公开(公告)号：CN119892785A

公开(公告)日：2025-04-25

申请号：CN202411831652.X

申请日：2024-12-12

Applicant: 北京邮电大学

Inventor： 李祺 ,  司成祥 ,  刘云昊 ,  廖元媛 ,  何国彪

IPC: H04L61/4511 ,  H04L43/0876 ,  H04L43/16 ,  H04L47/27

Abstract: 本发明提供一种基于动态滑动窗口的主从域名识别方法及装置，包括：获取被管网络边界上的DNS请求记录，将DNS请求记录基于源IP地址划分为多个用户的请求记录集合，基于各用户的请求记录集合确定各用户的各服务请求对应的请求序列；获取预设区域内的DNS请求总数量以及DNS请求统计的时间段的时间段长，基于DNS请求总数量、时间段长以及预设区域大小计算网络流量密度；获取进行DNS请求统计的时间段的总数量，基于各时间段对应的网络流量密度以及时间段总数量计算动态时间阈值；以动态时间阈值为动态滑动窗口获取各请求序列内的至少部分DNS请求得到各请求子序列，基于各请求子序列确定各服务的主域名和从域名。该主从域名识别方法提高了主从域名的识别准确率。

公开(公告)号：CN106027559B

公开(公告)日：2019-07-05

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN119966910A

公开(公告)日：2025-05-09

申请号：CN202411831651.5

申请日：2024-12-12

Applicant: 北京邮电大学

Inventor： 李祺 ,  司成祥 ,  王亿芳 ,  聂王晨 ,  陈少杰

IPC: H04L47/2441 ,  H04L61/4511 ,  H04L9/40

Abstract: 本申请提供DoH加密域名服务流量分类方法及装置，方法包括：对DoH加密域名服务流量数据对应的目标流量特征数据进行降维处理，得到目标流量特征数据对应的降维后流量特征数据；将降维后流量特征数据输入预设的用于对DoH加密域名服务流量进行分类的机器学习模型，以使该机器学习模型对应输出DoH加密域名服务流量数据对应的流量分类结果数据。本申请能够有效降低DoH加密域名服务流量分类过程的计算资源消耗，并能够防止数据过拟合，能够在保证DoH加密域名服务流量分类结果可靠性及准确性的基础上，有效提高DoH加密域名服务流量分类的效率，进而能够提高DoH加密域名服务的安全性。

公开(公告)号：CN106027559A

公开(公告)日：2016-10-12

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

CPC classification number: H04L63/1416

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN119892671A

公开(公告)日：2025-04-25

申请号：CN202411831648.3

申请日：2024-12-12

Applicant: 北京邮电大学

Inventor： 李祺 ,  司成祥 ,  李应博 ,  王其文 ,  孙天艺 ,  米嘉欣

IPC: H04L43/026 ,  H04L61/4511 ,  H04L67/51 ,  H04L9/40

Abstract: 本发明提供一种用于加密域名服务发现的特征构造方法和加密域名服务发现方法，包括：实时获取不同IP对应不同域名服务所产生的多个由多个数据包构成的数据流并按IP分类，得到每个IP的至少一个数据流；对每个IP的每个数据流标记对应标签，标签包括加密和非加密域名服务；从每个IP对应标签的每个数据流中提取每个数据包的字段特征，并得到每个数据流的统计特征和序列特征；对序列特征进行波动性分析，得到波动点位置集合并得到每个波动点的横纵向波动性程度估计，基于所有波动点的横纵向波动性程度估计得到波动点序列特征；将每个IP对应标签的每个数据流的统计特征、序列特征和波动点序列特征进行拼接，从而得到多个用于加密域名服务发现的特征。