公开(公告)号：CN117633560A

公开(公告)日：2024-03-01

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN117633560B

公开(公告)日：2024-04-09

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN113765879A

公开(公告)日：2021-12-07

申请号：CN202110695321.8

申请日：2021-06-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  吴琳 ,  罗雅琼 ,  许海滨 ,  邢欣 ,  贾晨 ,  苗杰

IPC: H04L29/06

Abstract: 本发明公开了网络安全技术领域的一种对称加密隧道破解方法、系统及存储介质，包括：将给定的对称加密隧道的流量接入构建的基于流量特征的对称加密隧道破解模型，获取破解结果。通过构建基于流量特征的对称加密隧道破解模型，无需提前了解目标设备使用的算法和实现细节，提高了对特定加密隧道的破解方法的适用性，解决了现有解密方法通用性不强的问题；提供了对接入的流量进行分析和破解的方法，无需与目标设备近距离接触，解决了破解加密隧道的隐蔽性的问题；提供了运用深度学习的对称加密隧道破解方法，结合深度学习的算法，使得本发明的破解准确度更高，破解更加高效。

公开(公告)号：CN112543200A

公开(公告)日：2021-03-23

申请号：CN202011433907.9

申请日：2020-12-10

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  俞宙 ,  顾弘 ,  胡鹏 ,  罗雅琼 ,  仲思超

IPC: H04L29/06 ,  H04W4/029 ,  H04W4/14

Abstract: 一种物联网卡用途违规的识别方法及系统涉及信息技术领域。本发明由物联网卡日志采集器、上网信息分析器、短信分析器、信令分析器和行为分析器组成；物联网卡日志采集器由上网日志采集器、短信日志采集器和信令日志采集器组成；本发明通过采集运营商上报的日志数据后，可自动对监控的流量或者信令基站数据进行分析，提取出违规行为，自动将用途违规的物联网卡归集，以便处理。

公开(公告)号：CN109508542A

公开(公告)日：2019-03-22

申请号：CN201811257486.1

申请日：2018-10-26

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  姚力

IPC: G06F21/55 ,  G06F1/20 ,  G06F11/30 ,  G06F16/955

Abstract: 本发明公开了一种大数据环境下WEB异常检测方法，包括正常URL逻辑回归模型构建，具体过程为：采用N-Gram模型，获取正常URL里的关键词列表；采用TfidfVectorizer函数把每个正常URL里的关键词做TF-IDF，得到向量化的特征；训练正常URL逻辑回归模型；异常检测，具体过程为：通过训练好的正常URL逻辑回归模型，过滤HTTP请求，若HTTP请求中的URL为正常URL，则响应HTTP请求。同时也公开了相应的系统和服务器。本发明的方法通过正常URL逻辑回归模型过滤HTTP请求，解决了传统基于规则匹配的web入侵检测，误报和漏报率高的问题。

公开(公告)号：CN109508542B

公开(公告)日：2019-11-22

申请号：CN201811257486.1

申请日：2018-10-26

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  姚力

IPC: G06F21/55 ,  G06F1/20 ,  G06F11/30 ,  G06F16/955

Abstract: 本发明公开了一种大数据环境下WEB异常检测方法，包括正常URL逻辑回归模型构建，具体过程为：采用N‑Gram模型，获取正常URL里的关键词列表；采用TfidfVectorizer函数把每个正常URL里的关键词做TF‑IDF，得到向量化的特征；训练正常URL逻辑回归模型；异常检测，具体过程为：通过训练好的正常URL逻辑回归模型，过滤HTTP请求，若HTTP请求中的URL为正常URL，则响应HTTP请求。同时也公开了相应的系统和服务器。本发明的方法通过正常URL逻辑回归模型过滤HTTP请求，解决了传统基于规则匹配的web入侵检测，误报和漏报率高的问题。

公开(公告)号：CN113765879B

公开(公告)日：2022-11-29

申请号：CN202110695321.8

申请日：2021-06-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  吴琳 ,  罗雅琼 ,  许海滨 ,  邢欣 ,  贾晨 ,  苗杰

IPC: H04L9/40

Abstract: 本发明公开了网络安全技术领域的一种对称加密隧道破解方法、系统及存储介质，包括：将给定的对称加密隧道的流量接入构建的基于流量特征的对称加密隧道破解模型，获取破解结果。通过构建基于流量特征的对称加密隧道破解模型，无需提前了解目标设备使用的算法和实现细节，提高了对特定加密隧道的破解方法的适用性，解决了现有解密方法通用性不强的问题；提供了对接入的流量进行分析和破解的方法，无需与目标设备近距离接触，解决了破解加密隧道的隐蔽性的问题；提供了运用深度学习的对称加密隧道破解方法，结合深度学习的算法，使得本发明的破解准确度更高，破解更加高效。

公开(公告)号：CN112330347A

公开(公告)日：2021-02-05

申请号：CN202011452984.9

申请日：2020-12-12

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 赵云 ,  顾弘 ,  邱凌志 ,  罗雅琼 ,  尹魏昕

IPC: G06Q30/00 ,  G06Q50/26 ,  G06F16/951 ,  H04L29/06

Abstract: 一种智能识别诈骗团伙的方法及系统涉及信息技术领域。本发明由诈骗信息采集器、网站页面分析器、网页内容爬取器、网页快照留存器、备案信息拓展查询器、注册信息拓展查询器、网站挂载查询器和诈骗团伙信息集合存储器组成；通过一个或多个诈骗网站，找到背后操作这些网站的多个诈骗者的相关信息，对诈骗网站进行画像，最终挖出整个诈骗团伙。

公开(公告)号：CN111431821A

公开(公告)日：2020-07-17

申请号：CN202010231603.8

申请日：2020-03-27

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  尹魏昕 ,  仲思超 ,  王祥 ,  赵云

IPC: H04L12/851 ,  H04L12/863 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种在网络大流量中快速检测与识别特定信息的方法，包括处理器，所述处理器连接有数据库模块、信息识别模块、信息存储模块以及防护模块，其中所述数据库模块包括数据采集模块、发送模块、接收模块和中央控制模块；所述信息识别模块包括获取模块和筛选模块；所述信息存储模块包括数据转换单元、通信单元、云端存储器和反馈系统，所述防护模块包括无线入侵防护系统、防火墙系统。本发明可以快速从网络大流量中，在对各应用、协议进行分类识别的基础上，利用信息指纹技术准确识别特定信息内容，可以大幅度提高互联网特定信息鉴别和提取的准确性；且能对信息安全进行防护，避免信息丢失。

公开(公告)号：CN104573107A

公开(公告)日：2015-04-29

申请号：CN201510050947.8

申请日：2015-02-02

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 任光裕 ,  马旸 ,  蔡冰 ,  俞宙 ,  罗雅琼 ,  王林汝

IPC: G06F17/30

CPC classification number: G06F17/30557 ,  G06F17/30595

Abstract: 本发明提供了一种网络安全应用NoSQL数据库与关系型数据库融合接口方法，包括中央处理器、网络安全应用、网络安全应用接口、NoSQL数据库、NoSQL数据库接口、关系型数据库以及关系型数据库接口，所述的中央处理器通过NoSQL数据库接口与NoSQL数据库连接，中央处理器通过关系型数据库接口与关系型数据库连接，并在另一端通过网络安全应用接口与网络安全应用进行连接，本发明在传统数据架构中增加了一个数据处理中间层，整合了NoSQL数据库和关系型数据库的数据访问接口，为应用提供统一的数据访问接口，简化了应用开发复杂度，降低了应用与数据间的耦合，提升了开发效率。