公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN104573107A

公开(公告)日：2015-04-29

申请号：CN201510050947.8

申请日：2015-02-02

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 任光裕 ,  马旸 ,  蔡冰 ,  俞宙 ,  罗雅琼 ,  王林汝

IPC: G06F17/30

CPC classification number: G06F17/30557 ,  G06F17/30595

Abstract: 本发明提供了一种网络安全应用NoSQL数据库与关系型数据库融合接口方法，包括中央处理器、网络安全应用、网络安全应用接口、NoSQL数据库、NoSQL数据库接口、关系型数据库以及关系型数据库接口，所述的中央处理器通过NoSQL数据库接口与NoSQL数据库连接，中央处理器通过关系型数据库接口与关系型数据库连接，并在另一端通过网络安全应用接口与网络安全应用进行连接，本发明在传统数据架构中增加了一个数据处理中间层，整合了NoSQL数据库和关系型数据库的数据访问接口，为应用提供统一的数据访问接口，简化了应用开发复杂度，降低了应用与数据间的耦合，提升了开发效率。

公开(公告)号：CN112565274A

公开(公告)日：2021-03-26

申请号：CN202011434278.1

申请日：2020-12-11

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  尹魏昕 ,  仲思超 ,  俞宙 ,  邱凌志 ,  胡鹏

IPC: H04L29/06 ,  G06F21/56 ,  G06F21/55

Abstract: 一种智能识别恶意APP的方法及系统涉及信息技术领域。本发明由信安系统数据采集器、DPI旁路系统数据采集器、APK地址过滤器、APK文件获取器、APP文件提取分析器、APP沙箱和fiddler工具组成，本发明通过网络流量提取APK下载地址，通过对APK的文件分析判断恶意APK，并将恶意APK发送给APP沙箱；在APP沙箱中自动安装APK和通过脚本模拟点击运行APK；在APP沙箱中使用fiddler工具提取网络地址，将网络地址中属于谷歌服务地址外的其他地址进行提取生成APP后台管理地址，将APP后台管理地址提交给信息管理部门进行网络封堵，从而从源头切断恶意APP被下载和传播的路径。

公开(公告)号：CN112543200A

公开(公告)日：2021-03-23

申请号：CN202011433907.9

申请日：2020-12-10

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  俞宙 ,  顾弘 ,  胡鹏 ,  罗雅琼 ,  仲思超

IPC: H04L29/06 ,  H04W4/029 ,  H04W4/14

Abstract: 一种物联网卡用途违规的识别方法及系统涉及信息技术领域。本发明由物联网卡日志采集器、上网信息分析器、短信分析器、信令分析器和行为分析器组成；物联网卡日志采集器由上网日志采集器、短信日志采集器和信令日志采集器组成；本发明通过采集运营商上报的日志数据后，可自动对监控的流量或者信令基站数据进行分析，提取出违规行为，自动将用途违规的物联网卡归集，以便处理。

公开(公告)号：CN107888571B

公开(公告)日：2020-08-28

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN104994117A

公开(公告)日：2015-10-21

申请号：CN201510477268.9

申请日：2015-08-07

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  俞宙 ,  王林汝

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1483 ,  H04L61/1511

Abstract: 本发明公开了一种基于DNS解析数据的恶意域名检测方法及系统，包括以下步骤：获取DNS解析数据、对DNS解析数据进行数据清洗、根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名及根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名，本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。