-
公开(公告)号:CN105681250B
公开(公告)日:2019-04-02
申请号:CN201410655378.5
申请日:2014-11-17
Applicant: 中国信息安全测评中心 , 北京启明星辰信息安全技术有限公司 , 北京启明星辰信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统,包括:数据生成组件生成网络流量元数据Netflow信息,并发送给数据检测组件;数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征,建立作为实时检测单元的检测标准的检测模型;数据检测组件的实时检测单元接收实时发送的Netflow信息,并提取多个检测特征,与上述检测模型进行比较,当比较结果匹配时,得出包括检测对象标识符的告警信息,将所述告警信息与主机黑白名单比较,得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网,又可以应用到ISPs网络中;提高了僵尸网络检测的总体检测性能。
-
公开(公告)号:CN105681250A
公开(公告)日:2016-06-15
申请号:CN201410655378.5
申请日:2014-11-17
Applicant: 中国信息安全测评中心 , 北京启明星辰信息安全技术有限公司 , 北京启明星辰信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统,包括:数据生成组件生成网络流量元数据Netflow信息,并发送给数据检测组件;数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征,建立作为实时检测单元的检测标准的检测模型;数据检测组件的实时检测单元接收实时发送的Netflow信息,并提取多个检测特征,与上述检测模型进行比较,当比较结果匹配时,得出包括检测对象标识符的告警信息,将所述告警信息与主机黑白名单比较,得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网,又可以应用到ISPs网络中;提高了僵尸网络检测的总体检测性能。
-
公开(公告)号:CN108062478A
公开(公告)日:2018-05-22
申请号:CN201810008763.9
申请日:2018-01-04
Applicant: 北京理工大学 , 中国信息安全测评中心
Abstract: 本发明公开了一种全局特征可视化与局部特征相结合的恶意代码分类方法,针对恶意代码二进制文件的分块计算三个特征值,每个特征值对应填充一个彩色通道,从而将恶意代码二进制文件可视化成RGB彩色图像;然后提取RGB彩色图像的全局特征,并从恶意代码二进制文件核心区域中提取局部特征,结合全局和局部特征进行恶意代码家族分类。使用本发明增加了恶意代码图像表示的信息量,提高了图像稳定性和分类模型的容错率,而且从恶意代码核心区域提取局部特征,弥补了全局特征在恶意代码变种变化较大时分类能力不足的缺陷,进一步地,全局特征和局部特征的结合在面对变化多端的恶意代码变种时具有更强的鲁棒性,很大程度上提高了恶意代码分类的准确率。
-
公开(公告)号:CN108062478B
公开(公告)日:2021-04-02
申请号:CN201810008763.9
申请日:2018-01-04
Applicant: 北京理工大学 , 中国信息安全测评中心
Abstract: 本发明公开了一种全局特征可视化与局部特征相结合的恶意代码分类方法,针对恶意代码二进制文件的分块计算三个特征值,每个特征值对应填充一个彩色通道,从而将恶意代码二进制文件可视化成RGB彩色图像;然后提取RGB彩色图像的全局特征,并从恶意代码二进制文件核心区域中提取局部特征,结合全局和局部特征进行恶意代码家族分类。使用本发明增加了恶意代码图像表示的信息量,提高了图像稳定性和分类模型的容错率,而且从恶意代码核心区域提取局部特征,弥补了全局特征在恶意代码变种变化较大时分类能力不足的缺陷,进一步地,全局特征和局部特征的结合在面对变化多端的恶意代码变种时具有更强的鲁棒性,很大程度上提高了恶意代码分类的准确率。
-
Patent Agency Ranking
公开(公告)号:CN109101816A
公开(公告)日:2018-12-28
申请号:CN201810912373.4
申请日:2018-08-10
Applicant: 北京理工大学 , 中国信息安全测评中心
IPC: G06F21/56
Abstract: 本发明公开了一种基于系统调用控制流图的恶意代码同源性分析方法,首先构造待分析程序的系统调用控制流图;所述系统调用控制流图是由系统调用节点构成的有向无权图,边的方向表示系统调用执行的先后关系;比较不同待分析程序的系统调用控制流图,以根据图相似度作为同源性分析的相似性度量,实现同源性分析。本发明利用系统调用控制流图进行同源性分析,系统调用控制流图完全忽略了软件代码的细节,只关注所调用的系统调用函数,因此简化了需要处理的数据量,所以基于系统调用的控制流图对程序行为的抽象程度最好。而且,由于只考虑系统调用从而在很大程度上规避了指令层的混淆,起到了抗混淆作用。
-
公开(公告)号:CN109101816B
公开(公告)日:2022-02-08
申请号:CN201810912373.4
申请日:2018-08-10
Applicant: 北京理工大学 , 中国信息安全测评中心
IPC: G06F21/56
Abstract: 本发明公开了一种基于系统调用控制流图的恶意代码同源性分析方法,首先构造待分析程序的系统调用控制流图;所述系统调用控制流图是由系统调用节点构成的有向无权图,边的方向表示系统调用执行的先后关系;比较不同待分析程序的系统调用控制流图,以根据图相似度作为同源性分析的相似性度量,实现同源性分析。本发明利用系统调用控制流图进行同源性分析,系统调用控制流图完全忽略了软件代码的细节,只关注所调用的系统调用函数,因此简化了需要处理的数据量,所以基于系统调用的控制流图对程序行为的抽象程度最好。而且,由于只考虑系统调用从而在很大程度上规避了指令层的混淆,起到了抗混淆作用。
-
公开(公告)号:CN107682399A
公开(公告)日:2018-02-09
申请号:CN201710753611.7
申请日:2017-08-29
Applicant: 中国信息安全测评中心 , 成都科来软件有限公司
Abstract: 本发明公开了一种基于大数据的文件夹断点续传方法,其特征在于,包括以下步骤:步骤1:客服端选择待上传文件夹,并向NameNode服务器发送文件上传请求;步骤2:NameNode服务器解析并获取待上传文件夹的协议头信息,同时根据获取的协议头信息生成该待上传文件夹的数据信息等步骤。本发明将生成的待上传文件夹的数据信息存入NameNode服务器的内存数据库中,从而对NameNode服务器进行改造,使服务器支持文件夹的断点续传;当文件夹在上传的过程中其内部的文件出现上传失败时,下一次上传则可以从断点位置开始将剩余未上传的文件进行上传,而无需从头开始重新上传文件夹,因此其极大的提高了文件夹的上传效率。
-
公开(公告)号:CN107682399B
公开(公告)日:2020-07-14
申请号:CN201710753611.7
申请日:2017-08-29
Applicant: 中国信息安全测评中心 , 成都科来软件有限公司
IPC: H04L29/08 , G06F16/245
Abstract: 本发明公开了一种基于大数据的文件夹断点续传方法,其特征在于,包括以下步骤:步骤1:客服端选择待上传文件夹,并向NameNode服务器发送文件上传请求;步骤2:NameNode服务器解析并获取待上传文件夹的协议头信息,同时根据获取的协议头信息生成该待上传文件夹的数据信息等步骤。本发明将生成的待上传文件夹的数据信息存入NameNode服务器的内存数据库中,从而对NameNode服务器进行改造,使服务器支持文件夹的断点续传;当文件夹在上传的过程中其内部的文件出现上传失败时,下一次上传则可以从断点位置开始将剩余未上传的文件进行上传,而无需从头开始重新上传文件夹,因此其极大的提高了文件夹的上传效率。
-
公开(公告)号:CN109962912A
公开(公告)日:2019-07-02
申请号:CN201910168287.1
申请日:2019-03-06
Applicant: 中国信息安全测评中心
IPC: H04L29/06
Abstract: 本申请提供了一种基于蜜罐流量引流的防御方法及系统,方法包括:入侵检测系统检测目标流量是否为威胁流量;若是,修改目标流量中目标字段的值为设定值,并将目标字段的值为设定值的目标流量发送至代理服务系统;若否,将目标流量发送至代理服务系统;代理服务系统判断接收到的流量的目标字段的值是否为设定值;若是,将流量发送至蜜罐系统,以使蜜罐系统对流量进行攻击分析;若否,将流量发送至真实主机。在本申请中,通过以上方式可以提高主机的安全性。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.081 seconds)
