公开(公告)号：CN109067723A

公开(公告)日：2018-12-21

申请号：CN201810820818.6

申请日：2018-07-24

Applicant: 国家计算机网络与信息安全管理中心 ,  上海观安信息技术股份有限公司

Inventor： 饶毓 ,  严寒冰 ,  陈曦 ,  辜乘风 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

CPC classification number: H04L63/1483 ,  H04L2463/146

Abstract: 本发明涉及一种钓鱼网站使用者信息的追溯方法、控制器和介质，所述方法包括：获取预设数量的钓鱼网站访问数据并进行分组；以所述访问数据所划分的每个组作为节点，访问数据之间的访问关系作为边构造网络图；对所构造的网络图进行处理，去除干扰项，获取待分析的访问数据信息；根据所述待分析的访问数据信息追溯钓鱼网站使用者信息。本发明所述方法能够准确高效地追溯钓鱼网站使用者信息，具有通用性。

公开(公告)号：CN109067723B

公开(公告)日：2021-03-02

申请号：CN201810820818.6

申请日：2018-07-24

Applicant: 国家计算机网络与信息安全管理中心 ,  上海观安信息技术股份有限公司

Inventor： 饶毓 ,  严寒冰 ,  陈曦 ,  辜乘风 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站使用者信息的追溯方法、控制器和介质，所述方法包括：获取预设数量的钓鱼网站访问数据并进行分组；以所述访问数据所划分的每个组作为节点，访问数据之间的访问关系作为边构造网络图；对所构造的网络图进行处理，去除干扰项，获取待分析的访问数据信息；根据所述待分析的访问数据信息追溯钓鱼网站使用者信息。本发明所述方法能够准确高效地追溯钓鱼网站使用者信息，具有通用性。

公开(公告)号：CN115701020A

公开(公告)日：2023-02-07

申请号：CN202110797366.6

申请日：2021-07-14

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 何清林 ,  邢燕祯 ,  罗冰 ,  张翀 ,  刘洋 ,  陈亘 ,  陈曦 ,  方太辉

IPC: H04L9/40

Abstract: 本申请提供了一种基于HTTP协议的网络流量的漏洞特征提取系统，其特征在于，包括采集模块、聚类模块、特征提取模块以及转换模块；所述采集模块用于获取到payload数据；所述聚类模块用于得到属于同一漏洞的payload数据集合；所述特征提取模块用于提取到所述漏洞的有效特征字符串；所述转换模块用于将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请还提供一种基于HTTP协议的网络流量的漏洞特征提取系统的提取方法，其步骤为：获取到payload数据，进行聚类，得到属于同一漏洞的payload数据集合；提取到有效特征字符串；获得有效特征字符串的相关信息，将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请提高了提取效率。

公开(公告)号：CN116760607A

公开(公告)日：2023-09-15

申请号：CN202310777940.0

申请日：2023-06-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 达盼飞 ,  郑力达 ,  李明蕊 ,  王文君 ,  陈曦 ,  陆怡凡 ,  刘骏文

IPC: H04L9/40 ,  H04L12/46 ,  H04L67/01

Abstract: 本申请公开了一种蜜罐诱捕节点的建立方法及装置、介质和设备。方法包括：建立第一网络设备与第二网络设备之间的网络连接；获取待接入网络信息，并在第一网络设备中配置与待接入网络信息的接入网段，其中，接入网段属于第二网络设备对应的网段；获取虚拟网络信息，并在第一网络设备中配置与虚拟网络信息对应的虚拟网络地址，开放虚拟网络地址的全部端口，并将每个端口作为蜜罐诱捕节点，其中，虚拟网络地址属于接入网段；建立第一网络设备与蜜罐设备之间的网络连接，以使第一网络设备将请求重定向至蜜罐设备，其中，请求与虚拟网络地址相对应。本申请的方法解决了现有方法诱捕面较窄所导致的发现攻击者几率低下的问题。

公开(公告)号：CN112929364B

公开(公告)日：2023-03-24

申请号：CN202110160302.5

申请日：2021-02-05

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  陈曦 ,  魏国富

IPC: H04L9/40

Abstract: 本发明提供一种基于ICMP隧道分析的数据泄露检测方法，包括S1.数据接入；S2.数据预处理，抓取ICMP协议中查询类ICMP报文数据；S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；S4.特征抽取，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；S5.异常行为识别，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分。本发明通过引入机器学习的方法，以数据为媒介，构造出的具有区分能力的特征，然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为，具备了较高的查全率和查准率，解决了统计分析方法漏报率和误报率较高的问题。

公开(公告)号：CN112929364A

公开(公告)日：2021-06-08

申请号：CN202110160302.5

申请日：2021-02-05

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  陈曦 ,  魏国富

IPC: H04L29/06

Abstract: 本发明提供一种基于ICMP隧道分析的数据泄露检测方法，包括S1.数据接入；S2.数据预处理，抓取ICMP协议中查询类ICMP报文数据；S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；S4.特征抽取，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；S5.异常行为识别，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分。本发明通过引入机器学习的方法，以数据为媒介，构造出的具有区分能力的特征，然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为，具备了较高的查全率和查准率，解决了统计分析方法漏报率和误报率较高的问题。

公开(公告)号：CN109413048B

公开(公告)日：2021-06-04

申请号：CN201811158439.1

申请日：2018-09-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 王文君 ,  宋秋霞 ,  周恒 ,  李明蕊 ,  许超凡 ,  郑力达 ,  陈曦 ,  辜乘风

IPC: H04L29/06

Abstract: 本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品，能够在一定程度上保护了终端或者网络中真实的文件，提高了终端或者网络的安全性。本发明实施例提供的基于文件型蜜罐检测勒索软件方法，包括：监测映射文件夹对应的日志文件；所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹；当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件，确定当前使用环境中具有攻击源的机器行为。

公开(公告)号：CN111431883A

公开(公告)日：2020-07-17

申请号：CN202010192599.9

申请日：2020-03-18

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  陈曦 ,  陈一根

IPC: H04L29/06 ,  G06K9/62 ,  G06N20/10 ,  H04L29/08

Abstract: 本发明实施例提供了一种基于访问参数的web攻击检测方法及装置，方法包括：解析出web日志中包含的访问信息，其中，所述访问信息包括：主机、标识符、授权用户、日期时间、请求类型中的一种或组合；web日志预处理，其中，所述预处理包括：筛选预设状态码对应的访问参数、访问不为空的访问参数；根据预先设定的特征对预处理后的web日志进行分组处理；针对每一组中的web日志进行特征抽取处理，其中，抽取的特征包括：访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数；根据抽取的特征，利用孤立森林算法识别出属于攻击行为的web日志。应用本发明实施例，技术方案更加简单。

公开(公告)号：CN108156131A

公开(公告)日：2018-06-12

申请号：CN201711021568.1

申请日：2017-10-27

Applicant: 上海观安信息技术股份有限公司

Inventor： 夏玉明 ,  王小东 ,  陈曦 ,  辜乘风

IPC: H04L29/06 ,  H04L29/08 ,  G06F17/30

Abstract: 本申请提供了一种Webshell检测方法、电子设备和计算机存储介质，属于计算机信息安全技术领域。所述方法包括：根据规约模型，删除path中的无效字符串，得到标准化的path；根据标准化的path，抽取Web应用日志的页面特征，进而对Web应用日志进行Webshell检测。本申请根据规约模型删除path中的无效字符串，得到标准化的path；根据标准化的path，抽取页面特征，进而进行Webshell检测，实现了根据规约模型选择标准字符串，将涉及同一页面的path标准化为相同的path，进而基于path的不同抽取页面特征，进行Webshell检测，不仅具有通用性，而且降低误报率和漏报率。

公开(公告)号：CN111431884B

公开(公告)日：2022-02-11

申请号：CN202010192612.0

申请日：2020-03-18

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  陈曦 ,  陈一根

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明提供了一种基于DNS分析的主机失陷检测方法及装置，所述方法包括：利用预先训练的LSTM对待检测域名进行分类；抽取待检测域名的主机IP地址的特征；根据分类结果以及所抽取的特征，利用异常检测算法对主机IP地址进行异常打分；利用恶意IP情报匹配结果和C&C server IP检测结果对异常打分结果进行补充和修正。应用本发明实施例，可以实现主机是否失陷的检测。