公开(公告)号：CN116614262B

公开(公告)日：2024-10-25

申请号：CN202310474208.6

申请日：2023-04-27

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 潘中英 ,  戚红建 ,  韩硕 ,  王宇飞 ,  刘誉杰 ,  袁阳 ,  朱梦迪 ,  李宏亮 ,  陈璐 ,  张明涛

IPC分类号： H04L9/40 ,  H04L61/4511

摘要： 本发明涉及网络流量监测技术领域，公开了一种隐蔽网络通道检测方法，包括：建立缓存服务器，监控预设时间段内的DNS流量；基于过滤模型对DNS流量进行黑白域名分析，确定白域名、灰域名和黑域名；阻止黑域名DNS数据，对灰域名DNS数据进行深度分析，判断灰域名DNS数据是否有异常行为，当有异常行为时，阻止有异常行为的灰域名DNS数据；对灰域名DNS数据进行深度分析，判断灰域名DNS数据是否有异常行为，包括：获取灰域名DNS数据的DNS报文；对DNS报文进行分类细化提取各基本特征信息；将各基本特征信息输入隐蔽通道检测模型中，对基本特征信息进行深度分析，确定是否有隐藏信息。本发明解决了隐蔽网络通道检测的效率低，准确率低的问题。

公开(公告)号：CN116319057B

公开(公告)日：2024-10-11

申请号：CN202310386107.3

申请日：2023-04-11

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 韩硕 ,  戚红建 ,  王宇飞 ,  宋成风 ,  刘誉杰 ,  袁阳 ,  潘中英 ,  冷超 ,  李磊 ,  徐衍斐

IPC分类号： H04L9/40

摘要： 本发明涉及互联网技术领域，公开了一种HTTP流量还原方法，包括：获取网络流量中的HTTP网络数据包，并将HTTP网络数据包存储在预设的缓存区中，对HTTP网络数据包进行分割，并提取HTTP网络数据包中的有效字段，根据有效字段获取预设的预警规则，根据预警规则判断是否对HTTP网络数据包进行攻击报警，当判断无需对HTTP网络数据包进行攻击报警时，对HTTP网络数据包进行流量还原，本发明可以识别攻击者的攻击信息，为威胁溯源、恶意域名分析、邮件病毒检测、用户行为分析等多个场景提供可靠的数据支撑，同时既保证了正常的网络效率，又满足了实时数据还原的需求。

公开(公告)号：CN117278247A

公开(公告)日：2023-12-22

申请号：CN202310982671.1

申请日：2023-08-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 王宇飞 ,  戚红建 ,  韩硕 ,  潘中英 ,  张涛 ,  胡静 ,  罗贤锋 ,  陈躬仁 ,  轩晓荷 ,  郭涛

IPC分类号： H04L9/40 ,  H04L61/4511 ,  H04L41/142

摘要： 本发明公开了一种具有风险的主机检测方法，其包括：提取不同主机中的域名请求名单和域名对应的行为集合；分别对所有的域名请求名单中的域名和行为集合中的域名对应的行为进行检测，分别检测出域名请求名单中的恶意域名和行为集合中的恶意行为；根据恶意域名和恶意行为进行分析和综合计算，确定出主机的风险度值，并根据主机的风险度值对主机的风险情况进行排名统计。本发明根据主机中的域名和域名对应的行为来检测主机是否具有风险，综合多维度检测主机的风险情况，精确的检测出主机的风险情况，并且还能根据主机的风险度值对主机的风险情况进行统计，实现主机风险度值的排名，风险越高的排名靠前，从而帮助客户集中精力去防范具有高风险主机。

公开(公告)号：CN116578534A

公开(公告)日：2023-08-11

申请号：CN202310385045.4

申请日：2023-04-11

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 韩硕 ,  戚红建 ,  王宇飞 ,  徐蕾 ,  秦绪帅 ,  朱梦迪 ,  袁阳 ,  潘中英 ,  李亚楠 ,  师凤瑞

IPC分类号： G06F16/16 ,  G06F16/18 ,  G06N5/025 ,  G06F17/18

摘要： 本申请公开了一种日志报文数据格式识别方法及系统，涉及日志报文格式识别技术领域，公开了5个步骤，步骤1对日志报文解析规则的统计分析，基于其能解析的日志报文格式的特征，匹配第一标识信息，在步骤2中确定第一标识信息相对所述解析规则调用库的映射关系，步骤3基于过往的日志报文的接收过程中的特征，生成第一调用信息，结合日志报文需求进行联合分析，得到解析规则判断模型，步骤4基于解析规则判断模型生成初始解析规则策略，通过对初始解析规则策略中日志报文解析规则对应的第一标识信息进行需求满足能力评估，根据评估结果，对存在同时运行的日志解析规则进行资源分配，进而避免了日志报文的解析拥塞，提升系统对日志报文解析的效能。

公开(公告)号：CN117134950B

公开(公告)日：2024-08-02

申请号：CN202310982685.3

申请日：2023-08-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 戚红建 ,  王宇飞 ,  韩硕 ,  潘中英 ,  张涛 ,  胡静 ,  罗贤锋 ,  吴大明 ,  袁翊国 ,  章鹏

IPC分类号： H04L9/40 ,  H04L9/32

摘要： 本申请公开的一种基于协议状态的安全分析方法及系统，涉及协议安全防护技术领域，方法包括：建立节点遍历表，根据协议触发顺序规则对节点遍历表进行扫描分析，确定协议栈的第一安全性评价因子，并基于协议正常应用规则，确定每一协议的第二安全性评价因子，并基于第一安全性因子确定第二安全性因子的可信任度，并基于可信任度对第二安全性因子进行修正，根据修正后的第二安全性因子确定协议的安全状态，实现了对协议的状态进行分析，就可以准确的确定协议的安全性。

公开(公告)号：CN117134950A

公开(公告)日：2023-11-28

申请号：CN202310982685.3

申请日：2023-08-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 戚红建 ,  王宇飞 ,  韩硕 ,  潘中英 ,  张涛 ,  胡静 ,  罗贤锋 ,  吴大明 ,  袁翊国 ,  章鹏

IPC分类号： H04L9/40 ,  H04L9/32

摘要： 本申请公开的一种基于协议状态的安全分析方法及系统，涉及协议安全防护技术领域，方法包括：建立节点遍历表，根据协议触发顺序规则对节点遍历表进行扫描分析，确定协议栈的第一安全性评价因子，并基于协议正常应用规则，确定每一协议的第二安全性评价因子，并基于第一安全性因子确定第二安全性因子的可信任度，并基于可信任度对第二安全性因子进行修正，根据修正后的第二安全性因子确定协议的安全状态，实现了对协议的状态进行分析，就可以准确的确定协议的安全性。

公开(公告)号：CN116204568B

公开(公告)日：2023-10-03

申请号：CN202310484672.3

申请日：2023-05-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 王宇飞 ,  戚红建 ,  韩硕 ,  朱梦迪 ,  潘中英 ,  李宏亮 ,  张强 ,  冷超 ,  张天宇 ,  孟庆宇

IPC分类号： G06F16/2458 ,  G06F16/245 ,  G06F16/242 ,  G06F16/28

摘要： 本发明提供了一种数据挖掘分析方法，涉及数据挖掘技术领域，其方法包括：对用户搜索需求进行第一需求词提取，并与预设数据库进行第一匹配，来获取得到每个第一需求词的第一搜索资源库；对用户搜索需求中的剩余信息进行冗余分析，来得到第二需求词，并与预设数据库进行第二匹配，来获取得到每个第二需求词的第二搜索资源库；将第一需求词与第二需求词建立关联关系，得到需求词关系图；基于需求词关系图进行资源挖掘，获取得到目标挖掘资源；将第一搜索资源库与第二搜索资源库进行资源融合，且与目标挖掘资源进行资源交集处理，获取得到最佳资源推送到用户的终端展示。为后续推送最佳资源提供基础，最大程度满足用户的需求。

公开(公告)号：CN116305091A

公开(公告)日：2023-06-23

申请号：CN202310344675.7

申请日：2023-03-31

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 张扬 ,  戚红建 ,  王宇飞 ,  韩硕 ,  朱梦迪 ,  袁阳 ,  潘中英 ,  唐鑫湄 ,  闫文琴 ,  李云鹏

IPC分类号： G06F21/53 ,  G06F21/56

摘要： 本发明公开了一种反逃逸检测方法，涉及安全检测技术领域，对多个沙箱环境进行样本逃逸模拟，依次检测沙箱的硬件信息、环境信息、时间信息和交互信息是否存在异常，若存在异常，则进行对应调整，直至通过样本逃逸模拟；样本逃逸模拟通过后，将待检测样本在多个沙箱环境下分别运行多次，并得到行为文件；根据行为文件得到距离信息，基于距离信息确定沙箱环境间的行为异常度，基于行为异常度和阈值之间的关系判断是否存在异常行为，若存在异常行为，则根据系统调用序列定位逃逸行为；获取每个沙箱的评价参数，根据评价参数建立阈值更新数组，根据阈值更新数组更新阈值。提高了检测精度，防止了恶意样本进行检测逃逸，保证了检测的可靠性。

公开(公告)号：CN116471067B

公开(公告)日：2024-11-05

申请号：CN202310364143.X

申请日：2023-04-06

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 戚红建 ,  王宇飞 ,  韩硕 ,  邓旭楠 ,  朱梦迪 ,  袁阳 ,  潘中英 ,  唐鑫湄 ,  张天宇 ,  孙涛

IPC分类号： H04L9/40 ,  H04L41/142

摘要： 本发明公开了一种主机外连风险检测方法，其包括：获取主机记录的外连信息和业务资产信息；统计和处理主机记录的外连信息，根据主机记录的外连信息判断主机外连的风险情况；将主机记录的外连信息与业务资产信息进行关联，分析后得到业务资产的安全趋势走向。本发明通过统计主机所记录的外连信息，经过分析处理后能够判断出主机外连的风险情况，以及时发现主机外连的风险，并给出相应的安全警示，尽可能减少内网的风险隐患，保证内网的网络安全，并且本发明还将主机记录的外连信息与业务资产信息进行关联处理，使能够得到业务资产的安全趋势走向，使用户可以根据业务资产的安全趋势走向来选择业务资产未来是否要进行外连，以确保业务资产的安全性。

公开(公告)号：CN117221273A

公开(公告)日：2023-12-12

申请号：CN202310980428.6

申请日：2023-08-04

申请人： 华能信息技术有限公司 ,  中国华能集团有限公司北京招标分公司

发明人： 韩硕 ,  戚红建 ,  王宇飞 ,  潘中英 ,  张涛 ,  胡静 ,  罗贤锋 ,  刘彬 ,  张天宇 ,  孟庆宇

IPC分类号： H04L61/4511 ,  H04L61/103 ,  H04L9/40

摘要： 本发明公开了一种异常DNS请求解析方法，涉及数据解析技术领域，包括获取以往异常DNS请求，并根据以往异常DNS请求的日志建立多个异常标准指标；获取待检测DNS请求，并根据待检测DNS请求的日志生成多个异常指标；比对异常指标和异常标准指标，从而确定待检测DNS请求是否为异常DNS请求；若待检测DNS请求为异常DNS请求，分析请求报文，并得到异常信息；根据异常信息确定请求的时间属性，并建立对应的马尔科夫模型；分别建立当前博弈论模型以及未来博弈论模型，从而得到当前最优解以及未来最优解，以调整网络防护策略。提高了解析的准确性，保证了安全防护策略的适应性。