公开(公告)号：CN116318975A

公开(公告)日：2023-06-23

申请号：CN202310253985.8

申请日：2023-03-16

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  肖庆赛 ,  汪秋云 ,  辛丽玲 ,  任房利 ,  刘宝旭

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/20

Abstract: 本发明公开一种基于多会话和多协议的恶意流量检测方法与系统，属于互联网技术领域，首先利用启发式算法将多个有关联会话合并成一个会话序列，然后从会话中提取状态，将会话序列转换为状态序列，最后利用大量的状态序列训练马尔科夫链模型作为网络通信行为指纹。在检测阶段，通过计算每一个序列和网络通信行为指纹的匹配度来判断是否是恶意流量。本发明能够充分挖掘恶意软件产生的多个会话之间的上下文特征，准确高效的检测出恶意软件的流量。

公开(公告)号：CN110474872A

公开(公告)日：2019-11-19

申请号：CN201910604237.3

申请日：2019-07-05

Applicant: 中国科学院信息工程研究所

Inventor： 罗蒙 ,  姜政伟 ,  汪秋云 ,  任房利 ,  汪姝玮 ,  辛丽玲

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开一种基于DNS解析依赖的域名服务风险评估方法与系统，用于确定给定域名的解析过程中所依赖的区域、域名以及服务器，并且在已知相关服务器风险的情况下，能够计算给定域名成功解析的风险。所述方法包括：从被动采集的DNS数据中抽取A、AAAA、CNAME、NS四种类型的资源记录；利用域名解析过程中的父区域依赖、名字服务器依赖、别名依赖、服务器依赖构建给定域名解析的资源记录依赖图；利用前述四种依赖之间的关系将域名解析资源记录依赖图转化成逻辑关系树；利用逻辑关系树中服务器的风险评估值自下向上计算给定域名正常解析的风险值。

公开(公告)号：CN104618343B

公开(公告)日：2018-11-09

申请号：CN201510004956.3

申请日：2015-01-06

Applicant: 中国科学院信息工程研究所

Inventor： 任房利 ,  仇新梁 ,  赵双 ,  武杨 ,  白波 ,  李龙泉 ,  刘建

IPC: H04L29/06

Abstract: 本发明提供了一种基于实时日志的网站威胁检测方法，该方法包括：实时采集监控网站日志服务器的日志数据；对日志数据进行转换与实时分发；对日志数据进行实时处理与检测；对所述网站威胁检测结果进行实时展示，并根据所述检测结果的严重程度进行实时预警。本发明还提供了一种基于实时日志的网站威胁检测系统，该系统日志数据实时采集单元、日志数据实时转换与分发单元、日志数据实时处理与检测单元及日志数据实时监控单元。本发明能够提高日志数据的处理能力及时效性，提高网站威胁检测与反应的及时性，降低网站运行的风险，为网络的信息安全提供有力的保障。

公开(公告)号：CN112929380A

公开(公告)日：2021-06-08

申请号：CN202110198784.3

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  贾梓健 ,  姚叶鹏 ,  汪秋云 ,  任房利 ,  刘宝旭

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为：1)构建一元学习网络，将木马流量样本输入元学习网络的嵌入部分，得到样本的特征向量；2)挑选出C个类别，并为每个类别挑选出K个样本并划分为支持集和查询集；3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量，将该条向量作为对应类别的代表向量；4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层，得到关系得分，然后根据该关系得分计算损失值，迭代优化元学习网络；5)对于一待识别的流量数据，将其输入训练后的所述元学习网络，根据所得关系得分确定该流量数据对应的类别。

公开(公告)号：CN112929380B

公开(公告)日：2022-04-15

申请号：CN202110198784.3

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  贾梓健 ,  姚叶鹏 ,  汪秋云 ,  任房利 ,  刘宝旭

IPC: H04L9/40 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为：1)构建一元学习网络，将木马流量样本输入元学习网络的嵌入部分，得到样本的特征向量；2)挑选出C个类别，并为每个类别挑选出K个样本并划分为支持集和查询集；3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量，将该条向量作为对应类别的代表向量；4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层，得到关系得分，然后根据该关系得分计算损失值，迭代优化元学习网络；5)对于一待识别的流量数据，将其输入训练后的所述元学习网络，根据所得关系得分确定该流量数据对应的类别。

公开(公告)号：CN104618343A

公开(公告)日：2015-05-13

申请号：CN201510004956.3

申请日：2015-01-06

Applicant: 中国科学院信息工程研究所

Inventor： 任房利 ,  仇新梁 ,  赵双 ,  武杨 ,  白波 ,  李龙泉 ,  刘建

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1425

Abstract: 本发明提供了一种基于实时日志的网站威胁检测方法，该方法包括：实时采集监控网站日志服务器的日志数据；对日志数据进行转换与实时分发；对日志数据进行实时处理与检测；对所述网站威胁检测结果进行实时展示，并根据所述检测结果的严重程度进行实时预警。本发明还提供了一种基于实时日志的网站威胁检测系统，该系统日志数据实时采集单元、日志数据实时转换与分发单元、日志数据实时处理与检测单元及日志数据实时监控单元。本发明能够提高日志数据的处理能力及时效性，提高网站威胁检测与反应的及时性，降低网站运行的风险，为网络的信息安全提供有力的保障。