-
公开(公告)号:CN116112287B
公开(公告)日:2023-06-20
申请号:CN202310364357.7
申请日:2023-04-07
IPC分类号: H04L9/40
摘要: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN116112287A
公开(公告)日:2023-05-12
申请号:CN202310364357.7
申请日:2023-04-07
IPC分类号: H04L9/40
摘要: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN117093915A
公开(公告)日:2023-11-21
申请号:CN202311179247.X
申请日:2023-09-13
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: G06F18/241 , G06N3/0895 , G06F18/214 , G06F18/213 , G06F16/29 , G06F16/951
摘要: 本发明公开了一种基于弱监督学习的网络空间测绘方法,包括以下步骤:S1、建立公共网络空间测绘IP地址库,识别已知IP信息;利用自有的基础资源数据,对单位归属较为明确的IP进行信息收集;S2、识别非已知IP地址的IP地址关联信息。本发明中,通过自研的资产识别算法,利用弱监督学习算法提取网站特征,制作高精度资产标签,对互联网资产进行空间测绘,测绘的主要内容包括IP街道级地理位置、行业分类、IP端口服务信息、证书信息、网站特征信息等,以空间测绘地图与矢量地形图相结合的方式,将数据呈现。网络空间测绘地图作为数字化时代实现数字化生产生活和数字化治理的基础设施,对提供网络安全事件监测分析、应急响应、攻击溯源都具有重要意义。
-
公开(公告)号:CN113269327A
公开(公告)日:2021-08-17
申请号:CN202110467791.9
申请日:2021-04-28
申请人: 国家计算机网络与信息安全管理中心
摘要: 本发明涉及一种基于机器学习的流量异常预测方法,采用全新设计策略,综合考虑网络流量的多维特征属性,并结合特征属性之间的相关性,设计迭代循环的特征属性筛选策略,确定流量所对应的各个目标特征属性,再基于目标特征属性与网络流量明确的异常标签,针对指定分类网络进行训练,获得异常流量预测模型,并最终针对目标流量,实现其是否存在异常的检测,能够有效提高网络流量异常预测的工作效率。
-
公开(公告)号:CN114900360B
公开(公告)日:2023-09-22
申请号:CN202210512158.1
申请日:2022-05-12
IPC分类号: H04L9/40 , H04L67/02 , H04L61/4511
摘要: 本发明适用于域名解析服务的技术领域,提供了一种检测HTTPS流量中的DoH流量方法,通过建立公共DoH域名对应的IP地址库,识别公共DoH流量,然后识别非公共地址的DoH流量,本发明通过利用网络数据包的强特征,从HTTPS与DoH的网络数据报文中,寻找不同点;由于识别依靠网络数据报文,因此具备检测范围广,适配更多的网络场景并且误报率低。
-
公开(公告)号:CN116708003A
公开(公告)日:2023-09-05
申请号:CN202310863918.8
申请日:2023-07-14
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: H04L9/40 , G06N3/0464 , G06N3/08 , G06F18/214
摘要: 本发明属于网络安全技术领域,具体是一种恶意加密流量检测方法。包括:S1:采集加密流量数据;S2:对采集的加密流量数据进行处理,将加密流量数据转换为统一尺度;S3:计算加密流量数据信息熵,并将信息熵作为加密流量的一种特征向量;S4:将特征向量作为新的数据集,并将数据集分为训练集、测试集以及验证集;S5:利用训练集、测试集以及验证集分别对神经网络模型进行训练、测试以及验证,将训练好的神经网络模型用于对异常流量进行检测。本发明提出的模型进行二分类或多分类多维数据检测时检测指标和稳定性方面综合性能较好,可避免人为选择参数对预测结果带的不利影响,对开展恶意加密流量网安全检测具有重要意义。
-
公开(公告)号:CN113271297A
公开(公告)日:2021-08-17
申请号:CN202110467836.2
申请日:2021-04-28
申请人: 国家计算机网络与信息安全管理中心
摘要: 本发明涉及基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用全新控制策略,针对流量数据业务的分析中,综合考量了不同维度的特征,从而使得检测结果具有更高的准确性,并且针对各维度特征的分析,本方案引入了相对信息熵的概念,很好的刻画了不同时段特征分布的随机程度,通过对各维度特征相对信息熵值的计算,从而实现网络异常行为的快速检测;此外,针对目前许多基于机器学习的入侵检测方法需要大量标记数据才能区分异常的问题,本方案结合信息熵和半监督聚类的方式,只需要少量的标记数据就可以获得较优的性能;如此综合针对网络实现高效、准确的入侵检测,保证网络运行的稳定性。
-
公开(公告)号:CN117113197A
公开(公告)日:2023-11-24
申请号:CN202311179240.8
申请日:2023-09-13
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: G06F18/241 , G06F18/10 , G06F18/22 , G06F18/213
摘要: 本发明公开了一种基于社区发现的微博群体识别方法,包括以下步骤:S1、数据收集与清洗;S2、特征提取与表示;S3、建立分类模型;S4、社群标签和影响力分析。本发明中,通过利用优化的动态主题模型DTM来挖掘微博社区中的特定群体,利用选取近一年的微博博文作为研究对象,将不同作者博文的主题相似度作为作者之间链接的权重,将微博网络映射为有向加权网络,结合标签传播算法LPA进行社区发现,识别出社交关系网络中固有的社区结构,本发明对微博网络的用户关系进行深入分析,基于用户产生内容特征、用户关联关系特征、环境特征的识别方法,对潜在主题进行挖掘,找出兴趣相似的用户以及特定领域的活跃用户群体。
-
公开(公告)号:CN115242431A
公开(公告)日:2022-10-25
申请号:CN202210657643.8
申请日:2022-06-10
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: H04L9/40 , G06K9/62 , G06N3/04 , G06N3/08 , G06N5/00 , G06N20/20 , G16Y40/10 , G16Y40/20 , G16Y40/50
摘要: 本发明涉及基于随机森林和长短期记忆网络的工业物联网数据异常检测方法,首先进行数据预处理,然后通过随机森林算法筛选出各目标流量特征,最后基于长短期记忆网络,训练获得工业物联网数据异常检测模型,用于对目标工业物联网中的待分析工业物联网流量实现异常检测;设计方法不仅综合考量了多维度数据特征,使模型能过适应真实的应用环境,提升检测准确性,而且针对多维度特征分析,引入随机森林算法对多维数据进行特征提取,以信息熵为度量构造熵值下降最快的树,到叶子节点处的熵值为零或接近零,能够很好的选择出多维数据的重要特征;整个设计方法能够有效应对工业网络物联网安全威胁,提高异常流量检测的准确率。
-
公开(公告)号:CN113141370B
公开(公告)日:2022-09-16
申请号:CN202110480418.7
申请日:2021-04-30
摘要: 本发明适用于计算机网络安全技术领域,提供了一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。
-
-
-
-
-
-
-
-
-
搜索结果
16 条记录 (耗时 0.038 秒)
