯

IPC: G06F16/35 ,  G06F16/335 ,  G06F40/30 ,  G06F40/295

Abstract: 本发明公开了一种基于UEBA的数据处理方法和系统，该方法包括：获取待处理的数据条目，并基于语义注解算法将所述数据条目转换为语义体；其中，所述语义体包括所述数据条目的注解结果和原始日志；设定时间窗口，并将所述时间窗口内形成的所有语义体进行特征汇总，并基于特征汇总后的语义体生成画像体；将生成的画像体按预设策略存放于目标存储位置；基于目标时间窗口范围和目标存储位置范围，将生成的画像体进行聚合，以得到数据处理结果。该方法利用多源异构的数据资料，抽取能够反映网络实体画像特征的信息，并对这些信息加以聚合，得到上述实体的更全面的画像；解决了现有技术中存在的数据处理量较大，且画像中对实体信息描述不全面的技术问题。

公开(公告)号：CN111988231B

公开(公告)日：2022-07-22

申请号：CN202010845709.7

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 张良 ,  党向磊 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L45/745 ,  G06F16/901 ,  G06F16/903

Abstract: 一种掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别，将包含识别到的合并位的多条掩码五元组规则合并为一条规则；将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的UserData部分中，并将上述合并位作为索引分别分配给相应的匹配结果；在数据报文五元组信息与该合并的规则匹配后，再基于该合并位索引最终的匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法及装置，可以有效提升了TCAM表项资源所能存储的掩码五元组规则容量，在提高利用率的同时节约了成本。

公开(公告)号：CN111984835B

公开(公告)日：2022-07-05

申请号：CN202010845708.2

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: G06F16/903 ,  G06F16/901 ,  H04L45/745 ,  H04L101/695

Abstract: 一种IPv4掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：压缩该TCAM芯片所存储的掩码五元组规则中的源端口SP字段及目的端口DP字段，删除协议号P字段，压缩后占10字节，并将原始掩码五元组规则中的协议号字P字段与该规则的匹配结果合并存储；接收报文并提取报文中的五元组信息，在TCAM芯片所存储的掩码五元组规则中查询；若查询命中匹配结果，则判断报文中的五元组信息与匹配结果相应的协议号P字段是否一致，若一致则输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置，能够有效解决TCAM资源浪费的问题，使TCAM得到充分的使用。

公开(公告)号：CN114339730A

公开(公告)日：2022-04-12

申请号：CN202110958306.8

申请日：2021-08-20

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心青海分中心 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  彭晓梅 ,  赵晋宁 ,  黄亮 ,  李佳 ,  张良 ,  于晶 ,  侯雄斌 ,  李婷 ,  侯爽 ,  高佳威 ,  吕宁 ,  刘伟 ,  郝帅 ,  杨云龙 ,  戴光耀 ,  邱丰

IPC: H04W12/02 ,  H04M3/42

Abstract: 本发明公开了一种通信号码压缩加密方法、系统和装置，该方法包括：密码本初始化，在加密端，和/或，解密端加载相关例程，加密端，和/或，解密端的在线工作等步骤。该系统包括密码本初始化模块、例程加载模块、在线工作模块。该装置包括数据采集装置、处理器和存储器。采用本本发明的方法、系统和装置能够对通信号码等信息进行加密、压缩、纠正输入或书写错误、表达规范统一等方面的数据处理，提高通信号码在传输过程中的安全性，减少传输和存储开销，降低成本，使其更加统一、规范，实现对相关工作的技术支持。

公开(公告)号：CN109714771B

公开(公告)日：2022-04-08

申请号：CN201910097901.X

申请日：2019-01-31

Applicant: 长安通信科技有限责任公司

Inventor： 周模 ,  刘智超 ,  李拼搏 ,  张英伟 ,  戴帅夫 ,  刘丙双 ,  张建宇 ,  李超

IPC: H04W12/122 ,  H04W24/04

Abstract: 本发明公开了一种基于信令数据的基站分析工作中的基站预处理方法，本发明通过对基站信息表中的LAC白名单与实际信令数据中出现的LAC数值进行合并，得到一个LAC白名单。该LAC白名单在基站信息表中的信息不全时，也不会漏掉实际上存在而基站信息表中缺失的那部分基站的信息，从而避免判断伪基站时发生误判。同时，本发明除去本省的基站外，还包含了相邻省份的基站信息表中的LAC白名单，并且使用该白名单和本省信令数据中的“源LAC集合”进行了求交集的操作，从而得到了扩展白名单，从而避免了外省经过陆路进入本省的用户由于源LAC不在本省的基站白名单内而被误判为伪基站干扰事件的情况。

公开(公告)号：CN110691140B

公开(公告)日：2022-02-15

申请号：CN201910991135.1

申请日：2019-10-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  杭州东信北邮信息技术有限公司

Inventor： 黄远 ,  李鹏 ,  沈亮 ,  侯伟 ,  孙晓晨 ,  张建宇 ,  陈金东 ,  董博谦 ,  李春琴 ,  尹英辉

IPC: H04L67/1029 ,  H04L65/1016 ,  H04M3/22

Abstract: 一种通讯网络中的弹性数据下发方法，包括：前端接入装置定期将所在业务服务器的能力数据上报给后端控制器；后端控制器保存前端接入装置上传的能力数据和上传时间，按照一定间隔时间T，根据前端接入装置所上传的能力数据，计算前端接入装置的黑白灰名单号码量，并生成策略数据，同时保存计算的前端接入装置的黑白灰名单号码量和对应时间，然后将所生成的策略数据下发给前端接入装置；前端接入装置保存后端控制器下发的策略数据，按照策略数据，对所在业务服务器所接收到的呼叫信令进行检测和匹配。本发明属于信息技术领域，能根据业务服务器的实际能力，实时调整被分配的黑白灰名单号码量，从而弹性开启不同的检测能力。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。

公开(公告)号：CN109672669B

公开(公告)日：2021-07-30

申请号：CN201811467163.5

申请日：2018-12-03

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 党向磊 ,  张良 ,  李高超 ,  陈训逊 ,  李建强 ,  孙中豪 ,  马欢 ,  吴昊 ,  常雪侠

IPC: H04L29/06 ,  H04L12/741 ,  H04L12/743 ,  H04L12/801 ,  H04L12/823

Abstract: 本发明公开了一种流量报文的过滤方法及装置，该流量报文的过滤方法包括：解析提取网络流量报文中的关键字段信息，并将关键字段信息组装成第一规则查找信息；根据第一规则查找信息，查询预设的第一规则表；若第一规则查找信息在第一规则表中没有匹配的信息，则对网络流量报文执行丢弃处理；若第一规则查找信息在第一规则表中有匹配的信息，则根据第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息，对网络流量报文执行相应的处理。本发明在网络分析设备中不需要在报文第一次接收时就进行一系列深层次组合规则的报文解析，从而大幅度的提升硬件资源的访问速度和效率。

公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  G06F16/9535

Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN108768917B

公开(公告)日：2021-05-11

申请号：CN201810210343.9

申请日：2018-03-14

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  刘丙双 ,  涂波 ,  张洛什 ,  尚秋里 ,  苗权 ,  康春建 ,  刘鑫沛 ,  摆亮 ,  李传海 ,  戴帅夫 ,  张建宇

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络日志的僵尸网络检测方法及系统。该方法通过分析网络日志，捕获符合僵尸网络特征的主机IP，获得僵尸网络成员列表；针对每一个僵尸网络成员进行微观分析，并针对全部僵尸网络成员进行宏观统计分析，获得僵尸网络情报。该系统包括网络探针、僵尸网络检测引擎、规则库和僵尸网络分析情报库。本发明利用大规模通联日志和域名访问日志，可批量发现和追踪僵尸网络活动，从宏观和微观两个层面观察其蔓延态势；本发明只需要连接级别的网络日志，不需要数据包级别的日志，也不需要执行流量还原操作获得载荷特征，有效降低了大规模网络日志的存储开销。