公开(公告)号：CN113157540A

公开(公告)日：2021-07-23

申请号：CN202110348169.6

申请日：2021-03-31

Applicant: 国家计算机网络与信息安全管理中心 ,  深圳市任子行科技开发有限公司

Inventor： 马秀娟 ,  贺敏 ,  王秀文 ,  唐积强 ,  毛洪亮 ,  杨菁林 ,  胡晓光 ,  马潇 ,  杜立

IPC: G06F11/34 ,  G06F16/955

Abstract: 本发明提出了一种用户行为分析方法和系统。所述用户行为分析方法，包括以下步骤：从网络日志中提取主体域名数据；再根据主体域名数据，获取对应的HTML文件；通过该HTML文件建立对应的平台词条；根据主体域名数据访问对应主体，抓取因访问而产生的日志流量包；通过DPI技术对日志流量包进行拆解，对拆解后得到的数据提取关键词，并根据关键词在一级词库中建立对应的行为词条；对关键词单位时间内出现的频次进行统计，并对同义词进行归并统一，从而在二级词库中建立对应的行为属性词条；整合所建立的平台词条、行为词条以及行为属性词条，从而判断出用户行为。本发明的用户行为分析方法和系统设计新颖，实用性强。

公开(公告)号：CN107241283B

公开(公告)日：2020-06-05

申请号：CN201710367940.8

申请日：2017-05-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 马秀娟 ,  吴震 ,  李传海 ,  孙伟 ,  唐积强 ,  毛洪亮 ,  徐小磊 ,  何清林 ,  张家琦 ,  王子厚

IPC: H04L12/931 ,  H04L29/08 ,  H04L12/46 ,  H04L12/24 ,  G06F9/455

Abstract: 本发明提供一种跨主机租户的东西向网络流量镜像采集方法，其步骤包括：1)流量采集控制服务器根据待采集租户的租户名以及从云服务主控服务器获取的租户的网络配置信息和租户的虚拟机在物理主机上的分布信息生成与待采集租户对应的流量采集配置参数；2)流量采集控制服务器将上述流量采集配置参数通过云服务主机的流量采集Agent下发到流量采集驱动程序；3)流量采集驱动程序对上述流量采集配置参数指定的采集流量进行镜像，并将镜像的采集流量发送给流量采集Agent。本发明方法可以在Linux内核驱动程序层，根据租户名和租户的网络配置信息以及租户的虚拟机在物理主机上的分布信息，动态采集租户的东西向网络流量。