公开(公告)号：CN116471057B

公开(公告)日：2024-11-05

申请号：CN202310322844.7

申请日：2023-03-29

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 张兴强 ,  张红军 ,  谭晓亮 ,  戚雨晴 ,  杨春燕 ,  王宇飞

IPC分类号： H04L9/40

摘要： 本发明涉及数据处理技术领域，特别是涉及一种恶意流量解析分析方法。包括：获取网络流量数据和若干已知类型的恶意流量数据；对网络流量数据进行特征解析，并获得基于会话的特征序列；基于会话的特征序列，将网络流量数据与若干已知类型的恶意流量数据进行比对分析，并确定网络流量数据是否为恶意流量数据；当网络流量数据为恶意流量数据中的至少一类时，确定网络流量数据为恶意流量数据，并根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析。本发明通过将获取的网络流量数据和若干已知类型的恶意流量数据进行比对分析，快速的判断了网络流量数据是否为恶意流量数据，提高了响应速度以及判断的准确性。

公开(公告)号：CN116614262B

公开(公告)日：2024-10-25

申请号：CN202310474208.6

申请日：2023-04-27

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 潘中英 ,  戚红建 ,  韩硕 ,  王宇飞 ,  刘誉杰 ,  袁阳 ,  朱梦迪 ,  李宏亮 ,  陈璐 ,  张明涛

IPC分类号： H04L9/40 ,  H04L61/4511

摘要： 本发明涉及网络流量监测技术领域，公开了一种隐蔽网络通道检测方法，包括：建立缓存服务器，监控预设时间段内的DNS流量；基于过滤模型对DNS流量进行黑白域名分析，确定白域名、灰域名和黑域名；阻止黑域名DNS数据，对灰域名DNS数据进行深度分析，判断灰域名DNS数据是否有异常行为，当有异常行为时，阻止有异常行为的灰域名DNS数据；对灰域名DNS数据进行深度分析，判断灰域名DNS数据是否有异常行为，包括：获取灰域名DNS数据的DNS报文；对DNS报文进行分类细化提取各基本特征信息；将各基本特征信息输入隐蔽通道检测模型中，对基本特征信息进行深度分析，确定是否有隐藏信息。本发明解决了隐蔽网络通道检测的效率低，准确率低的问题。

公开(公告)号：CN116319057B

公开(公告)日：2024-10-11

申请号：CN202310386107.3

申请日：2023-04-11

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 韩硕 ,  戚红建 ,  王宇飞 ,  宋成风 ,  刘誉杰 ,  袁阳 ,  潘中英 ,  冷超 ,  李磊 ,  徐衍斐

IPC分类号： H04L9/40

摘要： 本发明涉及互联网技术领域，公开了一种HTTP流量还原方法，包括：获取网络流量中的HTTP网络数据包，并将HTTP网络数据包存储在预设的缓存区中，对HTTP网络数据包进行分割，并提取HTTP网络数据包中的有效字段，根据有效字段获取预设的预警规则，根据预警规则判断是否对HTTP网络数据包进行攻击报警，当判断无需对HTTP网络数据包进行攻击报警时，对HTTP网络数据包进行流量还原，本发明可以识别攻击者的攻击信息，为威胁溯源、恶意域名分析、邮件病毒检测、用户行为分析等多个场景提供可靠的数据支撑，同时既保证了正常的网络效率，又满足了实时数据还原的需求。

公开(公告)号：CN116471066B

公开(公告)日：2024-09-24

申请号：CN202310362224.6

申请日：2023-04-06

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 曲成华 ,  戚红建 ,  王宇飞 ,  韩硕 ,  秦子杨 ,  冷超 ,  李宏亮 ,  张洪卫 ,  徐蕾 ,  薛松

IPC分类号： H04L9/40

摘要： 本发明公开了一种基于流量探针的流量分析方法，涉及流量分析技术领域，包括获取网络拓扑结构图，根据网络拓扑结构图确定流量探针的部署位置和设备资产分数，按照部署位置进行流量探针的部署，根据流量探针的部署位置确定部署成本，获取流量探针使用参数，基于设备资产分数、部署成本和流量探针使用参数建立更新规则以更新流量探针的部署位置；获取流量特征属性并计算对应属性的信息熵，根据历史流量建立异常流量检测规则以检测是否存在异常流量；若存在异常流量，则对该异常流量进行回溯分析以确定产生源头。提高了流量分析的准确性。

公开(公告)号：CN116366346B

公开(公告)日：2024-03-22

申请号：CN202310357682.0

申请日：2023-04-04

申请人： 中国华能集团有限公司北京招标分公司 ,  华能信息技术有限公司

发明人： 任寒 ,  申大伟 ,  王志翔 ,  马勇 ,  齐峰 ,  严明 ,  薛晓彬 ,  王福晶 ,  曲成华 ,  王宇飞

IPC分类号： H04L9/40 ,  H04L61/4511

摘要： 本申请涉及网络流量分析技术领域，特别是涉及一种DNS流量还原方法。包括：获取DNS协议的流量数据，根据流量数据生成流量文件；根据流量文件获取DNS数据包头部字段信息，根据DNS数据包头部字段信息判断流量文件的格式有效性；若流量文件为格式有效文件，则获取流量文件的DNS数据包，并对DNS数据包进行还原处理；根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令。通过预设标准DNS数据头部格式和DNS数据标准格式检测模型，对实时的DNS数据包进行解析，检测到不满足正常数据包特征时，标记为异常包并停止解析，以减少后续多余的解析运算的时间代价，提高数据处理效率。

公开(公告)号：CN117278247A

公开(公告)日：2023-12-22

申请号：CN202310982671.1

申请日：2023-08-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 王宇飞 ,  戚红建 ,  韩硕 ,  潘中英 ,  张涛 ,  胡静 ,  罗贤锋 ,  陈躬仁 ,  轩晓荷 ,  郭涛

IPC分类号： H04L9/40 ,  H04L61/4511 ,  H04L41/142

摘要： 本发明公开了一种具有风险的主机检测方法，其包括：提取不同主机中的域名请求名单和域名对应的行为集合；分别对所有的域名请求名单中的域名和行为集合中的域名对应的行为进行检测，分别检测出域名请求名单中的恶意域名和行为集合中的恶意行为；根据恶意域名和恶意行为进行分析和综合计算，确定出主机的风险度值，并根据主机的风险度值对主机的风险情况进行排名统计。本发明根据主机中的域名和域名对应的行为来检测主机是否具有风险，综合多维度检测主机的风险情况，精确的检测出主机的风险情况，并且还能根据主机的风险度值对主机的风险情况进行统计，实现主机风险度值的排名，风险越高的排名靠前，从而帮助客户集中精力去防范具有高风险主机。

公开(公告)号：CN116578534A

公开(公告)日：2023-08-11

申请号：CN202310385045.4

申请日：2023-04-11

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 韩硕 ,  戚红建 ,  王宇飞 ,  徐蕾 ,  秦绪帅 ,  朱梦迪 ,  袁阳 ,  潘中英 ,  李亚楠 ,  师凤瑞

IPC分类号： G06F16/16 ,  G06F16/18 ,  G06N5/025 ,  G06F17/18

摘要： 本申请公开了一种日志报文数据格式识别方法及系统，涉及日志报文格式识别技术领域，公开了5个步骤，步骤1对日志报文解析规则的统计分析，基于其能解析的日志报文格式的特征，匹配第一标识信息，在步骤2中确定第一标识信息相对所述解析规则调用库的映射关系，步骤3基于过往的日志报文的接收过程中的特征，生成第一调用信息，结合日志报文需求进行联合分析，得到解析规则判断模型，步骤4基于解析规则判断模型生成初始解析规则策略，通过对初始解析规则策略中日志报文解析规则对应的第一标识信息进行需求满足能力评估，根据评估结果，对存在同时运行的日志解析规则进行资源分配，进而避免了日志报文的解析拥塞，提升系统对日志报文解析的效能。

公开(公告)号：CN116455620A

公开(公告)日：2023-07-18

申请号：CN202310342943.1

申请日：2023-03-31

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 范伟宁 ,  戚红建 ,  韩硕 ,  王宇飞 ,  徐蕾 ,  宋成风 ,  张强 ,  秦绪帅 ,  李亚楠 ,  师凤瑞

IPC分类号： H04L9/40 ,  H04L61/4511

摘要： 本发明公开了一种恶意域名访问分析及确定方法，其包括：收集恶意域名和恶意行为，建立恶意域名黑名单和恶意行为模型库；提取流量数据包内的DNS流量数据包；对DNS流量数据包进行解析得到域名记录集；根据恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果，并根据恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果；根据域名分析结果和访问行为分析结果综合判断确定域名记录集中的恶意域名，并进行警告。本发明通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名，提高恶意域名确认的精确度，避免恶意域名逃脱检测，并且对恶意域名进行警告标识，保证恶意域名能够及时被发现。

公开(公告)号：CN116527327B

公开(公告)日：2024-08-16

申请号：CN202310385051.X

申请日：2023-04-11

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 王宇飞 ,  戚红建 ,  韩硕 ,  邓旭楠 ,  袁阳 ,  秦子杨 ,  徐蕾 ,  李伟 ,  陈璐 ,  张明涛

IPC分类号： H04L9/40 ,  H04L51/42 ,  H04L51/212 ,  H04L41/06

摘要： 本申请涉及网络流量分析技术领域，特别是涉及一种SMTP流量还原方法，包括：捕获目标主机的原始数据包，将原始数据包发送至过滤模块；判断原始数据包是否为SMTP数据；若原始数据包为SMTP数据，生成待还原数据包，解析待还原数据包生成解析结果；根据解析结果生成告警指令，并根据解析结果生成储存数据包。通过预设文件后缀，对目标主机内的SMTP流量数据包进行标记，解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析，并根据解析结果及时进行邮件病毒检测，垃圾邮件筛选和检测，有效阻止垃圾邮件的泛滥。

公开(公告)号：CN117134950B

公开(公告)日：2024-08-02

申请号：CN202310982685.3

申请日：2023-08-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 戚红建 ,  王宇飞 ,  韩硕 ,  潘中英 ,  张涛 ,  胡静 ,  罗贤锋 ,  吴大明 ,  袁翊国 ,  章鹏

IPC分类号： H04L9/40 ,  H04L9/32

摘要： 本申请公开的一种基于协议状态的安全分析方法及系统，涉及协议安全防护技术领域，方法包括：建立节点遍历表，根据协议触发顺序规则对节点遍历表进行扫描分析，确定协议栈的第一安全性评价因子，并基于协议正常应用规则，确定每一协议的第二安全性评价因子，并基于第一安全性因子确定第二安全性因子的可信任度，并基于可信任度对第二安全性因子进行修正，根据修正后的第二安全性因子确定协议的安全状态，实现了对协议的状态进行分析，就可以准确的确定协议的安全性。