公开(公告)号：CN115941555A

公开(公告)日：2023-04-07

申请号：CN202210501391.X

申请日：2022-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 窦禹 ,  桑亚飞 ,  常鹏 ,  李书豪 ,  杨昕雨 ,  张博文

IPC: H04L43/0876 ,  H04L67/025 ,  H04L67/06 ,  H04L67/56 ,  H04L69/22 ,  H04L9/40 ,  G06F40/216

Abstract: 本发明公开一种基于流量指纹的APP个人信息收集行为检测方法及系统，涉及网络安全被动监测领域，旨在能够从被动流量数据层面出发，提取APP流量指纹、第三方SDK流量指纹、个人信息流量指纹三种类型流量指纹形成指纹库。基于所构建指纹库，利用相似度匹配、字符串匹配和正则匹配算法对出入流量数据包进行规则匹配，可实现在网络关口环境下的APP个人信息收集行为检测，输出监测线索，为后续依据相关规定和标准开展APP违法违规收集个人信息提供重要支撑。

公开(公告)号：CN114461778A

公开(公告)日：2022-05-10

申请号：CN202111614370.0

申请日：2021-12-27

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 刘玮 ,  李超 ,  纪玉春 ,  王益静 ,  张永铮 ,  李书豪 ,  庹宇鹏 ,  常鹏 ,  王晗 ,  祁睿

IPC: G06F16/335 ,  G06F40/194 ,  G06F40/216 ,  G06N3/08

Abstract: 本发明公开一种面向海量科研资料的科研成果综合推荐方法及装置，包括：基于用户的个人信息与科研资料的属性，分别提取个人信息特征与属性特征；将个人信息特征与属性特征输入BP神经网络，得到第一推荐结果；通过计算个人信息特征与属性特征的相似度，得到第二推荐结果；依据第一推荐结果和/或第二推荐结果，得到综合推荐结果。本发明从海量科研课题文档中快速准确提取数十种课题相关属性特征，进行关键科研要素比对分析，通过几十种属性特征，建立了基于BP神经网络的精细化科研成果推荐模型，更加精准的为客户推荐科研课题。

公开(公告)号：CN110557382A

公开(公告)日：2019-12-10

申请号：CN201910729466.8

申请日：2019-08-08

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 云晓春 ,  彭成维 ,  张永铮 ,  李书豪 ,  徐小琳

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供了一种利用域名共现关系的恶意域名检测方法及系统。本发明利用域名请求之间的时间间隔，将DNS请求序列切割成域名共现序列，从而能够有效地将不属于同一网络活动触发的域名请求划分到不同的序列中；同时利用滑动窗口从域名共现序列中提取域名共现对：一方面，滑动窗口的引入成功地消除了由于共现序列长度过长而带来的计算复杂度增加的问题；另一方面，滑动窗口只保留个域名和其窗口内域名的共现关系，而忽略与更远位置的域名关系，能够有效地减少噪声共现关系。本发明能够通过分析域名团簇行为发现可疑的恶意域名团伙，感知恶意域名背后的关联关系，为更深层次研究恶意域名生态系统提供支撑。

公开(公告)号：CN104660594B

公开(公告)日：2018-01-09

申请号：CN201510066831.3

申请日：2015-02-09

Applicant: 中国科学院信息工程研究所

Inventor： 李书豪 ,  云晓春 ,  张永铮

IPC: H04L29/06

Abstract: 本发明公开了一种面向社交网络的虚拟恶意节点及其网络识别方法。本方法为：1)从目标社交网络中获取未识别账户的属性数据、行为数据和通信数据；2)对于每一未识别账户，根据提取数据计算得到的信任度模型特征向量计算信誉度；3)对于信誉度低于设定阈值的每一未标识账户，根据其与正常用户的行为习惯统计数据进行对比，判断是否为虚拟恶意节点；4)对虚拟恶意节点集合进行分类并对每个分类结果中的虚拟恶意节点进行关联，形成虚拟恶意节点网络；再利用贝叶斯网络算法进行评估，确定出最终的虚拟恶意节点网络。本发明能够有效识别高伪装的恶意节点，且能够高效的识别出协同类虚拟恶意节点网络。

公开(公告)号：CN103347067B

公开(公告)日：2016-04-20

申请号：CN201310259810.4

申请日：2013-06-26

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  李书豪 ,  尹涛 ,  庹宇鹏

IPC: H04L29/08

Abstract: 本发明涉及一种远程控制重构方法及系统。远程控制重构方法包括：获取昵称参数，根据预设的昵称生成规则，利用昵称参数生成设定数目的昵称和与昵称对应的统一资源定位符URL，分别存放在昵称列表和URL列表中，昵称与URL一一对应，昵称用于构建虚拟主机，URL用于访问虚拟主机；从昵称列表中选择设定数目的昵称在互联网公共平台上注册，构建虚拟主机；接收重构请求，向虚拟主机发布可用的命令与控制服务器地址信息；访问虚拟主机，获取可用的命令与控制服务器地址信息并发送给远程控制系统，远程控制系统用该可用的命令与控制服务器替换失效的命令与控制服务器，实现远程控制系统重构。本发明能够有效提高远程控制系统的控制能力与抗毁能力。

公开(公告)号：CN103716313A

公开(公告)日：2014-04-09

申请号：CN201310722437.1

申请日：2013-12-24

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  李书豪 ,  云晓春 ,  周宇 ,  常鹏

IPC: H04L29/06

Abstract: 本发明涉及一种用户隐私信息保护方法，包括以下步骤：步骤1：钩取模块接收接口调用操作，获取基本接口信息，采用重定向过滤方法，对可能访问敏感信息操作进行过滤分析；步骤2：解析模块接收终端设备发送的运行日志数据信息，并调用接口调用数据库中的信息，记录敏感操作的操作日志；步骤3：检测模块对可疑行为操作数据库中的信息进行处理，基于黑名单数据库中的信息，筛选出窃密操作，并将所述窃密操作行为信息存储到黑名单数据库中；步骤4：根据黑名单数据库中的窃密操作行为信息处理窃密操作。本发明能够监控窃密行为，发现潜在的窃密威胁，并阻断其操作；监测敏感信息流转；能够全面监控、保护用户隐私数据。

公开(公告)号：CN103944901B

公开(公告)日：2016-11-09

申请号：CN201410158412.8

申请日：2014-04-18

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  尹涛 ,  李书豪

IPC: H04L29/06 ,  H04L12/26 ,  G06F17/30

Abstract: 本发明涉及一种社交僵尸网络控制节点的检测方法及装置。社交僵尸网络控制节点的检测方法包括：采集合法昵称样本和恶意昵称样本并保存并进行随机划分；基于改进的Aprior算法，从第一合法昵称样本子集中挖掘出所有出现频数超过设定频数阈值的各阶子字符串保存在频繁表中；基于频繁表，利用第二合法昵称样本子集和第一恶意昵称样本子集，根据预设的可信度计算函数和阈值生成规则获得可信度阈值；根据可信度计算函数，利用第三合法昵称样本子集和第二恶意昵称样本子集，验证可信度阈值是否有效；若有效，则根据可信度计算函数和可信度阈值对待检测昵称进行检测。本发明能够在无需对僵尸程序进行逆向的情况下，快速准确地检测出NGA生成的伪随机昵称。

公开(公告)号：CN103944901A

公开(公告)日：2014-07-23

申请号：CN201410158412.8

申请日：2014-04-18

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  尹涛 ,  李书豪

IPC: H04L29/06 ,  H04L12/26 ,  G06F17/30

Abstract: 本发明涉及一种社交僵尸网络控制节点的检测方法及装置。社交僵尸网络控制节点的检测方法包括：采集合法昵称样本和恶意昵称样本并保存并进行随机划分；基于改进的Aprior算法，从第一合法昵称样本子集中挖掘出所有出现频数超过设定频数阈值的各阶子字符串保存在频繁表中；基于频繁表，利用第二合法昵称样本子集和第一恶意昵称样本子集，根据预设的可信度计算函数和阈值生成规则获得可信度阈值；根据可信度计算函数，利用第三合法昵称样本子集和第二恶意昵称样本子集，验证可信度阈值是否有效；若有效，则根据可信度计算函数和可信度阈值对待检测昵称进行检测。本发明能够在无需对僵尸程序进行逆向的情况下，快速准确地检测出NGA生成的伪随机昵称。

公开(公告)号：CN103106573A

公开(公告)日：2013-05-15

申请号：CN201310054990.2

申请日：2013-02-20

Applicant: 中国科学院信息工程研究所

Inventor： 李书豪 ,  云晓春 ,  张永峥 ,  郝志宇 ,  霍永亮

IPC: G06Q10/10 ,  G06F17/30

Abstract: 本发明涉及一种基于关系图的海量电子邮件分析方法及系统，所述方法包括：并行解析电子邮件源数据，提取出电子邮件头部信息、正文信息保存到电子邮件表中；将并行解析得到的附件摘要信息以设定结构存储至电子邮件附件表，并进行检测；根据解析的电子邮件数据，构建电子邮件关系表，并根据用户需求和电子邮件关系表生成单点关系图或多点关系图；引入IP地址地理信息数据库与电子邮件用户身份信息数据库，对电子邮件表进行关联分析，并在生成的关系图中展示关联信息。所述系统对应包括并行解析模块、附件存储检测模块、关系图生成模块和关联分析模块。本发明有效解决了大数据量电子邮件的分析处理与电子邮件网络中垃圾邮件追踪定位的问题。

公开(公告)号：CN103093049A

公开(公告)日：2013-05-08

申请号：CN201310011764.6

申请日：2013-01-11

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  李书豪 ,  张永铮 ,  郝志宇 ,  肖军

IPC: G06F17/50

Abstract: 本发明涉及一种面向社交网络的恶意代码传播预测方法，包括：利用多社交网络爬虫采集系统，获取真实社交网络数据信息，并基于统计学原理进行处理；提取数据信息统计特征，计算对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；将相关特征值输入模拟仿真平台，基于随机过程对SS-Malware恶意代码的传播行为进行建模；根据模型输出数据，分析和预测SS-Malware恶意代码的传播态势，并进行可视化展示。基于该方法，本发明还设计了对应的恶意代码传播预测系统，包括爬虫模块、特征提取模块、传播模型模拟仿真模块和预测展示模块。本发明的方法及系统应用于相关的恶意代码检测与防御系统，提升了针对面向社交网络恶意代码传播态势的预测与处理能力，并增强了防御能力。