公开(公告)号：CN110034921B

公开(公告)日：2022-04-15

申请号：CN201910311319.9

申请日：2019-04-18

Applicant: 成都信息工程大学 ,  国家计算机网络与信息安全管理中心

Inventor： 林宏刚 ,  陈麟 ,  黄元飞 ,  赖裕民 ,  张家旺 ,  李燕伟 ,  王鹏翩 ,  林星辰 ,  应志军 ,  吴倩 ,  杜薇 ,  陈禹 ,  张晓娜 ,  王博 ,  杨鹏 ,  高强 ,  陈亮

IPC: H04L9/06 ,  H04L9/40

Abstract: 本发明属于网络空间安全技术领域，公开了一种基于带权模糊hash算法的webshell检测方法及系统，通过将待检测文件分片；每片求hash及权值，给每一个分片赋予权值，有危险函数的核心分片给予较大的权值，同时考虑每一个分片的信息熵，信息熵值越大，给予的权值越小；把每个分片的hash拼接成模糊hash串并计算总权值得到带权模糊hash值；将待检测文件的带权模糊hash值与预先存储在指纹库中每个webshell带权模糊hash值依次比较。本发明与传统的模糊哈希算法相比，能有效适应检测对象大小变化很大的情况，具有较好的适应性，极大提高变种样本的检测准确率，并提高了抗干扰性。

公开(公告)号：CN111556473A

公开(公告)日：2020-08-18

申请号：CN202010384604.6

申请日：2020-05-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 王鹏翩 ,  黄元飞 ,  杜薇 ,  李晔 ,  张家旺 ,  林星辰 ,  谢印东 ,  季成乐 ,  孙立常

IPC: H04W4/70 ,  H04W12/00 ,  H04W12/12 ,  H04W24/02 ,  H04W24/08

Abstract: 本发明公开了一种异常访问行为检测方法及装置，至少包括智能设备端和用户端；智能设备端由主动监控模块和被动监控模块组成，智能设备端用于主动向用户端上报收集到的数据信息；用户端由智能设备指纹库，威胁情报库，处理模块，报警模块组成；用户端定期对智能设备端进行状态监控和扫描，用户端的处理模块对智能设备端上传的数据信息进行处理，与威胁情报库的信息进行比对，根据处理结果触发报警模块后，通过短信和/或邮件的方式通知用户。本发明解决了现有技术中智能设备的网络安全检测不及时、不规范的问题。

公开(公告)号：CN111556066A

公开(公告)日：2020-08-18

申请号：CN202010384706.8

申请日：2020-05-08

Applicant: 国家计算机网络与信息安全管理中心 ,  北京无声信息技术有限公司

Inventor： 王鹏翩 ,  黄元飞 ,  杜薇 ,  李晔 ,  张家旺 ,  林星辰 ,  谢印东 ,  贾鹏 ,  王俊彪

IPC: H04L29/06 ,  H04L29/08 ,  G06F9/50 ,  G06F16/215 ,  G06F16/27 ,  G06F16/28

Abstract: 本发明公开了一种网络行为检测方法及装置，至少包括：PCAP数据包增量拷贝模块，用于实时检测龙存数据包变化，对比校验已存储数据包，通过多线程并发的方式进行拷贝；PCAP数据包解析模块，用于对离线PCAP数据文件读取，在文件读取时将文件按照不同的任务进行分解，保证多个任务可以同时运行；数据处理模块，具有预处理模块，对原始数据包进行解析、过滤、去重；以及处理模块，调用协议应用分析处理模块；数据库模块，使用非关系型MONGODB数据库和分布式数据库的分布式部署架构。本发明解决了现有技术中缺乏基于内容的审计，且已有的内容审计方法存在精度差，效果不理想的问题。