-
公开(公告)号:CN115811421A
公开(公告)日:2023-03-17
申请号:CN202211441628.6
申请日:2022-11-17
发明人: 雷君 , 何能强 , 仇晨悦 , 张宇鹏 , 朱文扬 , 周彧 , 季莹莹 , 严定宇 , 郑勤健 , 周昊 , 尤杰 , 张录录 , 李雪峰 , 尚程 , 杨满智 , 梁彧 , 傅强 , 王杰 , 金红 , 高川 , 贾世琳 , 吕卓航 , 楼书逸 , 文静 , 贺铮 , 王宏宇 , 刘玲 , 张榜 , 秦佳伟 , 石桂欣
IPC分类号: H04L9/40
摘要: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中,该方法包括:当接收到安全监测系统发送的网络安全事件上报信息时,获取网络安全事件的日志信息;根据网络安全事件的日志信息,在备份信息数据库中确定与所述网络安全事件匹配的监管主体;生成与所述网络安全事件匹配的处理工单,并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息,在备份信息数据库中确定出相匹配的监管主体,并对监管主体发送处理工单,实现了对网络安全事件的快速响应处置,缩短了网络安全事件响应处置时间。
-
公开(公告)号:CN116112287B
公开(公告)日:2023-06-20
申请号:CN202310364357.7
申请日:2023-04-07
IPC分类号: H04L9/40
摘要: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN116112287A
公开(公告)日:2023-05-12
申请号:CN202310364357.7
申请日:2023-04-07
IPC分类号: H04L9/40
摘要: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN114826670B
公开(公告)日:2024-03-29
申请号:CN202210295069.6
申请日:2022-03-23
申请人: 国家计算机网络与信息安全管理中心
摘要: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法,通过分析网络流入流出流量捕获还原文件,记录分析文件传播日志;对大规模传播的文件或传播规模增长迅速的文件,综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性,实现大规模恶意代码传播事件的第一时间发现;最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息,还原传播路径。通过分析网络文件传播日志,可全面掌握特定网络恶意代码传播态势,保证了恶意性判别的准确性,使覆盖范围更加全面、检测分析更加准确、更加及时高效。
-
公开(公告)号:CN113904796B
公开(公告)日:2023-11-17
申请号:CN202110995717.4
申请日:2021-08-27
申请人: 国家计算机网络与信息安全管理中心
摘要: 本发明属于网络安全技术领域,且公开了一种网络流量安全检测的设备后门检测方法,包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本,对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本,通过回溯过往的流量异常增多时,设备的异常现象,与注册表之间进行联合比对,并对当前进行实时监控,得出相较于只检查当前IP异常通讯和单一排查注册项,效率相对较高,且准确性通过比对也得到提升。
-
公开(公告)号:CN113900997A
公开(公告)日:2022-01-07
申请号:CN202110995686.2
申请日:2021-08-27
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: G06F16/16 , G06F16/182 , G06F16/172
摘要: 本发明属于数据处理技术领域,且公开了基于NFS的动态文件快速精准的还原处理方法,具体操作步骤如下:第一步,将需要处理的数据集中输入到待处理数据库;第二步,随后将待处理数据库中的数据系统分配到各个分级处理程序中。本发明通过预先对文件数据进行块状化处理,随后设定对应的限定值,采用阶段式文件处理的手段,有效的规避了传统的集中处理情况,本专利实现了NFS协议基于流的文件还原流程,不需要缓存大量文件,预先还设置有多个对接设备,将庞大的数据文件一分为多,同步加快其工作效率,最终在设置对应的汇总程序,预先处理好的部分文件会被拼接在一起,最终输出则是一个完整有效的还原文件。
-
公开(公告)号:CN113572631A
公开(公告)日:2021-10-29
申请号:CN202110599771.7
申请日:2021-05-31
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: H04L12/24
摘要: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括:由第一算子获取任务的第一数据包;其中,所述第一数据包由配置数据与第一源数据封装得到;由所述第一算子从所述第一数据包中获取与其对应的第一配置数据,并根据所述第一配置数据,对所述第一数据包中的第一源数据进行处理,得到第二源数据;由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包,并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下,对计算任务的计算逻辑进行更新,步骤简便且能够满足实时性要求较高的业务的需求。
-
公开(公告)号:CN117955714A
公开(公告)日:2024-04-30
申请号:CN202410110037.3
申请日:2024-01-25
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: H04L9/40
摘要: 本申请提供一种高威胁网络组织深层次刻画方法及相关设备。所述方法包括:预先进行网络数据收集;对所述网络数据进行信息提取,根据提取的信息生成高威胁网络组织画像;监测网络异常行为,并将所述网络异常行为与所述高威胁网络组织画像比对和关联,更新所述高威胁网络组织资源库以及高威胁网络组织画像。根据整合的网络数据作为空间资产,同时根据对网络数据提取的信息进行高威胁网络组织画像的绘制,全面描述高威胁网络组织的特征,最后利用高威胁网络组织画像对异常网络活动进行监测,更新高威胁网络组织画像的同时,使高威胁网络组织画像对攻击行为的判断更加准确,提高网络安全。
-
公开(公告)号:CN117194393A
公开(公告)日:2023-12-08
申请号:CN202310447710.8
申请日:2023-04-24
申请人: 国家计算机网络与信息安全管理中心
IPC分类号: G06F16/215 , G06F16/21 , G06F16/22
摘要: 本发明属于计算机领域,公开了一种测试载荷库生成方法、装置、设备及存储介质。方法包括对收集到的众测流量进行还原,得到目标用户会话;提取所述目标流量中属于同一网络资产的数据信息;根据所述数据信息确定资产模板,并根据所述数据信息和所述资产模板确定槽内容;根据所述槽内容生成不同载荷类型的测试载荷库。由于本发明是对收集到的众测流量进行还原,得到目标用户会话;提取所述目标流量中属于同一网络资产的数据信息;根据所述数据信息确定槽内容;根据所述槽内容生成不同载荷类型的测试载荷库。相对于现有的将众测流量与正则表达式库相匹配,根据匹配结果确定流量中的攻击载荷的方式,本发明上述方式能够生成不同载荷类型的测试载荷库。
-
公开(公告)号:CN116527307A
公开(公告)日:2023-08-01
申请号:CN202310245623.4
申请日:2023-03-15
申请人: 国家计算机网络与信息安全管理中心
摘要: 本发明提供一种基于社区发现的僵尸网络检测方法,该方法将流量数据转换为图数据,利用社区发现对网络图进行划分,对划分后的社区利用节点重叠度和相似度进行检测,据此发现僵尸网络。检测方法包括:基于节点重叠度的可疑社区检测;基于节点相似度的僵尸网络社区检测和节点类型判别。对于输入的流量行为图数据,第一阶段利用社区发现算法对图中节点进行划分并计算社区节点重叠度,以重叠度为依据筛选可疑社区。对于第一阶段输出的可疑社区,第二阶段基于聚类的思想计算每个可疑社区内部的节点相似度,将具有高节点相似度的社区输出为僵尸网络社区。最后一个阶段负责对僵尸网络内部节点的具体类型进行判定并输出最终检测结果。
-
-
-
-
-
-
-
-
-