-
公开(公告)号:CN114297644B
公开(公告)日:2024-08-13
申请号:CN202111454822.3
申请日:2021-12-01
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备,所述方法包括:基于预设周期,计算IOC情报库中每条IOC情报的置信度,并根据置信度阈值,筛选出参与下次置信度计算的IOC情报;计算IOC情报库中每条IOC情报的置信度包括:获取IOC情报的多维特征;根据IOC情报的多维特征,计算IOC情报的基础分数,并对IOC情报进行判定;当IOC情报的判定结果为确认事件时,将基础分数的n倍数值作为IOC情报的置信度值,其中n满足:n>1;当IOC的判定结果为误报事件时,将基础分数乘以衰减系数作为IOC情报的置信度值,其中,衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明,可以从海量IOC情报库中筛选出高价值的IOC情报,对低价值的情报进行停用,节约了计算资源。
-
公开(公告)号:CN118316730A
公开(公告)日:2024-07-09
申请号:CN202410711421.9
申请日:2024-06-04
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明属于网络攻击检测领域,具体公开了一种针对邮箱的网络攻击异常行为检测方法,具体包括:S1:捕获网络流量PCAP数据包;S2:解析捕获的网络流量PCAP数据包,过滤邮件收件协议的加密流量;S3:对所述邮件收件协议的加密流量进行深度检测,提取非加密元数据以及会话的时间;S4:根据提取的非加密元数据以及会话的时间筛选有效交互会话,并补充源IP和目的IP的单位信息;S5:基于源IP在特定时间访问多个不同目的IP的模式,自动产生告警。本发明从攻击者的角度出发,通过对加密邮件流量的统计分析,建立收信异常行为模型,以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。
-
公开(公告)号:CN117879969A
公开(公告)日:2024-04-12
申请号:CN202410168702.4
申请日:2024-02-06
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40
Abstract: 本申请公开了一种数据异常监测方法、装置、电子设备及存储介质,所述方法,包括:获取当前时间周期内当前时间窗口的指定源IP与目的IP对应的网络流量日志;根据网络流量日志统计在当前时间窗口源IP向目的IP发送的流量大小值,以及源IP接收的目的IP发送的流量大小值;根据源IP向目的IP发送的流量大小值、源IP接收的目的IP发送的流量大小值、流量基线与流量告警阈值,判断源IP与目的IP之间传输的流量是否异常;若确定源IP与目的IP之间传输的流量异常,则生成源IP与目的IP在当前时间窗口对应的异常告警日志;对源IP与目的IP产生的异常告警日志进行联合分析,得到分析结果,从而,提高了对风险事件检测的准确性。
-
公开(公告)号:CN115619245A
公开(公告)日:2023-01-17
申请号:CN202210991590.3
申请日:2022-08-18
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 周昊 , 刘玲 , 张榜 , 贾世琳 , 秦佳伟 , 严寒冰 , 曹华平 , 郑开发 , 郭晶 , 胡俊 , 徐剑 , 饶毓 , 吕志泉 , 韩志辉 , 高川 , 吕卓航 , 贺铮 , 王宏宇 , 严定宇 , 石桂欣 , 史帅 , 尚程 , 杨满智 , 梁彧 , 傅强 , 王杰 , 孟艳青 , 冯福伟
IPC: G06Q10/0639 , G06Q10/0635 , G06Q50/26 , G06F18/22 , G06F18/23213 , G06F18/213 , G06F18/214 , G06F18/24
Abstract: 本发明公开了一种基于数据降维方法的画像构建和分类方法及系统。方法包括:获取目标用户对应的至少一个画像维度,其中,每个所述画像维度中包括至少一个画像特征;根据每个所述画像特征生成对应的画像特征向量;根据每个所述画像特征向量生成所述目标用户的画像特征向量集;将所述画像特征向量集输入预先训练的画像分类模型中,得到所述目标用户的至少一个用户画像。本发明的方案能够对用户画像进行精确构建,从而解决现有技术对用户画像构建不全面的问题,从而通过用户画像进行全面且完善的数据分析。
-
公开(公告)号:CN114297644A
公开(公告)日:2022-04-08
申请号:CN202111454822.3
申请日:2021-12-01
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备,所述方法包括:基于预设周期,计算IOC情报库中每条IOC情报的置信度,并根据置信度阈值,筛选出参与下次置信度计算的IOC情报;计算IOC情报库中每条IOC情报的置信度包括:获取IOC情报的多维特征;根据IOC情报的多维特征,计算IOC情报的基础分数,并对IOC情报进行判定;当IOC情报的判定结果为确认事件时,将基础分数的n倍数值作为IOC情报的置信度值,其中n满足:n>1;当IOC的判定结果为误报事件时,将基础分数乘以衰减系数作为IOC情报的置信度值,其中,衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明,可以从海量IOC情报库中筛选出高价值的IOC情报,对低价值的情报进行停用,节约了计算资源。
-
Patent Agency Ranking
公开(公告)号:CN109960729B
公开(公告)日:2022-01-18
申请号:CN201910241639.1
申请日:2019-03-28
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 周昊 , 张帅 , 吕志泉 , 董云飞 , 朱天 , 陈阳 , 饶毓 , 徐娜 , 严寒冰 , 丁丽 , 张华 , 常霞 , 狄少嘉 , 徐原 , 温森浩 , 王庆 , 李世淙 , 徐剑 , 李志辉 , 姚力 , 朱芸茜 , 郭晶 , 胡俊 , 王小群 , 何能强 , 李挺 , 王适文 , 肖崇蕙 , 贾子骁 , 韩志辉 , 马莉雅 , 张宇鹏 , 雷君 , 高川 , 周彧 , 吕卓航 , 楼书逸 , 文静 , 贾世琳
IPC: G06F16/35 , G06F40/216 , G06F40/284
Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统,该方法包括:抓取网络流量数据,并对网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;对格式化数据进行特征提取,得到每条格式化数据的文本向量特征;基于预先训练的恶意流量检测模型对文本向量特征进行分类检测,检测出HTTP恶意请求;基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类,得到聚类簇;基于聚类簇进行分析,得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化,并利用机器学习和聚类算法对恶意流量进行挖掘,提高了网络恶意流量的检测精确度,减少了安全分析人员的流量分析时间成本。
-
公开(公告)号:CN109918907B
公开(公告)日:2021-05-25
申请号:CN201910094079.1
申请日:2019-01-30
Applicant: 国家计算机网络与信息安全管理中心
Inventor: 吕志泉 , 韩志辉 , 张帅 , 严寒冰 , 丁丽 , 李佳 , 朱天 , 饶毓 , 高胜 , 李志辉 , 张腾 , 刘婧 , 何能强 , 陈阳 , 李世淙 , 朱芸茜 , 马莉雅 , 周昊
IPC: G06F21/56
Abstract: 本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质,所述方法包括遍历Linux系统所有进程,读取所有进程的内存映射文件;基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息,或者,所有内存片段数据和内存映射文件中包含的动态库文件路径信息,或者,程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件,确定进程的内存地址布局,准确的获取系统内每个进程的完整内存,有效发现Linux系统内存中的恶意代码,提高了系统Linux的安全性,在内存取证方法上具有通用性和稳定性。
-
公开(公告)号:CN112822153A
公开(公告)日:2021-05-18
申请号:CN202011500912.7
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 周昊 , 李明哲 , 徐剑 , 郭晶 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , G06F16/9535
Abstract: 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统,该方法包括:从DNS日志数据中抽取统计特征,获得特征数据;可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;异常IP发现,对所述特征数据进行统计研判,发现异常请求IP、异常服务IP和异常解析IP。该系统包括:统计特征抽取单元,可疑域名发现单元,异常IP发现单元。本发明以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,启用多个具有不同资源特点的运算环境,并集中管理不同类型的模型插件,能够适应资源条件的变化,以便能够发现网络中的安全威胁。
-
公开(公告)号:CN112769755A
公开(公告)日:2021-05-07
申请号:CN202011507902.6
申请日:2020-12-18
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 严寒冰 , 李明哲 , 周昊 , 徐剑 , 郭晶 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙
IPC: H04L29/06 , H04L29/12 , G06F16/242 , G06F16/2455
Abstract: 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法,该方法包括:对DNS日志数据中若干特征字段的联合取值执行分组聚合统计,形成多级特征数据,得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源,甚至面对海量的DNS日志数据,对其进行处理并发现安全威胁,进行威胁预警不可行的问题,对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销,让整个威胁发现过程具有可行性。
-
公开(公告)号:CN112738036A
公开(公告)日:2021-04-30
申请号:CN202011495062.6
申请日:2020-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 长安通信科技有限责任公司
Inventor: 罗赟骞 , 周昊 , 郭晶 , 徐剑 , 严寒冰 , 丁丽 , 李志辉 , 朱天 , 饶毓 , 贺铮 , 吕志泉 , 韩志辉 , 马莉雅 , 雷君 , 高川 , 贾世琳 , 吕卓航 , 黄亮 , 刘伟 , 郝帅 , 杨云龙 , 李婷 , 候爽
IPC: H04L29/06 , G06F21/56 , G06F16/955 , G06K9/62
Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置,该方法包括:获取域名关联的恶意代码以及域名与恶意代码之间的关系;提取每一个恶意代码的恶意代码属性,根据域名关联的多个恶意代码的属性,基于投票方法确定域名关联的恶意代码属性;基于域名关联的恶意代码属性和域名与恶意代码之间的关系,得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名,采用投票方法,获取恶意代码的准确的行为、家族和平台等属性信息,根据这些属性信息对恶意域名进行分类,从而实现对恶意域名的准确判断,有利于正确判断恶意域名的危害性,促使相关安全人员及时进行安全事件响应。
-
-
-
-
-
-
-
-
-
Search Results
100
records
(took 0.074 seconds)
