-
公开(公告)号:CN116112287B
公开(公告)日:2023-06-20
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN116112287A
公开(公告)日:2023-05-12
申请号:CN202310364357.7
申请日:2023-04-07
Applicant: 国家计算机网络与信息安全管理中心 , 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40
Abstract: 本申请实施例提供一种基于时空关联的网络攻击组织追踪方法与装置,包括:获取网络流量和网络资产信息;从网络流量中提取情报特征;根据网络资产信息,确定资产语义特征;将情报特征输入预设的异常检测模型中,由异常检测模型输出第一检测结果;将资产语义特征输入预设的资产检测模型中,由资产检测模型输出第二检测结果;按照五元组和数据包统计特征对网络流量进行聚类,得到多组子流量;根据时间特征,计算各组子流量的周期系数;根据第一检测结果、第二检测结果和周期系数,确定网络流量的最终检测结果。通过融合特征识别、攻击行为的周期性和网络资产特性,能够全面准确的检测攻击组织的攻击行为。
-
公开(公告)号:CN114900360B
公开(公告)日:2023-09-22
申请号:CN202210512158.1
申请日:2022-05-12
Applicant: 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40 , H04L67/02 , H04L61/4511
Abstract: 本发明适用于域名解析服务的技术领域,提供了一种检测HTTPS流量中的DoH流量方法,通过建立公共DoH域名对应的IP地址库,识别公共DoH流量,然后识别非公共地址的DoH流量,本发明通过利用网络数据包的强特征,从HTTPS与DoH的网络数据报文中,寻找不同点;由于识别依靠网络数据报文,因此具备检测范围广,适配更多的网络场景并且误报率低。
-
公开(公告)号:CN110808988B
公开(公告)日:2021-09-10
申请号:CN201911086071.7
申请日:2019-11-08
Applicant: 国家计算机网络与信息安全管理中心山西分中心 , 北京信联科汇科技有限公司
Abstract: 本发明涉及一种基于信息特征熵和长短期记忆网络的物联网卡业务异常检测方法,针对物联网卡业务分析,综合考量不同维度特征,加入信息特征熵概念,很好刻画不同时段特征分布的随机程度,同时引入了长短期记忆网络模型,通过对各维度特征历史时段特征熵值的学习训练,构建特征熵值预测模型,用以预测新时段的特征熵,并与实际特征熵进行对比分析,能够有效提高了物联网卡异常业务检测的准确性和效率。
-
公开(公告)号:CN110808988A
公开(公告)日:2020-02-18
申请号:CN201911086071.7
申请日:2019-11-08
Applicant: 国家计算机网络与信息安全管理中心山西分中心 , 北京信联科汇科技有限公司
Abstract: 本发明涉及一种基于信息特征熵和长短期记忆网络的物联网卡业务异常检测方法,针对物联网卡业务分析,综合考量不同维度特征,加入信息特征熵概念,很好刻画不同时段特征分布的随机程度,同时引入了长短期记忆网络模型,通过对各维度特征历史时段特征熵值的学习训练,构建特征熵值预测模型,用以预测新时段的特征熵,并与实际特征熵进行对比分析,能够有效提高了物联网卡异常业务检测的准确性和效率。
-
Patent Agency Ranking
公开(公告)号:CN113141370B
公开(公告)日:2022-09-16
申请号:CN202110480418.7
申请日:2021-04-30
Applicant: 国家计算机网络与信息安全管理中心山西分中心
Abstract: 本发明适用于计算机网络安全技术领域,提供了一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。
-
公开(公告)号:CN114900360A
公开(公告)日:2022-08-12
申请号:CN202210512158.1
申请日:2022-05-12
Applicant: 国家计算机网络与信息安全管理中心山西分中心
IPC: H04L9/40 , H04L67/02 , H04L61/4511
Abstract: 本发明适用于域名解析服务的技术领域,提供了一种检测HTTPS流量中的DoH流量方法,通过建立公共DoH域名对应的IP地址库,识别公共DoH流量,然后识别非公共地址的DoH流量,本发明通过利用网络数据包的强特征,从HTTPS与DoH的网络数据报文中,寻找不同点;由于识别依靠网络数据报文,因此具备检测范围广,适配更多的网络场景并且误报率低。
-
公开(公告)号:CN113141370A
公开(公告)日:2021-07-20
申请号:CN202110480418.7
申请日:2021-04-30
Applicant: 国家计算机网络与信息安全管理中心山西分中心
Abstract: 本发明适用于计算机网络安全技术领域,提供了一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。
-
公开(公告)号:CN116708003A
公开(公告)日:2023-09-05
申请号:CN202310863918.8
申请日:2023-07-14
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L9/40 , G06N3/0464 , G06N3/08 , G06F18/214
Abstract: 本发明属于网络安全技术领域,具体是一种恶意加密流量检测方法。包括:S1:采集加密流量数据;S2:对采集的加密流量数据进行处理,将加密流量数据转换为统一尺度;S3:计算加密流量数据信息熵,并将信息熵作为加密流量的一种特征向量;S4:将特征向量作为新的数据集,并将数据集分为训练集、测试集以及验证集;S5:利用训练集、测试集以及验证集分别对神经网络模型进行训练、测试以及验证,将训练好的神经网络模型用于对异常流量进行检测。本发明提出的模型进行二分类或多分类多维数据检测时检测指标和稳定性方面综合性能较好,可避免人为选择参数对预测结果带的不利影响,对开展恶意加密流量网安全检测具有重要意义。
-
公开(公告)号:CN113271297A
公开(公告)日:2021-08-17
申请号:CN202110467836.2
申请日:2021-04-28
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明涉及基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用全新控制策略,针对流量数据业务的分析中,综合考量了不同维度的特征,从而使得检测结果具有更高的准确性,并且针对各维度特征的分析,本方案引入了相对信息熵的概念,很好的刻画了不同时段特征分布的随机程度,通过对各维度特征相对信息熵值的计算,从而实现网络异常行为的快速检测;此外,针对目前许多基于机器学习的入侵检测方法需要大量标记数据才能区分异常的问题,本方案结合信息熵和半监督聚类的方式,只需要少量的标记数据就可以获得较优的性能;如此综合针对网络实现高效、准确的入侵检测,保证网络运行的稳定性。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.01 seconds)
