-
公开(公告)号:CN110135157A
公开(公告)日:2019-08-16
申请号:CN201910272315.4
申请日:2019-04-04
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本公开实施例提供了一种恶意软件同源性分析方法、系统、电子设备及存储介质。其中,该方法包括:获取恶意软件的样本的数据集;从样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于反汇编代码文本以及带属性的控制流程图,构建深度神经网络模型;通过深度神经网络模型,识别恶意软件的同源性。通过该技术方案,解决了如何提高恶意软件相似性分析的准确性的技术问题,可以识别新的、未知的恶意软件的同源性,挖掘其背后的组织信息,从而可以快速地定位攻击来源或攻击者,以便于可采取更快速、更准确的防治方法,进而可以帮助安全专家构建完整的攻击场景,而且可以跟踪攻击者。
-
公开(公告)号:CN109960729A
公开(公告)日:2019-07-02
申请号:CN201910241639.1
申请日:2019-03-28
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 周昊 , 张帅 , 吕志泉 , 董云飞 , 朱天 , 陈阳 , 饶毓 , 徐娜 , 严寒冰 , 丁丽 , 张华 , 常霞 , 狄少嘉 , 徐原 , 温森浩 , 王庆 , 李世淙 , 徐剑 , 李志辉 , 姚力 , 朱芸茜 , 郭晶 , 胡俊 , 王小群 , 何能强 , 李挺 , 王适文 , 肖崇蕙 , 贾子骁 , 韩志辉 , 马莉雅 , 张宇鹏 , 雷君 , 高川 , 周彧 , 吕卓航 , 楼书逸 , 文静 , 贾世琳
Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统,该方法包括:抓取网络流量数据,并对网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;对格式化数据进行特征提取,得到每条格式化数据的文本向量特征;基于预先训练的恶意流量检测模型对文本向量特征进行分类检测,检测出HTTP恶意请求;基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类,得到聚类簇;基于聚类簇进行分析,得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化,并利用机器学习和聚类算法对恶意流量进行挖掘,提高了网络恶意流量的检测精确度,减少了安全分析人员的流量分析时间成本。
-
公开(公告)号:CN108683569A
公开(公告)日:2018-10-19
申请号:CN201810585690.X
申请日:2018-06-06
Applicant: 国家计算机网络与信息安全管理中心 , 北京锐驰信安技术有限公司
Inventor: 严寒冰 , 李佳 , 马莉雅 , 李志辉 , 温森浩 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 陈阳 , 李世淙 , 徐剑 , 王适文 , 饶毓 , 肖崇蕙 , 贾子骁 , 张帅 , 吕志泉 , 韩志辉 , 雷君 , 周彧 , 周昊 , 高川 , 楼书逸 , 文静 , 杜飞
Abstract: 本发明提出一种面向云服务基础设施的业务监测方法及系统,属于云服务的基础设施领域。包括控制中心服务器以及布置在各地区的拨测服务器。其中,在各拨测服务器上布置有云服务拨测模块,在控制中心服务器上布置有拨测任务下发模块、数据采集模块、拨测数据分析模块、拨测告警模块和数据库;通过在不同地区设置拨测服务器,在控制中心服务器的WEB界面配置监测任务、拨测任务下发模块将监测任务的配置文件下发到各拨测服务器验证任务的目的IP正确性,采用了大范围异步拨测的监测方法,针对路由器、提供服务的DNS递归服务器,实现了对云服务基础设施的监测,减少数据包的丢失,实现负载均衡,具有较高的鲁棒性和稳定性。
-
公开(公告)号:CN108632286A
公开(公告)日:2018-10-09
申请号:CN201810454494.9
申请日:2018-05-14
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 郭晶 , 严寒冰 , 丁丽 , 李佳 , 陈阳 , 刘婧 , 张腾 , 张帅 , 温森浩 , 李志辉 , 姚力 , 朱芸茜 , 王小群 , 吕利锋 , 李世淙 , 徐剑 , 党向磊 , 王适文 , 饶毓 , 肖崇蕙 , 贾子骁 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 周昊 , 高川 , 楼书逸 , 文静 , 许世彪 , 张健 , 宋磊 , 沈炯
IPC: H04L29/06
Abstract: 本发明公开了一种多应用混合数据的解析方法,主要包括,A,获取待解析的多应用混合数据;B,根据A数据的多种特征,为数据增加应用标记;C,根据B应用标记,使用统一接口调用相应解析算法;D,根据B应用标记,将C解析算法的输出结果输出到相应的解析结果表;E,针对新的应用,采用标准化方法实现框架的快速扩展。本发明能够识别混合数据中的多种应用,并采用统一接口对各种应用数据进行协议解析的目的,通过此方法提供了一个统一框架,能够识别混合数据中的多种应用,通过统一接口自动调用相应的解析算法实现解析,通过应用标记自动存到相应的解析结果表,并能够快速、标准化的扩展新的应用类型。
-
公开(公告)号:CN108229172A
公开(公告)日:2018-06-29
申请号:CN201810148627.X
申请日:2018-02-13
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 韩志辉 , 吕志泉 , 张帅 , 严寒冰 , 丁丽 , 李佳 , 李志辉 , 张腾 , 温森浩 , 陈阳 , 王适文 , 姚力 , 朱芸茜 , 徐剑 , 雷君 , 王小群 , 肖崇蕙 , 贾子骁 , 马莉雅 , 高川 , 周昊 , 周彧
IPC: G06F21/56
Abstract: 本发明涉及一种基于windows平台的跨层次数据流追踪方法,包括获取windows操作系统内核态和用户态之间用于进行数据交换的API信息;运行待分析程序,执行待分析程序的指令;遍历操作系统中的进程,获取与待分析程序进程名称一致的进程,标记为监控进程;将执行监控进程时所产生的数据标记为用户态被监控数据;所述待分析程序调用API过程中,若对应的输入参数为所述用户态被监控数据,则将输入后映射的内核数据标记为内核态被监控数据;对用户态被监控数据和内核态被监控数据进行数据流追踪分析,从而判断待分析程序是否有恶意行为发生。本发明可以分析同时具有用户态代码和内核态代码的恶意程序,能够完整地监控数据在程序中的处理过程,准确度高。
-
Patent Agency Ranking
公开(公告)号:CN118509210A
公开(公告)日:2024-08-16
申请号:CN202410604637.5
申请日:2024-05-15
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40
Abstract: 本发明涉及一种关联分析多源数据还原恶意代码攻击场景的方法,收集已被发现的漏洞信息,建立漏洞利用特征数据集;通过分析网络流入流出流量,识别并记录符合特征的会话信息,记录网络侧漏洞利用日志;采集蜜罐捕获的系统日志和网络会话信息,记录蜜罐侧漏洞利用日志;综合利用网络侧漏洞利用日志和蜜罐侧漏洞利用日志,建立漏洞利用日志和恶意代码的关联关系,进而发现还原恶意代码攻击场景,分析其攻击路径和攻击过程,发现其传播利用的漏洞,关联分析方法全面准确高效。
-
公开(公告)号:CN117978504A
公开(公告)日:2024-05-03
申请号:CN202410168563.5
申请日:2024-02-06
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , H04L41/0681
Abstract: 本申请公开了一种流量基线设置方法、装置、电子设备及存储介质,所述方法,包括:获取当前时间周期之前的第一预设数量的历史时间周期内指定时间窗口的指定源IP与目的IP对应的第一网络流量日志;针对每一历史时间周期,根据历史时间周期内指定时间窗口的源IP与目的IP对应的第一网络流量日志统计在历史时间周期内指定时间窗口源IP与目的IP对应的上行流量大小值和下行流量大小值;根据上行流量大小值和下行流量大小值,确定历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比;根据各个历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比,确定当前时间周期内指定时间窗口的流量基线。
-
公开(公告)号:CN113572631B
公开(公告)日:2022-12-20
申请号:CN202110599771.7
申请日:2021-05-31
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L41/0803
Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括:由第一算子获取任务的第一数据包;其中,所述第一数据包由配置数据与第一源数据封装得到;由所述第一算子从所述第一数据包中获取与其对应的第一配置数据,并根据所述第一配置数据,对所述第一数据包中的第一源数据进行处理,得到第二源数据;由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包,并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下,对计算任务的计算逻辑进行更新,步骤简便且能够满足实时性要求较高的业务的需求。
-
公开(公告)号:CN115378884A
公开(公告)日:2022-11-22
申请号:CN202210462790.X
申请日:2022-04-27
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L47/32 , H04L47/31 , H04L69/22 , H04L61/4511
Abstract: 本发明实施例涉及一种DNS报文处理方法、装置、处理设备及存储介质,包括:根据第一设备对DNS报文的解析结果,获取所述DNS报文中头部字段的第一标记信息;根据所述第一标记信息,接收由所述第一设备发送的DNS报文对应的应答报文;第二设备识别所述应答报文中头部字段的第二标记信息;针对所述应答报文,将所述第二标记信息更新为初始状态值,得到目标报文;将所述目标报文发送至第三设备。通过追踪第一标记信息和第二标记信息,完成查看DNS报文的解析来源。由此,可以实现追踪DNS报文的解析来源的效果。
-
公开(公告)号:CN113255724A
公开(公告)日:2021-08-13
申请号:CN202110405262.6
申请日:2021-04-15
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06K9/62
Abstract: 本文公开一种识别节点类型的方法、装置、计算机存储介质及终端,本发明实施例对待区分节点类型的网络,从网络流量数据中提取节点的两个以上特征信息,其中,特征信息包括:全局被连接次数,以及全局接入流量和/或全局接入节点数量;根据提取的节点的两个以上特征信息生成节点对应的特征矩阵;对生成的网络的所有节点的特征矩阵进行聚类处理,并根据聚类结果识别节点类型。本发明实施例对从网络流量数据中提取节点的两个以上特征信息采用聚类处理,实现了节点类型的识别,提升了节点类型的识别效率。
-
-
-
-
-
-
-
-
-
Search Results
83
records
(took 0.094 seconds)
