公开(公告)号：CN106027559B

公开(公告)日：2019-07-05

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN108429747A

公开(公告)日：2018-08-21

申请号：CN201810189206.1

申请日：2018-03-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 方喆君 ,  何跃鹰 ,  卓子寒 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  刘中金 ,  孙中豪 ,  鲁骁 ,  刘岗 ,  阙为涛 ,  肖成民 ,  王虹 ,  安潇羽 ,  智红莉

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明公开了一种大规模Web服务器信息采集方法基本构成可以分为核心数据库、Web服务器发现模块、Web服务器指纹识别模块三部分，本发明一种大规模Web服务器信息采集方法，通过Web服务器分布情况及指纹库，可以通过探测网络空间中的I P地址，获取Web服务器的分布情况，获取Web容器、Web服务器语言、Web开发框架、Web应用、Web前段框架等指纹信息，能够形成指纹库，可以通过Web服务器分布情况及指纹库，快速对一个新站点进行建站框架判定以及脆弱性分析，能够根据漏洞威胁对象确定受影响Web服务器的数量及分布范围，从而可以对网络空间Web服务器整体安全性进行评估和预警。

公开(公告)号：CN103795590B

公开(公告)日：2017-07-04

申请号：CN201310743888.3

申请日：2013-12-30

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 刘勇 ,  张凤羽 ,  李轶夫 ,  鲁骁 ,  姚珊 ,  姜栋 ,  张建松 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26

Abstract: 本发明公开了一种网络流量检测阈值的计算方法，属于网络流量检测领域。本发明一种网络流量检测阈值的计算方法包括步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本发明提供的一种网络流量检测阈值的计算方法运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据，避免了由于没有实际的参考依据而出现的DDOS监测和网络流量监测的不准确性。

公开(公告)号：CN105827630B

公开(公告)日：2019-11-12

申请号：CN201610286109.5

申请日：2016-05-03

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  司成祥 ,  李应博 ,  鲁骁 ,  杜雄杰 ,  房婧 ,  刘成 ,  李轶夫 ,  姚珊 ,  张伟 ,  姜栋 ,  张建松 ,  盖伟麟

IPC: H04L29/06

Abstract: 本发明目的在于提供一种僵尸网络属性识别方法、防御方法及装置，用以识别出僵尸网络的属性或实现远程清除僵尸网络中的僵尸程序。所述识别方法包括：识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量；从识别的僵尸网络通信数据流量中提取基础通信属性，从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性；所述僵尸网络结构包括主控端和若干被控端；从正常网络通信流量中识别出僵尸网络结构中各节点环境属性；根据识别的僵尸网络属性，远程利用僵尸网络自身命令完成僵尸程序清除。

公开(公告)号：CN106027559A

公开(公告)日：2016-10-12

申请号：CN201610523216.5

申请日：2016-07-05

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 李应博 ,  张伟 ,  孙波 ,  房婧 ,  姜栋 ,  蒋卓键 ,  武斌 ,  李轶夫 ,  鲁骁 ,  张建松 ,  盖伟麟 ,  司成祥 ,  杜雄杰 ,  刘成

IPC: H04L29/06

CPC classification number: H04L63/1416

Abstract: 本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

公开(公告)号：CN107784387B

公开(公告)日：2021-10-08

申请号：CN201710843010.5

申请日：2017-09-18

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 赵忠华 ,  吴俊杰 ,  赵志云 ,  鲁骁 ,  袁昆 ,  袁钟怡 ,  郭鲁华

IPC: G06Q10/04 ,  G06Q50/00 ,  G06F16/33

Abstract: 本发明公开了一种微博事件信息传播的连续动态预测方法，属于数据挖掘领域。针对新浪微博，在目前给定传播信息的基础上，试图预测下一阶段的微博总数量；按小时划分事件传播，利用事件从发生到当前时间段内传播特征，如微博量、参与人数、微博情绪等，基于GBDT模型预测下一小时内事件微博传播的总数。本发明预测模型中最优时间段长度和微博特征组合，是在全面衡量各特征的贡献度和相关性的基础上筛选出来的，不仅能够有效提高模型预测精度，平均模型精度超过70％，还能减小计算复杂性，避免无用计算，有效支持针对事件的预警和干预措施。

公开(公告)号：CN108416218A

公开(公告)日：2018-08-17

申请号：CN201810189199.5

申请日：2018-03-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 方喆君 ,  何跃鹰 ,  卓子寒 ,  张晓明 ,  张嘉玮 ,  赵忠华 ,  董建武 ,  李明哲 ,  刘中金 ,  孙中豪 ,  鲁骁 ,  李程 ,  许伟健 ,  马明 ,  黄鑫 ,  安潇羽

IPC: G06F21/57

Abstract: 本发明公开了一种Web服务器漏洞验证方法，其基本构成可以分为核心数据库、Web服务器漏洞验证两部分，本发明的一种Web服务器漏洞验证方法，本发明提出一种可行的Web服务器漏洞验证方法，通过总结Web应用漏洞的产生规律，提取Web应用存在的潜在脆弱点，从攻防对抗双方的角度研究Web服务器漏洞验证技术。

公开(公告)号：CN107426049A

公开(公告)日：2017-12-01

申请号：CN201710342921.X

申请日：2017-05-16

Applicant: 国家计算机网络与信息安全管理中心 ,  北京天融信科技有限公司

Inventor： 孙波 ,  李轶夫 ,  姚珊 ,  姜栋 ,  鲁骁 ,  张建松 ,  张伟 ,  杜雄杰 ,  司成祥 ,  房婧 ,  李应博 ,  刘成 ,  胡晓旭 ,  王亿芳 ,  王梦禹 ,  刘斯宇 ,  李海峰 ,  陈朴 ,  杨亚南

IPC: H04L12/26 ,  H04L12/813

CPC classification number: H04L43/028 ,  H04L43/04 ,  H04L43/08 ,  H04L43/0876 ,  H04L47/20

Abstract: 本发明提供了一种网络流量精确检测方法、设备及存储设备，所述方法包括：获取网络中的待检测数据包，根据预设的提取位置集在所述数据包中提取若干个内容串，其中所述提取位置集中包括若干个提取特征的关键字或位置、及提取长度；将所述内容串在预设的特征串集中进行匹配，得到每个所述内容串的匹配结果；判断若干个所述匹配结果是否满足预设的特征关系，当所述匹配结果满足所述预设的特征关系时，则所述数据包命中所述预设的特征关系对应的规则。本发明在特征定义与匹配时，采用先提取后查询比对的方法，有效解决目前使用正则表达式定义复杂和特征匹配性能不可控的问题。

公开(公告)号：CN106055691A

公开(公告)日：2016-10-26

申请号：CN201610406253.8

申请日：2016-06-12

Applicant: 成都科来软件有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 李轶夫 ,  罗鹰 ,  林康 ,  钟峰 ,  鲁骁 ,  姚珊 ,  姜栋 ,  张建松 ,  司成祥

IPC: G06F17/30 ,  H04L29/08

CPC classification number: G06F16/13 ,  H04L67/1097

Abstract: 本发明提供了一种分布式数据存储处理方法及存储处理系统。对大批量来源数据，按照等比大小进行切分为M个数据块，对每个切分的数据块里的每条数据建立索引并进行存储；将所述M个数据块一一对应分别发送给N个不同的服务器，进行存储。能够满足现有大数据量情况下，数据处理速度更快、耗时更短，时效性更强，支持数据的修改与删除操作，并能够提供实时查询功能。

公开(公告)号：CN106101104A

公开(公告)日：2016-11-09

申请号：CN201610423577.2

申请日：2016-06-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 房婧 ,  孙波 ,  李应博 ,  李轶夫 ,  鲁骁 ,  姜栋 ,  张建松 ,  盖伟麟 ,  姚珊 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  陈晓光

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1483 ,  H04L61/1511

Abstract: 本发明提供了一种基于域名解析的恶意域名检测方法和系统，该方法包括:获取域名解析的请求解析数据，对域名解析的解析数据进行数据清洗，根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名；再根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名。本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，此外，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。