公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  G06F16/9535

Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN112769755A

公开(公告)日：2021-05-07

申请号：CN202011507902.6

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 严寒冰 ,  李明哲 ,  周昊 ,  徐剑 ,  郭晶 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  H04L29/12 ,  G06F16/242 ,  G06F16/2455

Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法，该方法包括：对DNS日志数据中若干特征字段的联合取值执行分组聚合统计，形成多级特征数据，得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源，甚至面对海量的DNS日志数据，对其进行处理并发现安全威胁，进行威胁预警不可行的问题，对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销，让整个威胁发现过程具有可行性。

公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC: H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

公开(公告)号：CN112738040A

公开(公告)日：2021-04-30

申请号：CN202011507913.4

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  徐剑 ,  郭晶 ,  周昊 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06

Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置，该方法包括：获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销，以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，可对不断涌现的新威胁类型和威胁迹象进行检测，综合了机器诊断和专家诊断意见，提高检测的覆盖范围，以便能够发现网络中的各种安全威胁。

公开(公告)号：CN119475330A

公开(公告)日：2025-02-18

申请号：CN202411400544.7

申请日：2024-10-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张榜 ,  肖崇蕙 ,  饶毓 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  周成飞

IPC: G06F21/56 ,  G06F16/958 ,  G06F16/951

Abstract: 本申请提供一种网页分析识别方法、装置及电子设备，涉及网络安全领域。该方法中，获取待检测网页网址；根据待检测网页网址爬取待检测网页内容，待检测网页内容包括源代码数据和图片数据；对源代码数据和图片数据分别进行预处理，得到页面的结构特征数据，将页面的结构特征数据与预设的FOFA规则的关键字一一对应得到对应关系；将FOFA规则加载至预设的AC算法的分析模块，并将结构特征数据作为输入数据，利用分析模块将输入数据与关键字对应的关键值进行匹配分析，输出匹配的规则标识；根据匹配的规则标识，从预设的数据库中匹配规则标识的相关描述信息，根据相关描述信息确定是否为恶意网址，能够适应不同类型网址。

公开(公告)号：CN119276526A

公开(公告)日：2025-01-07

申请号：CN202410428938.7

申请日：2024-04-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  郭晶 ,  王宏宇 ,  白寿颖 ,  刘玲

IPC: H04L9/40

Abstract: 本发明涉及一种分析网络流量测量僵尸网络控制规模的方法，首先收集已被发现的僵尸程序样本，建立僵尸网络命令与控制指令特征数据集；通过分析网络流入流出流量，识别并记录符合指令特征的会话信息，记录僵尸网络命令与控制日志；将命令与控制日志和网络流量中域名请求日志进行实时关联，在命令与控制日志增加C2控制域名字段；最后利用僵尸网络控制规模测量算法分析命令与控制日志，计算僵尸网络各家族、各C2控制域名、各C2IP地址的累计通信肉鸡IP数、每日通信肉鸡IP数，感知发现控制规模大或控制规模快速扩大的僵尸网络。本发明从访问C2的网络流量中精准识别肉鸡的流量进而计算僵尸网络规模，覆盖范围更全面，测量方法准确。

公开(公告)号：CN113238912B

公开(公告)日：2022-12-06

申请号：CN202110500278.5

申请日：2021-05-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 丁丽 ,  吕卓航 ,  楼书逸 ,  严寒冰 ,  李志辉 ,  朱天 ,  饶毓 ,  周昊 ,  高川 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  贺铮

IPC: G06F11/30 ,  H04L9/40

Abstract: 本发明提出了一种网络安全日志数据的聚合处理方法，本申请涉及一种聚合处理方法，尤其涉及一种网络安全日志数据的聚合处理方法，属于数据处理领域。本发明首先，基于预先设置的配置获取不同类型的日志数据，然后，对不同来源的同种类型日志数据进行规范化处理和对日志数据进行分析并且提取核心内容；最后，根据会话关系及日志的核心内容对数据进行分组聚合处理和非核心内容的细节信息进行内容压缩处理。保证实体交互关系无损，同时保留了业务分析中需要的细节信息，保证实时分析过程中相关数据的完整性的同时，提高了数据的查询使用效率。解决了现有技术中存在的网络安全日志数据存储占用空间大、查询效率低下的技术问题。

公开(公告)号：CN113364780B

公开(公告)日：2022-11-04

申请号：CN202110639801.2

申请日：2021-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贾世琳 ,  吕卓航 ,  严寒冰 ,  丁丽 ,  吕志泉 ,  郭晶 ,  贾子骁

IPC: H04L9/40

Abstract: 本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置，该方法包括：在接收到威胁关键信息时，对威胁关键信息进行关联扩展，获得威胁扩展信息，查找威胁扩展信息对应的攻击身份信息，对威胁扩展信息进行降重处理，获得候选威胁扩展信息，并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息，根据攻击身份信息对目标威胁扩展信息进行信息提取，获得目标网络攻击受害者；相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式，由于本发明中对威胁关键信息进行了扩展，以获得威胁扩展信息，并基于威胁扩展信息确定目标网络攻击受害者，从而能够全面获取网络攻击受害者群体，以提高安全防护的可靠性。

公开(公告)号：CN113364742B

公开(公告)日：2022-10-11

申请号：CN202110534914.6

申请日：2021-05-17

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张华 ,  李文敏 ,  郭晶 ,  严寒冰 ,  朱天 ,  吕志泉 ,  任婧 ,  傅茂喜

IPC: H04L9/40 ,  H04L41/142

Abstract: 本说明书一个或多个实施例提供一种网络安全威胁定量弹性计算方法及装置，包括：从原始威胁数据中提取威胁特征；按照所述威胁特征的类型，将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征；分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数；根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数，确定所述威胁特征的威胁等级；根据所述威胁等级，输出预警信息。本实施例能够准确评估网络安全威胁程度并进行相应预警。

公开(公告)号：CN113609234A

公开(公告)日：2021-11-05

申请号：CN202110671288.5

申请日：2021-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  贺铮 ,  王宏宇 ,  严寒冰 ,  丁丽 ,  李志辉 ,  吕志泉 ,  郭晶 ,  贾子骁 ,  肖崇蕙 ,  虞宇琪 ,  张腾 ,  谭兴邦 ,  亓子森

IPC: G06F16/28 ,  G06F16/901 ,  G06F11/34 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种网络实体行为关联构建方法及系统，属于网络安全领域，聚焦网空威胁框架下的实体行为关联，采用实时计算结合离线计算方式，通过整合流量日志、多源威胁情报、碎片化告警日志，实现实体关系抽取，针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射，利用分布式图数据融合技术实现网络实体行为关联构建，能够充分利用威胁情报和漏洞知识数据，全方位地感知网络空间威胁。