公开(公告)号：CN119420569A

公开(公告)日：2025-02-11

申请号：CN202411746887.9

申请日：2024-11-29

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  马红兵 ,  周凯 ,  谢攀 ,  郑涛 ,  王鑫妍 ,  于城 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全 ,  李川 ,  徐积森 ,  张小梅

IPC: H04L9/40

Abstract: 本申请实施例提供一种攻击溯源路径确定方法、装置、设备、存储介质及产品，包括：在失陷时间范围内，获取失陷设备的通信行为数据；针对各网络设备的通信行为数据，若超出通信行为基线的标准范围，则计算各网络设备为攻击地址的概率，若任一网络设备为攻击地址的概率超过恶意概率阈值，则根据通信行为数据，构建通信行为图并迭代执行如下步骤：根据任一网络设备的历史通信数据计算通信的各IP地址为攻击地址的概率；若超过恶意概率阈值，则将任一IP地址加入通信行为图；若与任一网络设备通信的所有IP地址为攻击地址的概率均不超过则结束迭代过程；基于确定的通信行为图确定攻击溯源路径。该方法用以达到多层级攻击路径的还原的效果。

公开(公告)号：CN119402468A

公开(公告)日：2025-02-07

申请号：CN202411588756.2

申请日：2024-11-07

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  于城 ,  张建荣 ,  周凯 ,  王佑 ,  王鑫妍 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全

IPC: H04L61/4511 ,  H04L9/40 ,  H04L101/35 ,  H04L101/355

Abstract: 本申请实施例提供一种域名解析路径确定方法、装置、设备、存储介质及产品。该方法包括获取目标服务器的互联网协议地址IP；根据目标服务器IP地址生成二级域名的前缀部分；将前缀部分与二级域名进行拼接，以确定目标服务器的探测域名；控制客户端向目标服务器发送针对探测域名的解析请求，以使目标服务器向权威服务器发送请求数据包；接收权威服务器发送的所有请求数据包，并根据探测域名，对所有请求数据包进行筛选，以得到第一目标数据包；判断第一目标数据包中的源地址与目标服务器IP是否一致；若源地址与目标服务器IP一致，则确定解析路径由客户端、目标服务器和权威服务器构成。该方法用以达到全面还原递归解析路径的效果。

公开(公告)号：CN117375943A

公开(公告)日：2024-01-09

申请号：CN202311387350.3

申请日：2023-10-24

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 古丁如 ,  史炳荣 ,  张建荣 ,  王鑫妍 ,  周凯 ,  张建桁 ,  李思聪 ,  梁育 ,  王天翔 ,  雷晶 ,  张翔宇 ,  管彤

IPC: H04L9/40

Abstract: 本申请提供一种异常设备的检测方法、装置、设备及存储介质。该方法包括：获取多个当前数据流，并根据多个当前数据流，确定每个当前数据流的N个目标特征编码，N为大于或等于1的整数；基于预设检测模型，对每个当前数据流的N个目标特征编码进行数据处理，得到每个当前数据流的异常概率；根据每个当前数据流的N个目标特征编码，确定多个目标设备，并在多个当前数据流中确定每个目标设备对应的至少一个当前数据流；根据每个当前数据流的异常概率、以及每个目标设备对应的至少一个当前数据流，在多个目标设备中确定异常设备。本申请的方法，提高了对异常设备检测的准确性。

公开(公告)号：CN117061144A

公开(公告)日：2023-11-14

申请号：CN202310842272.5

申请日：2023-07-10

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 于城 ,  王智明 ,  张建荣 ,  张建桁 ,  周凯 ,  史炳荣 ,  王鑫妍 ,  李思聪 ,  杜飞 ,  梁育 ,  古丁如 ,  柯阳 ,  曹京卫 ,  徐积森

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供一种域名解析日志的过滤方法、装置、设备及存储介质，涉及信息安全技术领域。该方法包括：获取第一解析表；根据第一解析表中的多个域名确定多个白名单主域名，并根据多个白名单主域名确定第一域名表；根据第一解析表中的多个互联网协议地址确定多个内容分发网络地址，并根据多个内容分发网络地址确定第一地址表；根据第一域名表过滤多个主域名、无效域名或泛域名对应的解析记录，并根据第一地址表过滤多个聚类地址对应的解析记录。本申请的方法，解决了域名解析日志的数据量巨大，导致现有算力无法满足数据处理需求，进而导致无法准确的从解析的多个域名中识别恶意域名的问题。

公开(公告)号：CN116846629A

公开(公告)日：2023-10-03

申请号：CN202310788345.7

申请日：2023-06-29

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 王智明 ,  于城 ,  张建荣 ,  张建桁 ,  周凯 ,  史炳荣 ,  王鑫妍 ,  李思聪 ,  杜飞 ,  徐积森 ,  李腾 ,  古丁如 ,  梁育 ,  苏理明

IPC: H04L9/40 ,  G06F18/241 ,  G06N20/00

Abstract: 本申请提供一种威胁情报分析方法、装置、电子设备及存储介质，通过确定威胁情报需求，从威胁情报需求中提取出威胁情报的数据特征，进而可由此作为半监督学习模型初始化的条件，半监督学习模型可用于处理从数据源仓库中确定出的初始威胁情报，基于威胁情报需求获得所需的目标威胁情报，并将目标威胁情报反馈至威胁情报需求方，同时作为新增情报实时更新数据源仓库中的数据，可实时对威胁情报进行分析，无需事后处理，并且提升了威胁情报分析效率和准确性，以及提升了威胁情报分析的实时性，还提升了数据的完整性。

公开(公告)号：CN119583508A

公开(公告)日：2025-03-07

申请号：CN202411814647.8

申请日：2024-12-10

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  周凯 ,  王佑 ,  于城 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全 ,  李川

IPC: H04L61/4511 ,  G06F18/241 ,  G06F18/213

Abstract: 本申请实施例提供一种CDN域名分类处理方法、装置、设备、存储介质及产品。包括接收网络接入设备发送的DNS解析数据；根据DNS解析数据构建解析图；在解析图中，根据各CNAME域名与用户域名的关联关系、各CNAME域名与CNAME二级域名的关联关系和用户域名与IP地址的关联关系，提取各CNAME域名的检测特征；根据各CNAME域名，提取各CNAME域名的文本特征；根据检测特征和文本特征，得到各CNAME域名的无标记特征集合；将所有CNAME域名的无标记特征集合输入预训练的分类器，以输出内容分发网络CDN域名分类结果。该方法用以达到提高域名分类鲁棒性的效果。

公开(公告)号：CN119402467A

公开(公告)日：2025-02-07

申请号：CN202411586774.7

申请日：2024-11-07

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  于城 ,  张建荣 ,  周凯 ,  王佑 ,  王鑫妍 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全

IPC: H04L61/4511 ,  H04L9/40 ,  H04L101/35 ,  H04L101/355

Abstract: 本申请实施例提供一种出口解析器识别方法、装置、设备、存储介质及产品，包括获取目标解析器的网络协议地址；从多个不同的网络环境向目标解析器发送预设域名查询请求以确定目标客户端；基于预设规则生成针对目标解析器的子域名；将子域名与第一根域名进行拼接，确定目标解析器的第一探测域名；控制目标客户端向目标解析器发送针对第一探测域名的解析请求；接收第一服务器发送的所有响应数据包，并根据第一探测域名和第一预设解析结果对所有响应数据包进行筛选，得到第一目标数据包；从第一目标数据包中获取所有解析请求的源IP，以得到首选出口IP集合；将首选出口IP集合对应的服务确定为首选出口解析器。该方法用以达到识别出口解析器的效果。

公开(公告)号：CN119544366A

公开(公告)日：2025-02-28

申请号：CN202411813407.6

申请日：2024-12-10

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  马红兵 ,  周凯 ,  谢攀 ,  郑涛 ,  王鑫妍 ,  于城 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全 ,  李川 ,  徐积森 ,  张小梅

IPC: H04L9/40 ,  H04L41/12

Abstract: 本申请提供一种网络攻击数据的处理方法、装置、服务器、介质及产品。该方法包括：获取目标网络攻击路径中的所有节点；根据历史域名系统数据、网络流量数据和预定义的异质图网络模式，获取每个节点的预设阶数的网络异质图；根据目标网络攻击路径，将所有节点的预设阶数的网络异质图进行合并，得到目标网络攻击路径的异质图；获取异质图中每个节点的嵌入向量，以得到带有节点嵌入向量的异质图；根据带有节点嵌入向量的异质图，得到异质图的向量；根据异质图的向量，对异质图进行分类，获取异质图类型；异质图类型用于对网络攻击进行同源性分析。本申请的方法，提高了对网络攻击进行同源性分析的准确性。

公开(公告)号：CN117176414A

公开(公告)日：2023-12-05

申请号：CN202311122747.X

申请日：2023-09-01

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 古丁如 ,  史炳荣 ,  张建荣 ,  李思聪

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/048 ,  G06N3/08 ,  G06F18/214 ,  G06F18/2433

Abstract: 本发明提供一种恶意流量识别模型的训练方法和相关设备，该方法包括：获取多个训练样本；基于各个训练样本训练得到多个子模型，多个子模型至少包括随机森林模型、分布式梯度增强模型、梯度提升模型以及时空网络模型；根据各个子模型，构建恶意流量识别模型，恶意流量识别模型用于识别加密的流量数据是否为恶意流量数据。本发明中，通过随机森林模型、分布式梯度增强模型、梯度提升模型以及时空网络模型等子模型构建恶意流量识别模型，使得恶意流量识别模型从多个角度预测加密的流量数据是否为恶意流量数据，提高了恶意流量识别准确性，也即提高了恶意流量的识别精度。

公开(公告)号：CN117150268A

公开(公告)日：2023-12-01

申请号：CN202311122772.8

申请日：2023-09-01

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 古丁如 ,  史炳荣 ,  李思聪 ,  王鑫妍 ,  张建荣 ,  周凯 ,  张建桁 ,  梁育 ,  雷晶 ,  王天翔 ,  张翔宇 ,  管彤

IPC: G06F18/213 ,  G06F18/25 ,  G06F18/2433 ,  G06F16/955 ,  G06F40/289

Abstract: 本申请提供一种异常网站分类方法、装置、设备及存储介质。该方法包括：确定目标网站的链接特征、文本特征和页面图像特征，文本特征中包括链接文本特征和页面文本特征；根据链接特征、文本特征和页面图像特征，确定目标网站的融合特征向量；根据融合特征向量，判断目标网站的链接是否为异常网站；若是，则根据融合特征向量和预设分类模型，确定目标网站的至少一个分类标签。本申请的方法，提高了异常网站的检测分类准确性。