公开(公告)号：CN115333766B

公开(公告)日：2024-11-19

申请号：CN202210730414.4

申请日：2022-06-24

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  郭娴 ,  汪礼俊 ,  杨杰 ,  刚占慧 ,  张晓帆 ,  杨安 ,  杨佳宁 ,  樊佳讯 ,  陈柯宇 ,  鞠远 ,  黄丹

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种基于行为场景的DGA域名检测系统及方法，检测系统包括数据采集和解析模块、DGA请求行为检测模块、DGA请求过程行为监测模块、DGA请求结果行为监测模块、关联设备行为监测模块和行为关联分析引擎；数据采集和解析模块用于采集网络流量日志和DNS日志，并对采集到的日志进行解析；DGA请求行为检测模块用于对日志解析得到的域名进行检测，以确定DGA恶意域名；行为关联分析引擎用于根据DGA请求过程行为监测模块的研判结果和DGA请求结果行为监测模块的研判结果进行综合研判，以根据研判结果产生DGA告警。本申请能够减少误报率，有效降低安全分析人员人工分析的工作量，提高分析效率。

公开(公告)号：CN115408202A

公开(公告)日：2022-11-29

申请号：CN202211008390.8

申请日：2022-08-22

Applicant: 国家工业信息安全发展研究中心

Inventor： 汪礼俊 ,  郝志强 ,  郭娴 ,  陈柯宇 ,  张晓帆 ,  杨佳宁 ,  刚占慧 ,  杨安 ,  杨杰 ,  樊佳讯 ,  鞠远 ,  黄丹

IPC: G06F11/14 ,  G06F8/61 ,  G06F9/455

Abstract: 本发明公开了一种基于容器技术的自动拷贝应用方法，包括以下步骤：获取操作系统镜像和待拷贝应用程序；通过OS模块查询是否存在存储空间，如存在则不做任何操作，如不存在则对所述存储空间进行创建；运行所述操作系统镜像并挂载所述存储空间；通过DockerSDK用CP的方式将所述待拷贝应用程序拷贝到所述存储空间下；本发明能够通过代码加拷贝方案解决目前寻找制作漏洞镜像困难的问题，从而节省相关人员大量的时间。

公开(公告)号：CN115333765A

公开(公告)日：2022-11-11

申请号：CN202210729490.3

申请日：2022-06-24

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  汪礼俊 ,  刚占慧 ,  樊佳讯 ,  张晓帆 ,  杨安 ,  杨佳宁 ,  郭娴 ,  杨杰 ,  陈柯宇 ,  鞠远 ,  黄丹

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种网络流量筛选方法及系统，筛选方法包括：获取网络上需要分析的流量并解析，得到DNS协议；对DNS协议进行解析，得到所请求的域名、域名服务器IP地址和所请求域名对应返回的IP地址列表；如果经查询所请求的域名在域名白名单中，则在IP地址白名单中查询返回的IP地址列表中的IP地址；如果该IP地址不在IP地址白名单中，则将其更新至当前的IP地址白名单中；如果经查询域名服务器IP地址不在域名服务器列表中，则利用域名白名单向域名服务器发起域名查询，并利用获取的IP地址更新当前的IP地址白名单；利用更新后的IP地址白名单对需要分析的流量进行筛选。本申请能够显著提高正常流量的过滤效率。

公开(公告)号：CN115408102A

公开(公告)日：2022-11-29

申请号：CN202211009041.8

申请日：2022-08-22

Applicant: 国家工业信息安全发展研究中心

Inventor： 汪礼俊 ,  郭娴 ,  张晓帆 ,  杨安 ,  杨杰 ,  杨佳宁 ,  郝志强 ,  刚占慧 ,  陈柯宇 ,  樊佳讯 ,  鞠远 ,  黄丹

IPC: G06F9/455 ,  G06F8/61 ,  G06F9/445

Abstract: 本发明公开了一种自动化生成镜像环境的方法，包括以下步骤：S1、构建基镜像，下载linux系统镜像或构建Windows系统镜像；S2、系统镜像构建完成后，基于各种基镜像或者系统镜像来制作新的镜像环境；S3、根据步骤S2搭建出的镜像环境，自动上传到搭建好的docker仓库或开源仓库中。

公开(公告)号：CN115333766A

公开(公告)日：2022-11-11

申请号：CN202210730414.4

申请日：2022-06-24

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  郭娴 ,  汪礼俊 ,  杨杰 ,  刚占慧 ,  张晓帆 ,  杨安 ,  杨佳宁 ,  樊佳讯 ,  陈柯宇 ,  鞠远 ,  黄丹

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种基于行为场景的DGA域名检测系统及方法，检测系统包括数据采集和解析模块、DGA请求行为检测模块、DGA请求过程行为监测模块、DGA请求结果行为监测模块、关联设备行为监测模块和行为关联分析引擎；数据采集和解析模块用于采集网络流量日志和DNS日志，并对采集到的日志进行解析；DGA请求行为检测模块用于对日志解析得到的域名进行检测，以确定DGA恶意域名；行为关联分析引擎用于根据DGA请求过程行为监测模块的研判结果和DGA请求结果行为监测模块的研判结果进行综合研判，以根据研判结果产生DGA告警。本申请能够减少误报率，有效降低安全分析人员人工分析的工作量，提高分析效率。

公开(公告)号：CN115622760A

公开(公告)日：2023-01-17

申请号：CN202211212317.2

申请日：2022-09-30

Applicant: 国家工业信息安全发展研究中心

Inventor： 郭娴 ,  郝志强 ,  杨佳宁 ,  刚占慧 ,  樊佳讯 ,  汪礼俊 ,  黄丹 ,  鞠远 ,  杨安 ,  陈柯宇 ,  张晓帆 ,  杨杰

IPC: H04L9/40

Abstract: 本发明涉及网络安全相关领域，具体为一种可定义的工控蜜罐系统及其运行方法，本发明通过设置在原有的蜜罐系统上设置配置界面模块、规约库模块和指纹库模块，由用户自由选择配置需要伪装的特定设备，提升了增强高级威胁防御能力，在此基础蜜罐系统根据配置需求，从指纹库中调取详细的指纹信息，并从规约库选择对应的规约，将两者的内容结合启动相应的规约程序，仿真真实设备诱骗攻击，让蜜罐具备足够的诱惑性，提高诱导攻击的成功率，保护用户真实资产，再通过设置数据分析中心模块，事后根据对攻击过程的分析，发现网络薄弱环节，针对性的对网络加固升级，大幅提升发现威胁，有效追踪溯源，并对攻击者实施反向控制，掌握防御主动权。

公开(公告)号：CN115622759A

公开(公告)日：2023-01-17

申请号：CN202211212305.X

申请日：2022-09-30

Applicant: 国家工业信息安全发展研究中心

Inventor： 郝志强 ,  郭娴 ,  汪礼俊 ,  陈柯宇 ,  杨杰 ,  张晓帆 ,  黄丹 ,  杨安 ,  鞠远 ,  刚占慧 ,  杨佳宁 ,  樊佳讯

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术相关领域，具体为一种异构环境下分布式蜜罐管理系统及其实现方法，本发明在蜜罐管理系统单元中设置自适应插件，使蜜罐管理系统单元能够自适应各分布节点的蜜罐诱捕系统单元的不同架构，实现不同的自适应插件进行管理，完成威胁数据的汇总和关联分析，更加全面的掌握网络的威胁情况，更加准确的进行追踪和溯源。