公开(公告)号：CN107770132B

公开(公告)日：2021-11-05

申请号：CN201610686248.7

申请日：2016-08-18

Applicant: 中兴通讯股份有限公司 ,  中国科学院信息工程研究所

Inventor： 孙默 ,  罗熙 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种对算法生成域名进行检测的方法及装置，本发明通过概率模型生成算法，分别根据算法生成域名集和正常域名集建立随机模型和正常模型，并通过上述模型对算法生成域名进行检测，从而实现对算法生成域名进行快速检测，进而有效解决了现有技术不能对算法生成域名进行快速检测的问题。

公开(公告)号：CN108768954A

公开(公告)日：2018-11-06

申请号：CN201810419555.8

申请日：2018-05-04

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  徐震 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  G06F21/56 ,  H04L29/12

Abstract: 本发明公开了一种DGA恶意软件识别方法，可基于DGA技术本身的弱点快速识别出DGA恶意软件。由于DGA恶意软件所感染的主机并不知道其控制服务器域名，被感染主机需不断随机生成域名并尝试连接，直至成功连接到控制服务器。本发明基于上述弱点，并借鉴随机漫步思想，将主机每一次失败的域名连接看作一次随机漫步，给出随机漫步增量的计算方法，通过将随机漫步步数以及随机漫步增量和与预设阈值进行对比，判断主机是否被DGA恶意软件感染。该方法可在被感染主机连接到控制服务器之前完成检测，有效抑制DGA恶意软件的应用，在网络安全领域具有广泛的应用前景。

公开(公告)号：CN105072089B

公开(公告)日：2018-09-25

申请号：CN201510404406.0

申请日：2015-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  罗熙 ,  刘艇 ,  吴再龙

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为：1)从访问历史记录中提取访问用户的关键词特征与统计特征，构建用户的关键词向量和统计特征向量；2)遍历用户的关键词向量，统计每一关键词对应的用户数量，构建全局关键词表；3)根据全局关键词表计算每个关键词的生僻度，根据生僻度计算访问用户的原始异常分值，然后根据该访问用户的统计特征向量，修正原始异常分值，得到该用户的最终异常分值；4)对所有访问用户的最终异常分值序列的突变点，将其对应的最终异常分值作为阈值；5)将访问用户的最终异常分值与该阈值进行比较，如果大于该阈值，则为恶意扫描用户。本发明能发现未知的攻击行为，且不依赖于正常历史数据。

公开(公告)号：CN105072089A

公开(公告)日：2015-11-18

申请号：CN201510404406.0

申请日：2015-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 杨婧 ,  罗熙 ,  刘艇 ,  吴再龙

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1425 ,  H04L67/02

Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为：1)从访问历史记录中提取访问用户的关键词特征与统计特征，构建用户的关键词向量和统计特征向量；2)遍历用户的关键词向量，统计每一关键词对应的用户数量，构建全局关键词表；3)根据全局关键词表计算每个关键词的生僻度，根据生僻度计算访问用户的原始异常分值，然后根据该访问用户的统计特征向量，修正原始异常分值，得到该用户的最终异常分值；4)对所有访问用户的最终异常分值序列的突变点，将其对应的最终异常分值作为阈值；5)将访问用户的最终异常分值与该阈值进行比较，如果大于该阈值，则为恶意扫描用户。本发明能发现未知的攻击行为，且不依赖于正常历史数据。