公开(公告)号：CN117336080A

公开(公告)日：2024-01-02

申请号：CN202311383389.8

申请日：2023-10-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周波 ,  王勇 ,  盖伟麟 ,  刘德朋 ,  李政 ,  高曌 ,  王振宇 ,  田正鑫

IPC: H04L9/40

Abstract: 本发明涉及病毒检测技术领域，公开了一种基于流量和指标的暴力破解检测系统及方法，包括安装在受监测服务器上的指标采集模块、指标分析模块、流量采集模块和流量分析模块，流量采集模块与所述流量分析模块连接，指标采集模块与所述指标分析模块连接，与流量分析模块和指标分析模块连接有检测服务器，检测服务器设有暴力破解行为检测模块，与所述检测服务器连接有数据库服务器，数据库服务器设有异常行为库模块，与所述数据库服务器连接有界面服务器，所述界面服务器设有告警界面模块。本发明解决当前基于文件扫描和样本分析的检测方法中的检测耗时久，占用资源高的问题，同时可缩短从行为发生到行为被检测的时间，提升检测的时效性。

公开(公告)号：CN117395070B

公开(公告)日：2024-05-03

申请号：CN202311530543.X

申请日：2023-11-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周波 ,  王勇 ,  王宏韬 ,  韩凯飞 ,  陈新兴

IPC: H04L9/40

Abstract: 本发明涉及异常流量检测技术领域，公开了一种基于流量特征的异常流量检测方法，首先统计业务服务器单位时间内的业务流量大小，具体包括比特每秒bps和包每秒pps，将业务流量进行流量特征解析，并生成对应的流量特征日志；再对所有业务流量的流量特征进行统计，按照一个固定的时间范围统计维度为源IP和目的IP，统计后使用pattern‑defeating quicksort算法对源IP和目的IP进行排序并取TopK；将流量特征日志与对应的TopK的源IP和目的IP进行关联，将关联的结果生成结果日志；通过移动平均算法或指数加权移动平均算法，使用单位时间内的流量大小数据生成对应的基线。本发明提供更全面的网络安全分析，有助于识别复杂的威胁和攻击，准确性高、可伸缩性大。

公开(公告)号：CN117135037A

公开(公告)日：2023-11-28

申请号：CN202210536096.8

申请日：2022-05-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周波 ,  王勇

IPC: H04L41/0677 ,  H04L41/12 ,  G06F18/23

Abstract: 本公开提出一种网络流量性能异常界定方法，包括：获取网络节点的性能指标数据和动态分区拓扑，所述性能指标数据包括性能指标聚类结果和动态分区信息；根据所述性能指标聚类结果和动态分区信息确定异常网络节点。本公开根据实时的网络性能数据，对网络节点进行基于网络性能信息的动态分区，并依据动态分区结果进行网络节点的异常定界，定界的过程中根据网络动态特征进行效率优化，最后给出造成网络性能异常的网络节点集合，达到更加精准的网络异常定界的效果。

公开(公告)号：CN109150619B

公开(公告)日：2023-06-02

申请号：CN201811036829.1

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何慧虹 ,  王勇 ,  樊冬进 ,  武义涵 ,  郭三川 ,  周波

IPC: H04L41/0631 ,  H04L41/0677 ,  H04L41/14

Abstract: 一种基于网络流量数据的故障诊断方法及系统，包括：基于预先构建的链路流量异常故障传播模型查找所有可能导致故障网络设备发生链路流量异常故障事件的待分析网络设备；基于网络流量数据和预先构建的链路流量异常检测模型，获得待分析网络设备发生的链路流量异常故障事件；基于待分析网络设备发生的链路流量异常故障事件获得原因网络设备和原因网络故障。本发明基于网络链路流量监测数据和网络拓扑数据，实现网络链路流量异常故障自动发现和原因分析诊断的分析处理框架，基于该框架可以实现海量流量数据异常自动分析发现和原因自动诊断。

公开(公告)号：CN113079034A

公开(公告)日：2021-07-06

申请号：CN202110261760.8

申请日：2021-03-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 惠榛 ,  张鸿 ,  马秉楠 ,  王大伟 ,  党向磊 ,  燕敬博 ,  周润林 ,  周波

IPC: H04L12/24 ,  H04L29/12 ,  H04L29/06

Abstract: 本发明公开了一种互联网基础资源及其关系模型、及模型的构建、应用方法。互联网基础资源及其关系模型构建方法，包括：将相同类型的互联网基础资源以集合的形式表示，以获得多个集合；获取每个互联网基础资源的属性以及各个互联网基础资源之间的关系；基于多个集合、每个互联网基础资源的属性以及各个互联网基础资源之间的关系，构建互联网基础资源及其关系模型。本发明为互联网基础资源提供一种描述方法，包括资源、资源之间的关系以及资源属性的定义，并在此基础上提供多个互联网资源之间的操作，用以支持对互联网上常用行为进行研究的支撑。

公开(公告)号：CN112905671A

公开(公告)日：2021-06-04

申请号：CN202110313319.X

申请日：2021-03-24

Applicant: 北京必示科技有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 张文池 ,  王泓琳 ,  陈哲康 ,  周波 ,  王勇 ,  刘大鹏

IPC: G06F16/2458 ,  G06K9/62

Abstract: 本发明提供一种时间序列异常处理方法、装置、电子设备及计算机可读存储介质。其中，时间序列异常处理方法，包括步骤：获取时间序列数据，对所述时间序列数据训练，构建模型；根据所述模型检测实时获得的时间序列数据中是否存在异常数据，若存在，则推荐部分异常数据；判断被推荐的所述部分异常数据是否合理，然后反馈判断结果；根据所述判断结果优化所述模型，然后继续检测实时时间序列数据。根据本发明的时间序列异常处理方法，对数据没有明显的偏向性，能够适配具有特定场景语义的指标，能应对非传统互联网领域的运维需求，具有更高的可扩展性，具有普适性，给出的异常结果能够给出具体的异常原因。

公开(公告)号：CN117395070A

公开(公告)日：2024-01-12

申请号：CN202311530543.X

申请日：2023-11-16

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周波 ,  王勇 ,  王宏韬 ,  韩凯飞 ,  陈新兴

IPC: H04L9/40

Abstract: 本发明涉及异常流量检测技术领域，公开了一种基于流量特征的异常流量检测方法，首先统计业务服务器单位时间内的业务流量大小，具体包括比特每秒bps和包每秒pps，将业务流量进行流量特征解析，并生成对应的流量特征日志；再对所有业务流量的流量特征进行统计，按照一个固定的时间范围统计维度为源IP和目的IP，统计后使用pattern‑defeating quicksort算法对源IP和目的IP进行排序并取TopK；将流量特征日志与对应的TopK的源IP和目的IP进行关联，将关联的结果生成结果日志；通过移动平均算法或指数加权移动平均算法，使用单位时间内的流量大小数据生成对应的基线。本发明提供更全面的网络安全分析，有助于识别复杂的威胁和攻击，准确性高、可伸缩性大。

公开(公告)号：CN109150619A

公开(公告)日：2019-01-04

申请号：CN201811036829.1

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何慧虹 ,  王勇 ,  樊冬进 ,  武义涵 ,  郭三川 ,  周波

IPC: H04L12/24

CPC classification number: H04L41/0631 ,  H04L41/0636 ,  H04L41/065 ,  H04L41/0677 ,  H04L41/145

Abstract: 一种基于网络流量数据的故障诊断方法及系统，包括：基于预先构建的链路流量异常故障传播模型查找所有可能导致故障网络设备发生链路流量异常故障事件的待分析网络设备；基于网络流量数据和预先构建的链路流量异常检测模型，获得待分析网络设备发生的链路流量异常故障事件；基于待分析网络设备发生的链路流量异常故障事件获得原因网络设备和原因网络故障。本发明基于网络链路流量监测数据和网络拓扑数据，实现网络链路流量异常故障自动发现和原因分析诊断的分析处理框架，基于该框架可以实现海量流量数据异常自动分析发现和原因自动诊断。

公开(公告)号：CN119544333A

公开(公告)日：2025-02-28

申请号：CN202411725602.3

申请日：2024-11-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周波 ,  王勇 ,  盖伟麟 ,  李政 ,  高曌 ,  王振宇 ,  田正鑫

IPC: H04L9/40

Abstract: 本发明涉及数据检测技术领域，公开了一种基于下载链接的僵尸网络恶意软件检测方法，首先进行原始流量解析，捕获环境中的pcap包并提取出pcap包中每个帧的IP、端口和url信息；对环境中的pcap包的数据进行数据集整理；进行训练检测，首先进行构建邻接矩阵，然后进行参数初始化；对初始化的数据再进行矩阵运算，然后再进行多通道训练，并进行图卷积层输入，训练出识别模型；对训练出的识别模型进行模型训练调优；将训练好的模型应用在基于下载链接的数据进行僵尸网络恶意软件的检测。本发明检测方法设计灵活，能够适应不断变化的恶意软件攻击手段和模式。通过动态调整检测策略和参数，本方法能够迅速响应和适应新出现的威胁，保持高效的检测能力。

公开(公告)号：CN118569695A

公开(公告)日：2024-08-30

申请号：CN202410513843.5

申请日：2024-04-26

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 傅兴玉 ,  周波 ,  王勇 ,  崔晨阳 ,  杨嵘 ,  刘庆云 ,  蒋卓君

IPC: G06Q10/0639 ,  G06Q10/20 ,  G06N5/025 ,  G06N5/04 ,  G06N5/045 ,  G06F18/214 ,  G06F18/2433

Abstract: 本发明涉及一种分布式系统业务效果感知和评价方法及系统。该方法包括：选取分布式系统的运维对象的KPI指标；采用层次分析法对分布式系统的运维对象进行分级分类；提取运维对象的实体及关系，将分级分类的结果转化为知识图谱，并融入具有时序特性的KPI指标得到时序图谱；对KPI指标进行异常检测并基于时序图谱进行业务效果评估。本发明定义了运维对象体系及其时序关联图谱；异常检测方面采用无监督的机器学习方法；在计算异常发生的扣分权重时加入图计算能力，通过人工定性和算法定量相结合的方式使定义流程变得科学通用；在得出业务效果KPI的感知结果后能从业务人员关注的各个指标维度对结果进行解释；并支持大规模分布式系统的在线评估。