公开(公告)号：CN108628703B

公开(公告)日：2022-06-17

申请号：CN201810225421.2

申请日：2018-03-19

申请人： 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

发明人： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC分类号： G06F11/14 ,  G06F11/20 ,  G06K9/62 ,  H04L67/02

摘要： 本发明提供一种基于视觉相似性镜像网站发现方法及系统，该方法的步骤包括：对网页页面进行初步分块，将得到的块作为DOM树的结点；对可分割的结点继续分割，将分出的新块作为该结点的孩子结点；对于不可分割的结点，将该结点的块作为页面块存入页面块池中，如此循环迭代分块，直至得到全部的页面块；检测出页面中的分隔条，确定分割条的权重；基于分割条的权重进行重建，得到语义块；将语义块转换成图像，提取图像的签名特征；根据上述步骤提取目标网页和基准网页的各语义块的签名特征，基于签名特征通过EMD距离算法计算目标网页和基准网页之间的距离，如果该距离小于一设定阈值，则判定该目标网页的网站属于镜像网站。

公开(公告)号：CN108768921B

公开(公告)日：2021-03-09

申请号：CN201810264535.8

申请日：2018-03-28

申请人： 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

发明人： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC分类号： H04L29/06 ,  H04L29/12

摘要： 本发明提供一种基于特征检测的恶意网页发现方法，包括以下步骤：通过读取URL文件，提取URL相关网络行为特征；通过读取DNS文件，提取域名相关网络行为特征；通过读取NetFlow文件，提取流量相关网络行为特征；针对URL相关网络行为特征，域名相关网络行为特征及流量相关网络行为特征进行规则匹配，根据匹配结果识别恶意URL。同时，基于实时捕获的网络流，构建了实现上述方法的在线的具有检测及识别功能的系统，并通过该系统实施在线网页识别，能从实时网络流中实时识别恶意网页的URL。

公开(公告)号：CN108768921A

公开(公告)日：2018-11-06

申请号：CN201810264535.8

申请日：2018-03-28

申请人： 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

发明人： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC分类号： H04L29/06 ,  H04L29/12

摘要： 本发明提供一种基于特征检测的恶意网页发现方法，包括以下步骤：通过读取URL文件，提取URL相关网络行为特征；通过读取DNS文件，提取域名相关网络行为特征；通过读取NetFlow文件，提取流量相关网络行为特征；针对URL相关网络行为特征，域名相关网络行为特征及流量相关网络行为特征进行规则匹配，根据匹配结果识别恶意URL。同时，基于实时捕获的网络流，构建了实现上述方法的在线的具有检测及识别功能的系统，并通过该系统实施在线网页识别，能从实时网络流中实时识别恶意网页的URL。

公开(公告)号：CN108628703A

公开(公告)日：2018-10-09

申请号：CN201810225421.2

申请日：2018-03-19

申请人： 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

发明人： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC分类号： G06F11/14 ,  G06F11/20 ,  G06K9/62 ,  H04L29/08

摘要： 本发明提供一种基于视觉相似性镜像网站发现方法及系统，该方法的步骤包括：对网页页面进行初步分块，将得到的块作为DOM树的结点；对可分割的结点继续分割，将分出的新块作为该结点的孩子结点；对于不可分割的结点，将该结点的块作为页面块存入页面块池中，如此循环迭代分块，直至得到全部的页面块；检测出页面中的分隔条，确定分割条的权重；基于分割条的权重进行重建，得到语义块；将语义块转换成图像，提取图像的签名特征；根据上述步骤提取目标网页和基准网页的各语义块的签名特征，基于签名特征通过EMD距离算法计算目标网页和基准网页之间的距离，如果该距离小于一设定阈值，则判定该目标网页的网站属于镜像网站。