公开(公告)号：CN118568721A

公开(公告)日：2024-08-30

申请号：CN202410715625.X

申请日：2024-06-04

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  高新博 ,  郑宁军 ,  刘伟 ,  刘玉岭 ,  张金莉 ,  冯云 ,  谭儒

IPC: G06F21/56 ,  G06F18/213

Abstract: 本发明公开一种Webshell动态检测方法及系统，属于计算机网络安全技术领域。所述方法包括：通过对Web应用进行插桩，并得到Web应用的行为事件，所述行为事件包括：被插桩的函数名称、传入被插桩函数的参数和调用信息；基于被插桩函数之间的调用关系和被插桩函数与行为事件的行为范围之间的关系，构建Web应用行为模型，所述Web应用行为模型包括：调用‑行为图和调用哈希‑行为映射，所述调用哈希‑行为映射是键为调用栈哈希且值为行为范围的映射；基于所述Web应用行为模型对目标Web应用产生的行为事件进行Webshell识别。本发明可以高效准确的检测异常的Webshell行为。

公开(公告)号：CN113268734B

公开(公告)日：2023-11-24

申请号：CN202110459255.4

申请日：2021-04-27

Applicant: 中国科学院信息工程研究所

Inventor： 冯云 ,  汪旭童 ,  刘宝旭 ,  刘奇旭 ,  刘潮歌 ,  张金莉

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明提出一种基于信息流分析的关键主机事件识别方法，涉及网络攻击发现领域，针对Windows系统上涉及文件操作的关键主机事件识别进行研究，通过研究信息流特性，捕捉事件间有效信息流关系，将仅能表达单步骤信息流的普通事件强化为能表达多步骤信息流的关键主机事件，而将其余的无效依赖关系及对应的冗余事件进行剔除，从而实现线索化简的目标，缓解线索爆炸问题，有助于更准确地提取攻击事件链，检测主机端攻击。

公开(公告)号：CN113239352A

公开(公告)日：2021-08-10

申请号：CN202110367559.8

申请日：2021-04-06

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  赵子豪 ,  张方娇 ,  刘井强 ,  谭儒 ,  张金莉 ,  刘潮歌

IPC: G06F21/56 ,  G06F40/216 ,  G06F16/33 ,  G06F16/35 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种Webshell检测方法及系统，包括：获取源码文件；计算源码文件的模糊哈希值、数据流语法特征、统计学特征和语法结构特征；获取统计学特征表示；分别将源码文件的模糊哈希值及数据流语法特征与Webshell特征库对比，得到同源相似度检测结果及数据流语法特征检测结果；分别将统计学特征表示及语法结构特征，输入统计学文件特征检测模型及语法结构特征检测模型，得到统计学文件特征检测结果及语法结构特征检测结果；根据上述检测结果，获取待检测网站文件的Webshell检测结果。本发明能够有效地检测出网站及APT攻击中的Webshell样本，检测效率高，可检测新型、变种Webshell，提供了较好的用户体验，能够在常规站点检查中达到有效检测Webshell的效果。

公开(公告)号：CN107872323B

公开(公告)日：2020-05-22

申请号：CN201711077960.8

申请日：2017-11-06

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  苏俊玮 ,  周环 ,  张金莉 ,  刘潮歌

IPC: H04L9/32 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种基于用户信息检测的口令安全性评估方法及系统。本方法为：获取待测试口令以及使用该待测试口令的用户身份信息；将所述用户身份信息中的文字信息转换为字母，根据所述用户身份信息中的数字和转换后的字母生成身份信息字典表，然后将该身份信息字典表与弱口令字典表合并成用于测试的测试字典集；检测该待测试口令中是否包含有与所述测试字典集中的字符串匹配的字符串，标记该待测试口令匹配结果并统计该待测试口令的字符组合种类数目；根据该待测试口令的标记结果和字符组合种类数目判定该待测口令的安全性。本发明提高了用户密码的安全性。