公开(公告)号：CN102938769A

公开(公告)日：2013-02-20

申请号：CN201210475596.1

申请日：2012-11-22

申请人： 国家计算机网络与信息安全管理中心 ,  北京大学

发明人： 袁春阳 ,  杜跃进 ,  孙波 ,  许俊峰 ,  王明华 ,  李青山 ,  徐小琳 ,  何跃鹰 ,  严寒冰 ,  王营康 ,  郑礼雄 ,  张胜利 ,  李洪生 ,  轩志朋 ,  王永建 ,  林绅文 ,  杨鹏 ,  王进 ,  张伟 ,  郭承青

IPC分类号： H04L29/06

摘要： 本发明所述的一种Domain flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

公开(公告)号：CN101924754A

公开(公告)日：2010-12-22

申请号：CN201010227324.0

申请日：2010-07-15

申请人： 国家计算机网络与信息安全管理中心

发明人： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC分类号： H04L29/06

摘要： 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。

公开(公告)号：CN103685598B

公开(公告)日：2017-01-25

申请号：CN201310654507.4

申请日：2013-12-06

申请人： 国家计算机网络与信息安全管理中心 ,  北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技股份有限公司

发明人： 郭承青 ,  袁春阳 ,  许俊峰 ,  孙敏 ,  李欣 ,  李挺 ,  丁广富 ,  候建勇 ,  王进 ,  孟强 ,  袁钟怡

IPC分类号： H04L29/12 ,  H04L29/06

摘要： 本发明公开了一种在IPv6网络中发现活跃IP地址的方法及装置。该方法包括：配置网路爬虫的起始统一资源定位符URL地址、以及URL记录规则，并启动网路爬虫；网路爬虫从起始URL地址开始进行搜索，记录符合URL记录规则的URL地址；通过域名提取脚本从记录的URL地址中提取域名并进行去重处理，并通过域名系统DNS解析脚本对提取的域名进行DNS解析，获取并记录相应的IPv6地址；采用网络协议IP地址扫描方法，获取并记录以该IPv6地址为中心预定范围内的其他活跃的IPv6地址，并采用路由发现方法获取到达记录的IPv6地址所经过的中间设备的IPv6地址。

公开(公告)号：CN103368972A

公开(公告)日：2013-10-23

申请号：CN201310316474.2

申请日：2013-07-26

申请人： 国家计算机网络与信息安全管理中心

发明人： 杜跃进 ,  许俊峰 ,  孙波 ,  严寒冰 ,  袁春阳 ,  郑礼雄 ,  郭承青 ,  李欣 ,  李挺

IPC分类号： H04L29/06 ,  H04L12/26

摘要： 本发明提供了一种网络攻击检测分析方法和系统，包括在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备；部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接；通过网络攻击监测发现设备对原始网络数据进行监测，利用网络攻击数据包特征匹配技术，监测发现网络攻击行为；网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备，同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备；网络攻击诱导分析设备模拟被攻击的主机和网络环境条件，对攻击数据包进行持续响应，使得攻击行为能够继续，通过网络攻击诱导分析设备上部署的主机和网络资源监控系统分析网络攻击的行为步骤路线和最终目的。

公开(公告)号：CN101924754B

公开(公告)日：2013-07-31

申请号：CN201010227324.0

申请日：2010-07-15

申请人： 国家计算机网络与信息安全管理中心

发明人： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC分类号： H04L29/06

摘要： 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。

公开(公告)号：CN102521838A

公开(公告)日：2012-06-27

申请号：CN201110427104.7

申请日：2011-12-19

申请人： 国家计算机网络与信息安全管理中心

发明人： 严寒冰 ,  李鹏 ,  孙波 ,  王永建 ,  何跃鹰 ,  袁春阳 ,  刘辉

IPC分类号： G06T7/00 ,  G06F17/30

摘要： 本发明公开了一种图像检索/匹配方法。该方法首先求取两幅图像的初始匹配特征点集，然后判断并消除误匹配特征点对，再根据正确匹配特征点对的数量判断两幅图像是否匹配；其中，判断是否为误匹配特征点对，包括：在两幅图像中，分别以初始匹配特征点为中心，将图像均划分为两个以上的区域，并对各区域编号；在两幅图像中，分别以其他各初始匹配特征点所处区域的编号构成的矢量来描述该初始匹配特征点的全局特征；对两个矢量进行比较，如果相似度达到要求，则为正确的匹配特征点对。本发明方法不仅适应于图像尺度变化、图像嵌套、视角变化等复杂情况下的图像检索，而且具有较高的检索效率和识别准确率。本发明还相应公开了一种图像检索/匹配系统。

公开(公告)号：CN101702660A

公开(公告)日：2010-05-05

申请号：CN200910237594.7

申请日：2009-11-12

申请人： 中国科学院计算技术研究所 ,  国家计算机网络与信息安全管理中心

发明人： 张永铮 ,  周勇林 ,  王明华 ,  袁春阳 ,  云晓春 ,  郭莉 ,  李世淙 ,  由林麟

IPC分类号： H04L12/26 ,  H04L29/12

摘要： 本发明涉及一种异常域名检测方法及其系统，方法包括：步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期进行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集；步骤2，以预设的检测时间间隔为检测周期进行检测，在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计，生成检测特征向量集，所述检测特征向量集中每个检测特征向量同一个域名对应；步骤3，对检测特征向量集中的检测特征向量进行检测，生成异常域名。本发明能够对未知异常域名进行检测。

公开(公告)号：CN102360408A

公开(公告)日：2012-02-22

申请号：CN201110290172.3

申请日：2011-09-28

申请人： 国家计算机网络与信息安全管理中心 ,  中国科学院计算技术研究所

发明人： 郑礼雄 ,  孙波 ,  许俊峰 ,  严寒冰 ,  王伟平 ,  袁春阳 ,  林绅文 ,  杨鹏 ,  向小佳 ,  王永建 ,  王进 ,  张伟 ,  郭承青

IPC分类号： G06F21/00 ,  G06F17/30

摘要： 本发明提出了一种OLAP引擎辅助的、以恶意代码主控端被控端交互行为为特征的、基于挖掘的恶意代码检测方法及其对应的原型系统。其中检测方法包括首先探测网络步骤101；然后提取可疑主控端行为201；接下来扩充训练集301-303；训练分类器401；刷新Cube501；序列挖掘601-606；生成规则701。检测系统包括侦测模块、训练样本池、SVM分类器、关系数据库、OLAP引擎、特征序列挖掘引擎和知识库。

公开(公告)号：CN101702660B

公开(公告)日：2011-12-14

申请号：CN200910237594.7

申请日：2009-11-12

申请人： 中国科学院计算技术研究所 ,  国家计算机网络与信息安全管理中心

发明人： 张永铮 ,  周勇林 ,  王明华 ,  袁春阳 ,  云晓春 ,  郭莉 ,  李世淙 ,  由林麟

IPC分类号： H04L12/26 ,  H04L29/12

摘要： 本发明涉及一种异常域名检测方法及系统，方法包括：步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期进行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集；步骤2，以预设的检测时间间隔为检测周期进行检测，在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计，生成检测特征向量集，所述检测特征向量集中每个检测特征向量同一个域名对应；步骤3，对检测特征向量集中的检测特征向量进行检测，生成异常域名。本发明能够对未知异常域名进行检测。

公开(公告)号：CN106295347A

公开(公告)日：2017-01-04

申请号：CN201510284253.0

申请日：2015-05-28

申请人： 国家计算机网络与信息安全管理中心

发明人： 郭承青 ,  许俊峰 ,  何跃鹰 ,  袁春阳 ,  张文 ,  宫真真 ,  李欣 ,  李轶夫 ,  王进 ,  摆亮 ,  李晗 ,  徐剑 ,  赵忠华 ,  袁钟怡

IPC分类号： G06F21/57

CPC分类号： G06F21/577 ,  G06F2221/033

摘要： 本发明公开了一种用于搭建漏洞验证环境的方法及装置。例如，所述方法可以包括：提供要素库，以便用户从所述要素库中选择出需要的要素，其中，所述要素库中包含用于漏洞验证的文件对应的要素，当用户完成要素的选择时，使用系统镜像文件定制技术将选择出的要素对应的文件打包，得到用于生成虚拟机的漏洞验证模板。根据本发明公开的方法及装置，测试人员可以快捷地从要素库中选择用于漏洞验证的文件对应的要素，无需手动安装相关工具，减少了对人力的耗费，提高了漏洞验证环境的搭建效率。