公开(公告)号：CN105204487A

公开(公告)日：2015-12-30

申请号：CN201410828107.5

申请日：2014-12-26

Applicant: 北京邮电大学

Inventor： 郑康锋 ,  高大永 ,  张冬梅 ,  武斌 ,  伍淳华 ,  周杨 ,  查选

IPC: G05B23/02

Abstract: 本发明提出一种基于通信模型的工业控制系统的入侵检测方法及系统，在保证实用性的同时，最大限度地提高入侵检测的准确率。首先建立工业控制系统通信模型和通信规则，所述的通信模型包含节点信息和通信连接信息；工业控制系统通信模型建立之后，以通信模型为基础产生合法通信规则集，在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习，建立通信模型并生成通信规则集；然后在工业控制网络中部署探测器，捕获数据报，由数据报分析并提取通信连接信息，与所述生成的合法通信规则集进行比对，若有违反该合法通信规则集的通信连接则产生告警；若发现入侵，则调用系统响应模块采取相应的响应策略，若实际检测有误，则进行分析并重新进行学习。

公开(公告)号：CN102904770A

公开(公告)日：2013-01-30

申请号：CN201210274099.5

申请日：2012-08-02

Applicant: 北京邮电大学

Inventor： 郑康锋 ,  张冬梅 ,  武斌 ,  王秀娟

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04M7/00

Abstract: 本发明提出了一种高带宽VoIP检测系统，针对语音终端用户的DoS攻击的实时自动检测，针对语音协议层的DoS攻击和畸形包攻击的自动识别和检测。该系统包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元，在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块；其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接，数据分析集群分别与事件处理代理单元和在线检测分析集群连接，网络处理器集群和在线检测分析集群连接，事件处理代理单元的输出与离线检测单元连接，离线检测单元的输出与在线检测分析集群连接。

公开(公告)号：CN109409433A

公开(公告)日：2019-03-01

申请号：CN201811284740.7

申请日：2018-10-31

Applicant: 北京邮电大学

Inventor： 郑康锋 ,  伍淳华 ,  武斌 ,  张冬梅 ,  毛雨

IPC: G06K9/62 ,  G06Q50/00

Abstract: 本发明提出一种社交网络用户的人格识别系统和方法，属于机器学习和主体认知领域。本发明系统包括：社交网络爬虫模块，社交网络用户人格分析模块，社交网络用户数据库模块，分析结果响应模块。首先，爬取用户授权的网络行为数据，生成带人格标签的离线网络行为数据集；对带人格标签的离线网络行为数据提取用户行为特征；将前述数据分为训练集和测试集，采用不同的机器学习算法，最终选取最优模型；最后，继续模型优化，直到获得达标的人格分析模型，进而得到该用户的人格标签。本发明通过分析社交网络用户的线上行为，挖掘强相关特征，根据群智能优化算法选出最优特征组合，分析得到社交网络用户的人格，为个性化推荐和用户心理预警提供基础。

公开(公告)号：CN102088379B

公开(公告)日：2013-03-13

申请号：CN201110025474.8

申请日：2011-01-24

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 张冬梅 ,  闫丹凤 ,  王鲁华 ,  舒敏 ,  周春燕 ,  钟金鑫 ,  邓明

IPC: H04L12/26 ,  H04L29/06

Abstract: 一种基于沙箱技术的客户端蜜罐网页恶意代码检测方法及装置，本发明装置设有服务端单元、客户端管理单元和检测单元，在与web服务器的实时交互过程中，该装置通过监控浏览器行为的变化来检测网页恶意代码。其检测方法是：服务端单元先从人机交互界面接收检测参数，再开启虚拟机应用程序，由虚拟机软件开启虚拟机后，客户端管理单元建立服务端单元所位于的PC机和虚拟机的通信，然后，开启浏览器浏览指定网页；检测单元监控整个浏览过程，客户端管理单元评估监控数据后，由服务端单元通过人机交互界面展示该评估结果。与现有技术相比较，本发明能够比较准确地检测与发现网页中存在的恶意代码，并大大提高了网页恶意代码的检测效率。

公开(公告)号：CN102708309A

公开(公告)日：2012-10-03

申请号：CN201110203672.9

申请日：2011-07-20

Applicant: 北京邮电大学

Inventor： 郑康锋 ,  武斌 ,  张冬梅 ,  王秀娟 ,  芦天亮

IPC: G06F21/00

Abstract: 本发明属于网络安全领域，为一种恶意代码自动分析方法及系统。包括客户端浏览器、控制中心、样本接收和登记模块、样本处理模块、报告生成模块、客户信息数据库；首先计算样本文件的HASH值，同原始分析的样本进行对比判断是否曾分析过，如果分析过则直接返回以前的分析结果；对于未分析过的样本，调用杀毒引擎进行病毒扫描，判断恶意代码是否是已知恶意代码，对于已知恶意代码，获得其恶意代码名称、种类、危害等级信息；对于未知恶意代码样本，进行更加全面的动态分析，根据恶意代码运行的平台不同分为计算机恶意代码和手机恶意代码。本发明能够对计算机和智能手机中的已知恶意代码进行快速有效的识别，并且对于未知的恶意代码可准确的分析其运行过程中的各种恶意操作行为。

公开(公告)号：CN101764807B

公开(公告)日：2012-09-05

申请号：CN200910241934.3

申请日：2009-12-16

Applicant: 北京邮电大学

Inventor： 魏更宇 ,  张世栋 ,  张冬梅

IPC: H04L29/06 ,  H04L29/08 ,  H04L29/12 ,  G06F17/30

Abstract: 一种基于元搜索引擎的多源下载互联网资源的装置及方法，该装置设有用户单元、叠加网单元、搜索单元与下载单元，所有单元或软件模块均部署在客户端，并在客户端完成所有下载操作，以弱化现有的下载装置对中心服务器或多媒体检索数据库的依赖和脱离服务被动选择的模式，并充分利用元搜索引擎的发展，开展互联网的下载应用。该装置充分利用互联网的元搜索引擎定位发现文件源地址，并对目标文件进行同一资源的多个地址搜索，通过多源下载技术进行目标资源的并行下载与合并。做到了既利用各类搜索引擎的发展，提高搜索结果的准确度；又利用多源下载技术提供更快、更稳定的下载服务。而且，资源的地址与搜索都基于用户的设置，能满足用户的个性化需求。