公开(公告)号：CN107360051A

公开(公告)日：2017-11-17

申请号：CN201610868077.X

申请日：2016-09-30

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  黄江 ,  杜雄杰 ,  张伟 ,  流程 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L43/18 ,  H04L63/14 ,  H04L69/18

Abstract: 本发明涉及数据包识别技术，本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

公开(公告)号：CN103795590B

公开(公告)日：2017-07-04

申请号：CN201310743888.3

申请日：2013-12-30

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 刘勇 ,  张凤羽 ,  李轶夫 ,  鲁骁 ,  姚珊 ,  姜栋 ,  张建松 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26

Abstract: 本发明公开了一种网络流量检测阈值的计算方法，属于网络流量检测领域。本发明一种网络流量检测阈值的计算方法包括步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本发明提供的一种网络流量检测阈值的计算方法运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据，避免了由于没有实际的参考依据而出现的DDOS监测和网络流量监测的不准确性。

公开(公告)号：CN102542290B

公开(公告)日：2015-04-15

申请号：CN201110435765.4

申请日：2011-12-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中国互联网协会

Inventor： 严寒冰 ,  李鹏 ,  孙永革 ,  孙波 ,  李锐光 ,  郝智超 ,  张宏宾 ,  林绅文 ,  王进

IPC: G06K9/62 ,  H04L12/58

Abstract: 本发明公开了一种垃圾邮件图像识别方法。该方法包括：将邮件图像划分为文本区域和非文本区域；将所述非文本区域从空域变换到频域，并分解为水平、垂直和对角方向的细节子图像；对各个细节子图像中的高频系数进行统计分析，利用噪声连通域面积的总和与非文本区域面积的比值度量邮件图像的含噪声程度；根据所述邮件图像的含噪声程度是否达到了预设门限值，判断所述邮件图像是否为垃圾邮件图像。借助于本发明的技术方案，提高了通过含噪声程度进行垃圾邮件图像识别技术的识别精度。本发明还公开了一种垃圾邮件图像识别装置，包括图像区域划分模块、图像分解模块、含噪程度计算模块和图像判别模块。

公开(公告)号：CN103368972A

公开(公告)日：2013-10-23

申请号：CN201310316474.2

申请日：2013-07-26

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 杜跃进 ,  许俊峰 ,  孙波 ,  严寒冰 ,  袁春阳 ,  郑礼雄 ,  郭承青 ,  李欣 ,  李挺

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种网络攻击检测分析方法和系统，包括在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备；部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接；通过网络攻击监测发现设备对原始网络数据进行监测，利用网络攻击数据包特征匹配技术，监测发现网络攻击行为；网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备，同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备；网络攻击诱导分析设备模拟被攻击的主机和网络环境条件，对攻击数据包进行持续响应，使得攻击行为能够继续，通过网络攻击诱导分析设备上部署的主机和网络资源监控系统分析网络攻击的行为步骤路线和最终目的。

公开(公告)号：CN101924754B

公开(公告)日：2013-07-31

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。

公开(公告)号：CN102521838A

公开(公告)日：2012-06-27

申请号：CN201110427104.7

申请日：2011-12-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李鹏 ,  孙波 ,  王永建 ,  何跃鹰 ,  袁春阳 ,  刘辉

IPC: G06T7/00 ,  G06F17/30

Abstract: 本发明公开了一种图像检索/匹配方法。该方法首先求取两幅图像的初始匹配特征点集，然后判断并消除误匹配特征点对，再根据正确匹配特征点对的数量判断两幅图像是否匹配；其中，判断是否为误匹配特征点对，包括：在两幅图像中，分别以初始匹配特征点为中心，将图像均划分为两个以上的区域，并对各区域编号；在两幅图像中，分别以其他各初始匹配特征点所处区域的编号构成的矢量来描述该初始匹配特征点的全局特征；对两个矢量进行比较，如果相似度达到要求，则为正确的匹配特征点对。本发明方法不仅适应于图像尺度变化、图像嵌套、视角变化等复杂情况下的图像检索，而且具有较高的检索效率和识别准确率。本发明还相应公开了一种图像检索/匹配系统。

公开(公告)号：CN112217650B

公开(公告)日：2022-05-24

申请号：CN201910613031.7

申请日：2019-07-09

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 武斌 ,  孙波 ,  郑康锋 ,  张伟 ,  宋晨 ,  毛蔚轩

IPC: H04L41/14 ,  H04L41/142 ,  H04L9/40

Abstract: 本发明提供了网络阻塞攻击效果评估方法、装置及存储介质，所述方法包括步骤：确定网络阻塞攻击对应的评估指标；监控网络并对确定的评估指标进行数据采集和存储；预处理所述评估指标的数据；将已有的网络攻击评价数据作为样本，采用算法挖掘所述评估指标之间的比较隶属度，并建立为模糊评估矩阵；将模糊矩阵改造为模糊一致矩阵；计算所述评估指标的单层权重向量；计算攻击态势值评价矩阵。本申请通过数据挖掘中的特征提取的方法来建立模糊评估矩阵，实现对隐马尔可夫模型的改进并以此进行分析计算，辅助专家评估，能够对阻塞攻击效果更准确客观的评估，提升了有效性和实时性。

公开(公告)号：CN108874971B

公开(公告)日：2021-09-24

申请号：CN201810582832.7

申请日：2018-06-07

Applicant: 北京赛思信安技术股份有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  姚珊 ,  姜栋 ,  张建松 ,  高昕 ,  董建武 ,  王梦禹 ,  胡晓旭 ,  刘云昊 ,  梁维 ,  谢铭 ,  王峰 ,  汪军强

IPC: G06F16/25 ,  G06F16/28

Abstract: 本发明公开了一种应用于海量标签化实体数据存储的工具和方法，属于海量数据存储、标签数据存储领域。该工具包括标签元数据模块、实体标签数据模块和统一存取API模块。用户输入用户名密码和请求，统一存取API模块根据用户名和密码，访问标签元数据模块并读取标签的元数据，按用户请求对元数据进行包装，转换成数据层的数据格式，传输到数据层的对应接口对标签数据执行操作，实体标签数据模块根据统一存取API模块发出的请求执行相应的操作，并对数据做持久化处理。同时实体标签数据模块将处理结果返回给统一存取API模块，统一存取API模块将数据进行包装按照规定格式返回到工具界面。本发明具有高针对性，可扩展性及持久性，支撑更高层次的业务需求。

公开(公告)号：CN108650229B

公开(公告)日：2021-07-16

申请号：CN201810298535.X

申请日：2018-04-03

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 孙波 ,  房靖 ,  杜雄杰 ,  姚珊 ,  侯美佳 ,  董建武 ,  李胜男 ,  张泽亚 ,  刘云昊 ,  谢印东 ,  王俊彪 ,  韩兆岩 ,  李硕 ,  冯家玮

IPC: H04L29/06 ,  G06F21/55

Abstract: 本申请提供了一种网络应用行为解析还原方法及系统，能够提升信息安全审计的安全精度。网络应用行为解析还原方法包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；对获取的网络应用行为信息流进行信息安全审计。

公开(公告)号：CN108833525B

公开(公告)日：2021-06-25

申请号：CN201810582418.6

申请日：2018-06-07

Applicant: 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

Inventor： 孙波 ,  房婧 ,  王亿芳 ,  李胜男 ,  毛蔚轩 ,  盖伟麟 ,  李轶夫 ,  侯美佳 ,  张泽亚 ,  胡小勇 ,  谢铭 ,  王峰 ,  汪军强

IPC: H04L29/08 ,  G06F8/71 ,  G06F8/61

Abstract: 本发明提供了一种基于Fiddler的HTTPS流量内容的审计方法，涉及计算机技术领域。该方法首先在局域网、企业的出口网关处安装Fiddler软件；启动Fiddler软件，生成根CA证书，并分发至局域网和企业内部的机器，使之信任；局域网和企业内部的机器的代理服务设置为部署Fiddler的服务器的IP，端口为8888；启动Fiddler并打开HTTPS协议数据的捕获开关，Fiddler底层启动捕包处理流程，捕获网卡上所有数据包。编写处理插件代码并编译为dll文件，对实时捕获的HTTPS协议数据包的请求包和返回包提取字段并保存；编写HTTPS正则匹配模块的代码并编译为exe文件，对data目录中保存的文本文件进行正则匹配，生成日志。本发明以一种最小代价、灵活部署，满足对局域网、企业内部中小客户的HTTPS流量内容的审计要求。