公开(公告)号：CN117633560A

公开(公告)日：2024-03-01

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN115865708A

公开(公告)日：2023-03-28

申请号：CN202310109375.0

申请日：2023-02-14

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 嵇程 ,  熊逸文 ,  苗杰 ,  柳艳 ,  仲思超 ,  许海滨 ,  肖婷婷

IPC: H04L41/14 ,  G06F16/9535 ,  G06F16/9536 ,  G06Q50/00 ,  H04L51/52

Abstract: 本发明公开了一种基于SIR‑D模型的复杂社交网络信息处置方法，包括步骤1，对两种以上的社交网络平台进行耦合，构建复杂社交网络环境；步骤2，设计网络信息传播模型，确定所述信息传播模型下用户状态变化情况；步骤3，对所述复杂社交网络环境进行信息监测，根据当前信息所处状态确定是否需要进行信息处置；步骤4，针对进行处置的信息，根据所述信息传播模型，验证信息处置效果。该方法可以帮助网络综合治理人员监测信息处置过程中的传播效果，选取合适的信息处置方案。

公开(公告)号：CN114154021A

公开(公告)日：2022-03-08

申请号：CN202111213318.4

申请日：2021-10-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  南京中新赛克科技有限责任公司

Inventor： 蔡冰 ,  贾晨 ,  邢欣 ,  陈关松

IPC: G06F16/901 ,  G06F16/903 ,  G06F16/9035

Abstract: 本发明公开了一种基于协议流量分析的行业关系链挖掘方法及系统，具体包括以下步骤：(1)获取待分析的流量；(2)构建能够识别包含行业产品编号流量的正则表达式；利用正则表达式对于获取的流量进行初步的过滤；(3)根据HTTP协议、HTTPS协议和私有协议进行二次人工筛查，获取各条流量对应的服务端信息；通过服务端的IP地址、域名信息或者流量中的关键字可以分析判断各条流量是否由属于该行业设备产生的；(4)根据APN、IPC备案、报文负载的内容以及行动轨迹对于流量反应的设备资产进一步的核实；(5)根据核实的设备资产及其服务端，绘制行业的关系图谱。本方法能够从海量的流量中发掘物联网行业终端、平台、用户之间业务流量的相互关联关系，获取行业关系图谱。

公开(公告)号：CN112565274A

公开(公告)日：2021-03-26

申请号：CN202011434278.1

申请日：2020-12-11

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  尹魏昕 ,  仲思超 ,  俞宙 ,  邱凌志 ,  胡鹏

IPC: H04L29/06 ,  G06F21/56 ,  G06F21/55

Abstract: 一种智能识别恶意APP的方法及系统涉及信息技术领域。本发明由信安系统数据采集器、DPI旁路系统数据采集器、APK地址过滤器、APK文件获取器、APP文件提取分析器、APP沙箱和fiddler工具组成，本发明通过网络流量提取APK下载地址，通过对APK的文件分析判断恶意APK，并将恶意APK发送给APP沙箱；在APP沙箱中自动安装APK和通过脚本模拟点击运行APK；在APP沙箱中使用fiddler工具提取网络地址，将网络地址中属于谷歌服务地址外的其他地址进行提取生成APP后台管理地址，将APP后台管理地址提交给信息管理部门进行网络封堵，从而从源头切断恶意APP被下载和传播的路径。

公开(公告)号：CN109508542B

公开(公告)日：2019-11-22

申请号：CN201811257486.1

申请日：2018-10-26

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  姚力

IPC: G06F21/55 ,  G06F1/20 ,  G06F11/30 ,  G06F16/955

Abstract: 本发明公开了一种大数据环境下WEB异常检测方法，包括正常URL逻辑回归模型构建，具体过程为：采用N‑Gram模型，获取正常URL里的关键词列表；采用TfidfVectorizer函数把每个正常URL里的关键词做TF‑IDF，得到向量化的特征；训练正常URL逻辑回归模型；异常检测，具体过程为：通过训练好的正常URL逻辑回归模型，过滤HTTP请求，若HTTP请求中的URL为正常URL，则响应HTTP请求。同时也公开了相应的系统和服务器。本发明的方法通过正常URL逻辑回归模型过滤HTTP请求，解决了传统基于规则匹配的web入侵检测，误报和漏报率高的问题。

公开(公告)号：CN105516196A

公开(公告)日：2016-04-20

申请号：CN201610033198.2

申请日：2016-01-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  强小辉 ,  蔡冰 ,  王林汝 ,  吴超

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1466

Abstract: 本发明公开了基于HTTP报文数据的并行化网络异常检测方法与系统，步骤包括获取HTTP报文数据，对HTTP报文数据进行数据清洗，对样本进行分层抽样，引入隐马尔科夫语法模型构建组合分类器并构建模糊化集合，使用组合分类器作为检测模型，引入模糊化集合动态判断待检测样本是否为异常访问记录，输出异常访问记录，本发明基于HADOOP大数据分析平台，可以全量分析HTTP报文数据，发现数据中隐藏的网络异常，此外，通过源IP进行回溯，结合与IP资源的比对，进一步挖掘发起攻击的终端的地理位置等社会信息，使得源头上阻止网络攻击发生变成可能。

公开(公告)号：CN104426840A

公开(公告)日：2015-03-18

申请号：CN201310365136.8

申请日：2013-08-21

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  南京南谷云信息技术有限公司

Inventor： 蔡冰 ,  周立波

IPC: H04L29/06

CPC classification number: H04L63/14 ,  G06Q40/00 ,  H04L63/0236

Abstract: 本发明公开了一种主动威胁发现系统，通过部署在所要监测单位的互联网出口，监测主机、网络设备、安全设备产生的分散且海量的安全信息进行规范、汇总、过滤和关联分析，网关监测系统与国家互联网应急中心的病毒特征库、恶意域名库等国家级网络安全数据中心实现联动，充分利用国家级的各类基础资源进行联动分析和智能判决，实现对各类复杂网络安全事件的精准发现，通过比对相应的流量特征，发现网内主机存在的安全隐患，实现对关口流量的监测、预警、过滤功能。本发明的有益效果是：防御能力强，能够充分保证金融信息系统的安全。

公开(公告)号：CN117633560B

公开(公告)日：2024-04-09

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN117201005B

公开(公告)日：2024-03-15

申请号：CN202311160685.1

申请日：2023-09-08

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 刘永清

IPC: H04L9/08 ,  H04L9/16 ,  H04L9/40 ,  H04L61/5046

Abstract: 本发明提出了一种基于ZUC加解密的IPv6地址动态编码(ZBDA)方法及应用方法，所述基于ZUC加密的IPv6地址动态编码方法，包括基于ZUC算法生成密钥，使用密钥对MAC地址进行加密，获得接口标识，所述接口标识与网络前缀组合成IPv6地址；对所述IPv6地址进行重复地址检测，获得没有冲突的IPv6地址。所述基于ZUC解密的IPv6地址动态编码方法，包括获取数据包的源IPv6地址；基于ZUC算法生成解密密钥库；将所述源IPv6地址与密钥库中的密钥逐一解密测试，若解密成功则获得源MAC地址，对解密密钥库进行更新。ZBDA方法既解决了不当的IPv6编址带来的个人隐私泄露问题，又满足了基于IP地址控制的网络访问需求，IPv6地址编码和地址验证速度快，具有一定的实际应用价值。

公开(公告)号：CN113765879B

公开(公告)日：2022-11-29

申请号：CN202110695321.8

申请日：2021-06-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  吴琳 ,  罗雅琼 ,  许海滨 ,  邢欣 ,  贾晨 ,  苗杰

IPC: H04L9/40

Abstract: 本发明公开了网络安全技术领域的一种对称加密隧道破解方法、系统及存储介质，包括：将给定的对称加密隧道的流量接入构建的基于流量特征的对称加密隧道破解模型，获取破解结果。通过构建基于流量特征的对称加密隧道破解模型，无需提前了解目标设备使用的算法和实现细节，提高了对特定加密隧道的破解方法的适用性，解决了现有解密方法通用性不强的问题；提供了对接入的流量进行分析和破解的方法，无需与目标设备近距离接触，解决了破解加密隧道的隐蔽性的问题；提供了运用深度学习的对称加密隧道破解方法，结合深度学习的算法，使得本发明的破解准确度更高，破解更加高效。