公开(公告)号：CN105072089B

公开(公告)日：2018-09-25

申请号：CN201510404406.0

申请日：2015-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  罗熙 ,  刘艇 ,  吴再龙

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为：1)从访问历史记录中提取访问用户的关键词特征与统计特征，构建用户的关键词向量和统计特征向量；2)遍历用户的关键词向量，统计每一关键词对应的用户数量，构建全局关键词表；3)根据全局关键词表计算每个关键词的生僻度，根据生僻度计算访问用户的原始异常分值，然后根据该访问用户的统计特征向量，修正原始异常分值，得到该用户的最终异常分值；4)对所有访问用户的最终异常分值序列的突变点，将其对应的最终异常分值作为阈值；5)将访问用户的最终异常分值与该阈值进行比较，如果大于该阈值，则为恶意扫描用户。本发明能发现未知的攻击行为，且不依赖于正常历史数据。

公开(公告)号：CN103561012B

公开(公告)日：2017-01-25

申请号：CN201310517193.3

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  杨婧 ,  宋晨 ,  吕双双 ,  李乃山

IPC: H04L29/06 ,  H04L29/08 ,  G06F17/30

Abstract: 本发明涉及基于关联树的WEB后门检测方法及系统，包括链接关联树生成模块和攻击实时检测模块；该检测系统不依赖于杀毒软件或文件特征检测软件，而是首先对WEB网站链接进行主动爬取和访问记录收集，经过分析处理，构建出WEB网站的全部URL的链接集合，以计算机算法中树的形式标记URL的链接和跳转关系，形成链接关联树。对后门URL请求在链接关联树中不存在，系统的安全监控模块发出报警，并阻断该攻击请求。本发明的检测方法提高了WEB应用的安全性，解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击,通用性好，WEB服务器无需安装软件程序，对WEB服务器类型、WEB编程语言、用户使用等均透明。

公开(公告)号：CN103297435B

公开(公告)日：2016-12-28

申请号：CN201310222685.X

申请日：2013-06-06

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  徐震 ,  马多贺 ,  宋晨 ,  吕双双 ,  黄亮

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26

Abstract: 本发明涉及一种基于WEB日志的异常访问行为检测方法，步骤包括：1）解析WEB原始日志去除干扰信息后进行IP访问统计和URL访问统计，得到IP访问统计列表和URL访问统计列表；2）根据IP访问统计列表，进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测，同时更新IP异常特征表；根据URL访问统计列表，进行偏僻URL访问检测与异常查询串检测，同时更新IP异常特征表；3）根据设定的优先级顺序对IP异常特征表中的异常特征进行排序，输出排序后的IP异常特征表得到异常访问结果。本发明的方法不依赖于历史访问数据构筑访问模型，横向对比发现异常，通过选举参照查询串进行异常参数检测。

公开(公告)号：CN105072089A

公开(公告)日：2015-11-18

申请号：CN201510404406.0

申请日：2015-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  罗熙 ,  刘艇 ,  吴再龙

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1425 ,  H04L67/02

Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为：1)从访问历史记录中提取访问用户的关键词特征与统计特征，构建用户的关键词向量和统计特征向量；2)遍历用户的关键词向量，统计每一关键词对应的用户数量，构建全局关键词表；3)根据全局关键词表计算每个关键词的生僻度，根据生僻度计算访问用户的原始异常分值，然后根据该访问用户的统计特征向量，修正原始异常分值，得到该用户的最终异常分值；4)对所有访问用户的最终异常分值序列的突变点，将其对应的最终异常分值作为阈值；5)将访问用户的最终异常分值与该阈值进行比较，如果大于该阈值，则为恶意扫描用户。本发明能发现未知的攻击行为，且不依赖于正常历史数据。

公开(公告)号：CN103067409B

公开(公告)日：2015-10-14

申请号：CN201310021832.7

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  宋晨 ,  杨婧 ,  徐震 ,  吕双双 ,  黄亮

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/66

Abstract: 本发明涉及一种WEB盗链防护方法及其网关系统，系统包括：网关配置模块、盗链防护标识生成分发模块和盗链防护标识提取验证模块，1）在客户端与WEB服务器间建立一前置网关，前置网关为其代理的WEB服务器配置盗链防护的文件类型，配置生效后启动盗链防护功能；2）前置网关根据所述客户端的请求类型判断资源请求是否在盗链防护文件类型中；3）对盗链防护标识进行提取验证，将满足设定条件的资源请求从所述前置网关转发到该WEB服务器。本发明能够及时确定盗链攻击并对资源访问进行拒绝，屏蔽了网站的Web服务器和操作系统的多样性和差异性，无需更改服务器上软件配置，对WEB服务也透明，不影响原有管理模式。

公开(公告)号：CN103297435A

公开(公告)日：2013-09-11

申请号：CN201310222685.X

申请日：2013-06-06

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  徐震 ,  马多贺 ,  宋晨 ,  吕双双 ,  黄亮

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26

Abstract: 本发明涉及一种基于WEB日志的异常访问行为检测方法，步骤包括：1）解析WEB原始日志去除干扰信息后进行IP访问统计和URL访问统计，得到IP访问统计列表和URL访问统计列表；2）根据IP访问统计列表，进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测，同时更新IP异常特征表；根据URL访问统计列表，进行偏僻URL访问检测与异常查询串检测，同时更新IP异常特征表；3）根据设定的优先级顺序对IP异常特征表中的异常特征进行排序，输出排序后的IP异常特征表得到异常访问结果。本发明的方法不依赖于历史访问数据构筑访问模型，横向对比发现异常，通过选举参照查询串进行异常参数检测。

公开(公告)号：CN113271292B

公开(公告)日：2022-05-10

申请号：CN202110371772.6

申请日：2021-04-07

Applicant: 中国科学院信息工程研究所

Inventor： 李依馨 ,  王利明 ,  杨婧

IPC: H04L9/40 ,  H04L61/4511 ,  G06F16/33 ,  G06F16/35 ,  G06F40/30 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于词向量的恶意域名集群检测方法及装置，包括：通过服务器日志中原始数据，生成各客户端的访问序列；对访问序列从时间维度与空间维度上进行聚类，生成域名访问序列；对各域名访问序列进行访问域名去重处理，生成域名集群；生成各访问域名的域名语义向量；通过域名集群与域名语义向量，生成域名语义向量矩阵；依据域名语义向量矩阵对域名集群进行分类，得到恶意域名集群检测结果。本发明可有效识别进行同一恶意活动的域名集群，为分析恶意活动提供更全面的视角，并且使用数据字段少，使用的计算资源少，提高了检测效率，可有效部署在各类企业或服务商网络中，无需安全人员手动调节参数，预训练好的模型可以稳定有效的运行。

公开(公告)号：CN106375345A

公开(公告)日：2017-02-01

申请号：CN201610966292.3

申请日：2016-10-28

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 解珍 ,  杨婧 ,  王利明 ,  孙默 ,  骆文 ,  王静

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1441 ,  H04L61/1511 ,  H04L63/145

Abstract: 本发明提出一种基于周期性检测的恶意软件域名检测方法，包含以下步骤：1)对输入数据进行过滤，得到一个稀少域名集合；2)从稀少域名集合中提取出 的请求时间序列，对其进行周期性检测，得到周期性域名集合；3)获取周期性域名集合中每一个周期性域名的特征向量；4)将周期性域名集合中周期性域名进行人工标记，根据特征向量，使用标注好的合法域名和恶意域名对分类器进行训练；5)将新的未标注域名作为步骤4)训练后的分类器的输入进行检测，输出结果为恶意软件域名。能够在隐蔽通信中发现具有周期性的恶意软件域名。同时提出基于上述方法的系统。

公开(公告)号：CN104601556A

公开(公告)日：2015-05-06

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/02

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN103561011A

公开(公告)日：2014-02-05

申请号：CN201310516638.6

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  杨婧 ,  李乃山

IPC: H04L29/06

Abstract: 本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统，系统包括：SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块；所述SDN控制器资源池监控器，用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机；所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测，当检测到针对控制器的盲DDoS攻击流时，所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量，有效防护针对控制器的盲DDoS攻击，保障SDN网络的可用性。