公开(公告)号：CN107070895A

公开(公告)日：2017-08-18

申请号：CN201710160267.0

申请日：2017-03-17

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  王利明 ,  史淼 ,  杨倩 ,  谢德俊

IPC: H04L29/06

Abstract: 本发明提供一种基于SDN的数据流溯源方法，其步骤包括：1)SDN交换机对指定的字段进行定期采样，得到数据包信息Flow_ID和交换机信息，其中交换机信息包括交换机标识Switch_ID和数据包入端口input port；2)以Flow_ID为Key对上述数据包信息Flow_ID和交换机信息进行分组得到每个分组的数据集SAi，其中下标i标记不同分组的数据集；3)根据SDN的网络拓扑结构G对上述每个分组的数据集SAi进行路径分析；4)根据上述路径分析结果确定路径起点，进行路径重构，得到数据包或数据流的路径。该方法通过实现数据包或数据流路径的重构，从而能够追溯到攻击源的源头。

公开(公告)号：CN103561076B

公开(公告)日：2017-05-17

申请号：CN201310518131.4

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  宋晨 ,  郭川 ,  陈凯 ,  汤伟

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明公开了一种基于云的网页挂马实时防护方法及系统。本发明的系统包含云服务注册模块、挂马链接检测分析模块、实时防护模块。云服务注册模块将WEB服务器注册到云平台，通过DNS代理解析，WEB服务器的请求、响应数据流均转向云平台进行安全处理；挂马链接检测分析模块通过分析网页、链接元素等特征、行为信息，检测挂马链接；网页挂马链接交由实时防护模块进行请求拦截。本发明能够对云平台防护的WEB服务器中挂马链接进行实时封堵，并防止挂马源的扩散，且在客户端、服务器端均无需安装软件，不改变客户端浏览习惯，对WEB服务器版本及配置透明。

公开(公告)号：CN103559441B

公开(公告)日：2016-04-27

申请号：CN201310517192.9

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  宋晨 ,  黄亮 ,  吕双双 ,  张凯

IPC: G06F21/56

Abstract: 本发明涉及一种恶意文件云环境下跨平台检测方法及系统，检测方法为：1）采集原始可疑恶意文件并存储在云环境下的分布式存储集群中，隔离恶意文件；2）制作恶意文件的文件副本，对每个恶意文件的副本进行文件后缀名的格式识别，将识别后的恶意文件副本上传到WEB端；3）根据不同操作系统类型只从WEB端下载恶意文件副本到各自的系统对应的安全沙盒虚拟机中，进行恶意文件特征和/或运行行为检测；4）将安全沙盒虚拟机中对恶意文件检测结果提交并汇总，与原始恶意文件进行关联后检测出跨平台的恶意文件。本发明提高了恶意文件检测的通用性和自动化程度，结合云平台技术，能够批量预处理恶意文件，大大提高了恶意文件检测的处理效率。

公开(公告)号：CN105391690A

公开(公告)日：2016-03-09

申请号：CN201510679633.4

申请日：2015-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L29/06

CPC classification number: H04L63/1475 ,  H04L63/30

Abstract: 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN103561012A

公开(公告)日：2014-02-05

申请号：CN201310517193.3

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  杨婧 ,  宋晨 ,  吕双双 ,  李乃山

IPC: H04L29/06 ,  H04L29/08 ,  G06F17/30

Abstract: 本发明涉及基于关联树的WEB后门检测方法及系统，包括链接关联树生成模块和攻击实时检测模块；该检测系统不依赖于杀毒软件或文件特征检测软件，而是首先对WEB网站链接进行主动爬取和访问记录收集，经过分析处理，构建出WEB网站的全部URL的链接集合，以计算机算法中树的形式标记URL的链接和跳转关系，形成链接关联树。对后门URL请求在链接关联树中不存在，系统的安全监控模块发出报警，并阻断该攻击请求。本发明的检测方法提高了WEB应用的安全性，解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击,通用性好，WEB服务器无需安装软件程序，对WEB服务器类型、WEB编程语言、用户使用等均透明。

公开(公告)号：CN103559441A

公开(公告)日：2014-02-05

申请号：CN201310517192.9

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  宋晨 ,  黄亮 ,  吕双双 ,  张凯

IPC: G06F21/56

CPC classification number: G06F21/56

Abstract: 本发明涉及一种恶意文件云环境下跨平台检测方法及系统，检测方法为：1）采集原始可疑恶意文件并存储在云环境下的分布式存储集群中，隔离恶意文件；2）制作恶意文件的文件副本，对每个恶意文件的副本进行文件后缀名的格式识别，将识别后的恶意文件副本上传到WEB端；3）根据不同操作系统类型只从WEB端下载恶意文件副本到各自的系统对应的安全沙盒虚拟机中，进行恶意文件特征和/或运行行为检测；4）将安全沙盒虚拟机中对恶意文件检测结果提交并汇总，与原始恶意文件进行关联后检测出跨平台的恶意文件。本发明提高了恶意文件检测的通用性和自动化程度，结合云平台技术，能够批量预处理恶意文件，大大提高了恶意文件检测的处理效率。