公开(公告)号：CN116846631A

公开(公告)日：2023-10-03

申请号：CN202310790905.2

申请日：2023-06-30

申请人： 国家计算机网络与信息安全管理中心河南分中心 ,  郑州信大先进技术研究院

发明人： 张良 ,  杨秉杰 ,  薛钰 ,  赵巍 ,  白文娟 ,  刘岳 ,  方坤 ,  周锦 ,  时辰

IPC分类号： H04L9/40 ,  G06N3/0442 ,  G06N3/08

摘要： 本发明公开了一种基于威胁情报和流量特征的APT攻击检测方法，包括以下步骤：A：获取原始攻击序列集合并进行标记；B：获取数据清洗后的攻击序列集合及对应的网络流量特征集合；C：利构造本地威胁情报库并获取每个原始流量的威胁情报特征；D：构建样本报文特征库并获取序列集合的报文特征；E：利用得到的网络流量特征集合、威胁情报特征和报文特征，对基于LSTM循环神经网络的多融合检测模型进行训练并得到训练后的多融合检测模型；F：利用训练后的多融合检测模型对未知流量序列进行APT攻击检测，确定是否存在APT攻击。本发明能够准确有效地对网络流量中可能存在的APT攻击行为进行检测，从而实现信息系统及网络的安全稳定。

公开(公告)号：CN116633619A

公开(公告)日：2023-08-22

申请号：CN202310592726.8

申请日：2023-05-24

申请人： 国家计算机网络与信息安全管理中心河南分中心

发明人： 张良 ,  薛钰 ,  赵巍 ,  梁爽 ,  齐同源 ,  杨秉杰 ,  时辰

IPC分类号： H04L9/40

摘要： 本发明公开了一种互联网中僵尸木马真实性判断方法，依次包括以下步骤：A：获取待判定僵尸木马数据集，并确定待判定僵尸木马数据的僵尸木马属性因子；B：构建单粒度层次的僵尸木马信息粒化模型；C：构建多粒度层次的僵尸木马信息粒化模型；D：根据决策属性协调性进行判断并选取最优僵尸木马判断粒度；E：根据最优僵尸木马判断粒度选取对应层次的僵尸木马信息粒化模型，然后通过查询目的IP属性函数中被控端IP对应主机的日志信息；判断对应的待判定僵尸木马数据的真实性。本发明能够有效提升僵尸木马判断的准确性和效率，更为高效率地支撑僵尸木马事件的分析工作。