公开(公告)号：CN114826670A

公开(公告)日：2022-07-29

申请号：CN202210295069.6

申请日：2022-03-23

申请人： 国家计算机网络与信息安全管理中心

发明人： 徐剑 ,  严寒冰 ,  韩志辉 ,  贺铮 ,  张榜 ,  严定宇 ,  刘玲

IPC分类号： H04L9/40 ,  H04L67/02 ,  H04L67/06

摘要： 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

公开(公告)号：CN112822153A

公开(公告)日：2021-05-18

申请号：CN202011500912.7

申请日：2020-12-18

申请人： 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

发明人： 周昊 ,  李明哲 ,  徐剑 ,  郭晶 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC分类号： H04L29/06 ,  G06F16/9535

摘要： 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统，该方法包括：从DNS日志数据中抽取统计特征，获得特征数据；可疑域名发现，调用异常检测模型对所述特征数据进行处理，获得可疑域名；异常IP发现，对所述特征数据进行统计研判，发现异常请求IP、异常服务IP和异常解析IP。该系统包括：统计特征抽取单元，可疑域名发现单元，异常IP发现单元。本发明以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，启用多个具有不同资源特点的运算环境，并集中管理不同类型的模型插件，能够适应资源条件的变化，以便能够发现网络中的安全威胁。

公开(公告)号：CN112769755A

公开(公告)日：2021-05-07

申请号：CN202011507902.6

申请日：2020-12-18

申请人： 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

发明人： 严寒冰 ,  李明哲 ,  周昊 ,  徐剑 ,  郭晶 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC分类号： H04L29/06 ,  H04L29/12 ,  G06F16/242 ,  G06F16/2455

摘要： 本发明公开了一种面向威胁检测的DNS日志统计特征抽取方法，该方法包括：对DNS日志数据中若干特征字段的联合取值执行分组聚合统计，形成多级特征数据，得到DNS日志统计特征。采用本发明的方法能够解决对大量DNS日志进行处理需要消耗大量计算资源，甚至面对海量的DNS日志数据，对其进行处理并发现安全威胁，进行威胁预警不可行的问题，对海量DNS日志数据层层切片方式逐步降低分析挖掘的资源开销，让整个威胁发现过程具有可行性。

公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

申请人： 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

发明人： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC分类号： H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

摘要： 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

公开(公告)号：CN115333768B

公开(公告)日：2024-06-04

申请号：CN202210759105.X

申请日：2022-06-29

申请人： 国家计算机网络与信息安全管理中心

发明人： 吕志泉 ,  王宏宇 ,  贺铮 ,  韩志辉 ,  严寒冰 ,  周昊 ,  刘玲 ,  严定宇 ,  高川 ,  秦佳伟 ,  石桂欣

IPC分类号： H04L9/40 ,  H04L41/0604 ,  H04L41/0631 ,  G06F18/22 ,  G06F16/901 ,  G06F40/284 ,  G06F40/30

摘要： 本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质，涉及网络安全技术、人工智能、大数据领域，其中方法包括：对海量网络攻击数据进行自动化特征抽取，根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判，通过人工研判结果对数据进行标注，利用标注后的数据与剩余网络攻击数据进行相似性计算，对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选，直至全部标注完毕。此方法，通过研判人员能力的约束结合算法的泛化能力，使得有价值的网络攻击可以优先被研判，相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量，整体提升研判效率。

公开(公告)号：CN117675290A

公开(公告)日：2024-03-08

申请号：CN202311524841.8

申请日：2023-11-15

申请人： 国家计算机网络与信息安全管理中心

发明人： 吕志泉 ,  胡俊 ,  张榜 ,  严寒冰 ,  韩志辉 ,  王宏宇 ,  严定宇 ,  贺铮

IPC分类号： H04L9/40 ,  H04L45/02

摘要： 本发明是有关于一种路由异常检测和处置方法，首先根据实时的路由快照和路由更新报文信息，在内存构建实时的全球路由前缀可达信息视图；然后，提取实时的路由前缀归属信息、路由传输路径三元组关系信息以及路由前缀可见性信息，再根据路由异常的特征快速检测路由异常事件。其处置方法是首先对路由事件进行定级和影响评估；然后确定事件源头和确定涉事组织机构；最后针对不同的路由异常事件类型制定不同的应急处置模版，下发到涉事组织机构，进行协同处置。本发明解决了严重影响网络和服务的性能，对行业应用造成巨大经济损失，对网络运营产生重大影响的问题，使其可以快速检测路由异常事件并进行处置，提高网络运营商路由异常事件处置能力。

公开(公告)号：CN117081866B

公开(公告)日：2024-01-23

申请号：CN202311340776.3

申请日：2023-10-17

申请人： 国家计算机网络与信息安全管理中心

发明人： 严定宇 ,  秦佳伟 ,  贺铮 ,  陆希玉 ,  金忠峰 ,  吴陈浩 ,  丁关雄 ,  秦志鹏 ,  曹岳 ,  靳晓辉

IPC分类号： H04L9/40

摘要： 本申请提供一种基于网络的病毒防护方法、装置、存储介质和电子设备；该方法包括：令每个节点按照预设的网络拓扑构建表示网络中各个节点之间是否邻接的邻接矩阵；令每个节点获取清除概率，利用清除概率构建该节点处于各个预设状态下的概率的变化量；令每个节点获取单节点感染概率，利用邻接矩阵的特征值和单节点感染概率构建稳态指标，并利用稳态指标判断变化量是否达到零点稳态；响应于确定变化量未达到零点稳态，令该节点将每个邻接节点的受控态概率之和确定为邻居影响值，并利用清除概率和单节点感染概率构建影响门限值，令该节点比对邻居影响值与影响门限值，并按照比对结果执行预设的防护选择策略。

公开(公告)号：CN117081866A

公开(公告)日：2023-11-17

申请号：CN202311340776.3

申请日：2023-10-17

申请人： 国家计算机网络与信息安全管理中心

发明人： 严定宇 ,  秦佳伟 ,  贺铮 ,  陆希玉 ,  金忠峰 ,  吴陈浩 ,  丁关雄 ,  秦志鹏 ,  曹岳 ,  靳晓辉

IPC分类号： H04L9/40

摘要： 本申请提供一种基于网络的病毒防护方法、装置、存储介质和电子设备；该方法包括：令每个节点按照预设的网络拓扑构建表示网络中各个节点之间是否邻接的邻接矩阵；令每个节点获取清除概率，利用清除概率构建该节点处于各个预设状态下的概率的变化量；令每个节点获取单节点感染概率，利用邻接矩阵的特征值和单节点感染概率构建稳态指标，并利用稳态指标判断变化量是否达到零点稳态；响应于确定变化量未达到零点稳态，令该节点将每个邻接节点的受控态概率之和确定为邻居影响值，并利用清除概率和单节点感染概率构建影响门限值，令该节点比对邻居影响值与影响门限值，并按照比对结果执行预设的防护选择策略。

公开(公告)号：CN113242157B

公开(公告)日：2022-12-09

申请号：CN202110500263.9

申请日：2021-05-08

申请人： 国家计算机网络与信息安全管理中心

发明人： 周昊 ,  高川 ,  肖崇蕙 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  徐剑 ,  郭晶 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  贾世琳 ,  吕卓航 ,  贺铮

IPC分类号： H04L43/04 ,  H04L43/06

摘要： 本发明提出了一种分布式处理环境下的集中式数据质量监测方法，本申请涉及一种数据质量监测方法，尤其涉及一种分布式处理环境下的集中式数据质量监测方法，属于数据分析技术领域。根据实际监测需要配置待监测的数据灵活配置监测规则，对待监测数据进行监测，数据质量监测服务获取待监测数据后，把待监测数据集进行分块，让多个计算节点对分布式内存上的数据同时根据配置并行计算，然后将对多个计算节点上的计算结果进行汇总后生成监测结果，生成数据质量监测报告，从而辅助运维人员快速发现数据质量问题进而跟踪解决，以此提升实时数据中心平台的数据质量；解决了现有技术中存在的数据质量监测方法配置不灵活且不利于管理的技术问题。

公开(公告)号：CN115333768A

公开(公告)日：2022-11-11

申请号：CN202210759105.X

申请日：2022-06-29

申请人： 国家计算机网络与信息安全管理中心

发明人： 吕志泉 ,  王宏宇 ,  贺铮 ,  韩志辉 ,  严寒冰 ,  周昊 ,  刘玲 ,  严定宇 ,  高川 ,  秦佳伟 ,  石桂欣

IPC分类号： H04L9/40 ,  H04L41/0604 ,  H04L41/0631 ,  G06K9/62 ,  G06F16/901 ,  G06F40/284 ,  G06F40/30

摘要： 本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质，涉及网络安全技术、人工智能、大数据领域，其中方法包括：对海量网络攻击数据进行自动化特征抽取，根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判，通过人工研判结果对数据进行标注，利用标注后的数据与剩余网络攻击数据进行相似性计算，对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选，直至全部标注完毕。此方法，通过研判人员能力的约束结合算法的泛化能力，使得有价值的网络攻击可以优先被研判，相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量，整体提升研判效率。