公开(公告)号：CN109510815A

公开(公告)日：2019-03-22

申请号：CN201811224807.8

申请日：2018-10-19

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  崔兆林 ,  刘博 ,  彭渝 ,  董效宇 ,  郭振洋 ,  李凯悦 ,  林明峰 ,  金丽慧 ,  李凯

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于有监督学习的多级钓鱼网站检测方法及检测系统，第一检测层以黑名单数据库或白名单数据库进行钓鱼网站判断，匹配则直接输出，否则第二检测层提取待检测网站URL的特征并以已知钓鱼网站的URL特征构建分类器模型进行检测，若检测为可疑网站则第三检测层下载待检测网站的页面，获得页面内容特征，以已知钓鱼网站内容特征构建分类器模型进行检测，输出端输出待检测网站为钓鱼网站或正常网站并将数据增加至黑名单数据库和白名单数据库。本发明的一级黑白名单判断已知网站，降低检测成本，二级URL检测辨别明确的钓鱼网站或正常网站，三级页面内容检测对二级检测的可疑网站进行识别，判定结果精确；识别结果准确且检测时间短。

公开(公告)号：CN108337269B

公开(公告)日：2020-12-15

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

公开(公告)号：CN110336789A

公开(公告)日：2019-10-15

申请号：CN201910449046.4

申请日：2019-05-28

Applicant: 北京邮电大学 ,  杭州安恒信息技术股份有限公司

Inventor： 谷勇浩 ,  崔卓群 ,  范渊 ,  郭振洋 ,  李良训 ,  李凯悦 ,  林明峰 ,  刘博 ,  杨勃

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明涉及基于混合学习的Domain-flux僵尸网络检测方法，输入的DNS数据区分训练数据集和检测数据集，分别预处理并将预处理后的训练数据集输入模型，训练得到分类器，将预处理后的检测数据集输入分类器，输出聚类后的域名簇，计算域名簇分值并筛选属于Domain-flux僵尸网络域名的簇，获得受感染主机IP地址及C&C服务器IP地址。本发明为后续防御措施奠定基础，解析时使用和域名、时间、请求IP、解析IP等多方相关的特征，不容易被绕过；兼顾有监督和无监督学习优势，结合分类和聚类算法，可有效检测与训练集差异较大、表现形式不同的未知僵尸样本，相较其他聚类算法检测速度快。

公开(公告)号：CN108337269A

公开(公告)日：2018-07-27

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

公开(公告)号：CN109510815B

公开(公告)日：2022-01-25

申请号：CN201811224807.8

申请日：2018-10-19

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  崔兆林 ,  刘博 ,  彭渝 ,  董效宇 ,  郭振洋 ,  李凯悦 ,  林明峰 ,  金丽慧 ,  李凯

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明涉及一种基于有监督学习的多级钓鱼网站检测方法及检测系统，第一检测层以黑名单数据库或白名单数据库进行钓鱼网站判断，匹配则直接输出，否则第二检测层提取待检测网站URL的特征并以已知钓鱼网站的URL特征构建分类器模型进行检测，若检测为可疑网站则第三检测层下载待检测网站的页面，获得页面内容特征，以已知钓鱼网站内容特征构建分类器模型进行检测，输出端输出待检测网站为钓鱼网站或正常网站并将数据增加至黑名单数据库和白名单数据库。本发明的一级黑白名单判断已知网站，降低检测成本，二级URL检测辨别明确的钓鱼网站或正常网站，三级页面内容检测对二级检测的可疑网站进行识别，判定结果精确；识别结果准确且检测时间短。

公开(公告)号：CN112417833B

公开(公告)日：2025-04-04

申请号：CN202011377619.6

申请日：2020-11-30

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 李芳芳 ,  范渊 ,  刘博

IPC: G06F40/18 ,  G06F16/28 ,  G06F16/26

Abstract: 本发明公开了一种对象关系图表绘制方法，包括：根据各对象分别对应的层级标识信息对各对象进行层级划分，并获取各对象分别对应的目标上层对象的上层对象标识；根据各对象分别对应的上层对象标识，利用插入算法对每层级中各对象进行排序，得到排序结果；获取预设同层对象间隔、预设邻层高度、以及预设基准对象的基准坐标；根据排序结果、预设同层对象间隔、预设邻层高度以及基准坐标，计算除预设基准对象之外的其他对象的坐标；利用echarts插件根据各对象的坐标进行对象关系图表绘制。本发明较大地降低了出错率，提高了绘制效率，节省人力，节约成本。本发明还公开了一种对象关系图表绘制装置、设备及存储介质，具有相应技术效果。

公开(公告)号：CN119402283A

公开(公告)日：2025-02-07

申请号：CN202411668124.7

申请日：2024-11-20

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 张礼林 ,  范渊

IPC: H04L9/40 ,  H04L41/12 ,  H04L12/18

Abstract: 本申请公开了一种网络扫描方法，装置，设备及存储介质，涉及网络安全技术领域，包括：对目标网络进行扫描，基于相应的扫描结果与图理论构建网络拓扑结构图；利用预设社区检测算法并根据网络设备相应的特征信息将网络拓扑结构图中的网络设备分配至若干目标社区；其中，具有相同特征信息的网络设备位于同一目标社区；利用预设社区检测算法，并根据目标社区内的网络设备相应的特征信息确定目标扫描策略，利用目标扫描策略对网络设备相应的目标节点进行扫描。本申请通过将网络拓扑结构图中具有相同特征信息的网络设备分配至同一社区，再利用网络设备相应的扫描策略对社区中的节点进行扫描，解决了网络扫描结果不准确，覆盖范围不全面的问题。

公开(公告)号：CN119356953A

公开(公告)日：2025-01-24

申请号：CN202411489749.7

申请日：2024-10-24

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 吴磊 ,  范渊

IPC: G06F11/20 ,  G06F21/57

Abstract: 本申请公开了一种应用层设备的主备切换方法、装置、设备及存储介质，涉及计算机技术领域，包括：通过当前处于主机模式下的第一应用层设备对本地的目标关键引擎进行状态检查，以得到第一关键引擎状态检查结果；若第一关键引擎状态检查结果满足预设异常条件，则对目标关键引擎进行重启，并对目标关键引擎再次进行状态检查，以得到第二关键引擎状态检查结果；若第二关键引擎状态检查结果满足预设异常条件，则控制第一应用层设备切换至单机模式并停止发送主机心跳包，以便第二应用层设备在接收不到主机心跳包后，主动将自身的工作模式切换为主机模式以提供业务服务。本申请实现了在主机不能正常提供业务服务时对应用层设备进行主备切换。

公开(公告)号：CN112328499B

公开(公告)日：2025-01-14

申请号：CN202011364238.4

申请日：2020-11-27

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 李东明 ,  范渊 ,  黄进

IPC: G06F11/3668 ,  G06F16/245

Abstract: 本申请公开了一种测试数据生成方法、装置、设备、介质，该方法包括：对待测试系统对应的数据库中预先选定的数据表进行查询并提取出所述数据表中的目标数据字段；对所述目标数据字段进行分析，确定数据表的外部关联特征、内部关联特征以及字段特征，其中，所述外部关联特征表示当前数据表与除当前数据表之外的其他表之间的关联特征，所述内部关联特征为当前数据表中目标数据字段之间的关联特征，所述字段特征为所述目标数据字段的特征；利用所述外部关联特征、所述内部关联特征以及所述字段特征生成测试数据，以便利用所述测试数据对所述待测试系统进行测试。这样生成的测试数据与系统实际运行生成的真实数据差异小，能够准确描述真实数据。

公开(公告)号：CN119203102A

公开(公告)日：2024-12-27

申请号：CN202411313404.6

申请日：2024-09-19

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 张振永 ,  王吾冰 ,  宋舒意 ,  徐东德 ,  方怀康 ,  陶立峰 ,  刘博 ,  范渊

IPC: G06F21/32 ,  G06F21/57 ,  G06F21/60

Abstract: 本申请公开了一种身份认证方法、装置、设备及计算机可读存储介质，包括：利用授权服务通过第一安全通道调取待认证用户端对应的第一硬件指纹信息和派生出第一硬件指纹信息的第一随机数；利用授权服务通过第二安全通道接收待认证用户端通过物理不可克隆函数对第一随机数计算得到的第二硬件指纹信息；当利用授权服务确定第一硬件指纹信息与第二硬件指纹信息一致时，确定待认证用户端身份认证通过，以建立待认证用户端与任务可信执行环境之间的信任关系。应用本申请所提供的身份认证方法，实现了对用户身份的准确认证，建立了待认证用户端与任务可信执行环境之间可靠的双向信任体系。