公开(公告)号：CN108628703A

公开(公告)日：2018-10-09

申请号：CN201810225421.2

申请日：2018-03-19

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC: G06F11/14 ,  G06F11/20 ,  G06K9/62 ,  H04L29/08

Abstract: 本发明提供一种基于视觉相似性镜像网站发现方法及系统，该方法的步骤包括：对网页页面进行初步分块，将得到的块作为DOM树的结点；对可分割的结点继续分割，将分出的新块作为该结点的孩子结点；对于不可分割的结点，将该结点的块作为页面块存入页面块池中，如此循环迭代分块，直至得到全部的页面块；检测出页面中的分隔条，确定分割条的权重；基于分割条的权重进行重建，得到语义块；将语义块转换成图像，提取图像的签名特征；根据上述步骤提取目标网页和基准网页的各语义块的签名特征，基于签名特征通过EMD距离算法计算目标网页和基准网页之间的距离，如果该距离小于一设定阈值，则判定该目标网页的网站属于镜像网站。

公开(公告)号：CN107818132A

公开(公告)日：2018-03-20

申请号：CN201710858063.4

申请日：2017-09-21

Applicant: 中国科学院信息工程研究所

Inventor： 张鹏 ,  陈志鹏 ,  郭莉 ,  刘庆云

IPC: G06F17/30 ,  G06F21/56

CPC classification number: G06F17/30864 ,  G06F17/30887 ,  G06F17/30896 ,  G06F21/562 ,  G06F2221/2119

Abstract: 本发明提供一种基于机器学习的网页代理发现方法，步骤包括：通过爬虫主动获取代理及非代理的网页数据集；从所述网页数据集中分别抽取URL特征和DOM特征，根据该URL特征和/或DOM特征构建一含有多维特征的向量作为训练集；利用机器学习方法在所述训练集上构建模型并进行训练，通过训练出的模型进行网页代理识别。本发明基于爬虫捕获的URL和网页内容抽取特征，并构建模型进行训练，根据训练的模型识别出网页代理，识别的准确率、召回率及F1-score高。

公开(公告)号：CN107239704A

公开(公告)日：2017-10-10

申请号：CN201710374994.7

申请日：2017-05-24

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李鹏霄 ,  杜翠兰 ,  任彦 ,  刘晓辉 ,  易立 ,  钮艳 ,  佟玲玲 ,  张鹏 ,  陈志鹏

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明公开了一种恶意网页发现方法及装置，所述方法包括：确定每个预先选取的低可信度用户的网页资源访问集合；从确定的访问集合中确定出所有低可信度用户的网页资源访问交集；对所述访问交集中网页资源进行恶意网页检测，根据检测结果，确定恶意网页。本发明有效地解决现有恶意网页分类技术易漏判、准确率低和效率低的问题。

公开(公告)号：CN108628703B

公开(公告)日：2022-06-17

申请号：CN201810225421.2

申请日：2018-03-19

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC: G06F11/14 ,  G06F11/20 ,  G06K9/62 ,  H04L67/02

Abstract: 本发明提供一种基于视觉相似性镜像网站发现方法及系统，该方法的步骤包括：对网页页面进行初步分块，将得到的块作为DOM树的结点；对可分割的结点继续分割，将分出的新块作为该结点的孩子结点；对于不可分割的结点，将该结点的块作为页面块存入页面块池中，如此循环迭代分块，直至得到全部的页面块；检测出页面中的分隔条，确定分割条的权重；基于分割条的权重进行重建，得到语义块；将语义块转换成图像，提取图像的签名特征；根据上述步骤提取目标网页和基准网页的各语义块的签名特征，基于签名特征通过EMD距离算法计算目标网页和基准网页之间的距离，如果该距离小于一设定阈值，则判定该目标网页的网站属于镜像网站。

公开(公告)号：CN108768921B

公开(公告)日：2021-03-09

申请号：CN201810264535.8

申请日：2018-03-28

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种基于特征检测的恶意网页发现方法，包括以下步骤：通过读取URL文件，提取URL相关网络行为特征；通过读取DNS文件，提取域名相关网络行为特征；通过读取NetFlow文件，提取流量相关网络行为特征；针对URL相关网络行为特征，域名相关网络行为特征及流量相关网络行为特征进行规则匹配，根据匹配结果识别恶意URL。同时，基于实时捕获的网络流，构建了实现上述方法的在线的具有检测及识别功能的系统，并通过该系统实施在线网页识别，能从实时网络流中实时识别恶意网页的URL。

公开(公告)号：CN108768921A

公开(公告)日：2018-11-06

申请号：CN201810264535.8

申请日：2018-03-28

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 李睿 ,  杜翠兰 ,  李鹏霄 ,  张鹏 ,  陈志鹏 ,  杨兴东

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种基于特征检测的恶意网页发现方法，包括以下步骤：通过读取URL文件，提取URL相关网络行为特征；通过读取DNS文件，提取域名相关网络行为特征；通过读取NetFlow文件，提取流量相关网络行为特征；针对URL相关网络行为特征，域名相关网络行为特征及流量相关网络行为特征进行规则匹配，根据匹配结果识别恶意URL。同时，基于实时捕获的网络流，构建了实现上述方法的在线的具有检测及识别功能的系统，并通过该系统实施在线网页识别，能从实时网络流中实时识别恶意网页的URL。

公开(公告)号：CN105933324A

公开(公告)日：2016-09-07

申请号：CN201610391155.1

申请日：2016-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 刘庆云 ,  陈志鹏 ,  张鹏 ,  郑超 ,  孙永 ,  李舒 ,  郭莉

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L69/22 ,  H04L43/18 ,  H04L69/162

Abstract: 本发明涉及一种基于网络流在线实时分析跳转链和溯源的方法，其步骤包括：1)通过网络流捕获平台对HTTP网络流进行在线实时捕获；2)将捕获的网络流进行编码；3)将编码后得到的一系列HTTP会话发送给后端平台；4)后端平台对收到的网络流进行解码；5)后端平台基于解码后的网络流的HTTP协议头部的不同字段，计算每一次访问资源的跳转链，并从跳转链中发现相同资源的公共前置页面。本发明能从实时网络流中实时识别出各种音视频大文件访问的跳转链，并从中发现相同资源的公共前置页面。