公开(公告)号：CN112073362A

公开(公告)日：2020-12-11

申请号：CN202010567204.9

申请日：2020-06-19

Applicant: 北京邮电大学 ,  国家电网有限公司信息通信分公司

Inventor： 刘建毅 ,  张茹 ,  李静 ,  程杰 ,  王婵 ,  郭邯 ,  孙文新 ,  闫晓帆

IPC: H04L29/06

Abstract: 本发明公开一种基于流量特征的APT组织流量识别方法，定义并计算DNS和TCP、HTTP/HTTPS流量中的APT组织特征，利用特征识别出APT组织流量，实现APT组织流量识别。定义的组织特征包括：Response_type，用于区分APT组织流量中的DNS隧道流量；包负载波动特征C2Load_fluct，用于计算DNS流量在时间窗口内，流量包簇在单位域名下的平均负载量；包相似特征Bad_rate，用于判断APT组织恶意流量产生时的网络状态。本发明通过构造组织流量特征进行APT组织流量识别，提出并定义的组织特征能够有效地将APT恶意流量和正常流量进行区分，提高了APT组织流量识别的准确性，为APT组织流量识别提供了新的设计思路。

公开(公告)号：CN103793650A

公开(公告)日：2014-05-14

申请号：CN201310634856.X

申请日：2013-12-02

Applicant: 北京邮电大学 ,  国家计算机网络应急技术处理协调中心

Inventor： 郭燕慧 ,  李静 ,  董航 ,  李承泽 ,  张程鹏 ,  费会 ,  董枫 ,  胡阳雨 ,  杨昕雨 ,  胡鸽

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提供一种Android应用程序静态分析方法及装置，涉及安全检测技术领域。该方法包含：S1、解压待测应用程序，得到Smali文件；S2、遍历所述Smali文件，获取源码信息，并构建所述源码信息的控制流图和数据流图；S3、根据所述恶意行为判断引擎遍历所述控制流图及所述数据流图，将应用程序的API与预定义恶意行为库中的API分别进行匹配，将匹配成功的应用程序的API标记为恶意行为API；S4、求取所述待测应用程序的恶意度量值；S5、将所述恶意程序度量值与预设的恶意程度指标进行匹配，得到所述待测应用程序的风险等级。本发明通过对行为进行分析及组合规则综合判断，能够减少对Android应用程序的进行病毒检测的误判率。