公开(公告)号：CN108494746B

公开(公告)日：2020-08-25

申请号：CN201810187959.9

申请日：2018-03-07

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  涂波 ,  刘丙双 ,  戴帅夫 ,  张建宇 ,  李少华 ,  闻博 ,  梅锋 ,  李莉 ,  蒋志鹏 ,  周模 ,  冯婷婷 ,  尚秋里 ,  张洛什 ,  李传海 ,  方喆君 ,  孙中豪

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种网络端口流量异常检测方法及系统。本方法为：1)对目标数据平台中的通联会话日志流量进行读取并按照源端口号、目的端口号分组汇总，然后统计每个端口的流量指标数据，构成对应端口的流量序列；2)根据每一端口的流量序列，构成该端口的输入向量，输入LSTM网络得到该端口时刻t的流量预测值；将该端口时刻t的流量预测值与观测值进行对比；如果二者偏差大于设定条件，则确定该端口的流量异常；3)根据该端口的近期全部流量日志和预设规则对该端口的流量异常进行定性，判断出该端口的流量异常事件；如果无法判断，则将提取的流量日志输入训练好的机器学习模型对该端口的流量异常进行分类，识别出该端口的流量异常事件。

公开(公告)号：CN108712365A

公开(公告)日：2018-10-26

申请号：CN201810251701.0

申请日：2018-03-26

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  刘丙双 ,  涂波 ,  张洛什 ,  尚秋里 ,  苗权 ,  康春建 ,  刘鑫沛 ,  李传海 ,  戴帅夫 ,  张建宇

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1458

Abstract: 本发明提供一种基于流量日志的DDoS攻击事件检测方法，步骤包括：确定统计周期，在每个统计周期读取海量网络流量日志，统计所有被关注的IP在各统计周期内接收到的网络流量值；将单个统计周期内接收到的流量超过一阈值T1的IP及其对应的流量值存储为流量记录；筛选出当前统计周期内接收到的当前流量超过一阈值T2的IP集合；针对所述IP集合中的每个IP，从所述流量记录中读取其历史流量值，如果有IP的历史流量值不存在或者小于其当前流量值的R倍，则判定该IP遭受DDoS攻击。本发明还提供一种基于流量日志的DDoS攻击事件检测系统。

公开(公告)号：CN108629792A

公开(公告)日：2018-10-09

申请号：CN201810246212.6

申请日：2018-03-23

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 涂波 ,  刘越颖 ,  刘丙双 ,  羊晋 ,  尚秋里 ,  李明哲 ,  张洛什 ,  苗权 ,  康春建 ,  刘鑫沛 ,  李传海 ,  戴帅夫 ,  张建宇

IPC: G06T7/254 ,  G06T7/246

Abstract: 本发明涉及一种基于背景建模与背景差分的激光目标检测方法和装置。该方法包括以下步骤：1)利用混合高斯背景建模方法和卡尔曼滤波方法，对视频帧序列以及差分反馈信号进行背景建模，得到背景图像；2)将当前视频帧与所述背景图像相减，得到差分图像；3)对所述差分图像进行滤波、去噪等处理以提高信噪比；4)通过光斑定位算法检测所述差分图像中背景干扰下的激光光斑，实现激光目标检测。本发明利用背景的参数模型来近似背景图像的像素值，将当前帧与背景图像进行差分，实现对运动区域的检测，结合高斯分布以及卡尔曼滤波的背景建模能够很好的模拟实时背景的变化，能够有效地抑制背景噪声干扰，实现对激光信号的捕获。

公开(公告)号：CN108429747A

公开(公告)日：2018-08-21

申请号：CN201810189206.1

申请日：2018-03-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 方喆君 ,  何跃鹰 ,  卓子寒 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  刘中金 ,  孙中豪 ,  鲁骁 ,  刘岗 ,  阙为涛 ,  肖成民 ,  王虹 ,  安潇羽 ,  智红莉

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明公开了一种大规模Web服务器信息采集方法基本构成可以分为核心数据库、Web服务器发现模块、Web服务器指纹识别模块三部分，本发明一种大规模Web服务器信息采集方法，通过Web服务器分布情况及指纹库，可以通过探测网络空间中的I P地址，获取Web服务器的分布情况，获取Web容器、Web服务器语言、Web开发框架、Web应用、Web前段框架等指纹信息，能够形成指纹库，可以通过Web服务器分布情况及指纹库，快速对一个新站点进行建站框架判定以及脆弱性分析，能够根据漏洞威胁对象确定受影响Web服务器的数量及分布范围，从而可以对网络空间Web服务器整体安全性进行评估和预警。

公开(公告)号：CN109508471B

公开(公告)日：2024-04-12

申请号：CN201811110142.8

申请日：2018-09-21

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  黄亮 ,  魏斌 ,  孟繁瑞 ,  王博 ,  孙立远 ,  徐晓燕 ,  张良 ,  郑礼雄 ,  刘伟 ,  党向磊 ,  方喆君 ,  孙中豪

IPC: G06F30/18

Abstract: 本发明公开了一种运动轨迹补全方法，该方法包括：获取两个相邻轨迹点记录之间的至少两条路径；基于两个相邻轨迹点记录的运动时长利用假设检验从至少两条路径中筛选出补全运动轨迹，补全运动轨迹能够通过假设检验，假设检验的至少部分参数是利用路径对应的相关运动记录得到的。本发明还公开了一种运动轨迹补全装置、可读存储介质。通过上述方式，本发明能够补全运动轨迹缺失的部分。

公开(公告)号：CN115186136A

公开(公告)日：2022-10-14

申请号：CN202210492718.1

申请日：2022-05-07

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  吕宁 ,  黄亮 ,  于晶 ,  侯雄斌 ,  侯爽 ,  李婷 ,  葛旭东 ,  任雪纯

IPC: G06F16/901 ,  G06F8/20 ,  H04L9/40

Abstract: 本发明公开了一种用于网络攻防对抗的知识图谱结构，所述知识图谱结构包括：模式层，所述模式层内包括初级图谱的类信息，所述类信息包括多个业务域，所述业务域包括通用域、资产域、威胁域、活动域、观察域、定位域、决策域和行动域；实体层，所述实体层内包括所述初级图谱的实体信息，所述类信息为各所述实体对应的标签，任一所述实体可划分为多个所述业务域；资料层，所述资料层内包括所述初级图谱的数据项信息。本发明将OODA循环的主要业务需求纳入知识图谱结构中，使得网络知识图谱适用于攻防对抗领域。

公开(公告)号：CN112738040A

公开(公告)日：2021-04-30

申请号：CN202011507913.4

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  徐剑 ,  郭晶 ,  周昊 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06

Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置，该方法包括：获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销，以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，可对不断涌现的新威胁类型和威胁迹象进行检测，综合了机器诊断和专家诊断意见，提高检测的覆盖范围，以便能够发现网络中的各种安全威胁。

公开(公告)号：CN110555081A

公开(公告)日：2019-12-10

申请号：CN201910314444.5

申请日：2019-04-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘伟 ,  陈训逊 ,  郑礼雄 ,  张良 ,  黄亮 ,  党向磊 ,  李明哲

IPC: G06F16/28 ,  G06Q50/00

Abstract: 本申请公开了一种社交互动的用户分类方法、装置、电子设备及介质。其中，本申请中，在获取第一用户组中，各用户的互动对象信息，并在当检测到存在相同的互动对象信息时，根据各互动对象信息的信誉度评级，筛选相同的互动对象，生成第一对象组。再基于第一对象组，生成第二用户组后，建立第二用户组中，各用户的对应关系，以将各对应关系添加至用户数据表。通过应用本申请的技术方案，可以通过预先收集的各用户的对参与互动内容信息的信誉度评级，获取同一互动对象以及同一评级下的多个用户信息，并建立该各用户信息的对应关系。进而可以在后续检测到互动对象生成数据信息时，根据该互动对象对应的用户关系，将其推送至对应的用户。

公开(公告)号：CN110532460A

公开(公告)日：2019-12-03

申请号：CN201910314482.0

申请日：2019-04-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘伟 ,  陈训逊 ,  郑礼雄 ,  黄亮 ,  张良 ,  党向磊 ,  李明哲

IPC: G06F16/9535 ,  G06F16/958

Abstract: 本申请公开了一种网络访问用户的分类方法、装置、电子设备及介质。其中，本申请中，在获取各用户的访问参数信息，并建立各用户参数信息与主题参数信息的对应关系后，生成对应的用户分类表，在根据各主题参数信息的信誉度评级，在同一类别的用户中进行聚类，得到包含多个分组的用户分组表。通过应用本申请的技术方案，可以通过预先收集的各用户的访问信息，获取每种主题类别以及信誉度评级的数据信息对应的用户参数信息，从而更精准的对网络访问用户进行分类。

公开(公告)号：CN110191103A

公开(公告)日：2019-08-30

申请号：CN201910387482.3

申请日：2019-05-10

Applicant: 长安通信科技有限责任公司 ,  国家计算机网络与信息安全管理中心

Inventor： 羊晋 ,  涂波 ,  刘丙双 ,  李明哲 ,  尚秋里 ,  张洛什 ,  刘越颖 ,  苗权 ,  康春建 ,  刘鑫沛 ,  李传海 ,  摆亮 ,  戴帅夫 ,  张建宇

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种DGA域名检测方法，包括以下步骤：建立域名白名单数据与DGA域名黑名单数据，基于LSTM对上述域名白名单数据与DGA域名黑名单数据进行训练并构建LSTM模型；利用域名白名单数据与DGA域名黑名单数据，计算域名特征，训练RF/GBDT模型；基于被动域名日志收集每日被动域名解析记录，定义没有对应解析IP的域名为NX域名，利用上述RF/GBDT模型分类出非DGA域名；利用LSTM模型对上述非DGA域名进行DGA预测，根据设定的DGA域名判断阈值，检出疑似DGA域名；对上述疑似DGA域名进一步筛查，找出DGA域名。