公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN104573107A

公开(公告)日：2015-04-29

申请号：CN201510050947.8

申请日：2015-02-02

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 任光裕 ,  马旸 ,  蔡冰 ,  俞宙 ,  罗雅琼 ,  王林汝

IPC: G06F17/30

CPC classification number: G06F17/30557 ,  G06F17/30595

Abstract: 本发明提供了一种网络安全应用NoSQL数据库与关系型数据库融合接口方法，包括中央处理器、网络安全应用、网络安全应用接口、NoSQL数据库、NoSQL数据库接口、关系型数据库以及关系型数据库接口，所述的中央处理器通过NoSQL数据库接口与NoSQL数据库连接，中央处理器通过关系型数据库接口与关系型数据库连接，并在另一端通过网络安全应用接口与网络安全应用进行连接，本发明在传统数据架构中增加了一个数据处理中间层，整合了NoSQL数据库和关系型数据库的数据访问接口，为应用提供统一的数据访问接口，简化了应用开发复杂度，降低了应用与数据间的耦合，提升了开发效率。

公开(公告)号：CN117633560A

公开(公告)日：2024-03-01

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN114154021A

公开(公告)日：2022-03-08

申请号：CN202111213318.4

申请日：2021-10-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  南京中新赛克科技有限责任公司

Inventor： 蔡冰 ,  贾晨 ,  邢欣 ,  陈关松

IPC: G06F16/901 ,  G06F16/903 ,  G06F16/9035

Abstract: 本发明公开了一种基于协议流量分析的行业关系链挖掘方法及系统，具体包括以下步骤：(1)获取待分析的流量；(2)构建能够识别包含行业产品编号流量的正则表达式；利用正则表达式对于获取的流量进行初步的过滤；(3)根据HTTP协议、HTTPS协议和私有协议进行二次人工筛查，获取各条流量对应的服务端信息；通过服务端的IP地址、域名信息或者流量中的关键字可以分析判断各条流量是否由属于该行业设备产生的；(4)根据APN、IPC备案、报文负载的内容以及行动轨迹对于流量反应的设备资产进一步的核实；(5)根据核实的设备资产及其服务端，绘制行业的关系图谱。本方法能够从海量的流量中发掘物联网行业终端、平台、用户之间业务流量的相互关联关系，获取行业关系图谱。

公开(公告)号：CN109508542B

公开(公告)日：2019-11-22

申请号：CN201811257486.1

申请日：2018-10-26

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  姚力

IPC: G06F21/55 ,  G06F1/20 ,  G06F11/30 ,  G06F16/955

Abstract: 本发明公开了一种大数据环境下WEB异常检测方法，包括正常URL逻辑回归模型构建，具体过程为：采用N‑Gram模型，获取正常URL里的关键词列表；采用TfidfVectorizer函数把每个正常URL里的关键词做TF‑IDF，得到向量化的特征；训练正常URL逻辑回归模型；异常检测，具体过程为：通过训练好的正常URL逻辑回归模型，过滤HTTP请求，若HTTP请求中的URL为正常URL，则响应HTTP请求。同时也公开了相应的系统和服务器。本发明的方法通过正常URL逻辑回归模型过滤HTTP请求，解决了传统基于规则匹配的web入侵检测，误报和漏报率高的问题。

公开(公告)号：CN105516196A

公开(公告)日：2016-04-20

申请号：CN201610033198.2

申请日：2016-01-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  强小辉 ,  蔡冰 ,  王林汝 ,  吴超

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1466

Abstract: 本发明公开了基于HTTP报文数据的并行化网络异常检测方法与系统，步骤包括获取HTTP报文数据，对HTTP报文数据进行数据清洗，对样本进行分层抽样，引入隐马尔科夫语法模型构建组合分类器并构建模糊化集合，使用组合分类器作为检测模型，引入模糊化集合动态判断待检测样本是否为异常访问记录，输出异常访问记录，本发明基于HADOOP大数据分析平台，可以全量分析HTTP报文数据，发现数据中隐藏的网络异常，此外，通过源IP进行回溯，结合与IP资源的比对，进一步挖掘发起攻击的终端的地理位置等社会信息，使得源头上阻止网络攻击发生变成可能。

公开(公告)号：CN104426840A

公开(公告)日：2015-03-18

申请号：CN201310365136.8

申请日：2013-08-21

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  南京南谷云信息技术有限公司

Inventor： 蔡冰 ,  周立波

IPC: H04L29/06

CPC classification number: H04L63/14 ,  G06Q40/00 ,  H04L63/0236

Abstract: 本发明公开了一种主动威胁发现系统，通过部署在所要监测单位的互联网出口，监测主机、网络设备、安全设备产生的分散且海量的安全信息进行规范、汇总、过滤和关联分析，网关监测系统与国家互联网应急中心的病毒特征库、恶意域名库等国家级网络安全数据中心实现联动，充分利用国家级的各类基础资源进行联动分析和智能判决，实现对各类复杂网络安全事件的精准发现，通过比对相应的流量特征，发现网内主机存在的安全隐患，实现对关口流量的监测、预警、过滤功能。本发明的有益效果是：防御能力强，能够充分保证金融信息系统的安全。

公开(公告)号：CN114640620A

公开(公告)日：2022-06-17

申请号：CN202210561377.9

申请日：2022-05-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  嵇程 ,  邢欣 ,  张丽霞 ,  袁艺

IPC: H04L45/02 ,  H04L45/00 ,  H04L41/142 ,  G06K9/62 ,  G06N7/00

Abstract: 本发明提供了一种基于不完全信息推断互联网AS连接关系的方法，包括对每个分组中BGP采集点采集的AS之间的路径信息进行初始判定，获得一致性AS连接关系集合和无法判定的AS连接关系集合；每个分组对一致性AS连接关系集合中的同一个AS连接关系进行判定，获得可信的p2p连接关系或p2c连接关系，将其加入可信AS连接关系集合；一致性AS连接关系集合中的其他AS连接关系加入无法判定的AS连接关系集合；利用可信AS连接关系集合进行分类模型训练，利用训练好的分类模型对无法判定的AS连接关系集合中的AS连接关系进行判定，输出判定结果。该方法能够对无法判定关系类型的AS连接关系进行推断，构建准确的AS连接关系。

公开(公告)号：CN115065623A

公开(公告)日：2022-09-16

申请号：CN202210971580.3

申请日：2022-08-15

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  邢欣 ,  嵇程 ,  邱凌志 ,  袁艺

IPC: H04L43/18

Abstract: 本发明公开了一种主被动相结合的私有工控协议逆向分析方法，包括采集工控设备正常通信过程中的报文，对所述报文进行逆向分析，获得逆向分析结果；构造错误的报文格式，产生报文与工控设备进行通信交互；确定接收到错误数据后工控设备的响应方式；对所述逆向分析结果中的字段属性进行验证；构建待验证报文结构格式集合，构造报文并发送至工控设备，根据与工控设备通信交互的响应结果确定该报文结构是否为符合所述工控协议规范的正确报文格式；对逆向分析结果中的状态机信息进行扩展分析，获得最终的逆向分析结果。该方法能够对协议格式、字段属性和状态机的分析结果进行更深入的挖掘，归纳出能够更加真实反映出工控协议全局信息的逆向结果。

公开(公告)号：CN114584401B

公开(公告)日：2022-07-12

申请号：CN202210484503.5

申请日：2022-05-06

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  刘明芳 ,  吴琳 ,  许海滨 ,  嵇程 ,  贾晨

IPC: H04L9/40

Abstract: 本发明提供了一种面向大规模网络攻击的追踪溯源系统及方法，所述系统包括日志追踪模块、攻击检测模块、追踪溯源引擎模块和探针模块，日志追踪模块用于接收、汇集和存储所关联网络的日志信息以及网络攻击信息，将网络攻击信息推送至追踪溯源引擎模块；攻击检测模块用于对网络出入口经过的流量进行网络攻击检测和异常行为识别，将网络攻击信息存储到日志追踪模块中；追踪溯源引擎模块用于判断攻击信息是否源地址伪造攻击，调度探针模块对攻击流的源IP地址进行主动扫描和探测；探针模块用于对发现的网络攻击者主机指纹进行探测以及地理位置定位，实现对网络攻击者的追踪溯源。该系统能够实现弹性部署、低侵扰数据采集和多维攻击者画像重构。