公开(公告)号：CN113179260A

公开(公告)日：2021-07-27

申请号：CN202110440240.3

申请日：2021-04-21

Applicant: 国家计算机网络与信息安全管理中心河北分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 刘纪伟 ,  张玉 ,  陈洪伟 ,  赖秋楠 ,  梁彧

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明实施例公开了一种僵尸网络的检测方法、装置、设备及介质。该方法包括：根据DNS流量数据获取与各源IP地址对应的域名响应信息；根据各域名响应信息中的域名响应结果，在各源IP地址中筛选得到备选受控IP地址，及与各备选受控IP地址分别匹配的第一异常主域名；根据各备选受控IP地址的成功访问主域名与匹配的第一异常主域名间的相似度，在各成功访问主域名中提取第二异常主域名并获取与之对应的主控IP地址；在各备选受控IP地址中获取成功访问每个主控IP地址的受控IP地址，并将其和与主控IP地址对应的受控IP地址确定为僵尸网络。在上述技术方案中，通过域名分析确定僵尸网络，降低了检测成本，提高了检测效率和准确度。

公开(公告)号：CN113179260B

公开(公告)日：2022-09-23

申请号：CN202110440240.3

申请日：2021-04-21

Applicant: 国家计算机网络与信息安全管理中心河北分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 刘纪伟 ,  张玉 ,  陈洪伟 ,  赖秋楠 ,  梁彧

IPC: H04L9/40 ,  H04L61/10 ,  H04L61/4511

Abstract: 本发明实施例公开了一种僵尸网络的检测方法、装置、设备及介质。该方法包括：根据DNS流量数据获取与各源IP地址对应的域名响应信息；根据各域名响应信息中的域名响应结果，在各源IP地址中筛选得到备选受控IP地址，及与各备选受控IP地址分别匹配的第一异常主域名；根据各备选受控IP地址的成功访问主域名与匹配的第一异常主域名间的相似度，在各成功访问主域名中提取第二异常主域名并获取与之对应的主控IP地址；在各备选受控IP地址中获取成功访问每个主控IP地址的受控IP地址，并将其和与主控IP地址对应的受控IP地址确定为僵尸网络。在上述技术方案中，通过域名分析确定僵尸网络，降低了检测成本，提高了检测效率和准确度。

公开(公告)号：CN111600859B

公开(公告)日：2022-08-05

申请号：CN202010381696.2

申请日：2020-05-08

Applicant: 恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心河北分中心

Inventor： 刘纪伟 ,  梁彧 ,  李睿楠 ,  陈洪伟 ,  赖秋楠 ,  胡付博

IPC: H04L9/40

Abstract: 本发明实施例公开了一种分布式拒绝服务攻击的检测方法、装置、设备及存储介质，该方法包括：实时监测网络流量，并根据预设采样周期采集目标网络流量；根据目标网络流量，提取原始流量特征；通过原始流量特征，构建分布式拒绝服务攻击的检测特征；根据分布式拒绝服务攻击的检测特征，确定目标网络流量中是否存在分布式拒绝服务攻击。本发明实施例的技术方案，实现了对网络流量中分布式拒绝服务攻击检测的同时，有效区分了正常突发流量和分布式拒绝服务攻击流量，避免了对正常突发流量的误判，提高了分布式拒绝服务攻击的检测效率和检测精度。

公开(公告)号：CN111600859A

公开(公告)日：2020-08-28

申请号：CN202010381696.2

申请日：2020-05-08

Applicant: 恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心河北分中心

Inventor： 刘纪伟 ,  梁彧 ,  李睿楠 ,  陈洪伟 ,  赖秋楠 ,  胡付博

IPC: H04L29/06

Abstract: 本发明实施例公开了一种分布式拒绝服务攻击的检测方法、装置、设备及存储介质，该方法包括：实时监测网络流量，并根据预设采样周期采集目标网络流量；根据目标网络流量，提取原始流量特征；通过原始流量特征，构建分布式拒绝服务攻击的检测特征；根据分布式拒绝服务攻击的检测特征，确定目标网络流量中是否存在分布式拒绝服务攻击。本发明实施例的技术方案，实现了对网络流量中分布式拒绝服务攻击检测的同时，有效区分了正常突发流量和分布式拒绝服务攻击流量，避免了对正常突发流量的误判，提高了分布式拒绝服务攻击的检测效率和检测精度。

公开(公告)号：CN114363290A

公开(公告)日：2022-04-15

申请号：CN202111672272.2

申请日：2021-12-31

Applicant: 恒安嘉新(北京)科技股份公司

Inventor： 赖秋楠 ,  梁彧 ,  傅强 ,  蔡琳 ,  杨满智 ,  田野 ,  王杰 ,  阿曼太 ,  金红 ,  陈晓光

IPC: H04L61/4511 ,  H04L61/5007

Abstract: 本发明实施例公开了一种域名识别方法、装置、设备及存储介质。其中，方法包括：确定待识别域名数据中的子域名数据；获取子域名数据的至少一个子域名特征，并对各子域名特征与目标特征条件进行匹配，得到子域名特征匹配结果；其中，目标特征条件根据子域名级别阈值和特征结构数据确定；在确定各子域名特征匹配结果为匹配成功的情况下，确定待识别域名数据为目标域名数据。本发明实施例可以实现快速、批量识别域名，无需占用网络通信带宽，节约网络资源并降低域名识别成本。

公开(公告)号：CN114117146A

公开(公告)日：2022-03-01

申请号：CN202111402577.1

申请日：2021-11-19

Applicant: 恒安嘉新(北京)科技股份公司

Inventor： 赖秋楠 ,  梁彧 ,  傅强 ,  蔡琳 ,  杨满智 ,  田野 ,  王杰 ,  阿曼太 ,  金红 ,  陈晓光

IPC: G06F16/903 ,  G06N3/04

Abstract: 本发明实施例公开了一种异常域名的识别方法、装置、计算机设备及介质。其中，该方法包括：获取待识别域名，并提取所述待识别域名中的主域名；将所述主域名与预先的建立的异常拼接字符串库进行匹配，检测所述主域名是否能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到；若是，则将所述待识别域名确定为通过域名生成算法生成的异常域名。本发明实施例，通过上述方法，解决了由异常拼接字符串组成的域名漏检和漏报的问题，实现了对异常域名检测准确率的提高，从而避免了漏检异常域名对服务器的攻击，减少异常域名攻击服务器造成的损失。

公开(公告)号：CN114363290B

公开(公告)日：2023-08-29

申请号：CN202111672272.2

申请日：2021-12-31

Applicant: 恒安嘉新(北京)科技股份公司

Inventor： 赖秋楠 ,  梁彧 ,  傅强 ,  蔡琳 ,  杨满智 ,  田野 ,  王杰 ,  阿曼太 ,  金红 ,  陈晓光

IPC: H04L61/4511 ,  H04L61/5007

Abstract: 本发明实施例公开了一种域名识别方法、装置、设备及存储介质。其中，方法包括：确定待识别域名数据中的子域名数据；获取子域名数据的至少一个子域名特征，并对各子域名特征与目标特征条件进行匹配，得到子域名特征匹配结果；其中，目标特征条件根据子域名级别阈值和特征结构数据确定；在确定各子域名特征匹配结果为匹配成功的情况下，确定待识别域名数据为目标域名数据。本发明实施例可以实现快速、批量识别域名，无需占用网络通信带宽，节约网络资源并降低域名识别成本。