公开(公告)号：CN116112287A

公开(公告)日：2023-05-12

申请号：CN202310364357.7

申请日：2023-04-07

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心山西分中心

Inventor： 秦佳伟 ,  殷伟 ,  严定宇 ,  秦志鹏 ,  贺铮 ,  周昊 ,  贾世琳 ,  张宇鹏 ,  肖崇蕙 ,  刘玲 ,  张榜

IPC: H04L9/40

Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置，包括：获取网络流量和网络资产信息；从网络流量中提取情报特征；根据网络资产信息，确定资产语义特征；将情报特征输入预设的异常检测模型中，由异常检测模型输出第一检测结果；将资产语义特征输入预设的资产检测模型中，由资产检测模型输出第二检测结果；按照五元组和数据包统计特征对网络流量进行聚类，得到多组子流量；根据时间特征，计算各组子流量的周期系数；根据第一检测结果、第二检测结果和周期系数，确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性，能够全面准确的检测攻击组织的攻击行为。

公开(公告)号：CN116112287B

公开(公告)日：2023-06-20

申请号：CN202310364357.7

申请日：2023-04-07

Applicant: 国家计算机网络与信息安全管理中心 ,  国家计算机网络与信息安全管理中心山西分中心

Inventor： 秦佳伟 ,  殷伟 ,  严定宇 ,  秦志鹏 ,  贺铮 ,  周昊 ,  贾世琳 ,  张宇鹏 ,  肖崇蕙 ,  刘玲 ,  张榜

IPC: H04L9/40

Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置，包括：获取网络流量和网络资产信息；从网络流量中提取情报特征；根据网络资产信息，确定资产语义特征；将情报特征输入预设的异常检测模型中，由异常检测模型输出第一检测结果；将资产语义特征输入预设的资产检测模型中，由资产检测模型输出第二检测结果；按照五元组和数据包统计特征对网络流量进行聚类，得到多组子流量；根据时间特征，计算各组子流量的周期系数；根据第一检测结果、第二检测结果和周期系数，确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性，能够全面准确的检测攻击组织的攻击行为。

公开(公告)号：CN115811421A

公开(公告)日：2023-03-17

申请号：CN202211441628.6

申请日：2022-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心浙江分中心

Inventor： 雷君 ,  何能强 ,  仇晨悦 ,  张宇鹏 ,  朱文扬 ,  周彧 ,  季莹莹 ,  严定宇 ,  郑勤健 ,  周昊 ,  尤杰 ,  张录录 ,  李雪峰 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  金红 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮 ,  王宏宇 ,  刘玲 ,  张榜 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40

Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中，该方法包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。

公开(公告)号：CN117955714A

公开(公告)日：2024-04-30

申请号：CN202410110037.3

申请日：2024-01-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 白寿颖 ,  严定宇 ,  秦佳伟 ,  严寒冰 ,  章子龙 ,  李艺涛 ,  艾政阳

IPC: H04L9/40

Abstract: 本申请提供一种高威胁网络组织深层次刻画方法及相关设备。所述方法包括：预先进行网络数据收集；对所述网络数据进行信息提取，根据提取的信息生成高威胁网络组织画像；监测网络异常行为，并将所述网络异常行为与所述高威胁网络组织画像比对和关联，更新所述高威胁网络组织资源库以及高威胁网络组织画像。根据整合的网络数据作为空间资产，同时根据对网络数据提取的信息进行高威胁网络组织画像的绘制，全面描述高威胁网络组织的特征，最后利用高威胁网络组织画像对异常网络活动进行监测，更新高威胁网络组织画像的同时，使高威胁网络组织画像对攻击行为的判断更加准确，提高网络安全。

公开(公告)号：CN117194393A

公开(公告)日：2023-12-08

申请号：CN202310447710.8

申请日：2023-04-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严定宇 ,  陆希玉 ,  张宇鹏 ,  胡俊 ,  王小群 ,  徐剑 ,  饶毓 ,  肖崇蕙 ,  徐峰

IPC: G06F16/215 ,  G06F16/21 ,  G06F16/22

Abstract: 本发明属于计算机领域，公开了一种测试载荷库生成方法、装置、设备及存储介质。方法包括对收集到的众测流量进行还原，得到目标用户会话；提取所述目标流量中属于同一网络资产的数据信息；根据所述数据信息确定资产模板，并根据所述数据信息和所述资产模板确定槽内容；根据所述槽内容生成不同载荷类型的测试载荷库。由于本发明是对收集到的众测流量进行还原，得到目标用户会话；提取所述目标流量中属于同一网络资产的数据信息；根据所述数据信息确定槽内容；根据所述槽内容生成不同载荷类型的测试载荷库。相对于现有的将众测流量与正则表达式库相匹配，根据匹配结果确定流量中的攻击载荷的方式，本发明上述方式能够生成不同载荷类型的测试载荷库。

公开(公告)号：CN116527307A

公开(公告)日：2023-08-01

申请号：CN202310245623.4

申请日：2023-03-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  贺铮 ,  金忠峰 ,  严寒冰 ,  王宏宇 ,  严定宇 ,  刘玲 ,  张榜 ,  郭晶

IPC: H04L9/40 ,  G06F18/23

Abstract: 本发明提供一种基于社区发现的僵尸网络检测方法，该方法将流量数据转换为图数据，利用社区发现对网络图进行划分，对划分后的社区利用节点重叠度和相似度进行检测，据此发现僵尸网络。检测方法包括：基于节点重叠度的可疑社区检测；基于节点相似度的僵尸网络社区检测和节点类型判别。对于输入的流量行为图数据，第一阶段利用社区发现算法对图中节点进行划分并计算社区节点重叠度，以重叠度为依据筛选可疑社区。对于第一阶段输出的可疑社区，第二阶段基于聚类的思想计算每个可疑社区内部的节点相似度，将具有高节点相似度的社区输出为僵尸网络社区。最后一个阶段负责对僵尸网络内部节点的具体类型进行判定并输出最终检测结果。

公开(公告)号：CN113904796A

公开(公告)日：2022-01-07

申请号：CN202110995717.4

申请日：2021-08-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 贺铮 ,  严定宇 ,  吕利锋 ,  严寒冰 ,  饶毓 ,  吕志泉 ,  秦佳伟

IPC: H04L9/40 ,  G06F21/56

Abstract: 本发明属于网络安全技术领域，且公开了网络安全检测用流量的设备后门检测方法，包括沙箱虚拟系统程序、脱壳程序、跟踪程序、判断程序、注册表记录的异常释放文件样本和流量异常增多时接收文件包样本，对比回溯过往注册表检查到的所述注册表记录的异常释放文件样本和回溯过往流量异常增多时接收的文件包样本之间吻合度。本发明通过直接可得出设备软件中存在后门且后门关联于异常释放的文件样本，通过回溯过往的流量异常增多时，设备的异常现象，与注册表之间进行联合比对，并对当前进行实时监控，得出相较于只检查当前IP异常通讯和单一排查注册项，效率相对较高，且准确性通过比对也得到提升。

公开(公告)号：CN118509210A

公开(公告)日：2024-08-16

申请号：CN202410604637.5

申请日：2024-05-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  严寒冰 ,  贾世琳 ,  张榜 ,  严定宇 ,  秦佳伟

IPC: H04L9/40

Abstract: 本发明涉及一种关联分析多源数据还原恶意代码攻击场景的方法，收集已被发现的漏洞信息，建立漏洞利用特征数据集；通过分析网络流入流出流量，识别并记录符合特征的会话信息，记录网络侧漏洞利用日志；采集蜜罐捕获的系统日志和网络会话信息，记录蜜罐侧漏洞利用日志；综合利用网络侧漏洞利用日志和蜜罐侧漏洞利用日志，建立漏洞利用日志和恶意代码的关联关系，进而发现还原恶意代码攻击场景，分析其攻击路径和攻击过程，发现其传播利用的漏洞，关联分析方法全面准确高效。

公开(公告)号：CN113572631B

公开(公告)日：2022-12-20

申请号：CN202110599771.7

申请日：2021-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐剑 ,  贾子骁 ,  韩志辉 ,  贾世琳 ,  吕卓航 ,  严定宇

IPC: H04L41/0803

Abstract: 本申请实施例提供了一种流数据任务处理方法、装置、设备和可读存储介质。方法包括：由第一算子获取任务的第一数据包；其中，所述第一数据包由配置数据与第一源数据封装得到；由所述第一算子从所述第一数据包中获取与其对应的第一配置数据，并根据所述第一配置数据，对所述第一数据包中的第一源数据进行处理，得到第二源数据；由所述第一算子将所述第二源数据与所述配置数据进行封装得到第二数据包，并将所述第二数据包传递给第二算子。本申请实施例的技术方案能够实现在不下线任务的情况下，对计算任务的计算逻辑进行更新，步骤简便且能够满足实时性要求较高的业务的需求。

公开(公告)号：CN114880661A

公开(公告)日：2022-08-09

申请号：CN202210622592.5

申请日：2022-06-01

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 高川 ,  韩志辉 ,  饶毓 ,  周昊 ,  严寒冰 ,  丁丽 ,  徐原 ,  姚力 ,  朱芸茜 ,  楼书逸 ,  贾世琳 ,  刘玲 ,  严定宇 ,  秦佳伟

IPC: G06F21/55

Abstract: 本申请提供一种威胁事件处理方法、装置、电子设备及存储介质，方法包括：获取事件集合；事件集合内包含若干威胁事件；确定事件集合中每一威胁事件对应的事件类型，得到类型集合；根据类型集合确定目标关注度等级；根据目标关注度等级和类型集合确定事件集合的威胁评分；根据所述事件集合的威胁评分确定所述事件集合的威胁程度和处理优先度。本申请提供的威胁事件处理方法，能够根据事件集合中每一威胁事件对应的事件类型，确定该事件集合对应的目标关注等级，并根据目标关注度等级和类型集合中包含的所有事件类型，确定出该事件集合对应的威胁评分，并根据威胁评分确定该事件集合的威胁程度和处理优先度，提升威胁事件处理效率。