公开(公告)号：CN113656448A

公开(公告)日：2021-11-16

申请号：CN202110910039.7

申请日：2021-08-09

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 李佳 ,  党向磊 ,  张良 ,  胡燕林 ,  云晓春 ,  陈训逊 ,  吴昊 ,  李瑞轩 ,  李鼎 ,  刘慧君 ,  李忠志

IPC: G06F16/2457 ,  G06F16/23 ,  G06F16/22 ,  H04L29/06

Abstract: 本发明提供了一种报文处理方法、装置、设备及可读存储介质，所述方法包括：获取报文；将所述报文获取的时间作为所述报文的第一时间戳，并基于所述报文的内容计算所述报文的第一特征值；以所述第一特征值为索引，查找特征表中是否存在所述第一特征值，得到查找结果，所述特征表包括第二特征值和每个所述第二特征值所对应的第二时间戳；根据所述查找结果、所述特征表和所述第一时间戳判断所述报文是否为重复报文，得到判断结果，根据所述判断结果对所述报文进行对应的处理。本发明中时间戳标记可以实现微秒级的报文接收时间记录，同时时间差阈值也是微秒级单位，因此也就可以进行微秒级的报文时间间隔判定，进而实现精确的网络报文去重。

公开(公告)号：CN112000765A

公开(公告)日：2020-11-27

申请号：CN202010013353.0

申请日：2020-01-07

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 吴潇 ,  张良 ,  巫飞龙 ,  金鑫 ,  袁庆升 ,  付戈 ,  徐小琳 ,  吴越同 ,  李承泽 ,  汤俊凯 ,  宋东力

IPC: G06F16/33 ,  G06F40/126

Abstract: 本发明公开了一种基于智能网元日志的被动域名收集的方法，所述方法包括如下步骤：(1)日志数据收集；(2)被动匹配域名字符串。本发明适合匹配文本字面，具有灵活性、逻辑性和功能性强的优点，同时可以迅速地用极简单的方式达到字符串的复杂控制。

公开(公告)号：CN111724022A

公开(公告)日：2020-09-29

申请号：CN202010013216.7

申请日：2020-01-07

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 吴潇 ,  张良 ,  巫飞龙 ,  金鑫 ,  袁庆升 ,  付戈 ,  徐小琳 ,  吴越同 ,  李承泽 ,  汤俊凯 ,  宋东力

IPC: G06Q10/06 ,  G06F16/245 ,  H04L12/851

Abstract: 本发明公开了一种基于边缘智能网元日志的用户位置预测方法，所述方法包括如下步骤：系统通过随机抽样算法提取局域网中的流量数据，发送到流量采集服务器端，所述采集服务器利用网络流量采集卡收集发送来的全部流量数据；利用Golang gopacket将所述采集卡接收的数据按过滤条件进行数据包特征提取，然后将过滤出来的流量或特征存储到指定数据库中；依次提取采集到数据包的信息，将数据包聚合为若干流，并入数据流量表；根据自有算法对所述数据流量表中的数据按照已有库进行评分计算，然后把计算结果与已设关键设备评分阈值比对，达到或超过阈值的设备定义为关键设备。该方法能够从流量中有效地提取出关键设备的特征信息，准确识别设备类型。

公开(公告)号：CN109684594A

公开(公告)日：2019-04-26

申请号：CN201811419927.3

申请日：2018-11-26

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  黄亮 ,  孟繁瑞 ,  刘文敏 ,  魏斌 ,  焦亮 ,  王博 ,  孙立远 ,  徐晓燕 ,  张良 ,  郑礼雄 ,  刘伟 ,  党向磊 ,  方喆君 ,  孙中豪

IPC: G06F17/10

Abstract: 本发明公开了一种活跃对象的计量方法，该方法包括：取多个周期的活跃对象集合，每个周期的活跃对象集合中的活跃对象在周期内存在活动记录；利用当前周期的活跃对象集合及相关活跃对象集合获取当前周期的计量数据，当前周期的计量数据包括当前周期的存量和/或增量。本发明还公开了一种活跃对象的计量装置、可读存储介质。通过上述方式，本发明能够实现对活跃对象的计量。

公开(公告)号：CN109672669A

公开(公告)日：2019-04-23

申请号：CN201811467163.5

申请日：2018-12-03

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 党向磊 ,  张良 ,  李高超 ,  陈训逊 ,  李建强 ,  孙中豪 ,  马欢 ,  吴昊 ,  常雪侠

IPC: H04L29/06 ,  H04L12/741 ,  H04L12/743 ,  H04L12/801 ,  H04L12/823

Abstract: 本发明公开了一种流量报文的过滤方法及装置，该流量报文的过滤方法包括：解析提取网络流量报文中的关键字段信息，并将关键字段信息组装成第一规则查找信息；根据第一规则查找信息，查询预设的第一规则表；若第一规则查找信息在第一规则表中没有匹配的信息，则对网络流量报文执行丢弃处理；若第一规则查找信息在第一规则表中有匹配的信息，则根据第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息，对网络流量报文执行相应的处理。本发明在网络分析设备中不需要在报文第一次接收时就进行一系列深层次组合规则的报文解析，从而大幅度的提升硬件资源的访问速度和效率。

公开(公告)号：CN111988231B

公开(公告)日：2022-07-22

申请号：CN202010845709.7

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 张良 ,  党向磊 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L45/745 ,  G06F16/901 ,  G06F16/903

Abstract: 一种掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别，将包含识别到的合并位的多条掩码五元组规则合并为一条规则；将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的UserData部分中，并将上述合并位作为索引分别分配给相应的匹配结果；在数据报文五元组信息与该合并的规则匹配后，再基于该合并位索引最终的匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法及装置，可以有效提升了TCAM表项资源所能存储的掩码五元组规则容量，在提高利用率的同时节约了成本。

公开(公告)号：CN111984835B

公开(公告)日：2022-07-05

申请号：CN202010845708.2

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: G06F16/903 ,  G06F16/901 ,  H04L45/745 ,  H04L101/695

Abstract: 一种IPv4掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：压缩该TCAM芯片所存储的掩码五元组规则中的源端口SP字段及目的端口DP字段，删除协议号P字段，压缩后占10字节，并将原始掩码五元组规则中的协议号字P字段与该规则的匹配结果合并存储；接收报文并提取报文中的五元组信息，在TCAM芯片所存储的掩码五元组规则中查询；若查询命中匹配结果，则判断报文中的五元组信息与匹配结果相应的协议号P字段是否一致，若一致则输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置，能够有效解决TCAM资源浪费的问题，使TCAM得到充分的使用。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。

公开(公告)号：CN109672669B

公开(公告)日：2021-07-30

申请号：CN201811467163.5

申请日：2018-12-03

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 党向磊 ,  张良 ,  李高超 ,  陈训逊 ,  李建强 ,  孙中豪 ,  马欢 ,  吴昊 ,  常雪侠

IPC: H04L29/06 ,  H04L12/741 ,  H04L12/743 ,  H04L12/801 ,  H04L12/823

Abstract: 本发明公开了一种流量报文的过滤方法及装置，该流量报文的过滤方法包括：解析提取网络流量报文中的关键字段信息，并将关键字段信息组装成第一规则查找信息；根据第一规则查找信息，查询预设的第一规则表；若第一规则查找信息在第一规则表中没有匹配的信息，则对网络流量报文执行丢弃处理；若第一规则查找信息在第一规则表中有匹配的信息，则根据第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息，对网络流量报文执行相应的处理。本发明在网络分析设备中不需要在报文第一次接收时就进行一系列深层次组合规则的报文解析，从而大幅度的提升硬件资源的访问速度和效率。

公开(公告)号：CN112367262A

公开(公告)日：2021-02-12

申请号：CN202010844839.9

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L12/743

Abstract: 一种五元组规则匹配的方法，该五元组规则模板预先进行了分类，并为分类后的规则模板设置关联规则有效标志，该方法具体包括：接收数据报文并提取五元组信息；根据提取的五元组信息依次对分类后的规则模板类型进行判断，并进一步确定该五元组信息所匹配的规则模板，记录其命中的规则模板相对应的关联规则有效标志；根据所命中的关联规则有效标志，在所确定的规则模板类型对应的规则Hash表中顺次查找相匹配的规则表项，并输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置及芯片，可以显著提升五元组规则查表效率，解决了规则表资源竞争的问题。