公开(公告)号：CN112235264B

公开(公告)日：2022-10-14

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L9/40 ,  H04L47/2483 ,  H04L47/2441 ,  H04L67/141 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN112235264A

公开(公告)日：2021-01-15

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN115795533A

公开(公告)日：2023-03-14

申请号：CN202211406620.6

申请日：2022-11-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 窦禹 ,  贾晨 ,  蔡冰 ,  嵇程 ,  俞宙

IPC: G06F21/62 ,  G06F21/60

Abstract: 本发明公开了一种流量数据信息检测方法、装置、设备及存储介质，包括：获取目标应用程序的明文流量样本数据以及加密流量样本数据，根据隐私信息库确定明文流量样本数据的隐私信息标签；根据明文流量样本数据以及加密流量样本数据分别对应的五元组信息，判断是否存在明文流量样本数据对应的关联加密流量数据；如果存在，则根据明文流量样本数据的隐私信息标签，确定关联加密流量数据的隐私信息标签；根据关联加密流量数据对应的隐私信息标签以及特征信息，构建密文隐私信息检测模型。本发明实施例的技术方案可以保证加密流量数据中隐私检测结果的准确性。

公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN104573107A

公开(公告)日：2015-04-29

申请号：CN201510050947.8

申请日：2015-02-02

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 任光裕 ,  马旸 ,  蔡冰 ,  俞宙 ,  罗雅琼 ,  王林汝

IPC: G06F17/30

CPC classification number: G06F17/30557 ,  G06F17/30595

Abstract: 本发明提供了一种网络安全应用NoSQL数据库与关系型数据库融合接口方法，包括中央处理器、网络安全应用、网络安全应用接口、NoSQL数据库、NoSQL数据库接口、关系型数据库以及关系型数据库接口，所述的中央处理器通过NoSQL数据库接口与NoSQL数据库连接，中央处理器通过关系型数据库接口与关系型数据库连接，并在另一端通过网络安全应用接口与网络安全应用进行连接，本发明在传统数据架构中增加了一个数据处理中间层，整合了NoSQL数据库和关系型数据库的数据访问接口，为应用提供统一的数据访问接口，简化了应用开发复杂度，降低了应用与数据间的耦合，提升了开发效率。

公开(公告)号：CN112565274A

公开(公告)日：2021-03-26

申请号：CN202011434278.1

申请日：2020-12-11

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  尹魏昕 ,  仲思超 ,  俞宙 ,  邱凌志 ,  胡鹏

IPC: H04L29/06 ,  G06F21/56 ,  G06F21/55

Abstract: 一种智能识别恶意APP的方法及系统涉及信息技术领域。本发明由信安系统数据采集器、DPI旁路系统数据采集器、APK地址过滤器、APK文件获取器、APP文件提取分析器、APP沙箱和fiddler工具组成，本发明通过网络流量提取APK下载地址，通过对APK的文件分析判断恶意APK，并将恶意APK发送给APP沙箱；在APP沙箱中自动安装APK和通过脚本模拟点击运行APK；在APP沙箱中使用fiddler工具提取网络地址，将网络地址中属于谷歌服务地址外的其他地址进行提取生成APP后台管理地址，将APP后台管理地址提交给信息管理部门进行网络封堵，从而从源头切断恶意APP被下载和传播的路径。

公开(公告)号：CN112543200A

公开(公告)日：2021-03-23

申请号：CN202011433907.9

申请日：2020-12-10

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  俞宙 ,  顾弘 ,  胡鹏 ,  罗雅琼 ,  仲思超

IPC: H04L29/06 ,  H04W4/029 ,  H04W4/14

Abstract: 一种物联网卡用途违规的识别方法及系统涉及信息技术领域。本发明由物联网卡日志采集器、上网信息分析器、短信分析器、信令分析器和行为分析器组成；物联网卡日志采集器由上网日志采集器、短信日志采集器和信令日志采集器组成；本发明通过采集运营商上报的日志数据后，可自动对监控的流量或者信令基站数据进行分析，提取出违规行为，自动将用途违规的物联网卡归集，以便处理。

公开(公告)号：CN112165484B

公开(公告)日：2022-10-14

申请号：CN202011021966.5

申请日：2020-09-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  肖佃艳 ,  呼啸 ,  陈少鹏 ,  俞宙 ,  何跃鹰 ,  李政 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明实施例提供了基于深度学习与侧信道分析的网络加密流量识别方法、装置，将侧信道分析与深度学习方法相结合，将网络层加密网络会话执行过程中与设备层现场总线、I/O信号、能量、电磁等物理信息的相互影响和内在联系也纳入分析对象，具体的：构建报文二维数据矩阵、通信行为二维数据矩阵以及现场总线一维数据向量、I/O信号一维数据向量以及物理信息一维数据向量，将报文二维数据矩阵、行为二维数据矩阵、现场总线一维数据向量、I/O信号一维数据向量以及物理信息一维数据向量输入至预先训练的网络流量识别模型中，识别待识别网络流量的协议类型。应用本发明实施例提供的方案，提高了网络加密流量识别的准确率和效率。

公开(公告)号：CN112165484A

公开(公告)日：2021-01-01

申请号：CN202011021966.5

申请日：2020-09-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  肖佃艳 ,  呼啸 ,  陈少鹏 ,  俞宙 ,  何跃鹰 ,  李政 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明实施例提供了基于深度学习与侧信道分析的网络加密流量识别方法、装置，将侧信道分析与深度学习方法相结合，将网络层加密网络会话执行过程中与设备层现场总线、I/O信号、能量、电磁等物理信息的相互影响和内在联系也纳入分析对象，具体的：构建报文二维数据矩阵、通信行为二维数据矩阵以及现场总线一维数据向量、I/O信号一维数据向量以及物理信息一维数据向量，将报文二维数据矩阵、行为二维数据矩阵、现场总线一维数据向量、I/O信号一维数据向量以及物理信息一维数据向量输入至预先训练的网络流量识别模型中，识别待识别网络流量的协议类型。应用本发明实施例提供的方案，提高了网络加密流量识别的准确率和效率。

公开(公告)号：CN107888571B

公开(公告)日：2020-08-28

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。