-
公开(公告)号:CN114826670A
公开(公告)日:2022-07-29
申请号:CN202210295069.6
申请日:2022-03-23
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法,通过分析网络流入流出流量捕获还原文件,记录分析文件传播日志;对大规模传播的文件或传播规模增长迅速的文件,综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性,实现大规模恶意代码传播事件的第一时间发现;最后关联分析大规模传播恶意代码的文件、I P、域名、URL等信息,还原传播路径。通过分析网络文件传播日志,可全面掌握特定网络恶意代码传播态势,保证了恶意性判别的准确性,使覆盖范围更加全面、检测分析更加准确、更加及时高效。
-
公开(公告)号:CN114297644A
公开(公告)日:2022-04-08
申请号:CN202111454822.3
申请日:2021-12-01
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明公开了一种攻击线索IOC置信度计算方法及设备,所述方法包括:基于预设周期,计算IOC情报库中每条IOC情报的置信度,并根据置信度阈值,筛选出参与下次置信度计算的IOC情报;计算IOC情报库中每条IOC情报的置信度包括:获取IOC情报的多维特征;根据IOC情报的多维特征,计算IOC情报的基础分数,并对IOC情报进行判定;当IOC情报的判定结果为确认事件时,将基础分数的n倍数值作为IOC情报的置信度值,其中n满足:n>1;当IOC的判定结果为误报事件时,将基础分数乘以衰减系数作为IOC情报的置信度值,其中,衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明,可以从海量IOC情报库中筛选出高价值的IOC情报,对低价值的情报进行停用,节约了计算资源。
-
公开(公告)号:CN113271303A
公开(公告)日:2021-08-17
申请号:CN202110522030.9
申请日:2021-05-13
Applicant: 国家计算机网络与信息安全管理中心 , 恒安嘉新(北京)科技股份公司
Abstract: 本发明是有关于一种基于行为相似性分析的僵尸网络检测方法,本发明通过在网络出口节点监测采集网络中的流量数据,基于大数据技术对采集的流量数据分别进行网络流量分析和主机行为分析,通过群体行为相似性交叉关联计算方法,从而可计算出属于同一僵尸网络的一组主机节点。实现上述方法的系统包括网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台。本发明能实时检测,确保检测效果的准确性,且检测简单、检测效率高,检测快速、测范围广,时效性好。
-
公开(公告)号:CN118673492A
公开(公告)日:2024-09-20
申请号:CN202410531244.6
申请日:2024-04-29
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本申请提供一种面向移动应用WebView页面用户敏感输入的检测方法及相关设备。通过对待测移动应用进行动态执行,获取多个第一页面布局文件;对多个第一页面布局文件进行自动化测试,得到第二页面布局文件;通过组件识别方法识别第二页面布局文件和与第二页面布局文件对应的页面截图,得到能够接收用户输入的敏感组件集合;识别页面截图的文本信息,通过预先训练好的模型得到候选文本和候选文本位置坐标;根据敏感组件和敏感组件位置坐标,候选文本和候选文本位置坐标,确定与敏感组件匹配的提示词;根据提示词,确定敏感组件收集的信息类型,最终能够输出移动应用WebView页面的用户敏感输入,对于移动应用隐私合规分析具有重要意义。
-
公开(公告)号:CN117675290A
公开(公告)日:2024-03-08
申请号:CN202311524841.8
申请日:2023-11-15
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明是有关于一种路由异常检测和处置方法,首先根据实时的路由快照和路由更新报文信息,在内存构建实时的全球路由前缀可达信息视图;然后,提取实时的路由前缀归属信息、路由传输路径三元组关系信息以及路由前缀可见性信息,再根据路由异常的特征快速检测路由异常事件。其处置方法是首先对路由事件进行定级和影响评估;然后确定事件源头和确定涉事组织机构;最后针对不同的路由异常事件类型制定不同的应急处置模版,下发到涉事组织机构,进行协同处置。本发明解决了严重影响网络和服务的性能,对行业应用造成巨大经济损失,对网络运营产生重大影响的问题,使其可以快速检测路由异常事件并进行处置,提高网络运营商路由异常事件处置能力。
-
公开(公告)号:CN115378884B
公开(公告)日:2023-09-15
申请号:CN202210462790.X
申请日:2022-04-27
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L47/32 , H04L47/31 , H04L69/22 , H04L61/4511
Abstract: 本发明实施例涉及一种DNS报文处理方法、装置、处理设备及存储介质,包括:根据第一设备对DNS报文的解析结果,获取所述DNS报文中头部字段的第一标记信息;根据所述第一标记信息,接收由所述第一设备发送的DNS报文对应的应答报文;第二设备识别所述应答报文中头部字段的第二标记信息;针对所述应答报文,将所述第二标记信息更新为初始状态值,得到目标报文;将所述目标报文发送至第三设备。通过追踪第一标记信息和第二标记信息,完成查看DNS报文的解析来源。由此,可以实现追踪DNS报文的解析来源的效果。
-
公开(公告)号:CN115379027B
公开(公告)日:2023-08-01
申请号:CN202210462789.7
申请日:2022-04-27
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L69/22 , H04L61/4511
Abstract: 本发明实施例涉及一种DNS报文解析改进方法、装置、改进设备及存储介质,包括:获取第一设备提供的进程以及进程对应的监听端口,监听端口对应设置有第一监听端口号;在接收到第二设备发送的DNS报文的解析请求时,通过第三设备将DNS报文中的第二监听端口号更新为第一监听端口号,得到携带有第一监听端口号的DNS报文;将该DNS报文发送至第一设备对应的进程,以返回DNS报文对应的携带有第一监听端口号的应答报文;将应答报文中的第一监听端口号更新为第二监听端口号,得到携带有第二监听端口号的应答报文;将该应答报文发送给第二设备,通过创建多进程和修改DNS报文对应端口号,完成DNS报文的解析处理。由此,可以实现提高DNS报文解析的处理效率的效果。
-
公开(公告)号:CN115225521A
公开(公告)日:2022-10-21
申请号:CN202210672630.8
申请日:2022-06-15
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L41/50 , H04L41/0213 , H04L67/51 , H04L67/02 , G06F16/23
Abstract: 本发明提供一种基于配置管理数据库的资产探测方法、系统、设备及存储介质,所述方法包括以下步骤:计算实例向MID服务器发送命令;MID服务器接收指令,并向受管网络中的各种设备、应用和服务发送CI探测,或向计算实例反馈CI文件;计算实例收到MID服务器反馈后,与配置管理数据库中的CI项进行比对和新的映射,更新CI,以获取资产信息。本发明通过部署MID服务器对资产进行扫描、分类、识别、探测,并构造CI特征向量优化海量网页去重的敏感hash算法判定资产变化情况,建立动态CI,与企业配置管理数据库信息共享,结合流量信息及TCP连接等CI项信息实现服务映射,构建精细化资产管理,发现静默资产,具备更广泛的资产识别能力,保障资产列表准确性。
-
公开(公告)号:CN115168854A
公开(公告)日:2022-10-11
申请号:CN202210730116.5
申请日:2022-06-24
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F21/56
Abstract: 本发明是有关于一种基于TTPs和多维特征的组织归因方法、装置、电子设备及存储介质,包括,提取若干已知恶意代码的多维特征向量,生成数据集;构建模型,使用所述数据集对模型进行训练;将未知恶意代码输入至训练好的模型中,获取所述未知恶意代码的所属组织信息。相对于传统人工分析比对的方式,在处理大量恶意代码样本时,效率更高,速度更快。
-
公开(公告)号:CN119475330A
公开(公告)日:2025-02-18
申请号:CN202411400544.7
申请日:2024-10-09
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F21/56 , G06F16/958 , G06F16/951
Abstract: 本申请提供一种网页分析识别方法、装置及电子设备,涉及网络安全领域。该方法中,获取待检测网页网址;根据待检测网页网址爬取待检测网页内容,待检测网页内容包括源代码数据和图片数据;对源代码数据和图片数据分别进行预处理,得到页面的结构特征数据,将页面的结构特征数据与预设的FOFA规则的关键字一一对应得到对应关系;将FOFA规则加载至预设的AC算法的分析模块,并将结构特征数据作为输入数据,利用分析模块将输入数据与关键字对应的关键值进行匹配分析,输出匹配的规则标识;根据匹配的规则标识,从预设的数据库中匹配规则标识的相关描述信息,根据相关描述信息确定是否为恶意网址,能够适应不同类型网址。
-
-
-
-
-
-
-
-
-