公开(公告)号：CN116633619A

公开(公告)日：2023-08-22

申请号：CN202310592726.8

申请日：2023-05-24

申请人： 国家计算机网络与信息安全管理中心河南分中心

发明人： 张良 ,  薛钰 ,  赵巍 ,  梁爽 ,  齐同源 ,  杨秉杰 ,  时辰

IPC分类号： H04L9/40

摘要： 本发明公开了一种互联网中僵尸木马真实性判断方法，依次包括以下步骤：A：获取待判定僵尸木马数据集，并确定待判定僵尸木马数据的僵尸木马属性因子；B：构建单粒度层次的僵尸木马信息粒化模型；C：构建多粒度层次的僵尸木马信息粒化模型；D：根据决策属性协调性进行判断并选取最优僵尸木马判断粒度；E：根据最优僵尸木马判断粒度选取对应层次的僵尸木马信息粒化模型，然后通过查询目的IP属性函数中被控端IP对应主机的日志信息；判断对应的待判定僵尸木马数据的真实性。本发明能够有效提升僵尸木马判断的准确性和效率，更为高效率地支撑僵尸木马事件的分析工作。

公开(公告)号：CN112115269A

公开(公告)日：2020-12-22

申请号：CN202011172739.2

申请日：2020-10-28

申请人： 国家计算机网络与信息安全管理中心河南分中心

发明人： 张良 ,  刘岳 ,  王一宇 ,  窦禹 ,  杨秉杰

IPC分类号： G06F16/35 ,  G06F16/33 ,  G06K9/62 ,  G06F16/951 ,  G06F40/284

摘要： 本发明公开了一种基于爬虫的网页自动分类方法，涉及数据分析领域，具体包括：首先，针对待分类的网页，利用定制爬虫获取内容信息并分出关键词。然后，逐个选取各关键词，依次比对是否属于互联网关键词类别库，如果是，得到该网页所属的类别个数M；否则，将不属于任何类别库的关键词单独记录。当类别个数M值大于等于2时，基于贝叶斯多维分类模型，随机选取2个类别，迭代判定该网页属于哪个类别的概率最大，将单独记录的关键词写入该类别词库中。当M的值等于1，则直接获取该网页所属类别，将单独记录的关键词写入；反之M等于0，则该网页内容属于暂时无法识别的网页，将其放入未识别网页词库中。本发明可以有效地提升网页分类的准确率。

公开(公告)号：CN116846631A

公开(公告)日：2023-10-03

申请号：CN202310790905.2

申请日：2023-06-30

申请人： 国家计算机网络与信息安全管理中心河南分中心 ,  郑州信大先进技术研究院

发明人： 张良 ,  杨秉杰 ,  薛钰 ,  赵巍 ,  白文娟 ,  刘岳 ,  方坤 ,  周锦 ,  时辰

IPC分类号： H04L9/40 ,  G06N3/0442 ,  G06N3/08

摘要： 本发明公开了一种基于威胁情报和流量特征的APT攻击检测方法，包括以下步骤：A：获取原始攻击序列集合并进行标记；B：获取数据清洗后的攻击序列集合及对应的网络流量特征集合；C：利构造本地威胁情报库并获取每个原始流量的威胁情报特征；D：构建样本报文特征库并获取序列集合的报文特征；E：利用得到的网络流量特征集合、威胁情报特征和报文特征，对基于LSTM循环神经网络的多融合检测模型进行训练并得到训练后的多融合检测模型；F：利用训练后的多融合检测模型对未知流量序列进行APT攻击检测，确定是否存在APT攻击。本发明能够准确有效地对网络流量中可能存在的APT攻击行为进行检测，从而实现信息系统及网络的安全稳定。