公开(公告)号：CN115134095B

公开(公告)日：2024-10-18

申请号：CN202110261716.7

申请日：2021-03-10

Applicant: 中国电信股份有限公司

Inventor： 刘紫千 ,  余启明 ,  白燕妮 ,  王大伟 ,  孙福兴 ,  李金伟 ,  常力元 ,  佟欣哲

IPC: H04L9/40 ,  H04L61/4511 ,  G06F40/30 ,  G06F18/23213 ,  G06N3/0464 ,  G06N3/088 ,  G06F18/22

Abstract: 本公开涉及网络安全技术领域，提供了一种僵尸网络控制端检测方法及装置、存储介质、电子设备，所述方法包括：获取DNS日志记录，其中，所述DNS日志记录包括请求IP、与所述请求IP对应的域名、以及与所述域名对应的时间信息；将所述请求IP对应的域名按照所述时间信息进行排序，以形成域名信息序列，根据所述域名信息序列确定所述域名的域名向量；计算僵尸网络域名的域名向量与所述域名的域名向量之间的相似度，并根据所述相似度确定所述域名的目标概率。本公开充分利用僵尸网络会集中批量向DNS发起域名请求的行为特征，提供了域名的向量化表征，提高了检测效率和准确率。

公开(公告)号：CN113556309A

公开(公告)日：2021-10-26

申请号：CN202010327646.6

申请日：2020-04-23

Applicant: 中国电信股份有限公司

Inventor： 刘紫千 ,  张敏 ,  张晓华 ,  余启明 ,  白燕妮 ,  王大伟 ,  常力元 ,  佟欣哲 ,  陈林 ,  石宝恒 ,  孙安吉 ,  刘长波 ,  张咏

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及一种用于预测攻击规模方法。该方法包括获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息；通过迭代关联发现第二组攻击源的信息，包括基于通信关系，发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息，并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息；基于预定的攻击规模模型，利用第一组攻击源、第二组攻击源的信息预测攻击规模。

公开(公告)号：CN115085955A

公开(公告)日：2022-09-20

申请号：CN202110267882.8

申请日：2021-03-11

Applicant: 中国电信股份有限公司

Inventor： 刘紫千 ,  张敏 ,  张晓华 ,  余启明 ,  白燕妮 ,  王大伟 ,  常力元 ,  佟欣哲 ,  陈林 ,  石宝恒 ,  孙安吉 ,  刘长波 ,  张咏

IPC: H04L9/40

Abstract: 本公开提供了一种网络安全处理方法、网络安全处理装置、计算机可读存储介质和电子设备，涉及网络安全技术领域。该网络安全处理方法包括：确定一威胁节点和被控制节点集合，其中，被控制节点集合包含威胁节点控制的一个或多个被控制节点；分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。本公开可以对威胁节点进行评估，提升威胁节点评估的自动化程度。

公开(公告)号：CN115085955B

公开(公告)日：2024-03-19

申请号：CN202110267882.8

申请日：2021-03-11

Applicant: 中国电信股份有限公司

Inventor： 刘紫千 ,  张敏 ,  张晓华 ,  余启明 ,  白燕妮 ,  王大伟 ,  常力元 ,  佟欣哲 ,  陈林 ,  石宝恒 ,  孙安吉 ,  刘长波 ,  张咏

IPC: H04L9/40

Abstract: 本公开提供了一种网络安全处理方法、网络安全处理装置、计算机可读存储介质和电子设备，涉及网络安全技术领域。该网络安全处理方法包括：确定一威胁节点和被控制节点集合，其中，被控制节点集合包含威胁节点控制的一个或多个被控制节点；分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。本公开可以对威胁节点进行评估，提升威胁节点评估的自动化程度。

公开(公告)号：CN115134095A

公开(公告)日：2022-09-30

申请号：CN202110261716.7

申请日：2021-03-10

Applicant: 中国电信股份有限公司

Inventor： 刘紫千 ,  余启明 ,  白燕妮 ,  王大伟 ,  孙福兴 ,  李金伟 ,  常力元 ,  佟欣哲

IPC: H04L9/40 ,  H04L61/4511 ,  G06F40/30 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本公开涉及网络安全技术领域，提供了一种僵尸网络控制端检测方法及装置、存储介质、电子设备，所述方法包括：获取DNS日志记录，其中，所述DNS日志记录包括请求IP、与所述请求IP对应的域名、以及与所述域名对应的时间信息；将所述请求IP对应的域名按照所述时间信息进行排序，以形成域名信息序列，根据所述域名信息序列确定所述域名的域名向量；计算僵尸网络域名的域名向量与所述域名的域名向量之间的相似度，并根据所述相似度确定所述域名的目标概率。本公开充分利用僵尸网络会集中批量向DNS发起域名请求的行为特征，提供了域名的向量化表征，提高了检测效率和准确率。

公开(公告)号：CN115085952A

公开(公告)日：2022-09-20

申请号：CN202110262136.X

申请日：2021-03-10

Applicant: 中国电信股份有限公司

Inventor： 刘紫千 ,  张敏 ,  常力元 ,  佟欣哲 ,  陈林 ,  刘长波 ,  余启明 ,  孙福兴 ,  王大伟 ,  张咏 ,  李齐

IPC: H04L9/40 ,  G06F16/955 ,  G06F16/903

Abstract: 本公开提供了一种钓鱼网站处理方法、钓鱼网站处理装置、计算机可读存储介质与电子设备，涉及网络安全技术领域。该钓鱼网站处理方法包括：从多源数据集中获取与客户需求对应的疑似钓鱼网站；确定疑似钓鱼网站的与客户网站的第一近似概率；在第一近似概率大于第一阈值的情况下，确定疑似钓鱼网站的第二近似概率；在第二近似概率大于第二阈值的时候，确定疑似钓鱼网站为钓鱼网站；在确定疑似钓鱼网站为钓鱼网站后，根据客户需求处理钓鱼网站。本公开提供了一种精准及时发现钓鱼网站的方案。