-
公开(公告)号:CN113422755A
公开(公告)日:2021-09-21
申请号:CN202110480987.1
申请日:2021-04-30
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统,方法包括:获取DNS的统计数据,并在统计数据范围内获取疑似DGA域名,抽取疑似DGA域名的行为和文本特征,并生成疑似DGA域名的聚类标签,并基于所述聚类标签划分疑似DGA域名的DGA家族,并使用解析IP数量过滤删减所述DGA家族,以获得所述DGA家族中保留下来的DGA域名;从而在DGA家族中保留下来的DGA域名范围内,使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样,该方法和系统能够准确对DGA域名进行检测和研判,通过聚类分析和情报检测,可以检测出活跃且价值较高的DGA域名,实现对DGA域名的有效检测和研判,具有较高的检测准确性。
-
Patent Agency Ranking
公开(公告)号:CN112822153A
公开(公告)日:2021-05-18
申请号:CN202011500912.7
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 周昊 , 李明哲 , 徐剑 , 郭晶 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , G06F16/9535
Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统,该方法包括:从DNS日志数据中抽取统计特征,获得特征数据;可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;异常IP发现,对所述特征数据进行统计研判,发现异常请求IP、异常服务IP和异常解析IP。该系统包括:统计特征抽取单元,可疑域名发现单元,异常IP发现单元。本发明以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,启用多个具有不同资源特点的运算环境,并集中管理不同类型的模型插件,能够适应资源条件的变化,以便能够发现网络中的安全威胁。
-
公开(公告)号:CN112769755A
公开(公告)日:2021-05-07
申请号:CN202011507902.6
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 严寒冰 , 李明哲 , 周昊 , 徐剑 , 郭晶 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , H04L29/12 , G06F16/242 , G06F16/2455
Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法,该方法包括:对DNS日志数据中若干特征字段的联合取值执行分组聚合统计,形成多级特征数据,得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源,甚至面对海量的DNS日志数据,对其进行处理并发现安全威胁,进行威胁预警不可行的问题,对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销,让整个威胁发现过程具有可行性。
-
公开(公告)号:CN112738036A
公开(公告)日:2021-04-30
申请号:CN202011495062.6
申请日:2020-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 罗赟骞 , 周昊 , 郭晶 , 徐剑 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙 , 李婷 , 候爽
IPC: H04L29/06 , G06F21/56 , G06F16/955 , G06K9/62
Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置,该方法包括:获取域名关联的恶意代码以及域名与恶意代码之间的关系;提取每一个恶意代码的恶意代码属性,根据域名关联的多个恶意代码的属性,基于投票方法确定域名关联的恶意代码属性;基于域名关联的恶意代码属性和域名与恶意代码之间的关系,得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名,采用投票方法,获取恶意代码的准确的行为、家族和平台等属性信息,根据这些属性信息对恶意域名进行分类,从而实现对恶意域名的准确判断,有利于正确判断恶意域名的危害性,促使相关安全人员及时进行安全事件响应。
-
公开(公告)号:CN109388710A
公开(公告)日:2019-02-26
申请号:CN201810970182.3
申请日:2018-08-24
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F16/35 , G06F16/951 , G06N20/00 , G06N3/04
Abstract: 本发明涉及一种IP地址业务属性标定方法及装置,所述方法包括:获取域名的子域名以及域名及其子域名的页面信息;利用预先建立的文本分类机器学习模型获取域名及其子域名的页面信息的分类结果;利用域名及其子域名的页面信息的分类结果标定域名及其子域名对应的IP地址集的分类属性。本发明提供的技术方案,通过网络爬虫获得域名的页面信息,利用机器学习文本分类算法模型确定域名的业务分类,建立“IP-域名-业务分类”的映射关系,完成对IP地址上层承载业务分类的标定,扩充了现有的IP地址属性库,提高了IP业务属性的实时性。
-
公开(公告)号:CN112738040A
公开(公告)日:2021-04-30
申请号:CN202011507913.4
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 李明哲 , 徐剑 , 郭晶 , 周昊 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06
Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置,该方法包括:获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销,以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,可对不断涌现的新威胁类型和威胁迹象进行检测,综合了机器诊断和专家诊断意见,提高检测的覆盖范围,以便能够发现网络中的各种安全威胁。
-
-
-
-
-
Search Results
36
records
(took 0.135 seconds)
