公开(公告)号：CN106209845A

公开(公告)日：2016-12-07

申请号：CN201610546795.5

申请日：2016-07-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  张家琦 ,  王子厚 ,  王大伟 ,  朱佳伟 ,  刘培朋 ,  王维晟

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1408 ,  H04L63/1441 ,  H04L63/168 ,  H04L67/02

Abstract: 本发明公开了一种基于贝叶斯学习理论的恶意HTTP请求判定方法，该方法包括步骤如下：收集设定数量的正常HTTP请求和恶意HTTP请求；将收集的正常HTTP请求和恶意HTTP请求分别进行处理获得样本集，样本集中的样本包括样本类别和样本特征空间：将样本集作为训练集输入，利用贝叶斯分类学习算法，学习获得一个二次分类器；对待判定的HTTP请求，提取判定特征，获得判定特征空间，利用二次分类器中进行预测，判定是恶意的HTTP请求还是正常的HTTP请求，并以判定结果为待判定的HTTP请求添加标签，由此获得判定结果。该方法能够判断从用户终端侧发起的HTTP请求时恶意的请求还是正常的请求。

公开(公告)号：CN106095693A

公开(公告)日：2016-11-09

申请号：CN201610377594.7

申请日：2016-05-31

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王啸 ,  贺龙涛 ,  玄世昌 ,  张慧 ,  杨武 ,  曹首峰 ,  苘大鹏 ,  周立 ,  于贺威 ,  王大伟 ,  李城龙 ,  王秀文 ,  卫冰洁 ,  李晓倩 ,  贺欣 ,  袁媛 ,  刘培朋 ,  朱佳伟 ,  刘阳

IPC: G06F12/02

CPC classification number: G06F12/023

Abstract: 本发明针对定长内存池中内存使用率偏低、不能动态调整内存池大小及其他内存管理方案不能很好的预防突发流量造成的内存抖动的问题，提出了一种面向非固定包长的无锁化多链内存管理方法。首先初始化动态可伸缩内存池，即程序初始化两个内存池管理数组，一个为快链的管理数组，另一个为满链和非满链的管理数组；然后初始化三个数组中指向可分配内存的指针为NULL；其次向申请内存的线程或进程提供相应的内存；最后回收线程或进程使用完的内存。

公开(公告)号：CN104077343A

公开(公告)日：2014-10-01

申请号：CN201310739486.6

申请日：2013-12-26

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 张慧 ,  贺龙涛 ,  李镇 ,  李城龙 ,  王秀文 ,  熊刚 ,  李静 ,  曹首峰 ,  于贺威 ,  王大伟 ,  金暐 ,  李真真

IPC: G06F17/30

CPC classification number: G06F17/3033

Abstract: 本发明提供了一种哈希表元素失效删除方法，解决哈希表失效元素及时删除的问题。该方法通过为每个哈希桶提供超时时间Tbucket，为每个关键码提供超时时间Tkey，两个时间粒度进行不同元素插入、查询时，更新每个关键码值Tkey，并将最新访问的关键码值放置到哈希桶最优先访问的位置上，在此过程中，根据哈希桶超时时间Tbucket设定，检查哈希桶上具有相同哈希值的关键码，如果元素超时，即删除失效元素，同时根据哈希桶扫描策略，检查哈希表其他哈希桶元素上的其他关键码值，并删除因超时失效的元素。

公开(公告)号：CN103473509A

公开(公告)日：2013-12-25

申请号：CN201310462544.5

申请日：2013-09-30

Applicant: 清华大学 ,  国家计算机网络与信息安全管理中心

Inventor： 薛一波 ,  李城龙 ,  张洛什 ,  于贺威 ,  张慧 ,  王秀文 ,  李静 ,  曹首峰 ,  王大伟 ,  贺龙涛 ,  贺欣

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明提供一种Android平台恶意软件自动检测方法，该Android平台恶意软件自动检测方法包括：S1.设定Android平台的敏感API数据集；S2.对待检测的应用程序进行逆向代码还原，得到该应用程序的逆向代码；S3.根据该敏感API数据集提取该逆向代码中的敏感API和包含网络地址信息的字符串；S4.根据该逆向代码绘制函数调用关系有向图，并根据该函数调用关系图、该提取的敏感API和字符串判断该应用程序是否为恶意软件。本发明能够自动的判断应用程序是否为恶意软件，并提高了Android平台下恶意软件的检测效率。

公开(公告)号：CN104077343B

公开(公告)日：2018-08-24

申请号：CN201310739486.6

申请日：2013-12-26

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 张慧 ,  贺龙涛 ,  李镇 ,  李城龙 ,  王秀文 ,  熊刚 ,  李静 ,  曹首峰 ,  于贺威 ,  王大伟 ,  金暐 ,  李真真

IPC: G06F17/30

Abstract: 本发明提供了一种哈希表元素失效删除方法，解决哈希表失效元素及时删除的问题。该方法通过为每个哈希桶提供超时时间Tbucket，为每个关键码提供超时时间Tkey，两个时间粒度进行不同元素插入、查询时，更新每个关键码值Tkey，并将最新访问的关键码值放置到哈希桶最优先访问的位置上，在此过程中，根据哈希桶超时时间Tbucket设定，检查哈希桶上具有相同哈希值的关键码，如果元素超时，即删除失效元素，同时根据哈希桶扫描策略，检查哈希表其他哈希桶元素上的其他关键码值，并删除因超时失效的元素。

公开(公告)号：CN106203117A

公开(公告)日：2016-12-07

申请号：CN201610547624.4

申请日：2016-07-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  张家琦 ,  王子厚 ,  王大伟 ,  朱佳伟 ,  刘培朋 ,  李海灵

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/566 ,  G06K9/6269

Abstract: 本发明公开了一种基于机器学习的恶意移动应用程序判定方法,通过对该应用程序的联网通讯行为是否为恶意行为进行自动学习和判定，进而判断该应用程序是否是恶意的方法；该方法涉及移动到应用程序检测等领域，可以用来开发类似检测功能的应用程序，单独安装在智能手机上使用，也可以支撑第三方检测机构开发专门的应用程序恶意检测工具包等。

公开(公告)号：CN105429950A

公开(公告)日：2016-03-23

申请号：CN201510725503.X

申请日：2015-10-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王啸 ,  王大伟 ,  贺龙涛 ,  曹首峰 ,  刘培朋 ,  赵咏 ,  苟高鹏

IPC: H04L29/06

CPC classification number: H04L63/1408

Abstract: 本发明提供一种基于动态数据包采样的网络流量识别系统和方法，系统包括网络流量识别服务器、数据包分析模块和行为分析模块；网络流量识别服务器、数据包分析模块和行为分析模块依次单向连接。本发明解决了传统的网络流量识别方法面对不断变化的流量环境无法及时调整识别策略的矛盾，使得在网络流量识别的过程中，可以通过感知数据包的变化，来调整当前网络流量识别的策略，是根据首包信息结合协议识别方法来进行识别，还是根据数据包分析结合协议识别方法来进行识别，还是根据网络行为分析结合协议识别方法来进行识别，根据运行环境变化并自动选择适合当前流量特征的网络流量协议识别策略，从而保证在任意流量环境下网络流量识别的准确率与处理效率。

公开(公告)号：CN105302851A

公开(公告)日：2016-02-03

申请号：CN201510572332.1

申请日：2015-09-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  孙昊良 ,  吴昊 ,  张良 ,  王大伟 ,  汪立东

IPC: G06F17/30

CPC classification number: G06F17/30194

Abstract: 本发明提供一种基于文件序列化的自动机远程分发和初始化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。该方法包括步骤：S1.配置后端服务器，将特征和规则进行初始化生成自动机；S2.在所述后端服务器上将自动机序列化到本地，以文件形式存储；S3.配置分发网络和n台处理机，所述后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；S5.处理机根据新生成自动机进行特征的匹配和检测处理。

公开(公告)号：CN115379026B

公开(公告)日：2024-01-19

申请号：CN202210412422.4

申请日：2022-04-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 刘科栋 ,  曲德帅 ,  徐太忠 ,  王大伟 ,  李扬曦 ,  李舒 ,  杨威 ,  刘庆云

IPC: H04L69/22 ,  H04L67/02

Abstract: 本申请涉及一种报文头域的识别方法、装置、设备及存储介质，涉及网络安全技术领域，该报文头域的识别方法包括：获取待识别的报文信息，从所述报文信息中提取头域字段信息，针对所述头域字段信息进行定位处理，确定所述头域字段信息对应的头域字段树节点，基于所述头域字段树节点对所述头域字段信息进行匹配识别处理,得到所述报文信息对应的头域识别结果，从而解决了现有技术中单纯采用字符串匹配的方式进行HTTP协议头域识别所导致的问题，实现协议头域快速识别，提高协议头域识别效率。

公开(公告)号：CN115378884B

公开(公告)日：2023-09-15

申请号：CN202210462790.X

申请日：2022-04-27

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李广恺 ,  徐小琳 ,  李建强 ,  王大伟 ,  徐剑 ,  张榜 ,  王丽 ,  周梅岚 ,  唐天龙 ,  吴兴利

IPC: H04L47/32 ,  H04L47/31 ,  H04L69/22 ,  H04L61/4511

Abstract: 本发明实施例涉及一种DNS报文处理方法、装置、处理设备及存储介质，包括：根据第一设备对DNS报文的解析结果，获取所述DNS报文中头部字段的第一标记信息；根据所述第一标记信息，接收由所述第一设备发送的DNS报文对应的应答报文；第二设备识别所述应答报文中头部字段的第二标记信息；针对所述应答报文，将所述第二标记信息更新为初始状态值，得到目标报文；将所述目标报文发送至第三设备。通过追踪第一标记信息和第二标记信息，完成查看DNS报文的解析来源。由此，可以实现追踪DNS报文的解析来源的效果。