公开(公告)号：CN106375345B

公开(公告)日：2019-07-16

申请号：CN201610966292.3

申请日：2016-10-28

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 解珍 ,  杨婧 ,  王利明 ,  孙默 ,  骆文 ,  王静

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提出一种基于周期性检测的恶意软件域名检测方法，包含以下步骤：1)对输入数据进行过滤，得到一个稀少域名集合；2)从稀少域名集合中提取出 的请求时间序列，对其进行周期性检测，得到周期性域名集合；3)获取周期性域名集合中每一个周期性域名的特征向量；4)将周期性域名集合中周期性域名进行人工标记，根据特征向量，使用标注好的合法域名和恶意域名对分类器进行训练；5)将新的未标注域名作为步骤4)训练后的分类器的输入进行检测，输出结果为恶意软件域名。能够在隐蔽通信中发现具有周期性的恶意软件域名。同时提出基于上述方法的系统。

公开(公告)号：CN108809948A

公开(公告)日：2018-11-13

申请号：CN201810487746.8

申请日：2018-05-21

Applicant: 中国科学院信息工程研究所

Inventor： 马卫 ,  王利明 ,  杨婧

IPC: H04L29/06

Abstract: 本发明涉及一种基于深度学习的异常网络连接检测方法，对每个网络流记录提取网络连接标识字段，并根据网络连接标识字段，对所有网络流记录进行聚合；构建一个基于深度神经网络的网络连接模型；构建一个异常网络连接检测器，使用网络连接模型的输出作为输入，与网络连接模型同步进行训练，得到对网络连接的检测结果；使用数据集对网络连接模型和异常网络连接检测器进行调参优化与误报控制，如果达到预期效果则训练结束并保存网络参数及结构；将待检测网络连接记录输入训练完成的网络连接模型和异常网络连接检测器的组合模型，输出异常网络连接记录。本发明能发现异常网络连接，且不依赖于人工建立的网络连接模型。

公开(公告)号：CN107770132A

公开(公告)日：2018-03-06

申请号：CN201610686248.7

申请日：2016-08-18

Applicant: 中兴通讯股份有限公司 ,  中国科学院信息工程研究所

Inventor： 孙默 ,  罗熙 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L29/08 ,  H04L61/1511 ,  H04L63/1441 ,  H04L63/1483

Abstract: 本发明公开了一种对算法生成域名进行检测的方法及装置，本发明通过概率模型生成算法，分别根据算法生成域名集和正常域名集建立随机模型和正常模型，并通过上述模型对算法生成域名进行检测，从而实现对算法生成域名进行快速检测，进而有效解决了现有技术不能对算法生成域名进行快速检测的问题。

公开(公告)号：CN104572880B

公开(公告)日：2018-03-02

申请号：CN201410808451.8

申请日：2014-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  罗熙 ,  杨婧 ,  徐震 ,  王远

IPC: G06F17/30

Abstract: 本发明涉及一种基于用户的协同过滤的并行实现方法及系统。首先将待处理数据按照固定分块大小存放在分布式文件系统中；接着进行数据规范化处理、用户相似度计算以及推荐物品计算，其中数据规范化处理将数据整理成可并行处理的形式，用户相似度计算以及推荐物品计算均首先在文件存储的服务器中进行数据整理、同一文件系统数据归并操作，接着将处理结果以主键、值对的方式发送给中心节点，由中心节点按照主键计算出每个主键需要归并的节点，最后进行跨存储节点的数据归并操作，从而得到用户的最终推荐结果。本发明充分利用了分布式文件系统分块存储文件的特性，通过并行运算减少了循环遍历所需要的开销，能够满足面向海量用户进行协同推荐的要求。

公开(公告)号：CN106790062A

公开(公告)日：2017-05-31

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN103561012A

公开(公告)日：2014-02-05

申请号：CN201310517193.3

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  杨婧 ,  宋晨 ,  吕双双 ,  李乃山

IPC: H04L29/06 ,  H04L29/08 ,  G06F17/30

Abstract: 本发明涉及基于关联树的WEB后门检测方法及系统，包括链接关联树生成模块和攻击实时检测模块；该检测系统不依赖于杀毒软件或文件特征检测软件，而是首先对WEB网站链接进行主动爬取和访问记录收集，经过分析处理，构建出WEB网站的全部URL的链接集合，以计算机算法中树的形式标记URL的链接和跳转关系，形成链接关联树。对后门URL请求在链接关联树中不存在，系统的安全监控模块发出报警，并阻断该攻击请求。本发明的检测方法提高了WEB应用的安全性，解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击,通用性好，WEB服务器无需安装软件程序，对WEB服务器类型、WEB编程语言、用户使用等均透明。

公开(公告)号：CN113271292B

公开(公告)日：2022-05-10

申请号：CN202110371772.6

申请日：2021-04-07

Applicant: 中国科学院信息工程研究所

Inventor： 李依馨 ,  王利明 ,  杨婧

IPC: H04L9/40 ,  H04L61/4511 ,  G06F16/33 ,  G06F16/35 ,  G06F40/30 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于词向量的恶意域名集群检测方法及装置，包括：通过服务器日志中原始数据，生成各客户端的访问序列；对访问序列从时间维度与空间维度上进行聚类，生成域名访问序列；对各域名访问序列进行访问域名去重处理，生成域名集群；生成各访问域名的域名语义向量；通过域名集群与域名语义向量，生成域名语义向量矩阵；依据域名语义向量矩阵对域名集群进行分类，得到恶意域名集群检测结果。本发明可有效识别进行同一恶意活动的域名集群，为分析恶意活动提供更全面的视角，并且使用数据字段少，使用的计算资源少，提高了检测效率，可有效部署在各类企业或服务商网络中，无需安全人员手动调节参数，预训练好的模型可以稳定有效的运行。

公开(公告)号：CN106790062B

公开(公告)日：2020-05-08

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN106375345A

公开(公告)日：2017-02-01

申请号：CN201610966292.3

申请日：2016-10-28

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 解珍 ,  杨婧 ,  王利明 ,  孙默 ,  骆文 ,  王静

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1441 ,  H04L61/1511 ,  H04L63/145

Abstract: 本发明提出一种基于周期性检测的恶意软件域名检测方法，包含以下步骤：1)对输入数据进行过滤，得到一个稀少域名集合；2)从稀少域名集合中提取出 的请求时间序列，对其进行周期性检测，得到周期性域名集合；3)获取周期性域名集合中每一个周期性域名的特征向量；4)将周期性域名集合中周期性域名进行人工标记，根据特征向量，使用标注好的合法域名和恶意域名对分类器进行训练；5)将新的未标注域名作为步骤4)训练后的分类器的输入进行检测，输出结果为恶意软件域名。能够在隐蔽通信中发现具有周期性的恶意软件域名。同时提出基于上述方法的系统。

公开(公告)号：CN104601556A

公开(公告)日：2015-05-06

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/02

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。