公开(公告)号：CN114095225B

公开(公告)日：2025-02-07

申请号：CN202111346994.9

申请日：2021-11-15

Applicant: 中国电信股份有限公司

Inventor： 刘东鑫 ,  秦悦 ,  黄冬梅 ,  史国水 ,  汪来富

IPC: H04L9/40 ,  G06F18/23213

Abstract: 本公开涉及安全风险评估方法、装置及存储介质。安全风险评估方法包括：采集包括多个安全域的对象系统的安全告警日志和资产信息，并对采集到的安全告警日志和资产信息进行预处理；将预处理后的安全告警日志和资产信息的文本信息转换成欧式空间向量，基于安全告警日志向量和资产信息向量的余弦相关性进行过滤；基于表示安全域的安全等级的安全标记信息，针对每个安全域分配安全等级权重；以预定时间周期，根据每个安全域的安全告警日志，生成每个安全域的典型特征向量；针对每个安全域，分别根据典型特征向量与预定的多个基准向量来计算夹角余弦相关值；以及将所有安全域的安全等级权重和夹角余弦相关值加权求和，求出安全风险评估结果。

公开(公告)号：CN114020735A

公开(公告)日：2022-02-08

申请号：CN202111326962.2

申请日：2021-11-10

Applicant: 中国电信股份有限公司

Inventor： 黄冬梅 ,  刘东鑫 ,  秦悦 ,  史国水 ,  汪来富

IPC: G06F16/215 ,  G06F16/18

Abstract: 本发明提供了安全告警日志降噪方法、装置、设备及存储介质，该方法包括：按第一时间窗口，对原始告警日志进行分组，获得第一告警集合；按地址信息以及事件类型，对第一告警集合进行分组，获得第二告警集合；基于第二告警集合的第一时间窗口内告警日志总数以及事件速率，筛选第二告警集合；对经筛选的第二告警集合：按第二时间段，切分第一时间窗口，形成窗口时间标签序列；按每一事件，生成事件时间标签序列；按原子安全事件，合并事件时间标签序列，形成时间序列集合；根据时间序列集合形成经降噪的告警日志。本发明以地址信息以及事件类型为初始分组条件，基于时间和行为特征实现对上下文安全告警日志的降噪，过滤低风险告警，保留高价值信息。

公开(公告)号：CN113660275B

公开(公告)日：2023-02-24

申请号：CN202110950460.0

申请日：2021-08-18

Applicant: 中国电信股份有限公司

Inventor： 秦悦 ,  刘东鑫 ,  黄冬梅 ,  史国水 ,  汪来富

IPC: H04L61/4511 ,  H04L61/5007 ,  H04L9/40

Abstract: 本发明涉及网络安全技术领域，提供一种域名系统请求的处理方法、装置、电子设备和存储介质。所述处理方法包括：响应于DNS请求，判断DNS请求是否匹配DNS隧道黑名单或分布式反射拒绝服务DRDoS黑名单；若是，对DNS请求进行限流处理；若否，根据DNS请求查询DNS服务器，获得DNS服务器的响应数据进行返回，并缓存应答状态为域名不存在NXDomain的目标响应数据；根据目标响应数据，更新DNS隧道黑名单和/或DRDoS黑名单。本发明能够根据DNS黑名单快速识别出异常的DNS请求，进行限流处理，降低异常请求对整个网络的不良影响，并可基于NXDomain响应更新DNS黑名单，提升对DNS请求的识别准确性，并为后续的分析和处置提供依据。

公开(公告)号：CN114095225A

公开(公告)日：2022-02-25

申请号：CN202111346994.9

申请日：2021-11-15

Applicant: 中国电信股份有限公司

Inventor： 刘东鑫 ,  秦悦 ,  黄冬梅 ,  史国水 ,  汪来富

IPC: H04L9/40 ,  G06K9/62

Abstract: 本公开涉及安全风险评估方法、装置及存储介质。安全风险评估方法包括：采集包括多个安全域的对象系统的安全告警日志和资产信息，并对采集到的安全告警日志和资产信息进行预处理；将预处理后的安全告警日志和资产信息的文本信息转换成欧式空间向量，基于安全告警日志向量和资产信息向量的余弦相关性进行过滤；基于表示安全域的安全等级的安全标记信息，针对每个安全域分配安全等级权重；以预定时间周期，根据每个安全域的安全告警日志，生成每个安全域的典型特征向量；针对每个安全域，分别根据典型特征向量与预定的多个基准向量来计算夹角余弦相关值；以及将所有安全域的安全等级权重和夹角余弦相关值加权求和，求出安全风险评估结果。

公开(公告)号：CN113660275A

公开(公告)日：2021-11-16

申请号：CN202110950460.0

申请日：2021-08-18

Applicant: 中国电信股份有限公司

Inventor： 秦悦 ,  刘东鑫 ,  黄冬梅 ,  史国水 ,  汪来富

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明涉及网络安全技术领域，提供一种域名系统请求的处理方法、装置、电子设备和存储介质。所述处理方法包括：响应于DNS请求，判断DNS请求是否匹配DNS隧道黑名单或分布式反射拒绝服务DRDoS黑名单；若是，对DNS请求进行限流处理；若否，根据DNS请求查询DNS服务器，获得DNS服务器的响应数据进行返回，并缓存应答状态为域名不存在NXDomain的目标响应数据；根据目标响应数据，更新DNS隧道黑名单和/或DRDoS黑名单。本发明能够根据DNS黑名单快速识别出异常的DNS请求，进行限流处理，降低异常请求对整个网络的不良影响，并可基于NXDomain响应更新DNS黑名单，提升对DNS请求的识别准确性，并为后续的分析和处置提供依据。