公开(公告)号：CN108647299A

公开(公告)日：2018-10-12

申请号：CN201810435059.1

申请日：2018-05-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 强倩 ,  肖成民 ,  臧天宁 ,  李亚辉 ,  周渊 ,  王志远

IPC: G06F17/30

Abstract: 本发明提供一种生僻字符匹配方法、字符串模式匹配方法及存储介质，其中，生僻字符匹配方法，包括：提取模式串中的生僻字符；查找目标文本中是否存在所述生僻字符；当所述目标文本中存在所述生僻字符时，确认所述模式串与所述目标文本中包含所述生僻字符的字符段是否相等，并且相等时，匹配成功，结束，其中，所述模式串的字符与所述字符段的字符一一对应。本发明充分利用生僻字匹配算法和BM匹配算法的优点，无论模式串长短，均能达到最佳的匹配性能。

公开(公告)号：CN108965245A

公开(公告)日：2018-12-07

申请号：CN201810549417.1

申请日：2018-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 臧天宁 ,  强倩 ,  杜飞 ,  周渊

IPC: H04L29/06 ,  G06K9/62

CPC classification number: H04L63/1416 ,  G06K9/6267 ,  H04L63/1483

Abstract: 本发明提供了一种基于自适应异构多分类模型的钓鱼网站检测方法和系统。所述方法对多种基分类算法通过线性加成构建自适应异构多分类模型，对多分类模型进行训练，该模型输入是各基分类算法的输入，输出是样本标签，每个基分类算法从样本记录中提取相应的特征作为输入；采用机器学习算法求解模型参数，并用测试集进行测试和优化，最终得到该类钓鱼网站的检测模型。所述系统包括域名词素特征分类器、主题索引特征分类器、内容相似性特征分类器、结构样式特征分类器、视觉规则特征分类器、线性加成训练模块、集成分类器、训练数据集管理模块和检测及告警模块。本发明实现对钓鱼网站实时检测，并提高了钓鱼网站检测的准确性和稳定性。

公开(公告)号：CN117640158A

公开(公告)日：2024-03-01

申请号：CN202311478796.7

申请日：2023-11-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李向宇 ,  周彧 ,  张焱喆 ,  郎波 ,  臧天宁

IPC: H04L9/40

Abstract: 本发明是有关于一种基于序列比对的木马通信特征自动提取方法，该方法借鉴生物信息学序列比对算法，以可接受的时间复杂度对恶意流量中隐含的特征进行提取，并使用控制变量分析法判断流量中的特征序列与木马某因素间的关联关系。在序列比对阶段，本发明针对不同场景下，提出了基于随机化的多子串提取及基于滑动窗口子串提取的两种方法。将提取出的子串清洗后转换为当前IDS工具可直接使用的Snort规则，对真实流量做检测。本发明无需花费人工成本，极大的提高了远控木马检测效率，对于现有的远控木马具有普遍的可检测性，检测精度高，检测算法的可扩展性好，可以应用于大规模木马数据检测。

公开(公告)号：CN108737423B

公开(公告)日：2020-07-14

申请号：CN201810505426.0

申请日：2018-05-24

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 臧天宁 ,  强倩 ,  杜飞 ,  周渊

IPC: H04L29/06

Abstract: 本发明公开了一种基于网页关键内容相似性分析的钓鱼网站发现方法和系统，属于计算机网络安全领域。本方法包括网页关键内容特征提取、网页关键内容特征聚类和网页关键内容相似性计算。相应提供的系统包括网页主题分类器、关键内容提取器、特征抽取及聚合模块、相似度计算引擎和样本特征管理模块。通过网页主题分类器聚焦可疑的URL，防止不必要的特征过拟合，然后对待分析网页进一步通过关键内容提取器和相似度计算引擎来获得判断结果。本发明应用在网络关口URL检测，每个URL网页的检测时间为微秒级，正确率在97.5％以上，可实现快速、准确、稳定的钓鱼网站检测。

公开(公告)号：CN108737423A

公开(公告)日：2018-11-02

申请号：CN201810505426.0

申请日：2018-05-24

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 臧天宁 ,  强倩 ,  杜飞 ,  周渊

IPC: H04L29/06

Abstract: 本发明公开了一种基于网页关键内容相似性分析的钓鱼网站发现方法和系统，属于计算机网络安全领域。本方法包括网页关键内容特征提取、网页关键内容特征聚类和网页关键内容相似性计算。相应提供的系统包括网页主题分类器、关键内容提取器、特征抽取及聚合模块、相似度计算引擎和样本特征管理模块。通过网页主题分类器聚焦可疑的URL，防止不必要的特征过拟合，然后对待分析网页进一步通过关键内容提取器和相似度计算引擎来获得判断结果。本发明应用在网络关口URL检测，每个URL网页的检测时间为微秒级，正确率在97.5％以上，可实现快速、准确、稳定的钓鱼网站检测。

公开(公告)号：CN115659331A

公开(公告)日：2023-01-31

申请号：CN202211184596.6

申请日：2022-09-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  王琴琴 ,  周彧 ,  梅瑞 ,  臧天宁

IPC: G06F21/56 ,  G06F18/23 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了基于时间序列的恶意软件归属攻击组织的判定方法。其主要步骤为：1)恶意软件的函数信息提取，提取恶意软件的函数信息；2)恶意软件的函数筛选，去除库函数和去除不包含API调用的函数；3)恶意软件的路径生成，恶意软件的路径生成依据API调用和中介中心性；4)恶意软件的特征向量化，特征使用ACFG特征对基本块进行向量化；5)恶意软件的关键路径片段生成，使用时间序列算法从路径中提取关键路径片段；6)恶意软件归属攻击组织，使用分类器进行恶意软件归属攻击组织的判定。本发明对恶意软件进行攻击组织归属准确率高。

公开(公告)号：CN108965245B

公开(公告)日：2021-04-13

申请号：CN201810549417.1

申请日：2018-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 臧天宁 ,  强倩 ,  杜飞 ,  周渊

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明提供了一种基于自适应异构多分类模型的钓鱼网站检测方法和系统。所述方法对多种基分类算法通过线性加成构建自适应异构多分类模型，对多分类模型进行训练，该模型输入是各基分类算法的输入，输出是样本标签，每个基分类算法从样本记录中提取相应的特征作为输入；采用机器学习算法求解模型参数，并用测试集进行测试和优化，最终得到该类钓鱼网站的检测模型。所述系统包括域名词素特征分类器、主题索引特征分类器、内容相似性特征分类器、结构样式特征分类器、视觉规则特征分类器、线性加成训练模块、集成分类器、训练数据集管理模块和检测及告警模块。本发明实现对钓鱼网站实时检测，并提高了钓鱼网站检测的准确性和稳定性。

公开(公告)号：CN103516550B

公开(公告)日：2016-05-11

申请号：CN201310455753.7

申请日：2013-09-29

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 云晓春 ,  陈训逊 ,  王东安 ,  张晓明 ,  张永铮 ,  王曦 ,  杜飞 ,  王勇 ,  臧天宁

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种面向大规模包分类规则集的规则冲突检测方法及系统，所述方法包括：步骤1，接收并解析规则；步骤2，将解析后的规则划分为全前缀规则、非全前缀规则和无前缀规则；步骤3，采用源IP-目的IP双层哈希表HSIP-DIP或目的IP哈希表H*-DIP组织全前缀规则集，并对应在HSIP-DIP或H*-DIP中进行规则的增加、删除或查询；步骤4，采用源IP-目的IP双维Tire树TSIP-TDIP组织非全前缀规则集，并在TSIP-TDIP中进行规则的增加、删除或查询；步骤5，采用链表L*-*组织无前缀规则集，并在L*-*中进行规则的增加、删除或查询；步骤6，遍历HSIP-DIP、H*-DIP、TSIP-TDIP和L*-*中的每一个规则作为被检规则，检测与被检规则冲突的所有规则。本发明解决了现在技术中规则冲突算法存在的不足。

公开(公告)号：CN107480685B

公开(公告)日：2021-02-23

申请号：CN201610402954.4

申请日：2016-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐晓燕 ,  赵军 ,  臧天宁 ,  李高超 ,  周渊

IPC: G06K9/62

Abstract: 本发明公开了一种基于GraphX的分布式幂迭代聚类方法和装置。该方法包括：获取分布式存储的多个数据；对所述多个数据分别进行数据清洗，得到多个清洗数据；基于所述多个清洗数据中两两之间的相似度，构建亲和矩阵；基于GraphX，利用设置的随机初始向量对所述亲和矩阵进行迭代处理；利用KMeans++算法，对迭代向量进行聚类处理，并根据处理结果得到所述多个清洗数据的聚类结果。本发明有效地解决了基于图的聚类算法可扩展性不强、计算复杂度高的问题。

公开(公告)号：CN107483364A

公开(公告)日：2017-12-15

申请号：CN201610404404.6

申请日：2016-06-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐晓燕 ,  樊鑫鑫 ,  臧天宁 ,  李高超 ,  周渊

IPC: H04L12/917

CPC classification number: H04L47/76

Abstract: 本发明公开了一种Hadoop Yarn网络带宽资源调度、隔离方法和装置。该调度方法在RM侧执行，包括：接收AM发送的作业资源请求；所述工作资源请求包括：在作业中，每个任务的网络带宽资源需求量；根据每个所述任务的网络带宽需求量，采用预设的公平调度算法，为每个所述任务对应分配容器；其中，在每个所述容器中封装有对应任务的网络带宽资源分配量。该隔离方法在NM侧执行，包括：从AM获取多个容器；其中，每个所述容器中封装有对应的任务的网络带宽资源分配量；根据各个任务的网络带宽资源分配量，隔离各个任务占用的网络带宽资源。本发明在Yarn集群中增加了对网络带宽资源的调度，而且可以避免各个任务之间由于网络带宽资源的竞争而相互干扰。