公开(公告)号：CN119106014A

公开(公告)日：2024-12-10

申请号：CN202411006526.0

申请日：2024-07-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 郭晶 ,  徐剑 ,  金忠峰 ,  严寒冰 ,  曹华平 ,  唐积强 ,  狄少嘉 ,  徐原

IPC: G06F16/17 ,  G06F16/14 ,  G06F16/18

Abstract: 本发明是有关于一种任务驱动的海量网络日志高效筛选分发方法及装置，针对超大规模网络日志数据筛选分发存在的性能瓶颈问题，提出了一种多任务高效并行筛选和分发的创新方案。该方案聚焦于网络日志数据的智能化筛选与灵活分发，旨在整合共性计算需求、消除重复运算、优化资源配置、提升任务并发处理能力。具体实施中，本发明通过分解与合并跨任务日志筛选逻辑，结合常驻实时数据筛选与周期性离线筛选任务，系统性地完成了数据的精细化按需筛选、字段富化、数据分级和历史数据预存储，从而能够根据上层业务的实际需求，为不同任务动态且精准地分发合适的数据，为网络威胁监测、流量行为分析等应用提供数据支撑。

公开(公告)号：CN117879969A

公开(公告)日：2024-04-12

申请号：CN202410168702.4

申请日：2024-02-06

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾世琳 ,  吕卓航 ,  周昊 ,  高川 ,  贺铮

IPC: H04L9/40

Abstract: 本申请公开了一种数据异常监测方法、装置、电子设备及存储介质，所述方法，包括：获取当前时间周期内当前时间窗口的指定源IP与目的IP对应的网络流量日志；根据网络流量日志统计在当前时间窗口源IP向目的IP发送的流量大小值，以及源IP接收的目的IP发送的流量大小值；根据源IP向目的IP发送的流量大小值、源IP接收的目的IP发送的流量大小值、流量基线与流量告警阈值，判断源IP与目的IP之间传输的流量是否异常；若确定源IP与目的IP之间传输的流量异常，则生成源IP与目的IP在当前时间窗口对应的异常告警日志；对源IP与目的IP产生的异常告警日志进行联合分析，得到分析结果，从而，提高了对风险事件检测的准确性。

公开(公告)号：CN115619245A

公开(公告)日：2023-01-17

申请号：CN202210991590.3

申请日：2022-08-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  刘玲 ,  张榜 ,  贾世琳 ,  秦佳伟 ,  严寒冰 ,  曹华平 ,  郑开发 ,  郭晶 ,  胡俊 ,  徐剑 ,  饶毓 ,  吕志泉 ,  韩志辉 ,  高川 ,  吕卓航 ,  贺铮 ,  王宏宇 ,  严定宇 ,  石桂欣 ,  史帅 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  孟艳青 ,  冯福伟

IPC: G06Q10/0639 ,  G06Q10/0635 ,  G06Q50/26 ,  G06F18/22 ,  G06F18/23213 ,  G06F18/213 ,  G06F18/214 ,  G06F18/24

Abstract: 本发明公开了一种基于数据降维方法的画像构建和分类方法及系统。方法包括：获取目标用户对应的至少一个画像维度，其中，每个所述画像维度中包括至少一个画像特征；根据每个所述画像特征生成对应的画像特征向量；根据每个所述画像特征向量生成所述目标用户的画像特征向量集；将所述画像特征向量集输入预先训练的画像分类模型中，得到所述目标用户的至少一个用户画像。本发明的方案能够对用户画像进行精确构建，从而解决现有技术对用户画像构建不全面的问题，从而通过用户画像进行全面且完善的数据分析。

公开(公告)号：CN115379027A

公开(公告)日：2022-11-22

申请号：CN202210462789.7

申请日：2022-04-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李广恺 ,  徐小琳 ,  王大伟 ,  李建强 ,  徐剑 ,  张榜 ,  吴兴利 ,  王丽 ,  周梅岚 ,  唐天龙

IPC: H04L69/22 ,  H04L61/4511

Abstract: 本发明实施例涉及一种DNS报文解析改进方法、装置、改进设备及存储介质，包括：获取第一设备提供的进程以及进程对应的监听端口，监听端口对应设置有第一监听端口号；在接收到第二设备发送的DNS报文的解析请求时，通过第三设备将DNS报文中的第二监听端口号更新为第一监听端口号，得到携带有第一监听端口号的DNS报文；将该DNS报文发送至第一设备对应的进程，以返回DNS报文对应的携带有第一监听端口号的应答报文；将应答报文中的第一监听端口号更新为第二监听端口号，得到携带有第二监听端口号的应答报文；将该应答报文发送给第二设备，通过创建多进程和修改DNS报文对应端口号，完成DNS报文的解析处理。由此，可以实现提高DNS报文解析的处理效率的效果。

公开(公告)号：CN114826670A

公开(公告)日：2022-07-29

申请号：CN202210295069.6

申请日：2022-03-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。

公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  G06F16/9535

Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN112769755A

公开(公告)日：2021-05-07

申请号：CN202011507902.6

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 严寒冰 ,  李明哲 ,  周昊 ,  徐剑 ,  郭晶 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06 ,  H04L29/12 ,  G06F16/242 ,  G06F16/2455

Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法，该方法包括：对DNS日志数据中若干特征字段的联合取值执行分组聚合统计，形成多级特征数据，得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源，甚至面对海量的DNS日志数据，对其进行处理并发现安全威胁，进行威胁预警不可行的问题，对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销，让整个威胁发现过程具有可行性。

公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC: H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。