公开(公告)号：CN105516128B

公开(公告)日：2018-10-30

申请号：CN201510889266.0

申请日：2015-12-07

Applicant: 中国电子技术标准化研究院

Inventor： 叶润国 ,  蔡磊 ,  范科峰

IPC: H04L29/06 ,  H04L29/08

Abstract: 一种Web攻击检测方法及装置；方法包括：对于待处理的多条Web日志，按照所述Web日志中的统一资源定位符URL进行划分，得到不同URL对应的Web日志子集；对于每个URL所对应的Web日志子集分别进行以下处理：选取所述Web日志子集中部分Web日志，所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限；根据所选取的Web日志构建该URL对应的正常行为模型；对于每个URL所对应的Web日志子集，分别基于该URL对应的正常行为模型，对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。本发明能够对Web应用防火墙无法发现的Web攻击进行事后的攻击检测和取证。

公开(公告)号：CN105516128A

公开(公告)日：2016-04-20

申请号：CN201510889266.0

申请日：2015-12-07

Applicant: 中国电子技术标准化研究院

Inventor： 叶润国 ,  蔡磊 ,  范科峰

IPC: H04L29/06 ,  H04L29/08

Abstract: 一种Web攻击检测方法及装置；方法包括：对于待处理的多条Web日志，按照所述Web日志中的统一资源定位符URL进行划分，得到不同URL对应的Web日志子集；对于每个URL所对应的Web日志子集分别进行以下处理：选取所述Web日志子集中部分Web日志，所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限；根据所选取的Web日志构建该URL对应的正常行为模型；对于每个URL所对应的Web日志子集，分别基于该URL对应的正常行为模型，对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。本发明能够对Web应用防火墙无法发现的Web攻击进行事后的攻击检测和取证。

公开(公告)号：CN107070930B

公开(公告)日：2020-06-23

申请号：CN201710262922.3

申请日：2017-04-20

Applicant: 中国电子技术标准化研究院

Inventor： 叶润国 ,  刘贤刚 ,  范科峰 ,  蔡磊 ,  胡影 ,  任泽君

IPC: H04L29/06

Abstract: 本发明公开了一种面向主机的可疑网络连接识别方法，包括以下步骤：A)、确定用来实现网络连接类型聚类的各个网络连接特征，基于这些网络连接特征构造一个多维空间，从而将每个网络连接映射为所述多维空间中的一个点；B)、收集单位时间段内出入指定主机的所有网络流量，将所述流量中的所有网络连接一一映射到步骤A中所构造的多维空间中的点，并对映射后的点进行聚类，得到多个由网络连接所对应的点组成的子类，并将点数量小于指定阈值的子类所对应的所有网络连接判定为可疑网络连接。本发明通过对这些可疑网络连接进行持续跟踪来实现对各种APT攻击的检测和持续跟踪。

公开(公告)号：CN107070930A

公开(公告)日：2017-08-18

申请号：CN201710262922.3

申请日：2017-04-20

Applicant: 中国电子技术标准化研究院

Inventor： 叶润国 ,  刘贤刚 ,  范科峰 ,  蔡磊 ,  胡影 ,  任泽君

IPC: H04L29/06

Abstract: 本发明公开了一种面向主机的可疑网络连接识别方法，包括以下步骤：A)、确定用来实现网络连接类型聚类的各个网络连接特征，基于这些网络连接特征构造一个多维空间，从而将每个网络连接映射为所述多维空间中的一个点；B)、收集单位时间段内出入指定主机的所有网络流量，将所述流量中的所有网络连接一一映射到步骤A中所构造的多维空间中的点，并对映射后的点进行聚类，得到多个由网络连接所对应的点组成的子类，并将点数量小于指定阈值的子类所对应的所有网络连接判定为可疑网络连接。本发明通过对这些可疑网络连接进行持续跟踪来实现对各种APT攻击的检测和持续跟踪。

公开(公告)号：CN104113525A

公开(公告)日：2014-10-22

申请号：CN201410222702.4

申请日：2014-05-23

Applicant: 中国电子技术标准化研究院

Inventor： 叶润国 ,  范科峰 ,  徐克超 ,  蔡磊

IPC: H04L29/06

Abstract: 本发明提供了一种防御资源消耗型攻击的方法及装置；方法包括：S101、每当一个周期结束时，如果该周期中存在平均响应时间大于预置的响应时间阈值的预定Web页面，则进行步骤S102；S102、对于各Web客户端对预定Web页面的访问请求，当最近K个周期中存在该Web客户端对该访问请求对应的前导Web页面的访问记录时，允许将该访问请求发给Web服务器；当最近K个周期中不存在该Web客户端访问该访问请求对应的前导Web页面的记录时，丢弃该访问请求。本发明能够在不干预正常的Web访问行为、且不修改Web页面代码的情况下，实现高效率的资源消耗型Web攻击防御。