公开(公告)号：CN119109902A

公开(公告)日：2024-12-10

申请号：CN202411285388.4

申请日：2024-09-13

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  莫迪凯 ,  曾濛 ,  张麟康 ,  李白杨 ,  丁庸 ,  刘庆云 ,  王学宾 ,  李钊 ,  季欣怡

IPC: H04L61/4511 ,  H04L43/50 ,  H04L41/14

Abstract: 本发明涉及一种基于双端测量模式的DNS服务器安全参数黑盒测试方法和系统。该方法包括：确定待测参数并进行建模；注册域名并设置测试客户端和测试权威端；测试客户端向目标解析器发起测试，触发目标解析器的域名解析行为；目标解析器与测试权威端进行交互，通过测试权威端的动态响应影响目标解析器的状态并触发目标解析器的行为；从测试客户端和测试权威端进行目标解析器的行为信息的收集，并根据待测参数测试模型估算目标解析器的实际行为表现对应的安全参数范围。本发明仅通过目标解析器在域名解析过程中的通信行为对其安全参数进行推断，不需要目标解析器的源码或配置文件等额外信息，能够以简单高效的方式对目标安全性进行评估。

公开(公告)号：CN118540102A

公开(公告)日：2024-08-23

申请号：CN202410476353.2

申请日：2024-04-19

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  韩丁康 ,  李白杨 ,  揭真 ,  丁庸 ,  曾濛 ,  杨嵘 ,  刘庆云

IPC: H04L9/40 ,  H04L69/167 ,  H04L69/22 ,  H04L101/659

Abstract: 本发明公开了一种双栈解析器风险评估方法及系统。本方法包括：1)探测目标双栈解析器分别在IPv4协议、IPv6协议上的防护力度，并根据防护力度评估该目标双栈解析器的安全防护配置指标值；2)探测该目标双栈解析器分别在IPv4协议、IPv6协议上的网络行为表现，评估该目标双栈解析器对双栈支持的实现效果指标值；3)解析该目标双栈解析器的IPv6地址字符串，根据检测解析结果中是否包含设定的敏感语义以及设备信息，评估该目标双栈解析器的信息泄露指标值；4)根据该目标双栈解析器的配置指标值、实现效果指标值和泄露指标值，量化得到该双栈解析器面临的安全风险程度。本发明实现针对双栈解析器服务潜在安全风险的快速排查。

公开(公告)号：CN118316905A

公开(公告)日：2024-07-09

申请号：CN202410484227.1

申请日：2024-04-22

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  韩丁康 ,  李白杨 ,  揭真 ,  仇渝淇 ,  赵蕾 ,  秦云杨 ,  刘庆云

IPC: H04L61/30 ,  H04L61/251 ,  H04L61/45 ,  H04L61/4511

Abstract: 本发明公开了一种双栈解析器识别方法及系统。本方法包括：1)对于输入的包含IPv4和IPv6解析器地址关联关系的地址关联簇，获取IPv4解析器地址与对应主机间的映射关系；2)获取该地址关联簇中IPv6解析器地址与对应主机间的映射关系；3)根据该地址关联簇中IPv4解析器地址与IPv6解析器地址的关联关系和步骤1)、2)所得的映射关系，生成主机关联簇；4)对主机关联簇进行检测，若主机关联簇仅包含一对主机，且该对主机包括一个IPv4解析器地址指向的主机和一个IPv6解析器地址指向的主机，则判定该对主机指向的设备为双栈解析器。本发明能够识别拥有别名地址的双栈解析器，扩展了双栈解析器的可识别范围。

公开(公告)号：CN118138294A

公开(公告)日：2024-06-04

申请号：CN202410221098.7

申请日：2024-02-28

Applicant: 中国科学院信息工程研究所

Inventor： 王学宾 ,  赵璨 ,  张庆峰 ,  段百威 ,  王美琪 ,  刘庆云 ,  傅兴玉 ,  朱宇佳

IPC: H04L9/40

Abstract: 本发明公开了一种面向HSDir流水印的隐藏服务去匿名化方法，其步骤包括：1)在目标Tor网络中植入多个路由节点作为受控节点，当目标隐藏服务从受控节点中选取路由节点作为自己的守卫节点、HSDir节点时，在守卫节点上部署一水印嵌入模块，在HSDir节点上部署一水印解析模块；2)HSDir节点接收目标隐藏服务发过来的描述符；3)水印嵌入模块检测出目标隐藏服务发布描述符的链路；4)守卫节点将有目标隐藏服务IP信息的水印嵌入到该链路；5)若水印解析模块从链路中提取的水印与嵌入的水印对应，则将水印中的IP信息作为隐藏服务的真实IP信息，实现对目标隐藏服务的去匿名化。本发明实现了对隐藏服务高效无感去匿名化。

公开(公告)号：CN114430382B

公开(公告)日：2024-06-04

申请号：CN202111444967.5

申请日：2021-11-30

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  黄彩云 ,  刘庆云 ,  杨嵘 ,  李白杨 ,  吴佳挺 ,  马泽宇

IPC: H04L43/04 ,  H04L43/08 ,  H04L43/50 ,  H04L61/10 ,  H04L61/4511

Abstract: 本发明公开了一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置，包括：基于捕获的DNS流量，生成数据包日志文件；根据DNS流量的时间戳与标识符ID，保存依据日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，生成若干三元组日志文件；解析所述三元组日志文件，生成动态解析依赖图；基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果。本发明可以系统、全面的测量分析区域在主机名、IP地址、子网前缀、自治域号、组织机构、地理位置各维度上的静态/动态、局部/全局的冗余度，分析权威域名服务器之间、权威域名服务器和解析器之间存在的动态解析依赖和权重变化。

公开(公告)号：CN117014501A

公开(公告)日：2023-11-07

申请号：CN202210469576.7

申请日：2022-04-28

Applicant: 中国科学院信息工程研究所

Inventor： 陆秋文 ,  王健 ,  刘庆云

IPC: H04L67/56 ,  H04L69/22 ,  H04L69/04

Abstract: 本发明公开了一种基于可编程交换机的无状态SRv6服务链方法及系统。所述方法将SRv6服务链信息作为“标签”携带到数据包中，并基于SRv6分段标签到服务功能编号的映射表，对SRv6服务链信息进行了压缩。本发明在可编程交换机的数据平面上实现了无状态的SRv6服务链代理，且在可编程交换机的数据平面采用了流水线的设计架构，保证了其可以线速地进行数据包处理，实现了一个高性能的SRv6服务链代理方案。

公开(公告)号：CN115883513A

公开(公告)日：2023-03-31

申请号：CN202211484474.9

申请日：2022-11-24

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  莫迪凯 ,  李白杨 ,  韩丁康 ,  揭真 ,  刘庆云 ,  杨嵘 ,  谭建龙

IPC: H04L61/4511 ,  H04L69/164 ,  H04L9/40

Abstract: 本发明公开了一种基于DNS水印技术的解析器探测方法及其分类方法，属于计算机网络领域。本发明中通过自建的权威域名服务器，可以从DNS解析中的权威侧收集数据，能够发现大量非公开的递归解析器；使用DNS水印和权威域名服务器动态响应的技术将权威侧和用户侧探测收集的数据都保存在DNS响应记录中；针对解析器在DNS解析过程中的不同角色清晰的定义了解析器类别，并给出了明确的分类，有助于进一步了解DNS体系结构。

公开(公告)号：CN115098348A

公开(公告)日：2022-09-23

申请号：CN202210638477.7

申请日：2022-06-07

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 杨嵘 ,  陈松岳 ,  翟海滨 ,  王勇 ,  武义涵 ,  郑延钦 ,  蒋卓君 ,  刘庆云

IPC: G06F11/34 ,  G06F11/00 ,  G06F16/215 ,  G06F16/35 ,  G06F40/205 ,  G06F40/284 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供了一种面向高危用户指令的实时异常检测方法及装置，所述方法包括：从生产环境采集一用户使用的指令数据，并获取系统错误日志及所述指令数据的自动化测试结果；根据所述指令数据的指令子参数、系统错误日志、自动化测试结果，计算所述指令数据的第一高危分数；基于所述指令数据的词向量，计算所述指令数据的第二高危分数；根据所述第一高危分数与所述第二高危分数，获取所述指令数据的异常检测结果本发明降低流数据处理系统的数据接入难度，提高整个数据处理系统的吞吐量。本发明通过指令数据以及相应的系统错误日志数量、自动化测试结果等多种因素，降低了传统异常指令检测的运维难度，提高了异常指令检测速度和精度。

公开(公告)号：CN115081581A

公开(公告)日：2022-09-20

申请号：CN202110266580.9

申请日：2021-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  周舟 ,  杨威 ,  李钊 ,  张宏飞 ,  杜梅捷 ,  杨嵘

IPC: G06N3/04 ,  G06N3/08 ,  G06F21/56

Abstract: 本发明公开了一种基于图神经网络的恶意用户检测方法及装置，包括：收集社交网络中的用户推文，并建立社交图Go；依据各节点的属性，计算各节点的初始特征，并根据社交图Go中任两个节点初始特征的相似性，获取潜在图Gl的连边，构建潜在图Gl；通过各节点的初始特征、在社交图Go中的社交邻域与在潜在图Gl中的潜在邻域，生成各节点的节点嵌入表示，得到恶意用户检测结果。本发明创建了一个可以帮助捕获远距离节点丰富特征信息的潜在图，且在采样时考虑节点之间的相似性，可以帮助选取特征信息丰富的节点，从而得到更加准确的恶意用户检测结果。

公开(公告)号：CN113438332B

公开(公告)日：2022-08-23

申请号：CN202110555956.8

申请日：2021-05-21

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  吴佳挺 ,  刘庆云 ,  杨威 ,  郑超 ,  周舟 ,  张晓欧 ,  马泽宇

IPC: H04L61/4511 ,  H04L67/02 ,  H04L9/40 ,  G06K9/62

Abstract: 本发明提供一种DoH服务标识方法及装置，包括提取被动流量及服务端口信息，构建IP解析域名的反向解析系统；提取被动流量的数据流特征，并将数据流特征输入一DoH流量分类器；获取DoH流量的服务端IP，并结合反向解析系统，得到一或多个DoH服务端域名；结合常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；将各DoH请求发生至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识。本发明解决DoH流量与普通HTTPs流量混淆无法区分的问题，克服了常规方法中训练集负样本缺失问题，保证DoH服务端标识的正确性，具有有较高的解析覆盖率，可随着系统部署周期的增加而不断提升识别正确率。