公开(公告)号：CN115982689A

公开(公告)日：2023-04-18

申请号：CN202211719146.2

申请日：2022-12-30

Applicant: 中国信息通信研究院 ,  哈尔滨工业大学(威海)

Inventor： 陈剑 ,  程亚楠 ,  张兆心 ,  李超 ,  谢家贵 ,  李志平 ,  王昊川

IPC: G06F21/44 ,  G06F21/60

Abstract: 本发明提供一种基于多元异构数据的DNS系统根区文件可信性关联验证系统，包括多元异构数据获取模块，多元异构数据获取模块与IANARoot Zone Database数据获取模块、AXFR传输数据获取模块以及主动探测数据模块连接，其解决了以往获取根区文件数据往往是单源的，即仅仅通过DNS请求或是区域传送请求来获取该文件，但却无法判断获取到的文件是否是最新的版本，也无法判断该文件是否因劫持而被篡改的技术问题，本发明通过该方法可动态地构建可信的根区文件数据，并可实现对根区文件的动态监测，构建的可信根区文件既可用于建立本地根，优化DNS解析过程，提高解析效率，也可以用于根侧解析异常检测。

公开(公告)号：CN115022018A

公开(公告)日：2022-09-06

申请号：CN202210606191.0

申请日：2022-05-31

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  程亚楠 ,  王连淼 ,  杜跃进 ,  张吉瑞 ,  邱明宇 ,  江昊

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明涉及一种基于网络实体动态调整举报治理恶意域名的方法，其解决了现有方法对恶意域名精准治理研究较少，治理方法孤立且难联动的技术问题，其包括收集各类可正常访问的恶意域名及它们的基础信息；然后根据这些信息进行网络实体的识别与网络实体基础信息的匹配与收集，并向符合条件的网络实体进行举报；在举报之后对各网络实体的治理效果进行跟踪与评估，根据评估状况不断调整与优化举报机制。本发明可广泛应于计算机领域需要及时清除或者拦截恶意域名的场合。

公开(公告)号：CN114880541A

公开(公告)日：2022-08-09

申请号：CN202210606165.8

申请日：2022-05-31

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  门浩 ,  程亚楠 ,  梁浩宇 ,  郭长勇 ,  李超 ,  赵东

IPC: G06F16/951 ,  G06F16/958 ,  G06F16/906 ,  G06F16/583 ,  G06Q10/06 ,  G06Q30/02 ,  H04L9/40 ,  H04L67/02

Abstract: 本发明涉及一种多设备网页中内嵌广告获取以及恶意性识别的方法，其解决了现有技术对跨平台及跨浏览器广告识别及恶意性标注方法较少，且不够完善，不够系统的技术问题，其步骤包括：从浏览器HTML文本中对资源记录进行捕捉，根据广告判定规则，使用正则表达式方式筛选出广告资源，并分别对广告资源中的图片资源和跳转链接资源进行解析；对解析结果按不同维度进行分类，具体包括：煽动特征分类过程和广告内容分类过程；对各维度分类结果，按维度重要程度进行加权赋值，标注广告的恶意性程度，进行风险评估。本发明可广泛应用于对违法违规广告的监测识别。

公开(公告)号：CN111884813B

公开(公告)日：2022-03-25

申请号：CN202010775718.3

申请日：2020-08-05

Applicant: 哈尔滨工业大学(威海)

Inventor： 闫健恩 ,  李佳欣 ,  程亚楠 ,  张兆心 ,  黄俊凯 ,  姚雨辰

IPC: H04L9/32 ,  H04L9/40 ,  G06K9/62

Abstract: 本发明涉及一种恶意证书检测方法，其解决了检测恶意证书方法出现的准确率不高，涉及恶意证书范围不广的技术问题，其包括：对证书进行基本的内容解析和规范性的检验，判断它是否符合RFC 5280；从CCADB获取的可信根证书和中间证书，结合证书本身AIA拓展信息中的CERT_ISSUER来构建完整的证书链，验证证书签名，验证整个证书链上的证书；对之前获取的证书的内容及相关的验证信息进行特征的提取；收集良性证书数据和恶意证书数据，对证书进行特征的提取；在数据特征提取之后，构建检测模型并实现对恶意证书的验证。本发明可广泛应于检测恶意的X.509证书。

公开(公告)号：CN113630409A

公开(公告)日：2021-11-09

申请号：CN202110895580.5

申请日：2021-08-05

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  常利婷 ,  赵东 ,  郭辉 ,  陆柯羽 ,  程亚楠 ,  柴婷婷

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种基于DNS解析流量和IP流量融合分析的异常流量识别方法，该方法包括以下步骤：步骤1、工控网络通信设备资产发现，采集企业参与通信的设备列表，建立工控网络通信设备资产信息库；骤2、DNS流量特征提取；步骤3、IP流量特征提取；步骤4、异常通信行为识别；步骤5、异常流量识别与防护；步骤6、异常流量画像信息获取；步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。该方法结合网络的特征，获取异常流量的画像信息，建立域名、IP地址、授权行为列表以及画像信息等多层防护屏障，可以实现高精确度监测，可以为安全管理人员提供更多的决策依据。

公开(公告)号：CN113590909A

公开(公告)日：2021-11-02

申请号：CN202110856090.4

申请日：2021-07-28

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  李超 ,  程亚楠 ,  陆柯羽 ,  门浩

IPC: G06F16/951 ,  G06F16/29 ,  G06F16/903 ,  G06F16/9537 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明涉及一种基于多源信息定位域名根镜像节点地理位置的方法，其解决了现有根镜像识别方法无法确定域名解析响应的镜像节点以及无法确定具体地理位置的技术问题，其包含以下步骤：获取标识符nsid信息源，其包括通过网络爬虫获取VeriSign网站提供的根镜像地理经纬度坐标信息，构造镜像标识符nsid与地理经纬度之间的映射集合setroot_lg；或者通过主动探测数据获取；根据nsid信息确定nsid对应的地理位置。本发明可广泛应用于采用任播技术提供解析服务的环境下，发现镜像任播节点并进行地理定位的领域。

公开(公告)号：CN113141611A

公开(公告)日：2021-07-20

申请号：CN202110583362.8

申请日：2021-05-27

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  赵帅 ,  程亚楠 ,  李超 ,  杜跃进

IPC: H04W12/12 ,  H04W24/08

Abstract: 本发明涉及一种基于多元异常行为特征检测云手机号码账户的方法，其解决了现有国内云手机号码的使用广泛但多数平台未能采取有效检测手段的技术问题，其根据用户使用电脑或移动设备注册、登录和操作应用平台的在线账户时，会在平台的网站或app的后台产生网络特征，通过分析和提取应用平台的账户信息，从云手机号码账户自身特性以及与其关联的IP、地理位置、登陆设备维度抽象出云手机号码账户具有的异常行为特征，依据各项特征的检测有效性与检测成本比值，在用户注册、用户登陆和/或账户数据库轮询检测场景下，对云手机号码注册账户的异常行为特征进行检测。本发明可广泛应用于云手机号码账号的检测。

公开(公告)号：CN108712403B

公开(公告)日：2020-08-04

申请号：CN201810419153.8

申请日：2018-05-04

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  程亚楠 ,  吴晓宝 ,  崔诗尧 ,  杜跃进 ,  陆柯羽

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明提供一种基于域名构造相似性的非法域名挖掘方法，其解决了现有方法不能主动挖掘大量非法域名的技术问题；包括以下步骤：步骤1，从域名黑名单中读取非法域名；步骤2，判断是否存在聚集成功的类，若不存在，则转到步骤10；否则，继续下一步；步骤3，判断当前域名是否可以归到第i个聚集类中，若不可以，则转到步骤10；否则，继续下一步；判断的依据是当前域名是否与中心域名相似，中心域名是指聚集类中有代表性的域名；步骤4，将当前域名并入第i个聚集类，并提取出当前域名与该类中心域名的匹配过程中所产生的生成模式，继续下一步；生成模式是聚集类中各域名与中心域名所提取出的通配字符串。本发明广泛应用于信息技术领域。

公开(公告)号：CN109361575A

公开(公告)日：2019-02-19

申请号：CN201811563066.6

申请日：2018-12-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  刘晓燕 ,  程亚楠 ,  陆柯羽 ,  杜跃进

IPC: H04L12/26 ,  H04L29/12

Abstract: 本发明涉及一种获取分析DNS流量数据的方法及其系统，其解决了现有方法分析web网页性能和服务使用情况的准确度的技术问题，其包括以下步骤：A.获取网页首次加载过程中的DNS流量数据；B.将步骤A中获取的DNS流量数据进行清洗处理，分别进行域名数量统计、DNS解析时间统计和资源记录分类统计；C.根据步骤B中域名数量统计和DNS解析时间统计分析网页性能；D.根据步骤B中资源记录分类统计分析网页资源的服务器地理位置、IP运营商的分布情况和网页使用CDN服务情况。本发明同时提供了其系统。本发明可广泛应用于互联网数据获取与分析领域。

公开(公告)号：CN108600249A

公开(公告)日：2018-09-28

申请号：CN201810419474.8

申请日：2018-05-04

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  程亚楠 ,  崔诗尧 ,  吴晓宝 ,  杜跃进 ,  陆柯羽

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/0876 ,  H04L61/1511 ,  H04L63/1441

Abstract: 本发明提供一种基于多维关联信息进行非法域名注册团伙挖掘的方法，其解决了现有方法中没有对非法域名注册团伙进行挖掘的技术问题；包括以下步骤：步骤1.对域名进行预处理：(1)判断输入的域名字符组成上是否正确；(2)将域名处理为注册域名、网站首页域名两种结构；步骤2.获取关联域名：步骤3.对关联域名中新增域名的恶意性进行验证，保留验证结果为恶意的域名集合；步骤4.获取恶意的域名的注册信息；步骤5.根据注册信息间的关联性强弱，挖掘非法注册团体。本发明广泛应用于信息技术领域。