公开(公告)号：CN103647665A

公开(公告)日：2014-03-19

申请号：CN201310684985.X

申请日：2013-12-13

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 侯伟 ,  周涛

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种网络流量曲线分析方法和装置。涉及信息安全领域；解决了对网络流量变化规律分析的问题。该方法包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度。本发明提供的技术方案适用于网络态势分析，实现了对高随机性的网络流量的分析。

公开(公告)号：CN105791039B

公开(公告)日：2019-02-26

申请号：CN201410811870.7

申请日：2014-12-22

Applicant: 北京启明星辰信息安全技术有限公司 ,  国家计算机网络与信息安全管理中心 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  周涛 ,  赵忠华

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/46

Abstract: 本发明公开了一种基于特征片段自发现的可疑隧道检测方法和系统，包括基于特征片段锁定算法锁定特征片段集合并找出最邻近片段集合；在可疑隧道检测过程中，实时提取元数据片段，基于片段间最小距离搜索算法分别计算元数据片段与特征片段集合和最邻近片段之间的最小距离，计算可疑元数据片段的判定参数，当判定参数的结果小于零时，判定元数据片段为可疑片段并报警；当大于或等于零时，为非可疑片段。通过本发明的方案，能够同时具备误用检测技术的自解释能力和异常检测技术的发现未知可疑隧道的优点，避免了网络安全专家的大量精力投入，回避了统计特征被平均化的问题。

公开(公告)号：CN105791039A

公开(公告)日：2016-07-20

申请号：CN201410811870.7

申请日：2014-12-22

Applicant: 北京启明星辰信息安全技术有限公司 ,  国家计算机网络与信息安全管理中心 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  周涛 ,  赵忠华

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/46

Abstract: 本发明公开了一种基于特征片段自发现的可疑隧道检测方法和系统，包括基于特征片段锁定算法锁定特征片段集合并找出最邻近片段集合；在可疑隧道检测过程中，实时提取元数据片段，基于片段间最小距离搜索算法分别计算元数据片段与特征片段集合和最邻近片段之间的最小距离，计算可疑元数据片段的判定参数，当判定参数的结果小于零时，判定元数据片段为可疑片段并报警；当大于或等于零时，为非可疑片段。通过本发明的方案，能够同时具备误用检测技术的自解释能力和异常检测技术的发现未知可疑隧道的优点，避免了网络安全专家的大量精力投入，回避了统计特征被平均化的问题。

公开(公告)号：CN105024969A

公开(公告)日：2015-11-04

申请号：CN201410155997.8

申请日：2014-04-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  曲武 ,  周涛

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种实现恶意域名识别的方法及装置，包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

公开(公告)号：CN105024969B

公开(公告)日：2018-04-03

申请号：CN201410155997.8

申请日：2014-04-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  曲武 ,  周涛

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种实现恶意域名识别的方法及装置，包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

公开(公告)号：CN103647665B

公开(公告)日：2017-07-14

申请号：CN201310684985.X

申请日：2013-12-13

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 侯伟 ,  周涛

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种网络流量曲线分析方法和装置。涉及信息安全领域；解决了对网络流量变化规律分析的问题。该方法包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度。本发明提供的技术方案适用于网络态势分析，实现了对高随机性的网络流量的分析。