公开(公告)号：CN115378884A

公开(公告)日：2022-11-22

申请号：CN202210462790.X

申请日：2022-04-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李广恺 ,  徐小琳 ,  李建强 ,  王大伟 ,  徐剑 ,  张榜 ,  王丽 ,  周梅岚 ,  唐天龙 ,  吴兴利

IPC: H04L47/32 ,  H04L47/31 ,  H04L69/22 ,  H04L61/4511

Abstract: 本发明实施例涉及一种DNS报文处理方法、装置、处理设备及存储介质，包括：根据第一设备对DNS报文的解析结果，获取所述DNS报文中头部字段的第一标记信息；根据所述第一标记信息，接收由所述第一设备发送的DNS报文对应的应答报文；第二设备识别所述应答报文中头部字段的第二标记信息；针对所述应答报文，将所述第二标记信息更新为初始状态值，得到目标报文；将所述目标报文发送至第三设备。通过追踪第一标记信息和第二标记信息，完成查看DNS报文的解析来源。由此，可以实现追踪DNS报文的解析来源的效果。

公开(公告)号：CN113489622B

公开(公告)日：2022-05-13

申请号：CN202110738313.7

申请日：2021-06-30

Applicant: 国家计算机网络与信息安全管理中心 ,  南京中新赛克科技有限责任公司

Inventor： 刘科栋 ,  彭成维 ,  王佩 ,  缪亚男 ,  孙发强 ,  李广恺 ,  贾东征 ,  王慧 ,  王子厚 ,  袁庆升 ,  王大伟 ,  肖林焱 ,  王亚箭 ,  黄自强

IPC: H04L43/065 ,  H04L61/3015 ,  H04L9/40

Abstract: 本发明公开了一种提取网络设备指纹的方法，通过对网络设备的地理位置、设备类型、操作系统等信息进行分组预处理，结合编解码、终端类型、知名端口及服务、开放端口特征、活跃账号的特征信息，进行相似性融合分析，高效识别不同IP对应的同一设备。本发明的有益效果为：结合多维度的信息提取，对虚拟设备进行有效身份标识，达到对虚拟网络中硬件设备的准确识别，可以对网络攻击等行为动作进行快速识别及反应。

公开(公告)号：CN111447233A

公开(公告)日：2020-07-24

申请号：CN202010242396.6

申请日：2020-03-31

Applicant: 国家计算机网络与信息安全管理中心 ,  杭州迪普信息技术有限公司

Inventor： 李高超 ,  张乾 ,  王大伟 ,  王晖 ,  邹昕 ,  李政 ,  陈训逊

IPC: H04L29/06 ,  H04L12/741 ,  H04L12/46

Abstract: 本申请提供一种基于VXLAN的报文过滤方法及装置，应用于过滤设备中，所述方法包括：获取待处理队列的当前待处理报文；将所述当前待处理报文匹配转发策略集中的至少一个控制项；若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项，则获取所述选定控制项所属的转发策略对应的第一分析服务器；根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文；将所述第一VXLAN报文发送给所述第一分析服务器。应用本申请的实施例，实现全面分析报文，使得分析结果多样化。

公开(公告)号：CN106227741B

公开(公告)日：2019-08-30

申请号：CN201610547660.0

申请日：2016-07-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  张家琦 ,  王子厚 ,  王大伟 ,  朱佳伟 ,  刘培朋 ,  李海灵

IPC: G06F16/903 ,  H04L29/06

Abstract: 本发明公开了一种基于多级哈希索引链表的大规模URL的匹配方法。使用本发明能够快速、准确地进行URL匹配，系统资源消耗小。本发明根据URL均具有“DOMAIN‑NAME/DIRECT‑1/DIRECT‑2/.../DIRECT‑N”结构这一特点，利用URL各级的哈希值建立与URL多级结构相对应的多级哈希索引链表，然后利用该索引链表，基于URL结构特性对待匹配的ULR从“DOMAIN‑NAME”开始扫描匹配，进而能够实现快速、准确的URL匹配，从而能够实现大规模URL的实时在线快速匹配，系统资源消耗小。

公开(公告)号：CN105429950B

公开(公告)日：2019-04-23

申请号：CN201510725503.X

申请日：2015-10-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王啸 ,  王大伟 ,  贺龙涛 ,  曹首峰 ,  刘培朋 ,  赵咏 ,  苟高鹏

IPC: H04L29/06

Abstract: 本发明提供一种基于动态数据包采样的网络流量识别系统和方法，系统包括网络流量识别服务器、数据包分析模块和行为分析模块；网络流量识别服务器、数据包分析模块和行为分析模块依次单向连接。本发明解决了传统的网络流量识别方法面对不断变化的流量环境无法及时调整识别策略的矛盾，使得在网络流量识别的过程中，可以通过感知数据包的变化，来调整当前网络流量识别的策略，是根据首包信息结合协议识别方法来进行识别，还是根据数据包分析结合协议识别方法来进行识别，还是根据网络行为分析结合协议识别方法来进行识别，根据运行环境变化并自动选择适合当前流量特征的网络流量协议识别策略，从而保证在任意流量环境下网络流量识别的准确率与处理效率。

公开(公告)号：CN104135474A

公开(公告)日：2014-11-05

申请号：CN201410343212.X

申请日：2014-07-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺欣 ,  刘刚 ,  王大伟 ,  刘永强 ,  王秀文 ,  杜大帅 ,  张慧 ,  李城龙 ,  贺龙涛

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种基于主机出入度的检测网络异常行为的方法，从全新的角度提出了一种主机属性判定，攻击检测方法，在技术难度较低，资源耗用较小的情况下能够实现一定量种类的网络行为检测，异常行为监测。首先定义度、出度和入度；其中，度是四元组连接的数量；出度是指主机向其他主机发出的四元组连接的数量；入度是指主机接收其他主机的四元组连接的数量；该方法根据主机的出入度比例是否超出已知范围，以实现网络异常行为的检测；不同业务主机的出入度比例范围不同。