公开(公告)号：CN106790062B

公开(公告)日：2020-05-08

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN106790062A

公开(公告)日：2017-05-31

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN108683686B

公开(公告)日：2020-07-28

申请号：CN201810641482.7

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 王利明 ,  罗熙 ,  张勇涛 ,  杨婧 ,  王静 ,  田甜

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求，通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明人解决的问题集中于一种新的针对DNS服务器的攻击类型，即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求，以此耗尽DNS服务器资源。发明人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生，还能够确认本次DDoS攻击是针对哪一个域名发起的，在此基础上可以进行后续的防御工作。

公开(公告)号：CN108683686A

公开(公告)日：2018-10-19

申请号：CN201810641482.7

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 王利明 ,  罗熙 ,  张勇涛 ,  杨婧 ,  王静 ,  田甜

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求，通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明人解决的问题集中于一种新的针对DNS服务器的攻击类型，即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求，以此耗尽DNS服务器资源。发明人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生，还能够确认本次DDoS攻击是针对哪一个域名发起的，在此基础上可以进行后续的防御工作。

公开(公告)号：CN104601556B

公开(公告)日：2017-12-26

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN104572880A

公开(公告)日：2015-04-29

申请号：CN201410808451.8

申请日：2014-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  罗熙 ,  杨婧 ,  徐震 ,  王远

IPC: G06F17/30

CPC classification number: G06F17/30194 ,  G06F17/30224

Abstract: 本发明涉及一种基于用户的协同过滤的并行实现方法及系统。首先将待处理数据按照固定分块大小存放在分布式文件系统中；接着进行数据规范化处理、用户相似度计算以及推荐物品计算，其中数据规范化处理将数据整理成可并行处理的形式，用户相似度计算以及推荐物品计算均首先在文件存储的服务器中进行数据整理、同一文件系统数据归并操作，接着将处理结果以主键、值对的方式发送给中心节点，由中心节点按照主键计算出每个主键需要归并的节点，最后进行跨存储节点的数据归并操作，从而得到用户的最终推荐结果。本发明充分利用了分布式文件系统分块存储文件的特性，通过并行运算减少了循环遍历所需要的开销，能够满足面向海量用户进行协同推荐的要求。

公开(公告)号：CN104601556A

公开(公告)日：2015-05-06

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/02

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN108768954B

公开(公告)日：2020-07-10

申请号：CN201810419555.8

申请日：2018-05-04

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  徐震 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  G06F21/56 ,  H04L29/12

Abstract: 本发明公开了一种DGA恶意软件识别方法，可基于DGA技术本身的弱点快速识别出DGA恶意软件。由于DGA恶意软件所感染的主机并不知道其控制服务器域名，被感染主机需不断随机生成域名并尝试连接，直至成功连接到控制服务器。本发明基于上述弱点，并借鉴随机漫步思想，将主机每一次失败的域名连接看作一次随机漫步，给出随机漫步增量的计算方法，通过将随机漫步步数以及随机漫步增量和与预设阈值进行对比，判断主机是否被DGA恶意软件感染。该方法可在被感染主机连接到控制服务器之前完成检测，有效抑制DGA恶意软件的应用，在网络安全领域具有广泛的应用前景。

公开(公告)号：CN107770132A

公开(公告)日：2018-03-06

申请号：CN201610686248.7

申请日：2016-08-18

Applicant: 中兴通讯股份有限公司 ,  中国科学院信息工程研究所

Inventor： 孙默 ,  罗熙 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L29/08 ,  H04L61/1511 ,  H04L63/1441 ,  H04L63/1483

Abstract: 本发明公开了一种对算法生成域名进行检测的方法及装置，本发明通过概率模型生成算法，分别根据算法生成域名集和正常域名集建立随机模型和正常模型，并通过上述模型对算法生成域名进行检测，从而实现对算法生成域名进行快速检测，进而有效解决了现有技术不能对算法生成域名进行快速检测的问题。

公开(公告)号：CN104572880B

公开(公告)日：2018-03-02

申请号：CN201410808451.8

申请日：2014-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  罗熙 ,  杨婧 ,  徐震 ,  王远

IPC: G06F17/30

Abstract: 本发明涉及一种基于用户的协同过滤的并行实现方法及系统。首先将待处理数据按照固定分块大小存放在分布式文件系统中；接着进行数据规范化处理、用户相似度计算以及推荐物品计算，其中数据规范化处理将数据整理成可并行处理的形式，用户相似度计算以及推荐物品计算均首先在文件存储的服务器中进行数据整理、同一文件系统数据归并操作，接着将处理结果以主键、值对的方式发送给中心节点，由中心节点按照主键计算出每个主键需要归并的节点，最后进行跨存储节点的数据归并操作，从而得到用户的最终推荐结果。本发明充分利用了分布式文件系统分块存储文件的特性，通过并行运算减少了循环遍历所需要的开销，能够满足面向海量用户进行协同推荐的要求。