公开(公告)号：CN106027559B

公开(公告)日：2019-07-05

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN104780178A

公开(公告)日：2015-07-15

申请号：CN201510212942.0

申请日：2015-04-29

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 吴志刚 ,  李楠宁 ,  何跃鹰 ,  罗浩 ,  朱海龙 ,  林绅文 ,  常为领 ,  张树壮 ,  杜雄杰 ,  李应博 ,  刘成 ,  房婧

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L67/143

Abstract: 本发明公开了一种用于防止TCP攻击的连接管理方法。该方法包括：获取TCP连接中原始数据包的连接状态和五元组信息，基于原始数据包的五元组信息生成第一层流表的链表；基于第一层流表选择TCP连接中连接状态为第三次握手的原始数据包之后的数据包作为安全数据包；根据安全数据包的五元组信息和负载数据生成第二层流表的链表。该方法通过第一层流表来过滤TCP攻击报文，在第二层流表中缓存安全数据流的负载数据，不仅能防止TCP攻击，还能实时更新服务器的缓存，及时释放僵死连接，高效管理服务器端的缓存资源。

公开(公告)号：CN119892671A

公开(公告)日：2025-04-25

申请号：CN202411831648.3

申请日：2024-12-12

Applicant: 北京邮电大学

Inventor： 李祺 ,  司成祥 ,  李应博 ,  王其文 ,  孙天艺 ,  米嘉欣

IPC: H04L43/026 ,  H04L61/4511 ,  H04L67/51 ,  H04L9/40

Abstract: 本发明提供一种用于加密域名服务发现的特征构造方法和加密域名服务发现方法，包括：实时获取不同IP对应不同域名服务所产生的多个由多个数据包构成的数据流并按IP分类，得到每个IP的至少一个数据流；对每个IP的每个数据流标记对应标签，标签包括加密和非加密域名服务；从每个IP对应标签的每个数据流中提取每个数据包的字段特征，并得到每个数据流的统计特征和序列特征；对序列特征进行波动性分析，得到波动点位置集合并得到每个波动点的横纵向波动性程度估计，基于所有波动点的横纵向波动性程度估计得到波动点序列特征；将每个IP对应标签的每个数据流的统计特征、序列特征和波动点序列特征进行拼接，从而得到多个用于加密域名服务发现的特征。

公开(公告)号：CN104780178B

公开(公告)日：2018-04-10

申请号：CN201510212942.0

申请日：2015-04-29

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 吴志刚 ,  李楠宁 ,  何跃鹰 ,  罗浩 ,  朱海龙 ,  林绅文 ,  常为领 ,  张树壮 ,  杜雄杰 ,  李应博 ,  刘成 ,  房婧

IPC: H04L29/06

Abstract: 本发明公开了一种用于防止TCP攻击的连接管理方法。该方法包括：获取TCP连接中原始数据包的连接状态和五元组信息，基于原始数据包的五元组信息生成第一层流表的链表；基于第一层流表选择TCP连接中连接状态为第三次握手的原始数据包之后的数据包作为安全数据包；根据安全数据包的五元组信息和负载数据生成第二层流表的链表。该方法通过第一层流表来过滤TCP攻击报文，在第二层流表中缓存安全数据流的负载数据，不仅能防止TCP攻击，还能实时更新服务器的缓存，及时释放僵死连接，高效管理服务器端的缓存资源。

公开(公告)号：CN104657108B

公开(公告)日：2018-03-02

申请号：CN201510081271.9

申请日：2015-02-15

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 罗浩 ,  林绅文 ,  卫冰洁 ,  吴志刚 ,  贺欣 ,  杜雄杰 ,  张树壮 ,  李应博 ,  王啸 ,  刘成 ,  袁媛 ,  房婧 ,  于贺威

IPC: G06F9/28 ,  G06F9/455

Abstract: 本发明公开了一种微处理器的软件模拟器的事件队列的管理方法及系统，克服现有技术中微处理器的软件模拟器的事件队列的效率低下的不足。该方法包括：将事件队列存储在循环数组中；所述循环数组中包含多个表项，每个表项对应所述软件模拟器的一个时钟周期；将所述循环数组中的每个表项与预设的线性链表一一对应，每个表项的头指针和尾指针分别指向对应线性链表的头元素和尾元素；每个线性链表存储应该在对应表项所代表的时钟周期内触发的事件；将全局周期指针指向当前时钟周期所对应的表项；当一个时钟周期模拟结束后，将所述全局周期指针前进一个表项。本发明的实施例在事件插入、事件查询和事件剔除方面都具有很高的效率。

公开(公告)号：CN106027559A

公开(公告)日：2016-10-12

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

CPC classification number: H04L63/1416

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN104657108A

公开(公告)日：2015-05-27

申请号：CN201510081271.9

申请日：2015-02-15

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 罗浩 ,  林绅文 ,  卫冰洁 ,  吴志刚 ,  贺欣 ,  杜雄杰 ,  张树壮 ,  李应博 ,  王啸 ,  刘成 ,  袁媛 ,  房婧 ,  于贺威

IPC: G06F9/28 ,  G06F9/455

Abstract: 本发明公开了一种微处理器的软件模拟器的事件队列的管理方法及系统，克服现有技术中微处理器的软件模拟器的事件队列的效率低下的不足。该方法包括：将事件队列存储在循环数组中；所述循环数组中包含多个表项，每个表项对应所述软件模拟器的一个时钟周期；将所述循环数组中的每个表项与预设的线性链表一一对应，每个表项的头指针和尾指针分别指向对应线性链表的头元素和尾元素；每个线性链表存储应该在对应表项所代表的时钟周期内触发的事件；将全局周期指针指向当前时钟周期所对应的表项；当一个时钟周期模拟结束后，将所述全局周期指针前进一个表项。本发明的实施例在事件插入、事件查询和事件剔除方面都具有很高的效率。