公开(公告)号：CN108737589A

公开(公告)日：2018-11-02

申请号：CN201810419155.7

申请日：2018-05-04

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  程亚楠 ,  吴晓宝 ,  崔诗尧 ,  杜跃进 ,  陆柯羽

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明提供一种基于地理信息对域名进行画像的方法，其解决了现有技术问题：域名描述主要侧重在其应用，不便于非法域名挖掘；包括以下步骤：步骤1.对域名进行预处理：(1)验证域名是否合法；(2)提取注册域名和网站首页域名；步骤2.获取多源地理信息；(1)根据网站首页域名，获取网站的ICP备案中的地理信息；(2)根据注册域名，获取域名的WHOIS信息中地理信息；(3)根据网站首页域名，获取域名的IP地理信息；步骤3.对多源地理信息进行标准化；步骤4.评估域名的地理信息一致性指数，完成域名画像。本发明广泛应用于信息技术领域。

公开(公告)号：CN113630409B

公开(公告)日：2023-04-28

申请号：CN202110895580.5

申请日：2021-08-05

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  常利婷 ,  赵东 ,  郭辉 ,  陆柯羽 ,  程亚楠 ,  柴婷婷

IPC: H04L9/40 ,  H04L61/10 ,  H04L61/4511

Abstract: 本发明提供一种基于DNS解析流量和IP流量融合分析的异常流量识别方法，该方法包括以下步骤：步骤1、工控网络通信设备资产发现，采集企业参与通信的设备列表，建立工控网络通信设备资产信息库；骤2、DNS流量特征提取；步骤3、IP流量特征提取；步骤4、异常通信行为识别；步骤5、异常流量识别与防护；步骤6、异常流量画像信息获取；步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。该方法结合网络的特征，获取异常流量的画像信息，建立域名、IP地址、授权行为列表以及画像信息等多层防护屏障，可以实现高精确度监测，可以为安全管理人员提供更多的决策依据。

公开(公告)号：CN112883072B

公开(公告)日：2022-11-25

申请号：CN202110258091.9

申请日：2021-03-10

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  李超 ,  柴婷婷 ,  程亚楠 ,  陆柯羽 ,  郭长勇 ,  杜跃进 ,  门浩

IPC: G06F16/2457 ,  G06F16/26 ,  G06Q50/26 ,  H04L61/4511

Abstract: 本发明提供一种基于网络服务商国别标注的域名国家可控性评估方法，具体步骤为：(1)首先，分别获取域名注册商信息、CNAME信息、NS信息、IP信息、顶级域五种国别源信息；(2)其次，将所有源解析为标准的国别信息；(3)最后，根据获取国别信息的来源及重要程度，对五个标准国别信息进行加权赋值，标注域名的国别信息归属度，进行国家可控性评估。其解决了现有技术中对域名国别信息归属标注的方法较少，且不够完善，不够系统的技术问题。本发明可广泛应用于域名数据的分析中。

公开(公告)号：CN112468474A

公开(公告)日：2021-03-09

申请号：CN202011299516.2

申请日：2020-11-19

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  李冷文婷 ,  陆柯羽 ,  刘杨 ,  许海燕 ,  柴婷婷

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明涉及一种递归域名服务器解析异常的主动检测方法，其解决了技术对递归域名服务器解析异常检测不够全面的技术问题，其包括以下步骤：组建DNS查询报文并从端口发送；对返回的DNS响应报文进行存储；对DNS响应报文的源部分进行异常检测；对DNS响应报文中首部部分各字段进行检测；对DNS响应报文中问题部分各字段进行检测；对DNS响应报文中回答部分各字段进行检测；对DNS响应报文中权威部分各字段进行检测；对DNS响应报文附加部分各字段进行检测；如果检测出异常，则标记异常类型并存储异常信息。本发明可广泛应于主动检测递归域名服务器解析异常。

公开(公告)号：CN108111526A

公开(公告)日：2018-06-01

申请号：CN201711471406.8

申请日：2017-12-29

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  吴晓宝 ,  许海燕 ,  程亚楠 ,  叶燕如 ,  陆柯羽

IPC: H04L29/06 ,  H04L12/26 ,  H04L29/12

CPC classification number: H04L63/1425 ,  H04L43/10 ,  H04L61/1511

Abstract: 本发明提供一种基于异常WHOIS信息的非法网站挖掘方法，其解决了现有非法网站挖掘方法的挖掘范围小、效率低和准确性差的技术问题。包括步骤如下：步骤1，准备一份非法域名的恶意关键词库的源数据、一份作为基础数据的中国未知域名；步骤2，提取中国未知域名的WHOIS信息，解析出WHOIS信息中各地理源的地理位置，筛选出异常域名集；步骤3，对异常域名集进行在线检测，筛选出WEB可访问域名集；步骤4，对WEB可访问域名集进行恶意性检测，筛选出具有恶意域名集；步骤5，对恶意域名集进行WHOIS反查，得到未检测的反查域名集；步骤6，从反查域名集中提取出新的关键信息，重复步骤3‑5。本发明可广泛应用于信息技术领域。

公开(公告)号：CN113595823B

公开(公告)日：2024-02-13

申请号：CN202110846072.8

申请日：2021-07-26

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  陆柯羽 ,  常利婷 ,  程亚楠 ,  王旭 ,  李冷文婷 ,  李超

IPC: H04L43/50 ,  H04L43/08 ,  H04L61/4511

Abstract: 本发明提供了一种基于解析行为的开放域名解析器节能程度评估的方法，该方法包括以下步骤：步骤1、开放DNS主动测量；步骤2、域名解析路径绘制及开放DNS分类；步骤3、域名解析路径的数据包浪费分析；步骤4、DNS响应引起的数据包浪费分析；步骤5、开放DNS节能程度评估；本发明针对开放DNS为用户提供域名解析服务时存在浪费大量互联网资源的的技术问题，从互联网角度出发，基于域名解析行为，围绕开放DNS解析路径中的数据包浪费、返回的DNS响应引起的数据包浪费两方面对其节能程度进行评估。

公开(公告)号：CN113630409A

公开(公告)日：2021-11-09

申请号：CN202110895580.5

申请日：2021-08-05

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  常利婷 ,  赵东 ,  郭辉 ,  陆柯羽 ,  程亚楠 ,  柴婷婷

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种基于DNS解析流量和IP流量融合分析的异常流量识别方法，该方法包括以下步骤：步骤1、工控网络通信设备资产发现，采集企业参与通信的设备列表，建立工控网络通信设备资产信息库；骤2、DNS流量特征提取；步骤3、IP流量特征提取；步骤4、异常通信行为识别；步骤5、异常流量识别与防护；步骤6、异常流量画像信息获取；步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。该方法结合网络的特征，获取异常流量的画像信息，建立域名、IP地址、授权行为列表以及画像信息等多层防护屏障，可以实现高精确度监测，可以为安全管理人员提供更多的决策依据。

公开(公告)号：CN113590909A

公开(公告)日：2021-11-02

申请号：CN202110856090.4

申请日：2021-07-28

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  李超 ,  程亚楠 ,  陆柯羽 ,  门浩

IPC: G06F16/951 ,  G06F16/29 ,  G06F16/903 ,  G06F16/9537 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明涉及一种基于多源信息定位域名根镜像节点地理位置的方法，其解决了现有根镜像识别方法无法确定域名解析响应的镜像节点以及无法确定具体地理位置的技术问题，其包含以下步骤：获取标识符nsid信息源，其包括通过网络爬虫获取VeriSign网站提供的根镜像地理经纬度坐标信息，构造镜像标识符nsid与地理经纬度之间的映射集合setroot_lg；或者通过主动探测数据获取；根据nsid信息确定nsid对应的地理位置。本发明可广泛应用于采用任播技术提供解析服务的环境下，发现镜像任播节点并进行地理定位的领域。

公开(公告)号：CN113114797A

公开(公告)日：2021-07-13

申请号：CN202110417852.0

申请日：2021-04-19

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  常利婷 ,  陆柯羽 ,  柴婷婷 ,  王旭 ,  陈学谦

IPC: H04L29/12

Abstract: 本发明提供一种获取开放递归域名服务器域名解析规律的方法，具体为：获取开放递归域名服务器的IP地址以及域名的数据，对数据进行预处理，在测量主机上组建DNS查询报文，并向开放递归域名服务器发送，在测量主机上接收开放递归域名服务器返回的DNS响应报文，并进行存储，检测开放递归域名服务器的域名选择性解析规律，总结域名选择性解析规律，并输出结果。其解决了现有开放递归域名服务器选择性解析特定种类的域名，降低了为用户提供的服务质量、增加了用户的消极体验的技术问题。本发明可广泛应用于开放递归域名服务器服务质量的测评中。

公开(公告)号：CN108712403B

公开(公告)日：2020-08-04

申请号：CN201810419153.8

申请日：2018-05-04

Applicant: 哈尔滨工业大学(威海)

Inventor： 张兆心 ,  程亚楠 ,  吴晓宝 ,  崔诗尧 ,  杜跃进 ,  陆柯羽

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明提供一种基于域名构造相似性的非法域名挖掘方法，其解决了现有方法不能主动挖掘大量非法域名的技术问题；包括以下步骤：步骤1，从域名黑名单中读取非法域名；步骤2，判断是否存在聚集成功的类，若不存在，则转到步骤10；否则，继续下一步；步骤3，判断当前域名是否可以归到第i个聚集类中，若不可以，则转到步骤10；否则，继续下一步；判断的依据是当前域名是否与中心域名相似，中心域名是指聚集类中有代表性的域名；步骤4，将当前域名并入第i个聚集类，并提取出当前域名与该类中心域名的匹配过程中所产生的生成模式，继续下一步；生成模式是聚集类中各域名与中心域名所提取出的通配字符串。本发明广泛应用于信息技术领域。