-
公开(公告)号:CN116527307A
公开(公告)日:2023-08-01
申请号:CN202310245623.4
申请日:2023-03-15
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明提供一种基于社区发现的僵尸网络检测方法,该方法将流量数据转换为图数据,利用社区发现对网络图进行划分,对划分后的社区利用节点重叠度和相似度进行检测,据此发现僵尸网络。检测方法包括:基于节点重叠度的可疑社区检测;基于节点相似度的僵尸网络社区检测和节点类型判别。对于输入的流量行为图数据,第一阶段利用社区发现算法对图中节点进行划分并计算社区节点重叠度,以重叠度为依据筛选可疑社区。对于第一阶段输出的可疑社区,第二阶段基于聚类的思想计算每个可疑社区内部的节点相似度,将具有高节点相似度的社区输出为僵尸网络社区。最后一个阶段负责对僵尸网络内部节点的具体类型进行判定并输出最终检测结果。
-
公开(公告)号:CN113904796A
公开(公告)日:2022-01-07
申请号:CN202110995717.4
申请日:2021-08-27
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明属于网络安全技术领域,且公开了网络安全检测用流量的设备后门检测方法,包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本,对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本,通过回溯过往的流量异常增多时,设备的异常现象,与注册表之间进行联合比对,并对当前进行实时监控,得出相较于只检查当前IP异常通讯和单一排查注册项,效率相对较高,且准确性通过比对也得到提升。
-
公开(公告)号:CN119835037A
公开(公告)日:2025-04-15
申请号:CN202411949295.7
申请日:2024-12-27
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , G06F18/214 , G06N3/0895
Abstract: 本发明涉及网络安全技术领域,公开了一种基于多源标签弱监督学习的安全日志分析方法,方法包括:在标签日志数据集中获取相似日志样本,并将相似日志样本组合为子样本集合;以子样本集合中各个日志样本的类型相同为目标,通过目标分类器,对子样本集合中日志样本的各个标签对应的对比权重进行更新,获得权重值矩阵;对比权重用于指示日志样本的候选标签信息与其他预测标签的差异距离;基于权重值矩阵生成目标样本日志对应的目标标签,并根据目标样本日志以及目标标签对日志分析模型进行训练;其中,训练后的日志分析模型用于对安全日志进行分析。本发明能够提高安全日志分析的准确性。
-
公开(公告)号:CN118316730B
公开(公告)日:2025-01-21
申请号:CN202410711421.9
申请日:2024-06-04
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明属于网络攻击检测领域,具体公开了一种针对邮箱的网络攻击异常行为检测方法,具体包括:S1:捕获网络流量PCAP数据包;S2:解析捕获的网络流量PCAP数据包,过滤邮件收件协议的加密流量;S3:对所述邮件收件协议的加密流量进行深度检测,提取非加密元数据以及会话的时间;S4:根据提取的非加密元数据以及会话的时间筛选有效交互会话,并补充源IP和目的IP的单位信息;S5:基于源IP在特定时间访问多个不同目的IP的模式,自动产生告警。本发明从攻击者的角度出发,通过对加密邮件流量的统计分析,建立收信异常行为模型,以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。
-
公开(公告)号:CN117172245A
公开(公告)日:2023-12-05
申请号:CN202310610786.8
申请日:2023-05-26
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F40/284 , G06F18/24 , G06F18/22
Abstract: 本发明实施例涉及一种控制方法及控制系统,所述方法包括:当检测到目标账号存在新发布的目标文章时,对所述目标文章进行引流标题的先验检测,得到先验检测结果,所述引流标题表征所述目标文章的文章类别;在所述先验检测结果满足预设条件时,对所述目标文章进行引流标题的后验检测,得到后验检测结果;根据所述先验检测结果和所述后验检测结果对所述目标账号进行分数评估,得到所述目标账号的评分结果;根据所述评分结果对所述目标账号进行控制。由此,可以实现对作者账号的调控机制限定,维护平台生态环境以及提高用户体验的技术效果。
-
Patent Agency Ranking
公开(公告)号:CN113904796B
公开(公告)日:2023-11-17
申请号:CN202110995717.4
申请日:2021-08-27
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明属于网络安全技术领域,且公开了一种网络流量安全检测的设备后门检测方法,包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本,对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本,通过回溯过往的流量异常增多时,设备的异常现象,与注册表之间进行联合比对,并对当前进行实时监控,得出相较于只检查当前IP异常通讯和单一排查注册项,效率相对较高,且准确性通过比对也得到提升。
-
公开(公告)号:CN116633622A
公开(公告)日:2023-08-22
申请号:CN202310597426.9
申请日:2023-05-24
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本申请提供一种网络流量检测方法、装置、存储介质及电子设备,涉及通信领域。其中,电子设备接收待处理请求;从待处理请求中提取待处理文本;根据待处理文本的语义信息,确定待处理请求的访问目的。如此,相较于对网络请求所呈现的行为特征,本方案通过对待处理请求中的文本进行分析,能够取得更为准确的检测效果。
-
公开(公告)号:CN119892592A
公开(公告)日:2025-04-25
申请号:CN202411995565.8
申请日:2024-12-31
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L41/0604 , H04L41/0631
Abstract: 本发明涉及网络安全情报分析领域,公开了一种网络安全告警事件误报去除方法、装置、设备及介质,具体包括获取误报事件、预设自相关系数阈值、趋势误报处理间隔和周期误报处理间隔;基于趋势误报处理间隔,对误报事件进行聚类统计,得到多个趋势事件序列;基于周期误报处理间隔,将多个趋势事件序列进行序列重组,得到多个周期事件序列;计算多个周期事件序列的自相关系数,并将自相关系数和预设自相关系数阈值进行比较,以确定多个目标周期事件序列;将多个目标周期事件序列进行时频域转换,获得目标周期值,并将目标周期值非0的目标周期事件序列去除,本发明提升误报去除的简便性、精准性和广泛应用性。
-
公开(公告)号:CN118509210A
公开(公告)日:2024-08-16
申请号:CN202410604637.5
申请日:2024-05-15
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40
Abstract: 本发明涉及一种关联分析多源数据还原恶意代码攻击场景的方法,收集已被发现的漏洞信息,建立漏洞利用特征数据集;通过分析网络流入流出流量,识别并记录符合特征的会话信息,记录网络侧漏洞利用日志;采集蜜罐捕获的系统日志和网络会话信息,记录蜜罐侧漏洞利用日志;综合利用网络侧漏洞利用日志和蜜罐侧漏洞利用日志,建立漏洞利用日志和恶意代码的关联关系,进而发现还原恶意代码攻击场景,分析其攻击路径和攻击过程,发现其传播利用的漏洞,关联分析方法全面准确高效。
-
公开(公告)号:CN117978504A
公开(公告)日:2024-05-03
申请号:CN202410168563.5
申请日:2024-02-06
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , H04L41/0681
Abstract: 本申请公开了一种流量基线设置方法、装置、电子设备及存储介质,所述方法,包括:获取当前时间周期之前的第一预设数量的历史时间周期内指定时间窗口的指定源IP与目的IP对应的第一网络流量日志;针对每一历史时间周期,根据历史时间周期内指定时间窗口的源IP与目的IP对应的第一网络流量日志统计在历史时间周期内指定时间窗口源IP与目的IP对应的上行流量大小值和下行流量大小值;根据上行流量大小值和下行流量大小值,确定历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比;根据各个历史时间周期内指定时间窗口源IP和目的IP对应的上下行流量差值比,确定当前时间周期内指定时间窗口的流量基线。
-
-
-
-
-
-
-
-
-
Search Results
53
records
(took 0.06 seconds)
