公开(公告)号：CN118677642A

公开(公告)日：2024-09-20

申请号：CN202410553173.X

申请日：2024-05-07

Applicant: 中资网络信息安全科技有限公司 ,  中国科学院信息工程研究所

Inventor： 欧阳林澍 ,  孙睿 ,  段凌轩 ,  刘路 ,  杨晓恬 ,  丁庸

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开一种基于分段信息熵的异常证书检测方法及系统，属于流量检测技术领域。所述方法包括：根据若干正常证书中表现自然语义的字段的熵值，生成该字段的可信范围；获取待检测证书的证书日记；基于待检测证书的证书日记，计算待检测证书中表现自然语义的字段的熵值，并结合对应字段的可信范围，得到所述待检测证书的第一检测结果。本发明结合流量识别、重要证书特征匹配等关键流程，进行流量中异常证书发现，进而对异常链接进行告警，发现可能的恶意链接、隐蔽SSL通道。

公开(公告)号：CN118487938A

公开(公告)日：2024-08-13

申请号：CN202410428056.0

申请日：2024-04-10

Applicant: 中国科学院信息工程研究所

Inventor： 揭真 ,  朱宇佳 ,  秦云杨 ,  李卓 ,  程逸飞 ,  丁庸 ,  杨智清

IPC: H04L41/12 ,  H04L45/02

Abstract: 本发明属于网络技术领域，涉及一种基于相似关联分析的POP节点发现方法和装置。该方法包括：使用全网扫描工具获取公开资产列表作为扫描目标；对于扫描目标使用主动探测的方式提取数据特征；获取在POP重要关口中的真实流量，使用被动探测的方式提取数据特征；实时监控数据变化，通过设定有效特征的判断标准，对主动探测和被动探测得到的数据特征进行特征筛选，得到有效特征，并持续动态更新有效特征；对有效特征进行向量化，并按照重要性进行加权处理，得到特征向量库；利用特征向量库，结合机器学习方法训练分类器，利用训练完成的分类器进行特征分类以发现新的POP节点。本发明能够提高POP节点发现的准确性和适应性。

公开(公告)号：CN118277821A

公开(公告)日：2024-07-02

申请号：CN202410259749.1

申请日：2024-03-07

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  张麟康 ,  丁庸 ,  程逸飞 ,  揭真 ,  李白杨 ,  秦云杨 ,  刘庆云

IPC: G06F18/24 ,  H04L43/18 ,  H04L9/40 ,  H04L69/22 ,  G06F18/213 ,  G06F18/22 ,  G06F18/21 ,  G06N3/08

Abstract: 本发明公开了一种基于QoS分析的卫星互联网终端用户发现方法和装置。本方法为：1)获取每一所选公开数据源的IP池，将各IP池作为规则集；将PoP节点IP作为卫星互联网终端用户特征；2)利用规则集中的卫星互联网终端用户特征与收集的流量匹配，得到一个卫星互联网终端集合；3)收集地面网络流量集和将卫星互联网终端作为终端的被动流量数据集；4)提取数据集中每一数据流的QoS关联特征；5)利用地面网络数据流特征、被动数据流特征训练深度神经网络模型，得到卫星互联网终端分类器；6)对实时监测到的一待识别终端的被动流量进行特征提取并输入分类器，识别是否为卫星互联网终端。本发明提升了卫星互联网终端用户发现的效率。

公开(公告)号：CN119544266A

公开(公告)日：2025-02-28

申请号：CN202411493255.6

申请日：2024-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  程逸飞 ,  丁庸 ,  张麟康 ,  李白杨 ,  杨嵘 ,  刘庆云

IPC: H04L9/40 ,  H04L67/02 ,  H04L69/22 ,  H04L69/18

Abstract: 本发明公开一种基于HTTP版本推断的云上网站识别方法及装置，属于加密流量分析技术领域。所述方法包括：将网络流量划分为网络流；提取网络流的流量特征，并对所述流量特征进行编码，得到所述网络流量的特征矩阵；其中，所述流量特征包括：该网络流使用的HTTP版本信息和承载的网络资源数量；基于所述特征矩阵得到网站识别结果。本发明可以为网络监管、追踪网络犯罪活动等现实应用提供具有鲁棒、准确的轻量级网站识别技术解决方案。

公开(公告)号：CN119109902A

公开(公告)日：2024-12-10

申请号：CN202411285388.4

申请日：2024-09-13

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  莫迪凯 ,  曾濛 ,  张麟康 ,  李白杨 ,  丁庸 ,  刘庆云 ,  王学宾 ,  李钊 ,  季欣怡

IPC: H04L61/4511 ,  H04L43/50 ,  H04L41/14

Abstract: 本发明涉及一种基于双端测量模式的DNS服务器安全参数黑盒测试方法和系统。该方法包括：确定待测参数并进行建模；注册域名并设置测试客户端和测试权威端；测试客户端向目标解析器发起测试，触发目标解析器的域名解析行为；目标解析器与测试权威端进行交互，通过测试权威端的动态响应影响目标解析器的状态并触发目标解析器的行为；从测试客户端和测试权威端进行目标解析器的行为信息的收集，并根据待测参数测试模型估算目标解析器的实际行为表现对应的安全参数范围。本发明仅通过目标解析器在域名解析过程中的通信行为对其安全参数进行推断，不需要目标解析器的源码或配置文件等额外信息，能够以简单高效的方式对目标安全性进行评估。

公开(公告)号：CN118540102A

公开(公告)日：2024-08-23

申请号：CN202410476353.2

申请日：2024-04-19

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  韩丁康 ,  李白杨 ,  揭真 ,  丁庸 ,  曾濛 ,  杨嵘 ,  刘庆云

IPC: H04L9/40 ,  H04L69/167 ,  H04L69/22 ,  H04L101/659

Abstract: 本发明公开了一种双栈解析器风险评估方法及系统。本方法包括：1)探测目标双栈解析器分别在IPv4协议、IPv6协议上的防护力度，并根据防护力度评估该目标双栈解析器的安全防护配置指标值；2)探测该目标双栈解析器分别在IPv4协议、IPv6协议上的网络行为表现，评估该目标双栈解析器对双栈支持的实现效果指标值；3)解析该目标双栈解析器的IPv6地址字符串，根据检测解析结果中是否包含设定的敏感语义以及设备信息，评估该目标双栈解析器的信息泄露指标值；4)根据该目标双栈解析器的配置指标值、实现效果指标值和泄露指标值，量化得到该双栈解析器面临的安全风险程度。本发明实现针对双栈解析器服务潜在安全风险的快速排查。