公开(公告)号：CN106027559B

公开(公告)日：2019-07-05

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN108650225A

公开(公告)日：2018-10-12

申请号：CN201810291930.5

申请日：2018-04-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 孙波 ,  胡晓旭 ,  司成祥 ,  姜栋 ,  张建松 ,  董建武 ,  侯美佳 ,  盖伟麟 ,  李轶夫 ,  李建清 ,  贾鹏 ,  王伟 ,  吴云鹏

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1433 ,  H04L63/1441

Abstract: 本申请提供了一种远程安全监测设备、系统及远程安全监测方法，能够提升安全监测效率以及监控准确性。远程安全监测系统包括：远程安全监测设备，基于预先设置的智能设备指纹库，对智能设备进行端口和漏洞扫描，确定智能设备存在扫描风险，进行预警；接收智能设备恶意使用行为信息以及异常流量数据信息，与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配，检测智能设备是否存在恶意使用行为和隐私侵犯行为，若存在，进行预警；智能设备，用于采集智能设备行为信息以及原始流量数据信息，对智能设备行为信息以及原始流量数据信息进行分析，获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备。

公开(公告)号：CN107360051A

公开(公告)日：2017-11-17

申请号：CN201610868077.X

申请日：2016-09-30

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  黄江 ,  杜雄杰 ,  张伟 ,  流程 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L43/18 ,  H04L63/14 ,  H04L69/18

Abstract: 本发明涉及数据包识别技术，本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

公开(公告)号：CN103795590B

公开(公告)日：2017-07-04

申请号：CN201310743888.3

申请日：2013-12-30

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 刘勇 ,  张凤羽 ,  李轶夫 ,  鲁骁 ,  姚珊 ,  姜栋 ,  张建松 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26

Abstract: 本发明公开了一种网络流量检测阈值的计算方法，属于网络流量检测领域。本发明一种网络流量检测阈值的计算方法包括步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本发明提供的一种网络流量检测阈值的计算方法运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据，避免了由于没有实际的参考依据而出现的DDOS监测和网络流量监测的不准确性。

公开(公告)号：CN103905424A

公开(公告)日：2014-07-02

申请号：CN201310729327.8

申请日：2013-12-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李轶夫 ,  王永刚 ,  赵忠华 ,  姚珊 ,  徐剑

IPC: H04L29/06

Abstract: 本发明公开了一种短域名安全性评定方法，包括：将接收到的短域名还原成原始域名；对原始域名进行安全检查，根据检查结果向用户进行提示。本发明通过对短域名转换为原域名，对该域名的安全性进行判断，对有恶意的域名进行阻拦，对不确定的域名进行提示，大大提高了短域名的安全性。

公开(公告)号：CN108833525B

公开(公告)日：2021-06-25

申请号：CN201810582418.6

申请日：2018-06-07

Applicant: 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

Inventor： 孙波 ,  房婧 ,  王亿芳 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  侯美佳 ,  张泽亚 ,  胡小勇 ,  谢铭 ,  王峰 ,  汪军强

IPC: H04L29/08 ,  G06F8/71 ,  G06F8/61

Abstract: 本发明提供了一种基于Fiddler的HTTPS流量内容的审计方法，涉及计算机技术领域。该方法首先在局域网、企业的出口网关处安装Fiddler软件；启动Fiddler软件，生成根CA证书，并分发至局域网和企业内部的机器，使之信任；局域网和企业内部的机器的代理服务设置为部署Fiddler的服务器的IP，端口为8888；启动Fiddler并打开HTTPS协议数据的捕获开关，Fiddler底层启动捕包处理流程，捕获网卡上所有数据包。编写处理插件代码并编译为dll文件，对实时捕获的HTTPS协议数据包的请求包和返回包提取字段并保存；编写HTTPS正则匹配模块的代码并编译为exe文件，对data目录中保存的文本文件进行正则匹配，生成日志。本发明以一种最小代价、灵活部署，满足对局域网、企业内部中小客户的HTTPS流量内容的审计要求。

公开(公告)号：CN108650225B

公开(公告)日：2021-03-02

申请号：CN201810291930.5

申请日：2018-04-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 孙波 ,  胡晓旭 ,  司成祥 ,  姜栋 ,  张建松 ,  董建武 ,  侯美佳 ,  盖伟麟 ,  李轶夫 ,  李建清 ,  贾鹏 ,  王伟 ,  吴云鹏

IPC: H04L29/06

Abstract: 本申请提供了一种远程安全监测设备、系统及远程安全监测方法，能够提升安全监测效率以及监控准确性。远程安全监测系统包括：远程安全监测设备，基于预先设置的智能设备指纹库，对智能设备进行端口和漏洞扫描，确定智能设备存在扫描风险，进行预警；接收智能设备恶意使用行为信息以及异常流量数据信息，与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配，检测智能设备是否存在恶意使用行为和隐私侵犯行为，若存在，进行预警；智能设备，用于采集智能设备行为信息以及原始流量数据信息，对智能设备行为信息以及原始流量数据信息进行分析，获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备。

公开(公告)号：CN108055246A

公开(公告)日：2018-05-18

申请号：CN201711227117.3

申请日：2017-11-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  张建松 ,  司成祥 ,  李应博 ,  张伟 ,  杜雄杰 ,  姜栋 ,  房婧 ,  姚姗 ,  高昕 ,  李轶夫 ,  刘成 ,  侯美佳 ,  盖伟麟 ,  王亿芳 ,  董建武 ,  胡晓旭 ,  王梦禹 ,  毛蔚轩 ,  张泽亚 ,  李胜男

IPC: H04L29/06

Abstract: 本发明提供了一种非正常网络空间资产自动加入黑名单的控制系统，其包括检测单元、接收单元、处理模块，通过处理模块对企业的网络空间资产进行处理，将检测到的企业同一IP上绑定超过预定数目个域名或同一域名上绑定超过预定数目个数据，则将其加入黑名单，并只获取该IP的预定数目个域名或域名上的预定数目个数据。本发明通过处理模块将非正常企业IP的域名以及非正常企业域名的数据加入黑名单，使得本发明能够将网络中真正重要的网络资产过滤后，再进行安全分析。本发明通过将非正常网络空间资产加黑后，可以快速实现企业对网络资产进行处理，使企业的网络资产都是企业的真实资产。

公开(公告)号：CN107426049A

公开(公告)日：2017-12-01

申请号：CN201710342921.X

申请日：2017-05-16

Applicant: 国家计算机网络与信息安全管理中心 ,  北京天融信科技有限公司

Inventor： 孙波 ,  李轶夫 ,  姚珊 ,  姜栋 ,  鲁骁 ,  张建松 ,  张伟 ,  杜雄杰 ,  司成祥 ,  房婧 ,  李应博 ,  刘成 ,  胡晓旭 ,  王亿芳 ,  王梦禹 ,  刘斯宇 ,  李海峰 ,  陈朴 ,  杨亚南

IPC: H04L12/26 ,  H04L12/813

CPC classification number: H04L43/028 ,  H04L43/04 ,  H04L43/08 ,  H04L43/0876 ,  H04L47/20

Abstract: 本发明提供了一种网络流量精确检测方法、设备及存储设备，所述方法包括：获取网络中的待检测数据包，根据预设的提取位置集在所述数据包中提取若干个内容串，其中所述提取位置集中包括若干个提取特征的关键字或位置、及提取长度；将所述内容串在预设的特征串集中进行匹配，得到每个所述内容串的匹配结果；判断若干个所述匹配结果是否满足预设的特征关系，当所述匹配结果满足所述预设的特征关系时，则所述数据包命中所述预设的特征关系对应的规则。本发明在特征定义与匹配时，采用先提取后查询比对的方法，有效解决目前使用正则表达式定义复杂和特征匹配性能不可控的问题。

公开(公告)号：CN106055691A

公开(公告)日：2016-10-26

申请号：CN201610406253.8

申请日：2016-06-12

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  钟峰 ,  鲁骁 ,  姚珊 ,  姜栋 ,  张建松 ,  司成祥

IPC: G06F17/30 ,  H04L29/08

CPC classification number: G06F16/13 ,  H04L67/1097

Abstract: 本发明提供了一种分布式数据存储处理方法及存储处理系统。对大批量来源数据，按照等比大小进行切分为M个数据块，对每个切分的数据块里的每条数据建立索引并进行存储；将所述M个数据块一一对应分别发送给N个不同的服务器，进行存储。能够满足现有大数据量情况下，数据处理速度更快、耗时更短，时效性更强，支持数据的修改与删除操作，并能够提供实时查询功能。