公开(公告)号：CN103561003A

公开(公告)日：2014-02-05

申请号：CN201310500442.8

申请日：2013-10-22

Applicant: 西安交通大学

Inventor： 陶敬 ,  田决 ,  马小博 ,  李剑锋 ,  韩婷 ,  邹孙颖 ,  胡文君

IPC: H04L29/06

Abstract: 本发明涉及一种基于蜜网的协同式主动防御方法，包括以下步骤：数据预处理、关联度分析、威胁度分析、脆弱度分析和黑名单生成。本发明以分布在不同子网中的分布式蜜网遭受到的攻击者信息为数据源，采用协同式防御思想，通过对不同子网与攻击者之间的关联度分析、威胁度分析和脆弱度分析，最终基于融合分析为每个子网预测出个性化的最有可能攻击该子网的攻击者名单，即高预测性黑名单。本发明不仅具有很高的防御率、命中率、实时性和预测性，可以达到很低的漏防率和误防率；而且，由于采用蜜网捕获攻击者信息，无需普通用户上报恶意攻击者，不会对普通用户的正常通信造成影响，更不会侵犯用户的隐私。

公开(公告)号：CN103327015A

公开(公告)日：2013-09-25

申请号：CN201310224336.1

申请日：2013-06-06

Applicant: 西安交通大学

Inventor： 陶敬 ,  李剑锋 ,  马小博 ,  管晓宏 ,  周文瑜 ,  周天 ,  邹孙颖 ,  胡文君

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种基于DNS缓存探测的恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建贝叶斯预测滤波模型，估计恶意代码在相应网络域中感染主机的规模。该系统有效地规避了隐私保护、网络授权等传统监控方法面临的问题。

公开(公告)号：CN103269330A

公开(公告)日：2013-08-28

申请号：CN201310136661.2

申请日：2013-04-18

Applicant: 西安交通大学

Inventor： 陶敬 ,  马小博 ,  管晓宏 ,  李剑峰 ,  田决 ,  周文瑜 ,  胡文君 ,  邹孙颖

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提出一种IRC僵尸网络检测方法，属于网络通信安全领域。以IRC僵尸网络为对象，选取其命令与控制过程中的NICK关键协议字段NICKNAME作为指标，将NICKNAME的国家、操作系统等不同字段进行分解，利用关联规则方法自动生成IRC僵尸主机的NICKNAME特征，通过对可疑NICKNAME的判定检测IRC僵尸网络。本方法对已知和新型但符合关联规则的IRC僵尸网络具有检测能力，适用于在安全检测精度要求高的中小型规模网络中实时检测IRC僵尸网络。另外，挖掘出的NICKNAME关联规则可为Snort、RealSecure等安全检测工具提供专用于IRC僵尸网络检测的特征库。

公开(公告)号：CN101741862B

公开(公告)日：2012-07-18

申请号：CN201010013660.5

申请日：2010-01-22

Applicant: 西安交通大学

Inventor： 管晓宏 ,  郑庆华 ,  马小博 ,  陶敬 ,  赵双 ,  刘璐 ,  李剑锋

IPC: H04L29/06 ,  H04L9/00

Abstract: 本发明公开了一种基于数据包序列特征的IRC僵尸网络检测方法，该方法通过离线基础数据获取模块、在线数据实时分析模块、数据中心和检测策略控制模块四部分协同工作完成IRC僵尸网络的检测，其思想是利用IRC僵尸主机与C&C(Command & Control)控制服务器之间通信时的数据包大小序列的周期性和大小特征，通过识别获取网络出口处的IRC流量，判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络，本发明的主要创新点在于通过度量IRC僵尸主机与C&C服务器之间通信过程中数据包序列的周期度和均值，以区别IRC聊天应用和IRC僵尸网络，从而达到IRC僵尸网络检测的目的。