公开(公告)号：CN119402467A

公开(公告)日：2025-02-07

申请号：CN202411586774.7

申请日：2024-11-07

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  于城 ,  张建荣 ,  周凯 ,  王佑 ,  王鑫妍 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全

IPC: H04L61/4511 ,  H04L9/40 ,  H04L101/35 ,  H04L101/355

Abstract: 本申请实施例提供一种出口解析器识别方法、装置、设备、存储介质及产品，包括获取目标解析器的网络协议地址；从多个不同的网络环境向目标解析器发送预设域名查询请求以确定目标客户端；基于预设规则生成针对目标解析器的子域名；将子域名与第一根域名进行拼接，确定目标解析器的第一探测域名；控制目标客户端向目标解析器发送针对第一探测域名的解析请求；接收第一服务器发送的所有响应数据包，并根据第一探测域名和第一预设解析结果对所有响应数据包进行筛选，得到第一目标数据包；从第一目标数据包中获取所有解析请求的源IP，以得到首选出口IP集合；将首选出口IP集合对应的服务确定为首选出口解析器。该方法用以达到识别出口解析器的效果。

公开(公告)号：CN117201169A

公开(公告)日：2023-12-08

申请号：CN202311283843.2

申请日：2023-09-28

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 于城 ,  李思聪 ,  罗蒙 ,  周凯 ,  史炳荣 ,  王鑫妍 ,  王天翔 ,  杜飞 ,  王智明 ,  刘丽娟 ,  盖娜 ,  谢丹 ,  万洪江 ,  徐积森 ,  李腾

IPC: H04L9/40

Abstract: 本申请提供一种应用于公有云的网络攻击溯源方法、设备及存储介质，涉及网络安全技术领域。该方法包括：响应于网络攻击事件的告警，获取网络攻击事件对应的目标主机预设时间段内的访问记录；基于访问记录确定预设时间段内访问目标主机的通信节点对应的IP地址；判断IP地址是否属于公有云IP地址；若是，则向IP地址对应的公有云发送取证请求，基于公有云反馈的租户账户信息确定攻击得分，在IP地址对应的攻击得分大于或等于第一预设阈值时，将IP地址确定为攻击IP地址，以对网络攻击进行溯源。本申请的方法实现了提高网络攻击溯源的有效性和可扩展性的技术效果。

公开(公告)号：CN119598449A

公开(公告)日：2025-03-11

申请号：CN202411613409.0

申请日：2024-11-12

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 高哲 ,  王鑫妍 ,  杜飞 ,  邓鸿亮 ,  脱利锋

IPC: G06F21/55 ,  G06F9/48

Abstract: 本申请提供一种安全事件调度方法、装置、设备和存储介质，具体涉及数据处理技术领域。该方法通过获取安全事件的事件数据，并基于所述事件数据，确定所述安全事件的威胁程度；在所述威胁程度大于预设阈值的情况下，根据所述事件数据，确定所述安全事件的优先级；基于所述安全事件的优先级，对所述安全事件进行调度处理；由于该方法只对真实威胁的安全事件进行调度处理，从而确保了调度的安全性和合规性，且由于调度处理是基于优先级来执行的，因此可以实现快速、灵活的响应优先级高的安全事件。

公开(公告)号：CN119420569A

公开(公告)日：2025-02-11

申请号：CN202411746887.9

申请日：2024-11-29

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  马红兵 ,  周凯 ,  谢攀 ,  郑涛 ,  王鑫妍 ,  于城 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全 ,  李川 ,  徐积森 ,  张小梅

IPC: H04L9/40

Abstract: 本申请实施例提供一种攻击溯源路径确定方法、装置、设备、存储介质及产品，包括：在失陷时间范围内，获取失陷设备的通信行为数据；针对各网络设备的通信行为数据，若超出通信行为基线的标准范围，则计算各网络设备为攻击地址的概率，若任一网络设备为攻击地址的概率超过恶意概率阈值，则根据通信行为数据，构建通信行为图并迭代执行如下步骤：根据任一网络设备的历史通信数据计算通信的各IP地址为攻击地址的概率；若超过恶意概率阈值，则将任一IP地址加入通信行为图；若与任一网络设备通信的所有IP地址为攻击地址的概率均不超过则结束迭代过程；基于确定的通信行为图确定攻击溯源路径。该方法用以达到多层级攻击路径的还原的效果。

公开(公告)号：CN119402468A

公开(公告)日：2025-02-07

申请号：CN202411588756.2

申请日：2024-11-07

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  于城 ,  张建荣 ,  周凯 ,  王佑 ,  王鑫妍 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全

IPC: H04L61/4511 ,  H04L9/40 ,  H04L101/35 ,  H04L101/355

Abstract: 本申请实施例提供一种域名解析路径确定方法、装置、设备、存储介质及产品。该方法包括获取目标服务器的互联网协议地址IP；根据目标服务器IP地址生成二级域名的前缀部分；将前缀部分与二级域名进行拼接，以确定目标服务器的探测域名；控制客户端向目标服务器发送针对探测域名的解析请求，以使目标服务器向权威服务器发送请求数据包；接收权威服务器发送的所有请求数据包，并根据探测域名，对所有请求数据包进行筛选，以得到第一目标数据包；判断第一目标数据包中的源地址与目标服务器IP是否一致；若源地址与目标服务器IP一致，则确定解析路径由客户端、目标服务器和权威服务器构成。该方法用以达到全面还原递归解析路径的效果。

公开(公告)号：CN118018316A

公开(公告)日：2024-05-10

申请号：CN202410316711.3

申请日：2024-03-19

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  马红兵 ,  周凯 ,  王鑫妍 ,  于城 ,  杜飞 ,  刘金全 ,  王智明 ,  李川

IPC: H04L9/40 ,  G16Y40/50

Abstract: 本申请提供一种物联网僵尸网络的检测方法及设备。该方法包括：通过获取预设时间窗口内的物联网设备的日志记录；针对每个日志记录，根据日志记录，获取物联网设备标识与域名和IP地址以及域名之间、IP地址之间的关联关系；根据多个日志记录对应的关联关系，获取相似性矩阵，相似性矩阵中的元素指示了不同物联网设备之间的相似性；基于已知标签的物联网设备标识，通过相似性矩阵，使已知标签在物联网设备标识中扩散，得到未知标签的物联设备的分类结果；根据分类结果，获取被僵尸网络感染的物联网设备标识。本申请的方法，通过物联网设备之间的相似性，使得少量的标记数据在大规模的物联网设备中传播，可以直接获取被僵尸网络感染的物联网设备标识。

公开(公告)号：CN116033473A

公开(公告)日：2023-04-28

申请号：CN202310011191.0

申请日：2023-01-05

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 于城 ,  田鑫 ,  赵晨斌 ,  柯阳 ,  杨悦 ,  文雯 ,  白肖璇 ,  周凯 ,  史炳荣 ,  王鑫妍 ,  李思聪 ,  王天翔 ,  刘丽娟 ,  杜飞

IPC: H04W24/08 ,  H04W24/04 ,  H04W8/26 ,  H04W8/18

Abstract: 本申请提供一种用户识别卡业务异常的处理方法、装置及介质，该方法中，在监测到用户识别卡与移动终端关联时，监测获取与用户识别卡的标识对应的上网行为数据、流量数据以及计费数据；根据上网行为数据和流量数据确定访问行为指标；根据上网行为数据确定异常上网行为指标；根据计费数据确定消费行为指标；在根据上述指标确定出用户识别卡命中业务异常场景时，获取与业务异常场景对应的异常处理策略，并根据异常处理策略对用户识别卡和/或移动终端进行处理。解决了现有技术中仅在确定与手机号码对应的IMEI更改时确定用户识别卡出现业务异常的方法，无法确定克隆IMEI的用户识别卡是否出现业务异常，进而导致处理用户识别卡业务异常的准确率较低的问题。

公开(公告)号：CN119544366A

公开(公告)日：2025-02-28

申请号：CN202411813407.6

申请日：2024-12-10

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  马红兵 ,  周凯 ,  谢攀 ,  郑涛 ,  王鑫妍 ,  于城 ,  王天翔 ,  赖秋楠 ,  古丁如 ,  王智明 ,  刘金全 ,  李川 ,  徐积森 ,  张小梅

IPC: H04L9/40 ,  H04L41/12

Abstract: 本申请提供一种网络攻击数据的处理方法、装置、服务器、介质及产品。该方法包括：获取目标网络攻击路径中的所有节点；根据历史域名系统数据、网络流量数据和预定义的异质图网络模式，获取每个节点的预设阶数的网络异质图；根据目标网络攻击路径，将所有节点的预设阶数的网络异质图进行合并，得到目标网络攻击路径的异质图；获取异质图中每个节点的嵌入向量，以得到带有节点嵌入向量的异质图；根据带有节点嵌入向量的异质图，得到异质图的向量；根据异质图的向量，对异质图进行分类，获取异质图类型；异质图类型用于对网络攻击进行同源性分析。本申请的方法，提高了对网络攻击进行同源性分析的准确性。

公开(公告)号：CN118690248A

公开(公告)日：2024-09-24

申请号：CN202410915293.X

申请日：2024-07-09

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司 ,  联通智慧安全科技有限公司

Inventor： 罗蒙 ,  张建荣 ,  马红兵 ,  周凯 ,  王佑 ,  王鑫妍 ,  于城 ,  李思聪 ,  刘金全 ,  张海鲲 ,  王智明 ,  李川

IPC: G06F18/241 ,  H04L61/4511 ,  G06F18/213

Abstract: 本申请提供一种域名数据分类方法、装置、电子设备及存储介质。该方法包括：获取域名日志数据和CDN域名后缀库，并将域名日志数据中的多个域名与CDN域名后缀库进行匹配处理，得到域名正样本集和待分类域名；对域名正样本集中的各个域名进行特征提取，得到域名特征集；根据该域名正样本集和域名特征集，训练域名分类模型，并通过域名分类模型预测待分类域名是否属于CDN域名；通过CDN服务对域名分类模型的预测结果进行验证，并根据验证结果对该CDN域名后缀库进行更新处理。本申请的方法实现了对域名数据的高效分类，避免了人工收集域名数据的局限性，也实现了对CDN域名的准确识别，并通过动态更新CDN域名后缀库，提升域名分类的准确性和适应性。

公开(公告)号：CN118250063A

公开(公告)日：2024-06-25

申请号：CN202410384902.3

申请日：2024-03-29

Applicant: 中国联合网络通信集团有限公司 ,  联通数字科技有限公司

Inventor： 王智明 ,  张建荣 ,  潘松柏 ,  于城 ,  周凯 ,  史炳荣 ,  王鑫妍 ,  李思聪 ,  高子淑

IPC: H04L9/40

Abstract: 本申请提供一种针对秒拨IP的风险识别方法、装置、设备及存储介质，具体涉及网络安全技术领域。该方法通过获取多条IP秒拨检测请求，对所述多条IP秒拨检测请求进行规整处理得到数据规范表，将所述数据规范表输入至秒拨IP风险识别模型中，以使所述秒拨IP风险识别模型根据每条IP对应的IP地址和访问信息，输出识别结果，根据所述识别结果，确定所述多条IP中的异常IP。该方法显著提高了秒拨IP身份识别的准确率、完整性、分析效率。