公开(公告)号：CN110708341A

公开(公告)日：2020-01-17

申请号：CN201911119243.6

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  刘梦严 ,  蒋明昊 ,  宋嘉莹 ,  李镇 ,  熊刚 ,  苟高鹏 ,  崔明鑫

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统，其步骤包括：获取远程桌面客户端到远程桌面服务端的网络流量，并将所述网络流量分割成独立的网络流；将每一条所述的网络流分割成若干个流尖峰，并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集；将所述数据集送入用户行为检测模型，获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密，只需利用流量的包长序列和到达时间序列提取统计特征，即可实现对用户的粗粒度行为与细粒度动作的检测。

公开(公告)号：CN106506630B

公开(公告)日：2019-12-10

申请号：CN201610953238.5

申请日：2016-10-27

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  曹自刚 ,  李镇 ,  郭莉

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明涉及一种基于HTTP内容一致性的恶意网络行为发现方法。该方法包括：1)对HTTP报文进行解析；2)比较HTTP报文头所声明的类型和HTTP报文的实际载荷类型的一致性；3)若步骤2)比较的结果为不一致，则根据具体报文头和实际载荷类型对不一致行为进行可疑程度判断；4)对可疑程度大于设定的阈值的不一致行为进行记录；5)对记录的可疑的不一致行为进行扫描和分析，从而发现恶意行为。本发明具有很好的未知恶意行为发现能力，弥补了传统基于规则的防火墙和入侵检测系统对未知恶意行为检测的不足。

公开(公告)号：CN106850265A

公开(公告)日：2017-06-13

申请号：CN201611243915.0

申请日：2016-12-29

Applicant: 中国科学院信息工程研究所

Inventor： 苟高鹏 ,  李镇 ,  曹自刚 ,  石俊峥

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种电力系统网络攻击预测方法。本发明为：1)提取电力系统网络上的关键节点，并为关键节点分配权重；2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图；3)当发生网络攻击时，如果攻击者利用已知系统漏洞进行网络攻击，则利用训练好的该网络攻击图预测当前的网络攻击方向和目标；如果攻击者利用的是未知系统漏洞进行网络攻击，则将当前受攻击的节点作为新的关键节点并赋予权重，将该关键节点加入网络攻击图获取新的攻击预测方向。本发明有效降低了攻击图预测的复杂度，大大提高了电力系统抗击网络攻击的效率。