公开(公告)号：CN118972096A

公开(公告)日：2024-11-15

申请号：CN202410943587.3

申请日：2024-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王博 ,  戚艳红 ,  张阳 ,  周立 ,  周炎龙 ,  黄恬 ,  涂登彪 ,  黄亮 ,  朱天

IPC: H04L9/40 ,  H04L69/08 ,  H04L69/22

Abstract: 本发明涉及网络流量特征检测技术领域，公开了一种基于游戏网络流量特征的ICMP隐蔽隧道检测方法，首先对游戏网络流量数据进行解析，提取流量数据中ICMP协议流量，提取ICMP相关类型数据，对payload字段按字节分解生成字符串，构建特征工程并生成特征数据表；将数据集中的数据进行数值化、归一化处理,再将处理后的数据集进行数据划分，分为训练集与测试集，按正常流量：隐蔽隧道流量为1:1的比例进行随机抽取，重新构建训练集，并训练生成供隐蔽隧道检测使用的XGBoost模型；将结构化数据结果调入训练好的XGBoost模型获取模型输出的分类结果；进行模型评价。本发明检测效率更为高效，准确的ICMP隐蔽隧道流量检测方法，实现较高的识别准确率及可移植性。

公开(公告)号：CN115168852A

公开(公告)日：2022-10-11

申请号：CN202210689851.6

申请日：2022-06-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 强倩 ,  朱天 ,  姜松浩 ,  涂登彪 ,  王博 ,  周立 ,  戴光耀 ,  熊颖 ,  程冕 ,  周炎龙 ,  黄恬

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本公开公开了一种恶意代码检测系统训练方法及装置、电子设备和存储介质，涉及信息处理领域。主要技术方案包括：基于第一训练检测模型，得到第二训练恶意代码样本；对得到的第二训练恶意代码样本进行标注，用其对第三训练恶意代码样本进行更新；重复获取第二训练恶意代码样本，迭代更新第三训练恶意代码样本，以使用最新的第三训练恶意代码样本对第一训练检测模型进行训练；当满足训练终止条件后，得到预设检测模型。与相关技术相比，重复获取第二训练恶意代码样本，迭代更新第三训练恶意代码样本，以使用最新的第三训练恶意代码样本对第一训练检测模型进行训练，进而得到了基于深度学习方法且提供训练样本动态标注功能的恶意代码检测系统。

公开(公告)号：CN110034921B

公开(公告)日：2022-04-15

申请号：CN201910311319.9

申请日：2019-04-18

Applicant: 成都信息工程大学 ,  国家计算机网络与信息安全管理中心

Inventor： 林宏刚 ,  陈麟 ,  黄元飞 ,  赖裕民 ,  张家旺 ,  李燕伟 ,  王鹏翩 ,  林星辰 ,  应志军 ,  吴倩 ,  杜薇 ,  陈禹 ,  张晓娜 ,  王博 ,  杨鹏 ,  高强 ,  陈亮

IPC: H04L9/06 ,  H04L9/40

Abstract: 本发明属于网络空间安全技术领域，公开了一种基于带权模糊hash算法的webshell检测方法及系统，通过将待检测文件分片；每片求hash及权值，给每一个分片赋予权值，有危险函数的核心分片给予较大的权值，同时考虑每一个分片的信息熵，信息熵值越大，给予的权值越小；把每个分片的hash拼接成模糊hash串并计算总权值得到带权模糊hash值；将待检测文件的带权模糊hash值与预先存储在指纹库中每个webshell带权模糊hash值依次比较。本发明与传统的模糊哈希算法相比，能有效适应检测对象大小变化很大的情况，具有较好的适应性，极大提高变种样本的检测准确率，并提高了抗干扰性。

公开(公告)号：CN112101414A

公开(公告)日：2020-12-18

申请号：CN202010811145.5

申请日：2020-08-13

Applicant: 北京理工大学 ,  国家计算机网络与信息安全管理中心

Inventor： 罗森林 ,  吴倩 ,  黄元飞 ,  王博 ,  慕星星 ,  吴舟婷 ,  潘丽敏

IPC: G06K9/62 ,  G06Q10/06 ,  G06Q50/30

Abstract: 本发明涉及ICT供应链网络关键节点的识别和关键节点识别属性提取方法，属于计算机与信息科学技术领域。本发明首先结合ICT供应链的拓扑信息、商业信息进行关键节点识别；然后使用boruta算法分析待选属性的重要性，提取出影响关键节点的重要属性；再使用待选属性构建逻辑回归模型，得到对关键节点有显著影响属性；对于两种方法筛选得到关键属性，采用交集归类的方法进行属性融合，得到最终的关键属性。本发明使用两个不同方法对影响关键节点的属性进行选择，算法之间差异明显，避免单一方法带来的局限性，提高关键属性的泛化性。

公开(公告)号：CN108470046B

公开(公告)日：2020-12-01

申请号：CN201810184478.2

申请日：2018-03-07

Applicant: 中国科学院自动化研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 孔庆超 ,  汪立东 ,  孔祥飞 ,  王慧 ,  王博 ,  刘春阳 ,  张旭 ,  王磊 ,  李雄

IPC: G06F16/9535 ,  G06F16/34

Abstract: 本发明涉及计算机技术领域，具体提供了一种基于新闻事件搜索语句的新闻事件排序方法及系统，旨在解决在考虑用户主观信息的情况下，如何实现新闻事件排序的技术问题。为此目的，本发明中的新闻事件排序方法，能够通过预设的新闻事件排序模型对预先获取的新闻事件搜索语句进行识别，得到按照相关度大小排序的新闻事件排序结果。其中，新闻事件搜索语句包含能够表征用户情感倾向的用户主观信息。基于此，本发明能够结合用户对新闻事件的情感倾向，按照新闻事件与用户偏好相关程度进行排序，从而提高新闻事件排序结果的准确性。同时，本发明中的系统能够执行并实现上述方法。

公开(公告)号：CN111782511A

公开(公告)日：2020-10-16

申请号：CN202010553678.8

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  西安四叶草信息技术有限公司

Inventor： 于飞鸿 ,  黄元飞 ,  王博 ,  林星辰 ,  夏剑锋 ,  马坤 ,  朱利军 ,  赵培源 ,  童小敏 ,  彭丽

IPC: G06F11/36

Abstract: 本公开提供一种固件文件的分析方法、设备及存储介质，涉及计算机技术领域，采用插件式思维实现对固件文件静态分析的通用分析，降低成本，提高效率。具体技术方案为：获取固件文件；调用识别插件对固件文件进行识别，从固件文件中提取根文件系统镜像，并获取根文件系统镜像的文件类型；在根文件系统镜像的文件类型为可解包格式时，调用与根文件系统镜像的文件类型对应的解包插件对根文件系统镜像进行解包，并调用与根文件系统镜像的文件类型对应的分析插件对已解包的根文件系统镜像进行分析；在根文件系统镜像的文件类型为可分析的文件类型时，调用与根文件系统镜像的文件类型对应的分析插件对根文件系统镜像进行分析。

公开(公告)号：CN106886518B

公开(公告)日：2020-10-09

申请号：CN201510933139.6

申请日：2015-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  北京航空航天大学

Inventor： 董元魁 ,  陈训逊 ,  郎波 ,  王博 ,  王洋 ,  黄亮

IPC: G06F16/9536 ,  G06Q50/00 ,  G06K9/62

Abstract: 本发明公开了一种微博账号分类的方法，方法包括：获取未知类型的微博账号对应的微博数据，对微博数据进行特征提取得到微博数据特征，根据微博数据特征，采用已建立的按微博数据特征划分的分类模型确定微博账号的类型。通过上述方式，本发明能够准确区分普通账号跟异常账号，并且还能够识别出账号具体属于哪一类型的账号。

公开(公告)号：CN110580251A

公开(公告)日：2019-12-17

申请号：CN201910655594.2

申请日：2019-07-19

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 王博 ,  李超 ,  郭承青 ,  王维光 ,  刘路 ,  陈天然 ,  庹宇鹏

IPC: G06F16/22 ,  G06F16/215

Abstract: 本发明涉及一种大数据环境下的群体轨迹伴随模式在线分析方法和系统。该方法包括：设置群体轨迹伴随模式的阈值参数；对群体轨迹流数据进行切片，获得当前时间片的群体位置信息集合；构建基于spark的分布式高维索引树KD-Tree；进行位置点的密度聚类，形成当前时间片的群体位置聚类快照簇集合Scs；根据当前群体轨迹伴随候选集SetAc是否为空，将Scs中的位置聚类快照簇加入SetAc中存在的伴随候选组或者新生成的轨迹伴随候选组；判断当前每个轨迹伴随候选组是否合格，如果合格则输出合格的群体轨迹伴随模式详情。本发明具有高吞吐量、实时性高、准确性高、扩展性好、高可配置性等优点。

公开(公告)号：CN109905873A

公开(公告)日：2019-06-18

申请号：CN201910137453.1

申请日：2019-02-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王博 ,  孙立远 ,  黄亮 ,  常为领 ,  付戈 ,  缪亚男 ,  焦英楠

IPC: H04W8/18 ,  H04W8/22 ,  G06F16/2455

Abstract: 本发明涉及一种基于特征标识信息的网络应用账号关联方法，属于信息处理技术领域。本发明方法面向移动互联网用户的固网和移动网上网行为，对客户端和服务器端产生的网络通信日志进行综合分析，重点从明文请求日志中提取出客户端特征标识信息和登录网站账号信息，设计基于特征标识信息和网络账号信息的关联规则，建立基于特征标识信息的网络账号关联方法，提高网络账号之间的关联率和准确率。因此，本发明方法不具体针对跨特定社交平台的网络账号关联范畴，只考虑通过利用运营商提供的网络通信特征信息，建立基于特征标识信息的网络应用账号关联方法，用以解决目前主流移动APP和主流网站网络账号缺少关联条件和关联准确率不高等难题。

公开(公告)号：CN106161251B

公开(公告)日：2019-06-07

申请号：CN201610417421.3

申请日：2016-06-14

Applicant: 国家计算机网络与信息安全管理中心 ,  杭州迪普科技股份有限公司

Inventor： 薛晨 ,  黄晓朦 ,  申亮 ,  吴刚 ,  李超 ,  黄亮 ,  王东安 ,  王博 ,  付戈 ,  徐原

IPC: H04L12/741 ,  H04L12/851 ,  H04L29/08

Abstract: 本申请提供报文安全分析方法和装置。本申请中，不再是单表存储五元组配置项，而是将五元组中涉及终端的信息存储在终端地址表中，以及将五元组中涉及服务端的信息存储在服务地址表，即五元组不再存储在同一张表，并通过策略表组合终端地址表与服务地址表，这一方面解决了单表存储下表项规模巨大的问题，实现了在利用相同的存储资源的同时，可以使分析设备可分析的报文数量有可观的增加，另一方面由于单表的表项规模减少，这大大加速了表项查询速度，提高了分析设备分析报文的效率和性能。