公开(公告)号：CN109510815A

公开(公告)日：2019-03-22

申请号：CN201811224807.8

申请日：2018-10-19

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  崔兆林 ,  刘博 ,  彭渝 ,  董效宇 ,  郭振洋 ,  李凯悦 ,  林明峰 ,  金丽慧 ,  李凯

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于有监督学习的多级钓鱼网站检测方法及检测系统，第一检测层以黑名单数据库或白名单数据库进行钓鱼网站判断，匹配则直接输出，否则第二检测层提取待检测网站URL的特征并以已知钓鱼网站的URL特征构建分类器模型进行检测，若检测为可疑网站则第三检测层下载待检测网站的页面，获得页面内容特征，以已知钓鱼网站内容特征构建分类器模型进行检测，输出端输出待检测网站为钓鱼网站或正常网站并将数据增加至黑名单数据库和白名单数据库。本发明的一级黑白名单判断已知网站，降低检测成本，二级URL检测辨别明确的钓鱼网站或正常网站，三级页面内容检测对二级检测的可疑网站进行识别，判定结果精确；识别结果准确且检测时间短。

公开(公告)号：CN110650157A

公开(公告)日：2020-01-03

申请号：CN201911013025.4

申请日：2019-10-23

Applicant: 北京邮电大学

Inventor： 谷勇浩 ,  郭振洋 ,  李良训 ,  王翼翡 ,  黄泽祺 ,  李凯悦

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了基于集成学习的Fast-flux域名检测方法，对DNS日志或DNS流量进行过滤，将非法记录删除，为后续特征提取减少数据处理量；对过滤后DNS日志或流量记录进行字段提取操作，进行特征提取，提取的特征包括：A记录数、国家数、ASN数、查询响应时间、查询响应包的大小；根据样本的类型，对正常域名和Fast-flux域名进行标记；使用已标记的数据样本进行训练，通过集成思想生成最终强分类器；对检测数据进行预处理，得到最终的样本，并使用最终强分类器进行检测，生成分类结果。通过对DNS日志和流量进行分析，提取查询响应时间、响应包大小新特征，减低了对CDN域名的误报，提高了对Fast-flux域名的检测效率。

公开(公告)号：CN109510815B

公开(公告)日：2022-01-25

申请号：CN201811224807.8

申请日：2018-10-19

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  崔兆林 ,  刘博 ,  彭渝 ,  董效宇 ,  郭振洋 ,  李凯悦 ,  林明峰 ,  金丽慧 ,  李凯

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明涉及一种基于有监督学习的多级钓鱼网站检测方法及检测系统，第一检测层以黑名单数据库或白名单数据库进行钓鱼网站判断，匹配则直接输出，否则第二检测层提取待检测网站URL的特征并以已知钓鱼网站的URL特征构建分类器模型进行检测，若检测为可疑网站则第三检测层下载待检测网站的页面，获得页面内容特征，以已知钓鱼网站内容特征构建分类器模型进行检测，输出端输出待检测网站为钓鱼网站或正常网站并将数据增加至黑名单数据库和白名单数据库。本发明的一级黑白名单判断已知网站，降低检测成本，二级URL检测辨别明确的钓鱼网站或正常网站，三级页面内容检测对二级检测的可疑网站进行识别，判定结果精确；识别结果准确且检测时间短。

公开(公告)号：CN110650157B

公开(公告)日：2021-01-15

申请号：CN201911013025.4

申请日：2019-10-23

Applicant: 北京邮电大学

Inventor： 谷勇浩 ,  郭振洋 ,  李良训 ,  王翼翡 ,  黄泽祺 ,  李凯悦

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了基于集成学习的Fast‑flux域名检测方法，对DNS日志或DNS流量进行过滤，将非法记录删除，为后续特征提取减少数据处理量；对过滤后DNS日志或流量记录进行字段提取操作，进行特征提取，提取的特征包括：A记录数、国家数、ASN数、查询响应时间、查询响应包的大小；根据样本的类型，对正常域名和Fast‑flux域名进行标记；使用已标记的数据样本进行训练，通过集成思想生成最终强分类器；对检测数据进行预处理，得到最终的样本，并使用最终强分类器进行检测，生成分类结果。通过对DNS日志和流量进行分析，提取查询响应时间、响应包大小新特征，减低了对CDN域名的误报，提高了对Fast‑flux域名的检测效率。

公开(公告)号：CN108337269B

公开(公告)日：2020-12-15

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

公开(公告)号：CN110336789A

公开(公告)日：2019-10-15

申请号：CN201910449046.4

申请日：2019-05-28

Applicant: 北京邮电大学 ,  杭州安恒信息技术股份有限公司

Inventor： 谷勇浩 ,  崔卓群 ,  范渊 ,  郭振洋 ,  李良训 ,  李凯悦 ,  林明峰 ,  刘博 ,  杨勃

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明涉及基于混合学习的Domain-flux僵尸网络检测方法，输入的DNS数据区分训练数据集和检测数据集，分别预处理并将预处理后的训练数据集输入模型，训练得到分类器，将预处理后的检测数据集输入分类器，输出聚类后的域名簇，计算域名簇分值并筛选属于Domain-flux僵尸网络域名的簇，获得受感染主机IP地址及C&C服务器IP地址。本发明为后续防御措施奠定基础，解析时使用和域名、时间、请求IP、解析IP等多方相关的特征，不容易被绕过；兼顾有监督和无监督学习优势，结合分类和聚类算法，可有效检测与训练集差异较大、表现形式不同的未知僵尸样本，相较其他聚类算法检测速度快。

公开(公告)号：CN108337269A

公开(公告)日：2018-07-27

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。