公开(公告)号：CN113595975A

公开(公告)日：2021-11-02

申请号：CN202110660187.8

申请日：2021-06-15

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  王晓蕾 ,  赵子豪 ,  张方娇 ,  刘井强 ,  曹雅琴

IPC: H04L29/06 ,  G06F9/455

Abstract: 本发明提出了一种Java内存Webshell的检测方法及装置，包括：在Java Web服务中分别植入敏感方法调用监控点与底层敏感行为监控点；根据敏感调用方法监控点收集的敏感方法调用信息，获取危险类，并对所述危险类进行判定，获取敏感方法调用检测结果；根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类，获取底层敏感行为检测结果；结合敏感方法调用检测结果与底层敏感行为检测结果，得到Webshell检测结果。本发明对用户请求实时监测，能够及时发现并拦截Java内存Webshell，从根源上进行防御，几乎不存在误报，同时能够适用于多种Web应用场景，并且不会对正常业务造成影响。

公开(公告)号：CN102932794B

公开(公告)日：2017-08-08

申请号：CN201210431937.5

申请日：2012-11-01

Applicant: 中国科学院信息工程研究所

Inventor： 翟立东 ,  张方娇 ,  朱宇佳 ,  任云龙

IPC: H04W12/12 ,  H04W84/18

Abstract: 本发明涉及一种分簇自组织网络中黑洞攻击检测方法，该方法包括以下步骤：步骤1：在基站处安放一台监控装置;步骤2：对该基站覆盖范围内的自组织网络中所有簇头区域进行实时监测；步骤3：判断所监控的区域是否存在异常簇头区域，如果存在进入步骤4，否则返回步骤2；步骤4：对异常簇头区域中的终端节点的信用等级进行检测，找到可疑节点组成可疑节点集合S1；步骤5：对S1中节点的流量差值进行检测，找出黑洞攻击节点组成黑洞攻击节点集合S2；步骤6：监控装置发出预警提示。该方法不仅能解决单个恶意节点的攻击，还能有效解决了多个恶意节点之间相互协作配合进行攻击的问题，且能发出报警，利于及时对黑洞攻击进行防御和处理。

公开(公告)号：CN113239352B

公开(公告)日：2022-05-17

申请号：CN202110367559.8

申请日：2021-04-06

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  赵子豪 ,  张方娇 ,  刘井强 ,  谭儒 ,  张金莉 ,  刘潮歌

IPC: G06F21/56 ,  G06F40/216 ,  G06F16/33 ,  G06F16/35 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种Webshell检测方法及系统，包括：获取源码文件；计算源码文件的模糊哈希值、数据流语法特征、统计学特征和语法结构特征；获取统计学特征表示；分别将源码文件的模糊哈希值及数据流语法特征与Webshell特征库对比，得到同源相似度检测结果及数据流语法特征检测结果；分别将统计学特征表示及语法结构特征，输入统计学文件特征检测模型及语法结构特征检测模型，得到统计学文件特征检测结果及语法结构特征检测结果；根据上述检测结果，获取待检测网站文件的Webshell检测结果。本发明能够有效地检测出网站及APT攻击中的Webshell样本，检测效率高，可检测新型、变种Webshell，提供了较好的用户体验，能够在常规站点检查中达到有效检测Webshell的效果。

公开(公告)号：CN109543933B

公开(公告)日：2021-10-22

申请号：CN201811167155.9

申请日：2018-10-08

Applicant: 中国科学院信息工程研究所

Inventor： 张方娇 ,  崔翔 ,  赵建军 ,  刘潮歌 ,  刘奇旭

IPC: G06Q10/06

Abstract: 本发明公开了一种网安人员技能测评系统，包括一用于测评的网络结构、Flag分发器、脚本验证服务器和Scoreboard模块；其中，网络结构包括多个私有网络和多个目标网络，每一所述私有网络分别连接一对应的所述目标网络，各目标网络通过公网连接；目标网络上部署用于考核攻防技能的题目和用于考核追踪溯源能力的题目；每一私有网络用于一参赛队伍登录；Flag分发器，用于当各参赛队伍的参赛人员完成所部署的题目后，动态更新、配置题目Flag信息；脚本验证服务器，用于验证无Flag信息的题目的完成情况；Scoreboard模块，用于按照评分规则和每一参赛人员获得的题目Flag信息，得到对应参赛人员的得分。

公开(公告)号：CN102905336A

公开(公告)日：2013-01-30

申请号：CN201210333412.8

申请日：2012-09-10

Applicant: 中国科学院信息工程研究所

Inventor： 王志磊 ,  翟立东 ,  朱宇佳 ,  张方娇

IPC: H04W40/04 ,  H04W52/02 ,  H04W84/18

CPC classification number: Y02D70/32

Abstract: 本发明涉及一种路由方法及系统。路由方法用于无线传感器网络，包括：在设定的选择周期开始后，根据无线传感器网络中各节点之间的空间相关性和各节点的剩余能量选择簇头节点；根据所述簇头节点对所述无线传感器网络中的各节点进行分簇；按照分簇结果进行路由。本发明的路由方法及系统，在簇头的选择上，使得相邻的节点尽量的聚集在一个簇中，使同簇节点之间尽可能的紧凑，簇间节点尽可能的分开。这样最大限度地将邻近节点集中分簇，便于更充分的利用节点之间的空间相关性，方便进行数据的去冗余及数据融合，从而达到降低节点能耗、均衡全网能量的目的，并因此有效地延长了无线传感器网络的寿命。

公开(公告)号：CN115760147A

公开(公告)日：2023-03-07

申请号：CN202111032730.6

申请日：2021-09-03

Applicant: 中国科学院信息工程研究所

Inventor： 张方娇 ,  刘潮歌 ,  刘奇旭 ,  崔翔

IPC: G06Q30/018 ,  G06F18/22 ,  G06F40/194 ,  G06F40/216

Abstract: 本发明公开了一种网安竞赛作弊检测方法及系统。本方法为：1)提取网安竞赛参赛队伍提交的每一WriteUp文档中的图像内容和文本内容；2)计算参赛队伍间提交的WriteUp文档中的图像内容的相似程度；3)如果图像内容相似度大于设定图像相似度阈值，则初步判定参赛队伍间存在作弊行为；4)计算参赛队伍间提交的WriteUp文档中文本内容的相似程度；如果文本内容相似度大于设定文本内容相似度阈值，则初步判定参赛队伍间存在作弊行为；5)根据两网安竞赛参赛队伍提交的WriteUp文档中图像内容相似度和文本内容相似度，确定两网安竞赛参赛队伍是否存在作弊行为。本发明极大地提高了WriteUp审核的效率和准确性。

公开(公告)号：CN113239352A

公开(公告)日：2021-08-10

申请号：CN202110367559.8

申请日：2021-04-06

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  赵子豪 ,  张方娇 ,  刘井强 ,  谭儒 ,  张金莉 ,  刘潮歌

IPC: G06F21/56 ,  G06F40/216 ,  G06F16/33 ,  G06F16/35 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种Webshell检测方法及系统，包括：获取源码文件；计算源码文件的模糊哈希值、数据流语法特征、统计学特征和语法结构特征；获取统计学特征表示；分别将源码文件的模糊哈希值及数据流语法特征与Webshell特征库对比，得到同源相似度检测结果及数据流语法特征检测结果；分别将统计学特征表示及语法结构特征，输入统计学文件特征检测模型及语法结构特征检测模型，得到统计学文件特征检测结果及语法结构特征检测结果；根据上述检测结果，获取待检测网站文件的Webshell检测结果。本发明能够有效地检测出网站及APT攻击中的Webshell样本，检测效率高，可检测新型、变种Webshell，提供了较好的用户体验，能够在常规站点检查中达到有效检测Webshell的效果。

公开(公告)号：CN109543933A

公开(公告)日：2019-03-29

申请号：CN201811167155.9

申请日：2018-10-08

Applicant: 中国科学院信息工程研究所

Inventor： 张方娇 ,  崔翔 ,  赵建军 ,  刘潮歌 ,  刘奇旭

IPC: G06Q10/06

Abstract: 本发明公开了一种网安人员技能测评系统，包括一用于测评的网络结构、Flag分发器、脚本验证服务器和Scoreboard模块；其中，网络结构包括多个私有网络和多个目标网络，每一所述私有网络分别连接一对应的所述目标网络，各目标网络通过公网连接；目标网络上部署用于考核攻防技能的题目和用于考核追踪溯源能力的题目；每一私有网络用于一参赛队伍登录；Flag分发器，用于当各参赛队伍的参赛人员完成所部署的题目后，动态更新、配置题目Flag信息；脚本验证服务器，用于验证无Flag信息的题目的完成情况；Scoreboard模块，用于按照评分规则和每一参赛人员获得的题目Flag信息，得到对应参赛人员的得分。

公开(公告)号：CN102932794A

公开(公告)日：2013-02-13

申请号：CN201210431937.5

申请日：2012-11-01

Applicant: 中国科学院信息工程研究所

Inventor： 翟立东 ,  张方娇 ,  朱宇佳 ,  任云龙

IPC: H04W12/12 ,  H04W84/18

Abstract: 本发明涉及一种分簇自组织网络中黑洞攻击检测方法，该方法包括以下步骤：步骤1：在基站处安放一台监控装置;步骤2：对该基站覆盖范围内的自组织网络中所有簇头区域进行实时监测；步骤3：判断所监控的区域是否存在异常簇头区域，如果存在进入步骤4，否则返回步骤2；步骤4：对异常簇头区域中的终端节点的信用等级进行检测，找到可疑节点组成可疑节点集合S1；步骤5：对S1中节点的流量差值进行检测，找出黑洞攻击节点组成黑洞攻击节点集合S2；步骤6：监控装置发出预警提示。该方法不仅能解决单个恶意节点的攻击，还能有效解决了多个恶意节点之间相互协作配合进行攻击的问题，且能发出报警，利于及时对黑洞攻击进行防御和处理。

公开(公告)号：CN116647373A

公开(公告)日：2023-08-25

申请号：CN202310528515.8

申请日：2023-05-11

Applicant: 中国科学院信息工程研究所

Inventor： 刘潮歌 ,  姚敦宇 ,  刘奇旭 ,  张方娇 ,  谭儒 ,  汪旭童 ,  张金莉

IPC: H04L9/40 ,  H04L67/02

Abstract: 本公开涉及一种基于蜜饵的Web渗透感知方法及装置，所述方法包括：代理一Web服务器的所有流量，并在转发流量的过程中对流量中的后台登录界面和/或后台管理界面的HTML结构进行分析，以得到合适嵌入蜜饵的DOM节点；在合适嵌入蜜饵的DOM节点嵌入蜜饵，得到嵌入蜜饵后的页面；其中，嵌入蜜饵后的页面与未嵌入蜜饵的页面的相似度大于一设定阈值；在一流量对嵌入蜜饵后的页面中的蜜饵访问时，将流量重定向到对应的容器中，以进行流量的漏洞感知；在一流量未对嵌入蜜饵后的页面中的蜜饵访问时，将流量重定向到Web服务器，以完成流量的访问。本发明实现了一键代理即可在HTML页面中部署蜜饵的功能。