公开(公告)号：CN113438332A

公开(公告)日：2021-09-24

申请号：CN202110555956.8

申请日：2021-05-21

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  吴佳挺 ,  刘庆云 ,  杨威 ,  郑超 ,  周舟 ,  张晓欧 ,  马泽宇

IPC: H04L29/12 ,  H04L29/08 ,  H04L29/06 ,  G06K9/62

Abstract: 本发明提供一种DoH服务标识方法及装置，包括提取被动流量及服务端口信息，构建IP解析域名的反向解析系统；提取被动流量的数据流特征，并将数据流特征输入一DoH流量分类器；获取DoH流量的服务端IP，并结合反向解析系统，得到一或多个DoH服务端域名；结合常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；将各DoH请求发生至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识。本发明解决DoH流量与普通HTTPs流量混淆无法区分的问题，克服了常规方法中训练集负样本缺失问题，保证DoH服务端标识的正确性，具有有较高的解析覆盖率，可随着系统部署周期的增加而不断提升识别正确率。

公开(公告)号：CN114430382B

公开(公告)日：2024-06-04

申请号：CN202111444967.5

申请日：2021-11-30

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  黄彩云 ,  刘庆云 ,  杨嵘 ,  李白杨 ,  吴佳挺 ,  马泽宇

IPC: H04L43/04 ,  H04L43/08 ,  H04L43/50 ,  H04L61/10 ,  H04L61/4511

Abstract: 本发明公开了一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置，包括：基于捕获的DNS流量，生成数据包日志文件；根据DNS流量的时间戳与标识符ID，保存依据日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，生成若干三元组日志文件；解析所述三元组日志文件，生成动态解析依赖图；基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果。本发明可以系统、全面的测量分析区域在主机名、IP地址、子网前缀、自治域号、组织机构、地理位置各维度上的静态/动态、局部/全局的冗余度，分析权威域名服务器之间、权威域名服务器和解析器之间存在的动态解析依赖和权重变化。

公开(公告)号：CN113438332B

公开(公告)日：2022-08-23

申请号：CN202110555956.8

申请日：2021-05-21

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  吴佳挺 ,  刘庆云 ,  杨威 ,  郑超 ,  周舟 ,  张晓欧 ,  马泽宇

IPC: H04L61/4511 ,  H04L67/02 ,  H04L9/40 ,  G06K9/62

Abstract: 本发明提供一种DoH服务标识方法及装置，包括提取被动流量及服务端口信息，构建IP解析域名的反向解析系统；提取被动流量的数据流特征，并将数据流特征输入一DoH流量分类器；获取DoH流量的服务端IP，并结合反向解析系统，得到一或多个DoH服务端域名；结合常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；将各DoH请求发生至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识。本发明解决DoH流量与普通HTTPs流量混淆无法区分的问题，克服了常规方法中训练集负样本缺失问题，保证DoH服务端标识的正确性，具有有较高的解析覆盖率，可随着系统部署周期的增加而不断提升识别正确率。

公开(公告)号：CN114430382A

公开(公告)日：2022-05-03

申请号：CN202111444967.5

申请日：2021-11-30

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  黄彩云 ,  刘庆云 ,  杨嵘 ,  李白杨 ,  吴佳挺 ,  马泽宇

IPC: H04L43/04 ,  H04L43/08 ,  H04L43/50 ,  H04L61/10 ,  H04L61/4511

Abstract: 本发明公开了一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置，包括：基于捕获的DNS流量，生成数据包日志文件；根据DNS流量的时间戳与标识符ID，保存依据日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，生成若干三元组日志文件；解析所述三元组日志文件，生成动态解析依赖图；基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果。本发明可以系统、全面的测量分析区域在主机名、IP地址、子网前缀、自治域号、组织机构、地理位置各维度上的静态/动态、局部/全局的冗余度，分析权威域名服务器之间、权威域名服务器和解析器之间存在的动态解析依赖和权重变化。

公开(公告)号：CN115348058B

公开(公告)日：2025-05-09

申请号：CN202210818672.8

申请日：2022-07-12

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  吴佳挺 ,  李白杨 ,  刘庆云 ,  揭真 ,  杨嵘 ,  杜梅婕 ,  张中一 ,  尹姜谊

IPC: H04L9/40 ,  G06F18/24

Abstract: 本发明公开一种基于数据帧抽取的DoH流量分析方法，涉及信息技术领域，从DoH流量中提取报文级别加密流量特征，构建并训练数据帧抽取分类器来识别承载数据帧TLS报文；将承载了数据帧的TLS报文重组成TLS流，提取流级别加密流量特征，构建并训练DoH流量指纹识别分类器来识别DoH流量对应的具体网页。本方法能够提升模型的准确性和泛化性。

公开(公告)号：CN115348058A

公开(公告)日：2022-11-15

申请号：CN202210818672.8

申请日：2022-07-12

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  吴佳挺 ,  李白杨 ,  刘庆云 ,  揭真 ,  杨嵘 ,  杜梅婕 ,  张中一 ,  尹姜谊

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开一种基于数据帧抽取的DoH流量分析方法，涉及信息技术领域，从DoH流量中提取报文级别加密流量特征，构建并训练数据帧抽取分类器来识别承载数据帧TLS报文；将承载了数据帧的TLS报文重组成TLS流，提取流级别加密流量特征，构建并训练DoH流量指纹识别分类器来识别DoH流量对应的具体网页。本方法能够提升模型的准确性和泛化性。