-
公开(公告)号:CN112910832B
公开(公告)日:2022-08-30
申请号:CN202010089587.3
申请日:2020-02-11
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 杨云龙 , 黄亮 , 李佳 , 严寒冰 , 张良 , 云晓春 , 陈训逊 , 王博 , 周昊 , 党向磊 , 郑礼雄 , 郭三川 , 刘伟 , 王鼎华 , 吕志泉 , 高川 , 徐剑 , 李明哲
IPC: H04L9/40
Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括:将域名转化为图片,获得图片向量;针对图片向量进行格式化,获得缩放图片向量;针对缩放图片向量进行灰度化,获得一维图片向量;针对一维图片向量进行归一化,获得归一化图片向量;根据测试集计算不同阈值情况下的准确率,以准确率最大时对应的阈值为实际应用阈值;获取归一化图片向量的直方图特征向量,计算与已知域名对应图片的相似度;根据相似度与实际应用阈值,判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片,通过图片识别,分析出仿冒国际化域名,方法具有普适性,且分析成本较低。
-
公开(公告)号:CN112738040A
公开(公告)日:2021-04-30
申请号:CN202011507913.4
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 李明哲 , 徐剑 , 郭晶 , 周昊 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06
Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置,该方法包括:获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销,以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,可对不断涌现的新威胁类型和威胁迹象进行检测,综合了机器诊断和专家诊断意见,提高检测的覆盖范围,以便能够发现网络中的各种安全威胁。
-
公开(公告)号:CN112822153A
公开(公告)日:2021-05-18
申请号:CN202011500912.7
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 周昊 , 李明哲 , 徐剑 , 郭晶 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , G06F16/9535
Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统,该方法包括:从DNS日志数据中抽取统计特征,获得特征数据;可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;异常IP发现,对所述特征数据进行统计研判,发现异常请求IP、异常服务IP和异常解析IP。该系统包括:统计特征抽取单元,可疑域名发现单元,异常IP发现单元。本发明以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,启用多个具有不同资源特点的运算环境,并集中管理不同类型的模型插件,能够适应资源条件的变化,以便能够发现网络中的安全威胁。
-
公开(公告)号:CN112769755A
公开(公告)日:2021-05-07
申请号:CN202011507902.6
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 严寒冰 , 李明哲 , 周昊 , 徐剑 , 郭晶 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , H04L29/12 , G06F16/242 , G06F16/2455
Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法,该方法包括:对DNS日志数据中若干特征字段的联合取值执行分组聚合统计,形成多级特征数据,得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源,甚至面对海量的DNS日志数据,对其进行处理并发现安全威胁,进行威胁预警不可行的问题,对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销,让整个威胁发现过程具有可行性。
-
公开(公告)号:CN112738036A
公开(公告)日:2021-04-30
申请号:CN202011495062.6
申请日:2020-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 罗赟骞 , 周昊 , 郭晶 , 徐剑 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙 , 李婷 , 候爽
IPC: H04L29/06 , G06F21/56 , G06F16/955 , G06K9/62
Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置,该方法包括:获取域名关联的恶意代码以及域名与恶意代码之间的关系;提取每一个恶意代码的恶意代码属性,根据域名关联的多个恶意代码的属性,基于投票方法确定域名关联的恶意代码属性;基于域名关联的恶意代码属性和域名与恶意代码之间的关系,得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名,采用投票方法,获取恶意代码的准确的行为、家族和平台等属性信息,根据这些属性信息对恶意域名进行分类,从而实现对恶意域名的准确判断,有利于正确判断恶意域名的危害性,促使相关安全人员及时进行安全事件响应。
-
Patent Agency Ranking
公开(公告)号:CN112910832A
公开(公告)日:2021-06-04
申请号:CN202010089587.3
申请日:2020-02-11
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 杨云龙 , 黄亮 , 李佳 , 严寒冰 , 张良 , 云晓春 , 陈训逊 , 王博 , 周昊 , 党向磊 , 郑礼雄 , 郭三川 , 刘伟 , 王鼎华 , 吕志泉 , 高川 , 徐剑 , 李明哲
IPC: H04L29/06
Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括:将域名转化为图片,获得图片向量;针对图片向量进行格式化,获得缩放图片向量;针对缩放图片向量进行灰度化,获得一维图片向量;针对一维图片向量进行归一化,获得归一化图片向量;根据测试集计算不同阈值情况下的准确率,以准确率最大时对应的阈值为实际应用阈值;获取归一化图片向量的直方图特征向量,计算与已知域名对应图片的相似度;根据相似度与实际应用阈值,判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片,通过图片识别,分析出仿冒国际化域名,方法具有普适性,且分析成本较低。
-
公开(公告)号:CN109347786A
公开(公告)日:2019-02-15
申请号:CN201810924887.1
申请日:2018-08-14
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心湖南分中心
Inventor: 康金钟 , 胡国良 , 肖刚 , 张超 , 胡嘉俊 , 张勇 , 严寒冰 , 饶毓 , 陈阳 , 雷君 , 周昊 , 李志辉 , 徐剑 , 张帅 , 吕志泉 , 韩志辉 , 马莉雅 , 高川 , 李世淙 , 贾子骁 , 温森浩 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 王适文 , 肖崇蕙
IPC: H04L29/06
Abstract: 本发明涉及一种钓鱼网站检测方法,所述方法包括:提取待检测网站的访问数据;根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数;若所有检测结果均为非钓鱼网站,则所述待检测网站为非钓鱼网站,否则,所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测,从而可以准确有效地识别钓鱼网站。
-
公开(公告)号:CN119276526A
公开(公告)日:2025-01-07
申请号:CN202410428938.7
申请日:2024-04-10
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40
Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法,首先收集已被发现的僵尸程序样本,建立僵尸网络命令与控制指令特征数据集;通过分析网络流入流出流量,识别并记录符合指令特征的会话信息,记录僵尸网络命令与控制日志;将命令与控制日志和网络流量中域名请求日志进行实时关联,在命令与控制日志增加C2控制域名字段;最后利用僵尸网络控制规模测量算法分析命令与控制日志,计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数,感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模,覆盖范围更全面,测量方法准确。
-
公开(公告)号:CN113761912B
公开(公告)日:2024-04-16
申请号:CN202110909793.9
申请日:2021-08-09
Applicant: 国家计算机网络与信息安全管理中心 , 中国科学院信息工程研究所
IPC: G06F40/289 , G06F40/216 , G06F18/214 , G06F18/2431 , G06N3/0464 , G06N3/09
Abstract: 本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置,本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析,由于这两种特征综合了恶意软件的静态特征和动态特征,所以本发明的特征更加全面,使用自然语言处理的技术将特征向量化,同时本发明使用模型解释技术将分类器的结果进行解释,使得分类结果更加有说服力,从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。
-
公开(公告)号:CN114826670B
公开(公告)日:2024-03-29
申请号:CN202210295069.6
申请日:2022-03-23
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法,通过分析网络流入流出流量捕获还原文件,记录分析文件传播日志;对大规模传播的文件或传播规模增长迅速的文件,综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性,实现大规模恶意代码传播事件的第一时间发现;最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息,还原传播路径。通过分析网络文件传播日志,可全面掌握特定网络恶意代码传播态势,保证了恶意性判别的准确性,使覆盖范围更加全面、检测分析更加准确、更加及时高效。
-
-
-
-
-
-
-
-
-
Search Results
166
records
(took 0.079 seconds)
