公开(公告)号：CN106790062A

公开(公告)日：2017-05-31

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN106790062B

公开(公告)日：2020-05-08

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN108683686B

公开(公告)日：2020-07-28

申请号：CN201810641482.7

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 王利明 ,  罗熙 ,  张勇涛 ,  杨婧 ,  王静 ,  田甜

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求，通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明人解决的问题集中于一种新的针对DNS服务器的攻击类型，即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求，以此耗尽DNS服务器资源。发明人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生，还能够确认本次DDoS攻击是针对哪一个域名发起的，在此基础上可以进行后续的防御工作。

公开(公告)号：CN108683686A

公开(公告)日：2018-10-19

申请号：CN201810641482.7

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 王利明 ,  罗熙 ,  张勇涛 ,  杨婧 ,  王静 ,  田甜

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求，通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明人解决的问题集中于一种新的针对DNS服务器的攻击类型，即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求，以此耗尽DNS服务器资源。发明人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生，还能够确认本次DDoS攻击是针对哪一个域名发起的，在此基础上可以进行后续的防御工作。

公开(公告)号：CN104601556B

公开(公告)日：2017-12-26

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN104572880A

公开(公告)日：2015-04-29

申请号：CN201410808451.8

申请日：2014-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  罗熙 ,  杨婧 ,  徐震 ,  王远

IPC: G06F17/30

CPC classification number: G06F17/30194 ,  G06F17/30224

Abstract: 本发明涉及一种基于用户的协同过滤的并行实现方法及系统。首先将待处理数据按照固定分块大小存放在分布式文件系统中；接着进行数据规范化处理、用户相似度计算以及推荐物品计算，其中数据规范化处理将数据整理成可并行处理的形式，用户相似度计算以及推荐物品计算均首先在文件存储的服务器中进行数据整理、同一文件系统数据归并操作，接着将处理结果以主键、值对的方式发送给中心节点，由中心节点按照主键计算出每个主键需要归并的节点，最后进行跨存储节点的数据归并操作，从而得到用户的最终推荐结果。本发明充分利用了分布式文件系统分块存储文件的特性，通过并行运算减少了循环遍历所需要的开销，能够满足面向海量用户进行协同推荐的要求。

公开(公告)号：CN108809948B

公开(公告)日：2020-07-10

申请号：CN201810487746.8

申请日：2018-05-21

Applicant: 中国科学院信息工程研究所

Inventor： 马卫 ,  王利明 ,  杨婧

IPC: H04L29/06

Abstract: 本发明涉及一种基于深度学习的异常网络连接检测方法，对每个网络流记录提取网络连接标识字段，并根据网络连接标识字段，对所有网络流记录进行聚合；构建一个基于深度神经网络的网络连接模型；构建一个异常网络连接检测器，使用网络连接模型的输出作为输入，与网络连接模型同步进行训练，得到对网络连接的检测结果；使用数据集对网络连接模型和异常网络连接检测器进行调参优化与误报控制，如果达到预期效果则训练结束并保存网络参数及结构；将待检测网络连接记录输入训练完成的网络连接模型和异常网络连接检测器的组合模型，输出异常网络连接记录。本发明能发现异常网络连接，且不依赖于人工建立的网络连接模型。

公开(公告)号：CN103561011B

公开(公告)日：2016-09-07

申请号：CN201310516638.6

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  杨婧 ,  李乃山

IPC: H04L29/06

Abstract: 本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统，系统包括：SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块；所述SDN控制器资源池监控器，用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机；所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测，当检测到针对控制器的盲DDoS攻击流时，所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量，有效防护针对控制器的盲DDoS攻击，保障SDN网络的可用性。

公开(公告)号：CN103095530B

公开(公告)日：2016-09-07

申请号：CN201310022141.9

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  马多贺 ,  徐震 ,  杨婧 ,  黄亮

IPC: H04L12/26 ,  H04L12/66 ,  H04L29/06

Abstract: 本发明涉及基于前置网关的敏感信息检测及防泄露方法及系统，系统包括配置模块、非信任列表生成模块和敏感信息防泄漏模块，其步骤为：1）在Web网站服务器的数据流链路中设置一前置网关，前置网关代理客户端向网站服务器发送和/或接受请求；2）前置网关配置该代理网站需要监测的敏感信息，配置成功后开始监测敏感信息；3）前置网关将包含敏感信息的URL作为网站的非信任URL并建立非信任列表，当客户端请求该URL内容时，前置网关代替网站响应该请求，防止敏感信息泄露。本发明不依赖于网站的构建系统，不干扰网站的管理方式，能够不间断对Web网站包含敏感信息的情况进行监测，同时通过前置网关代理响应的方式确保敏感信息不泄露。

公开(公告)号：CN105119716A

公开(公告)日：2015-12-02

申请号：CN201510415547.2

申请日：2015-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧

IPC: H04L9/08 ,  H04L29/06

Abstract: 本发明公开了一种基于SD卡的密钥协商方法。本方法为：1)服务器为每一SD卡设置一秘密信息sw并将其保存到对应SD卡中；2)客户端中的该SD卡根据输入的用户标识CID与口令pw计算出密钥协商信息X，然后根据CID、pw、sw和X生成用户认证信息AuthC，然后向服务器发送消息 ；3)服务器验证AuthC，如果通过则生成密钥协商信息Y和会话密钥SK，然后根据CID、pw、sw、Y和SK生成认证信息AuthS，然后向客户端发送消息 ；4)SD卡计算会话密钥SK’并验证AuthS，如果验证通过，则接受会话密钥SK’。本发明为通信提供高强度的安全保护。