公开(公告)号：CN112738036A

公开(公告)日：2021-04-30

申请号：CN202011495062.6

申请日：2020-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 罗赟骞 ,  周昊 ,  郭晶 ,  徐剑 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙 ,  李婷 ,  候爽

IPC: H04L29/06 ,  G06F21/56 ,  G06F16/955 ,  G06K9/62

Abstract: 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

公开(公告)号：CN112367262A

公开(公告)日：2021-02-12

申请号：CN202010844839.9

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L12/743

Abstract: 一种五元组规则匹配的方法，该五元组规则模板预先进行了分类，并为分类后的规则模板设置关联规则有效标志，该方法具体包括：接收数据报文并提取五元组信息；根据提取的五元组信息依次对分类后的规则模板类型进行判断，并进一步确定该五元组信息所匹配的规则模板，记录其命中的规则模板相对应的关联规则有效标志；根据所命中的关联规则有效标志，在所确定的规则模板类型对应的规则Hash表中顺次查找相匹配的规则表项，并输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置及芯片，可以显著提升五元组规则查表效率，解决了规则表资源竞争的问题。

公开(公告)号：CN112131356A

公开(公告)日：2020-12-25

申请号：CN202010768507.7

申请日：2020-08-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京百卓网络技术有限公司

Inventor： 黄亮 ,  包秀国 ,  杨云龙 ,  刘伟 ,  李春明 ,  向广磊 ,  赵玉超

IPC: G06F16/332 ,  G06F16/31

Abstract: 本发明公开了一种基于TCAM的报文关键字匹配方法和装置，该方法包括：基于关键字规则数据库和TCAM芯片生成规则索引数据库和规则全文数据库；将第一查询命令字符在所述规则索引数据库中进行匹配；若命中与所述第一查询命令字符相关的索引规则，将第二查询命令字符在所述规则全文数据库中进行匹配；若命中与所述第二查询命令字符相关的规则全文，则基于获取命中的所述规则全文，处理待处理的报文。本发明基于硬件TCAM芯片的匹配速度快但是容量有限的特点，将关键字规则分为长度较短的规则索引和较长的规则全文进行分阶段匹配，兼顾了TCAM芯片的利用率和匹配性能，同时方案无需更改或增加硬件设备，复杂度低，具有较强的实用性。

公开(公告)号：CN109388710A

公开(公告)日：2019-02-26

申请号：CN201810970182.3

申请日：2018-08-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 窦禹 ,  陆希玉 ,  曹华平 ,  李晗 ,  张沛 ,  谢波 ,  王云荣 ,  刘博元 ,  易立 ,  杨云龙

IPC: G06F16/35 ,  G06F16/951 ,  G06N20/00 ,  G06N3/04

Abstract: 本发明涉及一种IP地址业务属性标定方法及装置，所述方法包括：获取域名的子域名以及域名及其子域名的页面信息；利用预先建立的文本分类机器学习模型获取域名及其子域名的页面信息的分类结果；利用域名及其子域名的页面信息的分类结果标定域名及其子域名对应的IP地址集的分类属性。本发明提供的技术方案，通过网络爬虫获得域名的页面信息，利用机器学习文本分类算法模型确定域名的业务分类，建立“IP-域名-业务分类”的映射关系，完成对IP地址上层承载业务分类的标定，扩充了现有的IP地址属性库，提高了IP业务属性的实时性。

公开(公告)号：CN112738040A

公开(公告)日：2021-04-30

申请号：CN202011507913.4

申请日：2020-12-18

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 李明哲 ,  徐剑 ,  郭晶 ,  周昊 ,  严寒冰 ,  丁丽 ,  李志辉 ,  朱天 ,  饶毓 ,  贺铮 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  高川 ,  贾世琳 ,  吕卓航 ,  黄亮 ,  刘伟 ,  郝帅 ,  杨云龙

IPC: H04L29/06

Abstract: 本发明公开了一种基于DNS日志的网络安全检测方法、系统和装置，该方法包括：获得特征数据、CTI查询研判、CTI订阅聚合、异常IP发现、安全信息与事件管理。采用本发明的检测方法、系统和装置能够以层层切片方式逐步降低需要处理DNS日志数据的资源开销，以层次化、插件化形式部署检测模型，能够解决威胁检测中数据量和资源量压力大的问题，有助于实现功能的可扩展性，可对不断涌现的新威胁类型和威胁迹象进行检测，综合了机器诊断和专家诊断意见，提高检测的覆盖范围，以便能够发现网络中的各种安全威胁。

公开(公告)号：CN112105056A

公开(公告)日：2020-12-18

申请号：CN202010768504.3

申请日：2020-08-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京百卓网络技术有限公司

Inventor： 黄亮 ,  包秀国 ,  杨云龙 ,  刘伟 ,  赵玉超 ,  向广磊 ,  李春明

IPC: H04W28/06 ,  H04W28/10 ,  H04W88/16 ,  H04L29/08

Abstract: 本发明公开了一种基于5GSA网络的码流传输方法和系统，该方法包括：基于大区中心采集控制面原始码流；回传原始码流；采集数据面原始码流；从所述各个省公司传输所述控制面原始码流和所述数据面原始码流至所述各个省公司下属的相关系统。核心网NVF集中化后，核心网网元均以虚拟机方式部署在云平台上，本发明采用TOR镜像结合分光采集的方式解决传统3/4G基于物理端口分光方式不适用的问题，还采取对大区原始码流进行分发回传给省公司方式，解决了5G控制面数据采取大区制集中部署，控制面数据不在本地机房问题，最后，采用SDTP协议针对原始码流进行封装，根据省份标识将不同省份的原始码流通过IP网络回传至省公司，保证了数据流能够在网络中安全稳定传输。