-
公开(公告)号:CN109960729A
公开(公告)日:2019-07-02
申请号:CN201910241639.1
申请日:2019-03-28
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 周昊 , 张帅 , 吕志泉 , 董云飞 , 朱天 , 陈阳 , 饶毓 , 徐娜 , 严寒冰 , 丁丽 , 张华 , 常霞 , 狄少嘉 , 徐原 , 温森浩 , 王庆 , 李世淙 , 徐剑 , 李志辉 , 姚力 , 朱芸茜 , 郭晶 , 胡俊 , 王小群 , 何能强 , 李挺 , 王适文 , 肖崇蕙 , 贾子骁 , 韩志辉 , 马莉雅 , 张宇鹏 , 雷君 , 高川 , 周彧 , 吕卓航 , 楼书逸 , 文静 , 贾世琳
Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统,该方法包括:抓取网络流量数据,并对网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;对格式化数据进行特征提取,得到每条格式化数据的文本向量特征;基于预先训练的恶意流量检测模型对文本向量特征进行分类检测,检测出HTTP恶意请求;基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类,得到聚类簇;基于聚类簇进行分析,得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化,并利用机器学习和聚类算法对恶意流量进行挖掘,提高了网络恶意流量的检测精确度,减少了安全分析人员的流量分析时间成本。
-
公开(公告)号:CN109918907A
公开(公告)日:2019-06-21
申请号:CN201910094079.1
申请日:2019-01-30
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 吕志泉 , 韩志辉 , 张帅 , 严寒冰 , 丁丽 , 李佳 , 朱天 , 饶毓 , 高胜 , 李志辉 , 张腾 , 刘婧 , 何能强 , 陈阳 , 李世淙 , 朱芸茜 , 马莉雅 , 周昊
IPC: G06F21/56
Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质,所述方法包括遍历Linux系统所有进程,读取所有进程的内存映射文件;基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息,或者,所有内存片段数据和内存映射文件中包含的动态库文件路径信息,或者,程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件,确定进程的内存地址布局,准确的获取系统内每个进程的完整内存,有效发现Linux系统内存中的恶意代码,提高了系统Linux的安全性,在内存取证方法上具有通用性和稳定性。
-
公开(公告)号:CN109190657A
公开(公告)日:2019-01-11
申请号:CN201810791347.0
申请日:2018-07-18
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 韩志辉 , 吕志泉 , 梅瑞 , 严寒冰 , 丁丽 , 李佳 , 沈元 , 张帅 , 李志辉 , 张腾 , 陈阳 , 王适文 , 马莉雅 , 高川 , 周昊 , 周彧 , 何永强 , 袁伟华 , 吕承琨 , 李骏杰 , 卞玉捷
IPC: G06K9/62
Abstract: 本发明提供一种基于数据切片及图像哈希组合的样本同源分析方法,步骤如下:1、收集已知APT组织的恶意样本;2、过滤并还原处理训练数据集的样本;3、对样本进行静态分析,提取数据切片;4、对样本及其他训练数据集的样本进行动态分析,提取数据切片;5、对所有的数据切片进行白名单数据切片的过滤及人工审核整理切片格式;6、格式化所有数据切片为灰度图形式并按功能分类;7、计算所有灰度图并分类保存计算结果到指纹数据库;8、测试数据集中的样本所属组织;通过以上步骤,实现了一种基于数据切片及图像哈希组合的样本同源分析方法,减少人工,时间成本,解决了现有APT同源样本分析中存在滞后期,高度依赖人工分析的问题。
-
公开(公告)号:CN108683569A
公开(公告)日:2018-10-19
申请号:CN201810585690.X
申请日:2018-06-06
Applicant: 国家计算机网络与信息安全管理中心 , 北京锐驰信安技术有限公司
Inventor: 严寒冰 , 李佳 , 马莉雅 , 李志辉 , 温森浩 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 陈阳 , 李世淙 , 徐剑 , 王适文 , 饶毓 , 肖崇蕙 , 贾子骁 , 张帅 , 吕志泉 , 韩志辉 , 雷君 , 周彧 , 周昊 , 高川 , 楼书逸 , 文静 , 杜飞
Abstract: 本发明提出一种面向云服务基础设施的业务监测方法及系统,属于云服务的基础设施领域。包括控制中心服务器以及布置在各地区的拨测服务器。其中,在各拨测服务器上布置有云服务拨测模块,在控制中心服务器上布置有拨测任务下发模块、数据采集模块、拨测数据分析模块、拨测告警模块和数据库;通过在不同地区设置拨测服务器,在控制中心服务器的WEB界面配置监测任务、拨测任务下发模块将监测任务的配置文件下发到各拨测服务器验证任务的目的IP正确性,采用了大范围异步拨测的监测方法,针对路由器、提供服务的DNS递归服务器,实现了对云服务基础设施的监测,减少数据包的丢失,实现负载均衡,具有较高的鲁棒性和稳定性。
-
公开(公告)号:CN108632286A
公开(公告)日:2018-10-09
申请号:CN201810454494.9
申请日:2018-05-14
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 郭晶 , 严寒冰 , 丁丽 , 李佳 , 陈阳 , 刘婧 , 张腾 , 张帅 , 温森浩 , 李志辉 , 姚力 , 朱芸茜 , 王小群 , 吕利锋 , 李世淙 , 徐剑 , 党向磊 , 王适文 , 饶毓 , 肖崇蕙 , 贾子骁 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 周彧 , 周昊 , 高川 , 楼书逸 , 文静 , 许世彪 , 张健 , 宋磊 , 沈炯
IPC: H04L29/06
Abstract: 本发明公开了一种多应用混合数据的解析方法,主要包括,A,获取待解析的多应用混合数据;B,根据A数据的多种特征,为数据增加应用标记;C,根据B应用标记,使用统一接口调用相应解析算法;D,根据B应用标记,将C解析算法的输出结果输出到相应的解析结果表;E,针对新的应用,采用标准化方法实现框架的快速扩展。本发明能够识别混合数据中的多种应用,并采用统一接口对各种应用数据进行协议解析的目的,通过此方法提供了一个统一框架,能够识别混合数据中的多种应用,通过统一接口自动调用相应的解析算法实现解析,通过应用标记自动存到相应的解析结果表,并能够快速、标准化的扩展新的应用类型。
-
Patent Agency Ranking
公开(公告)号:CN108229172A
公开(公告)日:2018-06-29
申请号:CN201810148627.X
申请日:2018-02-13
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 韩志辉 , 吕志泉 , 张帅 , 严寒冰 , 丁丽 , 李佳 , 李志辉 , 张腾 , 温森浩 , 陈阳 , 王适文 , 姚力 , 朱芸茜 , 徐剑 , 雷君 , 王小群 , 肖崇蕙 , 贾子骁 , 马莉雅 , 高川 , 周昊 , 周彧
IPC: G06F21/56
Abstract: 本发明涉及一种基于windows平台的跨层次数据流追踪方法,包括获取windows操作系统内核态和用户态之间用于进行数据交换的API信息;运行待分析程序,执行待分析程序的指令;遍历操作系统中的进程,获取与待分析程序进程名称一致的进程,标记为监控进程;将执行监控进程时所产生的数据标记为用户态被监控数据;所述待分析程序调用API过程中,若对应的输入参数为所述用户态被监控数据,则将输入后映射的内核数据标记为内核态被监控数据;对用户态被监控数据和内核态被监控数据进行数据流追踪分析,从而判断待分析程序是否有恶意行为发生。本发明可以分析同时具有用户态代码和内核态代码的恶意程序,能够完整地监控数据在程序中的处理过程,准确度高。
-
公开(公告)号:CN106131054A
公开(公告)日:2016-11-16
申请号:CN201610681152.1
申请日:2016-08-17
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 张腾 , 李佳 , 李志辉 , 张帅 , 高胜 , 张洪 , 刘丙双 , 严寒冰 , 丁丽 , 何世平 , 赵慧 , 姚力 , 朱芸茜 , 郭晶 , 朱天 , 胡俊 , 王小群 , 陈阳 , 何能强 , 李挺 , 李世淙 , 王适文 , 刘婧 , 饶毓 , 贾子骁 , 肖崇蕙 , 吕志泉 , 韩志辉
IPC: H04L29/06
CPC classification number: H04L63/1416 , H04L63/1433 , H04L63/145 , H04L63/1483 , H04L2463/144
Abstract: 本发明公开一种基于安全云的网络入侵协同检测方法,其包括如下步骤:S1由NIDS向安全云发起授权申请;S2对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3,NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4,NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。
-
公开(公告)号:CN119561864A
公开(公告)日:2025-03-04
申请号:CN202411844577.0
申请日:2024-12-13
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本申请公开了一种用户态多协议网络拨测方法、装置、设备及介质,涉及网络通信技术领域,包括根据拨测配置文件确定配置参数;基于用户态协议栈和配置参数生成支持多类型协议的协议仿真网络拨测数据包,并生成网络拨测任务,将网络拨测任务和协议仿真网络拨测数据包传输至任务定时器,以便任务定时器将协议仿真网络拨测数据包发送至拨测目标端;获取任务定时器反馈的拨测目标端基于协议仿真网络拨测数据包生成的响应消息,关闭网络拨测任务的执行程序,完成与拨测目标端的多协议仿真网络拨测,提高协议支持类型、场景及业务需求多样性和普适性,提升数据处理效率,实现拨测系统和业务系统相互拨测,全面评估业务系统所在网络整体性能。
-
公开(公告)号:CN118694585A
公开(公告)日:2024-09-24
申请号:CN202410788747.1
申请日:2024-06-19
Applicant: 国家计算机网络与信息安全管理中心广东分中心
Inventor: 吴崇斌 , 李俊峰 , 王宜阳 , 崔帅玮 , 胡赢 , 吕志泉 , 吴寒 , 何颖 , 陈少明 , 张莹莹 , 成星恺 , 李立 , 李晓东 , 李湘宁 , 何东卫 , 蔡利聪 , 唐浩枫
Abstract: 本发明涉及一种基于深度学习的双引擎加密恶意流量检测方法,包括以下步骤:采集加密流量数据;对加密流量数据中的各个数据包进行分组,得到多组流量数据单元;提取各数据包对应的基本信息字段内容,对各数据包的各基本信息字段进行统计运算处理,得到多种统计特征并形成特征列表;对每组流量数据单元中的特征列表以及各数据包进行检测处理,得到两个中间结果;将每组流量数据单元对应的两个中间结果进行整合,得到该流量数据单元的候选结果,基于候选结果判断该流量数据单元是否为恶意流量。本发明基于深度学习模型,能够同时利用统计特征和数据包特征进行综合分析,可处理更多复杂的情况,从而提升对网络加密恶意流量的检测准确性。
-
公开(公告)号:CN115333768B
公开(公告)日:2024-06-04
申请号:CN202210759105.X
申请日:2022-06-29
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , H04L41/0604 , H04L41/0631 , G06F18/22 , G06F16/901 , G06F40/284 , G06F40/30
Abstract: 本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质,涉及网络安全技术、人工智能、大数据领域,其中方法包括:对海量网络攻击数据进行自动化特征抽取,根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判,通过人工研判结果对数据进行标注,利用标注后的数据与剩余网络攻击数据进行相似性计算,对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选,直至全部标注完毕。此方法,通过研判人员能力的约束结合算法的泛化能力,使得有价值的网络攻击可以优先被研判,相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量,整体提升研判效率。
-
-
-
-
-
-
-
-
-
Search Results
99
records
(took 0.139 seconds)
