公开(公告)号：CN106790062A

公开(公告)日：2017-05-31

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN105072089B

公开(公告)日：2018-09-25

申请号：CN201510404406.0

申请日：2015-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  罗熙 ,  刘艇 ,  吴再龙

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为：1)从访问历史记录中提取访问用户的关键词特征与统计特征，构建用户的关键词向量和统计特征向量；2)遍历用户的关键词向量，统计每一关键词对应的用户数量，构建全局关键词表；3)根据全局关键词表计算每个关键词的生僻度，根据生僻度计算访问用户的原始异常分值，然后根据该访问用户的统计特征向量，修正原始异常分值，得到该用户的最终异常分值；4)对所有访问用户的最终异常分值序列的突变点，将其对应的最终异常分值作为阈值；5)将访问用户的最终异常分值与该阈值进行比较，如果大于该阈值，则为恶意扫描用户。本发明能发现未知的攻击行为，且不依赖于正常历史数据。

公开(公告)号：CN105072089A

公开(公告)日：2015-11-18

申请号：CN201510404406.0

申请日：2015-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  罗熙 ,  刘艇 ,  吴再龙

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1425 ,  H04L67/02

Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为：1)从访问历史记录中提取访问用户的关键词特征与统计特征，构建用户的关键词向量和统计特征向量；2)遍历用户的关键词向量，统计每一关键词对应的用户数量，构建全局关键词表；3)根据全局关键词表计算每个关键词的生僻度，根据生僻度计算访问用户的原始异常分值，然后根据该访问用户的统计特征向量，修正原始异常分值，得到该用户的最终异常分值；4)对所有访问用户的最终异常分值序列的突变点，将其对应的最终异常分值作为阈值；5)将访问用户的最终异常分值与该阈值进行比较，如果大于该阈值，则为恶意扫描用户。本发明能发现未知的攻击行为，且不依赖于正常历史数据。

公开(公告)号：CN104601556B

公开(公告)日：2017-12-26

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN106790062B

公开(公告)日：2020-05-08

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN104601556A

公开(公告)日：2015-05-06

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/02

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。