公开(公告)号：CN101393591B

公开(公告)日：2010-10-27

申请号：CN200810224942.2

申请日：2008-10-27

Applicant: 中国科学院计算技术研究所

Inventor： 崔翔 ,  云晓春 ,  殷丽华 ,  王树鹏

IPC: G06F21/00

Abstract: 本发明涉及一种发现未知USB病毒的方法和系统，所述方法包括：步骤1，创建动态链接库文件；在执行所述动态链接库文件查询驱动盘的类型时，如果被查询的驱动盘不存在，则回复被查询的驱动盘的类型为可移动，在执行所述动态链接库文件复制文件时，如果复制文件的目标路径不存在，则将所述文件复制到指定路径下；步骤2，将所述动态链接库文件注入到操作系统中正在运行的进程中，使USB病毒通过所述动态链接库文件进行驱动盘类型的查询和病毒文件的复制。本发明能够无误报地发现未知USB病毒并获取该USB病毒的样本。

公开(公告)号：CN101800754A

公开(公告)日：2010-08-11

申请号：CN201010133167.7

申请日：2010-03-25

Applicant: 中国科学院计算技术研究所

Inventor： 崔翔 ,  郭莉 ,  郝志宇 ,  时金桥

IPC: H04L29/06

Abstract: 本发明提供一种补丁分发方法，包括下列步骤：1蜜罐机被扫描性蠕虫感染；当蜜罐机作为攻击源攻击其它计算机系统时，用补丁程序替换用于攻击活动的恶意代码，并将补丁程序投递到远程受攻击计算机系统。与现有技术相比，本发明提供了一种利用扫描性蠕虫的传播机制进行补丁分发的方案，能够准确的进行补丁分发并即时运行，能够及时地有针对性地为网络中的计算机系统安装补丁，同时不会给网络引入新的攻击流量。同时，本发明是一种与现有补丁分发工具相比具有不同机制的补丁分发方案，能够作为对现有补丁分发工具的补充，及时为更多的计算机系统打上相应的补丁。

公开(公告)号：CN102438233B

公开(公告)日：2015-06-24

申请号：CN201110240878.9

申请日：2011-08-22

Applicant: 中国科学院计算技术研究所

Inventor： 卢维清 ,  崔翔 ,  翟立东 ,  廖鹏

IPC: H04L29/06 ,  H04W12/00 ,  H04W24/08

Abstract: 本发明提出了一种针对具有通过包含URL短信进行传播的特征的手机蠕虫检测方法，包括：提取包含URL手机短信的相关信息，放入队列中进行分析，要是发件人发该短信给多个用户且该短信被自动转发，就标记所对应的URL链接包含可疑蠕虫样本。该检测方法运行在短信网关上，可以有效的防御包含URL短信传播的蠕虫。

公开(公告)号：CN103746982A

公开(公告)日：2014-04-23

申请号：CN201310745102.1

申请日：2013-12-30

Applicant: 中国科学院计算技术研究所

Inventor： 李可 ,  刘潮歌 ,  崔翔 ,  李丹 ,  梁玉

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种HTTP网络特征码自动生成方法，该方法包括：包特征码生成步骤、URI特征码生成步骤和HTTP网络特征码总集合生成步骤，包特征码生成步骤为针对多个网络样本的一问一答包提取出的特征统计和包内容，通过二次聚类生成粗粒度聚类集，进而在粗粒度聚类集的基础上二次聚类生成细粒度聚类集，通过细粒度聚类集生成网络样本的一问一答包特征码集合URI特征码生成步骤为针对网络样本中被划分为单独一类的流量，进行URI路径及参数特征码的补充提取，生成URI的特征码集合最终通过一问一答包特征码集合和URI的特征码集合合并生成特征码总集合Tall。

公开(公告)号：CN102333313A

公开(公告)日：2012-01-25

申请号：CN201110315580.X

申请日：2011-10-18

Applicant: 中国科学院计算技术研究所

Inventor： 卢维清 ,  崔翔 ,  郭莉

IPC: H04W12/12 ,  H04L29/06

Abstract: 本发明提供一种生成移动僵尸网络的特征码方法，包括：捕获可疑主机群的网络流量；对所述网络流量数据包作基于内容的分割，获取相同字符串；对所述相同字符串进行统计分析，计算其流行度，提取流行度超出一定阈值的字符串；和过滤所述流行度超出一定阈值的字符串，将常用的字符串排除，剩下的字符串作为特征码。还提供一种利用上述方法生成的特征码来检测移动僵尸网的方法，包括：捕获待检测主机群的网络流量；所述网络流量为数据包，所述数据包具有包头和有效负载，所述包头和有效负载为一系列字符串；利用特征码进行字符串匹配；对匹配成功的流量，确定为手机僵尸程序，记录信息；和对匹配不成功的流量，放行此流量。

公开(公告)号：CN103297433A

公开(公告)日：2013-09-11

申请号：CN201310206651.1

申请日：2013-05-29

Applicant: 中国科学院计算技术研究所

Inventor： 李可 ,  刘潮歌 ,  崔翔 ,  王帅

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种基于网络数据流、能检测未知HTTP僵尸网络方法。该方法对主机的HTTP通信数据流进行提取，通过X-means聚类方法，结合僵尸网络通信特征相似性判断出僵尸主机并对其进行类型的划分。该方法的优点包括：可检测未知的HTTP僵尸网络的目标，能及时发现指定网络内潜在的僵尸主机；增强了聚类和检测的效率，具有低误报率和漏报率的特性。

公开(公告)号：CN102438233A

公开(公告)日：2012-05-02

申请号：CN201110240878.9

申请日：2011-08-22

Applicant: 中国科学院计算技术研究所

Inventor： 卢维清 ,  崔翔 ,  翟立东 ,  廖鹏

IPC: H04W12/00 ,  H04W24/08 ,  H04L29/06

Abstract: 本发明提出了一种针对具有通过包含URL短信进行传播的特征的手机蠕虫检测方法，包括：提取包含URL手机短信的相关信息，放入队列中进行分析，要是发件人发该短信给多个用户且该短信被自动转发，就标记所对应的URL链接包含可疑蠕虫样本。该检测方法运行在短信网关上，可以有效的防御包含URL短信传播的蠕虫。

公开(公告)号：CN101986642A

公开(公告)日：2011-03-16

申请号：CN201010517771.X

申请日：2010-10-18

Applicant: 中国科学院计算技术研究所

Inventor： 张治起 ,  郭莉 ,  刘潮歌 ,  廖鹏 ,  崔翔

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供一种检测Domain Flux数据流的系统和方法，监听模块用于监听并分析出入网关的数据流，获取DNS查询请求数据包和DNS应答包，并提取源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息；数据库操作模块，用于将监听模块提取的源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息记录在数据库中；计算窗口最大公共子串的模块，用于计算时间窗口内任意两个请求的DNS的最大公共子串，并对最大公共子串出现的次数计数来确定窗口最大公共子串。