-
公开(公告)号:CN112910832B
公开(公告)日:2022-08-30
申请号:CN202010089587.3
申请日:2020-02-11
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 杨云龙 , 黄亮 , 李佳 , 严寒冰 , 张良 , 云晓春 , 陈训逊 , 王博 , 周昊 , 党向磊 , 郑礼雄 , 郭三川 , 刘伟 , 王鼎华 , 吕志泉 , 高川 , 徐剑 , 李明哲
IPC: H04L9/40
Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括:将域名转化为图片,获得图片向量;针对图片向量进行格式化,获得缩放图片向量;针对缩放图片向量进行灰度化,获得一维图片向量;针对一维图片向量进行归一化,获得归一化图片向量;根据测试集计算不同阈值情况下的准确率,以准确率最大时对应的阈值为实际应用阈值;获取归一化图片向量的直方图特征向量,计算与已知域名对应图片的相似度;根据相似度与实际应用阈值,判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片,通过图片识别,分析出仿冒国际化域名,方法具有普适性,且分析成本较低。
-
公开(公告)号:CN113422755A
公开(公告)日:2021-09-21
申请号:CN202110480987.1
申请日:2021-04-30
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统,方法包括:获取DNS的统计数据,并在统计数据范围内获取疑似DGA域名,抽取疑似DGA域名的行为和文本特征,并生成疑似DGA域名的聚类标签,并基于所述聚类标签划分疑似DGA域名的DGA家族,并使用解析IP数量过滤删减所述DGA家族,以获得所述DGA家族中保留下来的DGA域名;从而在DGA家族中保留下来的DGA域名范围内,使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样,该方法和系统能够准确对DGA域名进行检测和研判,通过聚类分析和情报检测,可以检测出活跃且价值较高的DGA域名,实现对DGA域名的有效检测和研判,具有较高的检测准确性。
-
公开(公告)号:CN112822153A
公开(公告)日:2021-05-18
申请号:CN202011500912.7
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 周昊 , 李明哲 , 徐剑 , 郭晶 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , G06F16/9535
Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统,该方法包括:从DNS日志数据中抽取统计特征,获得特征数据;可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;异常IP发现,对所述特征数据进行统计研判,发现异常请求IP、异常服务IP和异常解析IP。该系统包括:统计特征抽取单元,可疑域名发现单元,异常IP发现单元。本发明以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,启用多个具有不同资源特点的运算环境,并集中管理不同类型的模型插件,能够适应资源条件的变化,以便能够发现网络中的安全威胁。
-
公开(公告)号:CN112769755A
公开(公告)日:2021-05-07
申请号:CN202011507902.6
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 严寒冰 , 李明哲 , 周昊 , 徐剑 , 郭晶 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , H04L29/12 , G06F16/242 , G06F16/2455
Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法,该方法包括:对DNS日志数据中若干特征字段的联合取值执行分组聚合统计,形成多级特征数据,得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源,甚至面对海量的DNS日志数据,对其进行处理并发现安全威胁,进行威胁预警不可行的问题,对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销,让整个威胁发现过程具有可行性。
-
公开(公告)号:CN112738036A
公开(公告)日:2021-04-30
申请号:CN202011495062.6
申请日:2020-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 罗赟骞 , 周昊 , 郭晶 , 徐剑 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙 , 李婷 , 候爽
IPC: H04L29/06 , G06F21/56 , G06F16/955 , G06K9/62
Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置,该方法包括:获取域名关联的恶意代码以及域名与恶意代码之间的关系;提取每一个恶意代码的恶意代码属性,根据域名关联的多个恶意代码的属性,基于投票方法确定域名关联的恶意代码属性;基于域名关联的恶意代码属性和域名与恶意代码之间的关系,得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名,采用投票方法,获取恶意代码的准确的行为、家族和平台等属性信息,根据这些属性信息对恶意域名进行分类,从而实现对恶意域名的准确判断,有利于正确判断恶意域名的危害性,促使相关安全人员及时进行安全事件响应。
-
Patent Agency Ranking
公开(公告)号:CN112738040A
公开(公告)日:2021-04-30
申请号:CN202011507913.4
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 李明哲 , 徐剑 , 郭晶 , 周昊 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06
Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置,该方法包括:获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销,以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,可对不断涌现的新威胁类型和威胁迹象进行检测,综合了机器诊断和专家诊断意见,提高检测的覆盖范围,以便能够发现网络中的各种安全威胁。
-
公开(公告)号:CN112910832A
公开(公告)日:2021-06-04
申请号:CN202010089587.3
申请日:2020-02-11
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 杨云龙 , 黄亮 , 李佳 , 严寒冰 , 张良 , 云晓春 , 陈训逊 , 王博 , 周昊 , 党向磊 , 郑礼雄 , 郭三川 , 刘伟 , 王鼎华 , 吕志泉 , 高川 , 徐剑 , 李明哲
IPC: H04L29/06
Abstract: 公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括:将域名转化为图片,获得图片向量;针对图片向量进行格式化,获得缩放图片向量;针对缩放图片向量进行灰度化,获得一维图片向量;针对一维图片向量进行归一化,获得归一化图片向量;根据测试集计算不同阈值情况下的准确率,以准确率最大时对应的阈值为实际应用阈值;获取归一化图片向量的直方图特征向量,计算与已知域名对应图片的相似度;根据相似度与实际应用阈值,判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片,通过图片识别,分析出仿冒国际化域名,方法具有普适性,且分析成本较低。
-
公开(公告)号:CN109347786A
公开(公告)日:2019-02-15
申请号:CN201810924887.1
申请日:2018-08-14
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心湖南分中心
Inventor: 康金钟 , 胡国良 , 肖刚 , 张超 , 胡嘉俊 , 张勇 , 严寒冰 , 饶毓 , 陈阳 , 雷君 , 周昊 , 李志辉 , 徐剑 , 张帅 , 吕志泉 , 韩志辉 , 马莉雅 , 高川 , 李世淙 , 贾子骁 , 温森浩 , 姚力 , 朱芸茜 , 王小群 , 张腾 , 王适文 , 肖崇蕙
IPC: H04L29/06
Abstract: 本发明涉及一种钓鱼网站检测方法,所述方法包括:提取待检测网站的访问数据;根据所述访问数据对所述待检测网站进行第一维度检测、第二维度检测…第M维度检测中的一种或多种,M为大于等于2的正整数;若所有检测结果均为非钓鱼网站,则所述待检测网站为非钓鱼网站,否则,所述待检测网站为钓鱼网站。本发明通过多维度对钓鱼网站进行检测,从而可以准确有效地识别钓鱼网站。
-
公开(公告)号:CN119276526A
公开(公告)日:2025-01-07
申请号:CN202410428938.7
申请日:2024-04-10
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40
Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法,首先收集已被发现的僵尸程序样本,建立僵尸网络命令与控制指令特征数据集;通过分析网络流入流出流量,识别并记录符合指令特征的会话信息,记录僵尸网络命令与控制日志;将命令与控制日志和网络流量中域名请求日志进行实时关联,在命令与控制日志增加C2控制域名字段;最后利用僵尸网络控制规模测量算法分析命令与控制日志,计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数,感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模,覆盖范围更全面,测量方法准确。
-
公开(公告)号:CN114826670B
公开(公告)日:2024-03-29
申请号:CN202210295069.6
申请日:2022-03-23
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法,通过分析网络流入流出流量捕获还原文件,记录分析文件传播日志;对大规模传播的文件或传播规模增长迅速的文件,综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性,实现大规模恶意代码传播事件的第一时间发现;最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息,还原传播路径。通过分析网络文件传播日志,可全面掌握特定网络恶意代码传播态势,保证了恶意性判别的准确性,使覆盖范围更加全面、检测分析更加准确、更加及时高效。
-
-
-
-
-
-
-
-
-
Search Results
83
records
(took 0.096 seconds)
