-
公开(公告)号:CN103152222B
公开(公告)日:2015-11-18
申请号:CN201310063228.0
申请日:2013-02-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于主机群特征检测速变攻击域名的方法,主要包括步骤:1)网络数据包的抓取和DNS报文特征提取;2)速变攻击域名检测;3)误判检测。其中,速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测,为本发明的核心;误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合,基于域名对应的主机群IP分散程度和在线率等特征,避免了对单个DNS报文进行分析的准确率问题,且在计算IP距离时考虑域名对应主机群的规模,从而避免大型良性速变网络被误判。
-
公开(公告)号:CN103036743B
公开(公告)日:2015-10-07
申请号:CN201210555371.7
申请日:2012-12-19
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种窃密木马的TCP心跳行为的检测方法,包括:步骤1,抓取网络数据包,还原成TCP数据流;步骤2,检测是否有TCP保活心跳行为;步骤3,检测是否有TCP连接内心跳行为;步骤4,检测是否有TCP连接级心跳行为:步骤5,对检测出的窃密木马心跳行为进行误判检测。本发明基于网络数据包大小、方向和时间等特征,能计算出心跳的周期及其波动的范围,方法简单,检测结果准确全面,能运用在实时检测窃密木马的系统中,具有较好的检测效果。
-
公开(公告)号:CN104375982A
公开(公告)日:2015-02-25
申请号:CN201410564469.8
申请日:2014-10-21
Applicant: 中国科学院信息工程研究所
IPC: G06F17/27
Abstract: 本发明涉及一种确定文本视觉相似度的方法,实现步骤如下:(1)计算两个字符串直接的视觉距离;(2)计算两个字符串直接相似度;(3)将以前发邮件记录中的邮件记录最大值与当前电子邮件的最大值作为分类器的特征,来检测特定字符串即电子邮件地址的相似度;(4)将利用随机森林分类器对误发送邮件进行分类训练和检测,以用于检测误发邮件。本发明达到了比传统的检测技术更高的准确率和召回率。
-
公开(公告)号:CN103152222A
公开(公告)日:2013-06-12
申请号:CN201310063228.0
申请日:2013-02-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于主机群特征检测速变攻击域名的方法,主要包括步骤:1)网络数据包的抓取和DNS报文特征提取;2)速变攻击域名检测;3)误判检测。其中,速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测,为本发明的核心;误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合,基于域名对应的主机群IP分散程度和在线率等特征,避免了对单个DNS报文进行分析的准确率问题,且在计算IP距离时考虑域名对应主机群的规模,从而避免大型良性速变网络被误判。
-
-
Patent Agency Ranking
-
公开(公告)号:CN104111983B
公开(公告)日:2017-12-19
申请号:CN201410306336.0
申请日:2014-06-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种开放式的多源数据采集系统及方法,包括用于根据需要创建采集任务,配置采集任务信息,生成相应的数据采集接口规则的任务管理模块;用于加载数据采集接口规则,执行处于激活状态的采集任务,相应的采集任务进行数据源监听并采集数据,将接采集的数据按照统一格式进行封装,并发送给数据存储模块的任务执行模块;用于存储数据输出模块输出的数据的数据存储模块;本发明覆盖了比较全面的数据源采集类型,支持目前通用的数据采集方式,支持数据采集接口的动态扩展和多个数据源的并行采集,当有新的数据源接入时,只需要配置数据采集任务信息,不需要部署采集代理和数据模式转换工具即可轻松实现对新数据源的数据采集。
-
公开(公告)号:CN105608070A
公开(公告)日:2016-05-25
申请号:CN201510965136.0
申请日:2015-12-21
Applicant: 中国科学院信息工程研究所
IPC: G06F17/27
CPC classification number: G06F17/2745 , G06F17/2775
Abstract: 本发明涉及一种面向新闻标题的人物关系抽取方法,其步骤包括:1)寻找出新闻标题中的关系指示词,用以区分不同类别的人物关系;2)根据人物与关系指示词在新闻标题中的位置特征,建立描述句子的句式模板;利用训练数据统计每个模板的正/负例个数,根据正负模板的比例判定新闻标题中人物间关系的正确性;3)从新闻标题与人物属性知识库中提取特征,通过特征分类的方法并结合步骤2)得到的句式模板的正/负例个数,判定给定的人物关系是否正确。本发明在保证准确率的同时,降低了特征维度,提高了判定效率,可用于挖掘新闻标题中的人物关系,进而发现社会中的焦点人物、热点事件等,便于及时掌握社会动态,监控舆情。
-
公开(公告)号:CN103036743A
公开(公告)日:2013-04-10
申请号:CN201210555371.7
申请日:2012-12-19
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种窃密木马的TCP心跳行为的检测方法,包括:步骤1,抓取网络数据包,还原成TCP数据流;步骤2,检测是否有TCP保活心跳行为;步骤3,检测是否有TCP连接内心跳行为;步骤4,检测是否有TCP连接级心跳行为:步骤5,对检测出的窃密木马心跳行为进行误判检测。本发明基于网络数据包大小、方向和时间等特征,能计算出心跳的周期及其波动的范围,方法简单,检测结果准确全面,能运用在实时检测窃密木马的系统中,具有较好的检测效果。
-
公开(公告)号:CN105049247B
公开(公告)日:2019-04-26
申请号:CN201510391607.1
申请日:2015-07-06
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种网络安全日志模板抽取方法及装置。该方法的步骤包括:1)对原始的网络安全日志进行数据清洗,得到过滤掉时间和IP地址的日志信息;2)对不包含时间和IP地址的日志信息进行聚类,把具有相似格式的日志划分到同一类中;3)对于每一类中的日志,提取出日志中描述格式的模板词,得到日志格式的模板。具体地,采用DBSCAN算法或者OPTICS算法对相似格式的日志进行聚类,利用LDA Gibbs sampling算法提取出日志中描述格式的模板词。该装置包括数据清洗单元、信息聚类单元、模板提取单元。本发明不需要任何先验知识,可以自动获取网络安全日志格式的模板,能够减小系统负载,提高运算效率和准确性。
-
-
-
-
-
-
-
-
-
Search Results
13
records
(took 0.025 seconds)
