公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN107888571B

公开(公告)日：2020-08-28

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN105516196A

公开(公告)日：2016-04-20

申请号：CN201610033198.2

申请日：2016-01-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  强小辉 ,  蔡冰 ,  王林汝 ,  吴超

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1466

Abstract: 本发明公开了基于HTTP报文数据的并行化网络异常检测方法与系统，步骤包括获取HTTP报文数据，对HTTP报文数据进行数据清洗，对样本进行分层抽样，引入隐马尔科夫语法模型构建组合分类器并构建模糊化集合，使用组合分类器作为检测模型，引入模糊化集合动态判断待检测样本是否为异常访问记录，输出异常访问记录，本发明基于HADOOP大数据分析平台，可以全量分析HTTP报文数据，发现数据中隐藏的网络异常，此外，通过源IP进行回溯，结合与IP资源的比对，进一步挖掘发起攻击的终端的地理位置等社会信息，使得源头上阻止网络攻击发生变成可能。

公开(公告)号：CN118349756A

公开(公告)日：2024-07-16

申请号：CN202410774673.6

申请日：2024-06-17

Applicant: 江苏省互联网行业管理服务中心

Inventor： 徐艺丹 ,  王林汝 ,  吴超 ,  韦芹余 ,  栾鹏林 ,  张浩 ,  蒋大伟 ,  张庭郡 ,  李永成 ,  刘晓莹 ,  盛响 ,  倪正国 ,  徐志超

IPC: G06F16/955 ,  G06F16/958 ,  G06F16/33 ,  G06F16/35 ,  G06F18/2321

Abstract: 本发明公开了一种基于源码结构和资源链接的不良网站识别方法及系统，涉及信息安全技术领域。通过对源码和请求链接的抽取与清洗，减少了无效数据的干扰；通过文本预处理精准提取出能够代表网站特征的关键词和特征词；将多种特征综合表示，并通过降维减少数据维度，通过HDBSCAN聚类算法自动确定聚类的数量，并有效识别噪声点，生成稳定且准确的聚类结果，能够有效区分正常网站和不良网站；对新的网站数据，利用已有的聚类类型对网站进行标注和推断，或者输入批量网站进行重新聚类，对网站结构相似的网站进行标注，以识别新的不良网站模板，实现了对新网站的自动化标注和推断，适应动态变化的网络环境，提高了不良网站识别的准确性和及时性。

公开(公告)号：CN118349756B

公开(公告)日：2024-10-15

申请号：CN202410774673.6

申请日：2024-06-17

Applicant: 江苏省互联网行业管理服务中心

Inventor： 徐艺丹 ,  王林汝 ,  吴超 ,  韦芹余 ,  栾鹏林 ,  张浩 ,  蒋大伟 ,  张庭郡 ,  李永成 ,  刘晓莹 ,  盛响 ,  倪正国 ,  徐志超

IPC: G06F16/955 ,  G06F16/958 ,  G06F16/33 ,  G06F16/35 ,  G06F18/2321

Abstract: 本发明公开了一种基于源码结构和资源链接的不良网站识别方法及系统，涉及信息安全技术领域。通过对源码和请求链接的抽取与清洗，减少了无效数据的干扰；通过文本预处理精准提取出能够代表网站特征的关键词和特征词；将多种特征综合表示，并通过降维减少数据维度，通过HDBSCAN聚类算法自动确定聚类的数量，并有效识别噪声点，生成稳定且准确的聚类结果，能够有效区分正常网站和不良网站；对新的网站数据，利用已有的聚类类型对网站进行标注和推断，或者输入批量网站进行重新聚类，对网站结构相似的网站进行标注，以识别新的不良网站模板，实现了对新网站的自动化标注和推断，适应动态变化的网络环境，提高了不良网站识别的准确性和及时性。