-
公开(公告)号:CN104794170A
公开(公告)日:2015-07-22
申请号:CN201510147426.4
申请日:2015-03-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于指纹多重哈希布隆过滤器的网络取证内容溯源方法。该方法对捕获的原始网络流量数据包进行重组并构建应用层的会话;在每一个时间间隔内,将会话内容分块存储到增强版指纹多重哈希布隆过滤器中,并保存会话索引表,每一个分块不仅存储到基本布隆过滤器中,还串联会话索引存储到带会话索引的布隆过滤器中;收到查询请求后,使用相同的方法对所查询的摘录进行分块,然后在可能的时间间隔内的所有存档单元中检索,首先将得到的分块在基本布隆过滤器中查询,若能够查询到这些分块,则将得到的分块串联候选的会话索引,并在带会话索引的布隆过滤器中查询,得到传输该摘录的应用层信息。本发明能够提高网络取证内容溯源能力和准确性。
-
公开(公告)号:CN103942489A
公开(公告)日:2014-07-23
申请号:CN201410127741.6
申请日:2014-03-31
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
CPC classification number: G06F21/316 , G06F21/55
Abstract: 本发明涉及一种基于光标隐藏场景的攻击检测方法及系统,其中方法包括步骤:1.监测用户操作行为,发现可疑行为时,发送触发指令;2.通过创建透明窗体置顶的方法实现光标隐藏,使用户进入光标隐藏场景;3.记录用户在光标隐藏场景下对光标的操作数据;4.判断当前数据采集模块记录的操作数据是否达到预设值,或者光标隐藏场景时间值是否达到预设时间值;如果是,执行下一步;否则,执行步骤3;5.特征提取得到光标特征值,生成光标特征向量;6.基于光标特征向量和特征模型文件,进行分类;7.判定用户为正常用户或恶意用户。本发明在保证准确率的前提下,训练数据采集时间短、身份认证时间短。
-
公开(公告)号:CN104022899A
公开(公告)日:2014-09-03
申请号:CN201410231273.7
申请日:2014-05-28
Applicant: 中国科学院信息工程研究所
IPC: H04L12/24
Abstract: 本发明涉及一种网络管理系统的三维评估方法,包括对当前的网络状况和管理系统的需求进行分析;根据前面的分析结果,构建可动态可配置的评估模型指标体系;采用评估模型对要评估的管理系统进行模拟评估;如果通过则部署该管理系统;如果未通过,重新对评估模型进行修正;在管理系统部署后,对要评估的管理系统进行实践评估,如果未通过,重新对评估模型进行修正;如果通过,得出评估结果,并给出该管理系统部署后对网络中各方实体的影响,提供改进部署方法的建议;本发明可以对现有网络管理系统进行全面的评估,找出其中存在的缺陷并提出科学有效的部署整改意见,还可以应付大量网络设备的评估量,另外该评估方法具有很强的灵活性和高度的扩展性。
-
Patent Agency Ranking
公开(公告)号:CN103036743A
公开(公告)日:2013-04-10
申请号:CN201210555371.7
申请日:2012-12-19
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种窃密木马的TCP心跳行为的检测方法,包括:步骤1,抓取网络数据包,还原成TCP数据流;步骤2,检测是否有TCP保活心跳行为;步骤3,检测是否有TCP连接内心跳行为;步骤4,检测是否有TCP连接级心跳行为:步骤5,对检测出的窃密木马心跳行为进行误判检测。本发明基于网络数据包大小、方向和时间等特征,能计算出心跳的周期及其波动的范围,方法简单,检测结果准确全面,能运用在实时检测窃密木马的系统中,具有较好的检测效果。
-
公开(公告)号:CN104794170B
公开(公告)日:2018-05-01
申请号:CN201510147426.4
申请日:2015-03-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于指纹多重哈希布隆过滤器的网络取证内容溯源方法。该方法对捕获的原始网络流量数据包进行重组并构建应用层的会话;在每一个时间间隔内,将会话内容分块存储到增强版指纹多重哈希布隆过滤器中,并保存会话索引表,每一个分块不仅存储到基本布隆过滤器中,还串联会话索引存储到带会话索引的布隆过滤器中;收到查询请求后,使用相同的方法对所查询的摘录进行分块,然后在可能的时间间隔内的所有存档单元中检索,首先将得到的分块在基本布隆过滤器中查询,若能够查询到这些分块,则将得到的分块串联候选的会话索引,并在带会话索引的布隆过滤器中查询,得到传输该摘录的应用层信息。本发明能够提高网络取证内容溯源能力和准确性。
-
公开(公告)号:CN103152222B
公开(公告)日:2015-11-18
申请号:CN201310063228.0
申请日:2013-02-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于主机群特征检测速变攻击域名的方法,主要包括步骤:1)网络数据包的抓取和DNS报文特征提取;2)速变攻击域名检测;3)误判检测。其中,速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测,为本发明的核心;误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合,基于域名对应的主机群IP分散程度和在线率等特征,避免了对单个DNS报文进行分析的准确率问题,且在计算IP距离时考虑域名对应主机群的规模,从而避免大型良性速变网络被误判。
-
公开(公告)号:CN103036743B
公开(公告)日:2015-10-07
申请号:CN201210555371.7
申请日:2012-12-19
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种窃密木马的TCP心跳行为的检测方法,包括:步骤1,抓取网络数据包,还原成TCP数据流;步骤2,检测是否有TCP保活心跳行为;步骤3,检测是否有TCP连接内心跳行为;步骤4,检测是否有TCP连接级心跳行为:步骤5,对检测出的窃密木马心跳行为进行误判检测。本发明基于网络数据包大小、方向和时间等特征,能计算出心跳的周期及其波动的范围,方法简单,检测结果准确全面,能运用在实时检测窃密木马的系统中,具有较好的检测效果。
-
公开(公告)号:CN103152222A
公开(公告)日:2013-06-12
申请号:CN201310063228.0
申请日:2013-02-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于主机群特征检测速变攻击域名的方法,主要包括步骤:1)网络数据包的抓取和DNS报文特征提取;2)速变攻击域名检测;3)误判检测。其中,速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测,为本发明的核心;误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合,基于域名对应的主机群IP分散程度和在线率等特征,避免了对单个DNS报文进行分析的准确率问题,且在计算IP距离时考虑域名对应主机群的规模,从而避免大型良性速变网络被误判。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.028 seconds)
