-
公开(公告)号:CN103297433B
公开(公告)日:2016-03-30
申请号:CN201310206651.1
申请日:2013-05-29
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供了一种基于网络数据流、能检测未知HTTP僵尸网络方法。该方法对主机的HTTP通信数据流进行提取,通过X-means聚类方法,结合僵尸网络通信特征相似性判断出僵尸主机并对其进行类型的划分。该方法的优点包括:可检测未知的HTTP僵尸网络的目标,能及时发现指定网络内潜在的僵尸主机;增强了聚类和检测的效率,具有低误报率和漏报率的特性。
-
公开(公告)号:CN101431449B
公开(公告)日:2011-05-04
申请号:CN200810226026.2
申请日:2008-11-04
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种流量清洗系统,用于对网络应用环境中的网络流量进行监控管理,包括异常检测模块、攻击检测与识别模块,以及流量清洗设备;其中,异常检测模块对网络应用环境中的网络流量做监测,一旦发现可疑网络流量,则生成策略路由并发送到网络应用环境中的指定路由器上,由指定路由器将可疑网络流量牵引到流量清洗设备;流量清洗设备将所接收到的可疑网络流量镜像到攻击检测与识别模块,由该模块识别出攻击流量,并根据攻击流量的相关信息生成ACL规则,然后发送到流量清洗设备;流量清洗设备根据所得到的ACL规则实现可疑网络流量中正常流量与攻击流量的分离。本发明采用决策与控制相分离的机制,使得作为决策的攻击检测与识别过程具有极大的灵活性。
-
公开(公告)号:CN101431449A
公开(公告)日:2009-05-13
申请号:CN200810226026.2
申请日:2008-11-04
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种流量清洗系统,用于对网络应用环境中的网络流量进行监控管理,包括异常检测模块、攻击检测与识别模块,以及流量清洗设备;其中,异常检测模块对网络应用环境中的网络流量做监测,一旦发现可疑网络流量,则生成策略路由并发送到网络应用环境中的指定路由器上,由指定路由器将可疑网络流量牵引到流量清洗设备;流量清洗设备将所接收到的可疑网络流量镜像到攻击检测与识别模块,由该模块识别出攻击流量,并根据攻击流量的相关信息生成ACL规则,然后发送到流量清洗设备;流量清洗设备根据所得到的ACL规则实现可疑网络流量中正常流量与攻击流量的分离。本发明采用决策与控制相分离的机制,使得作为决策的攻击检测与识别过程具有极大的灵活性。
-
公开(公告)号:CN101841523B
公开(公告)日:2013-05-22
申请号:CN201010107195.1
申请日:2010-02-05
Applicant: 中国科学院计算技术研究所
Abstract: 本发明涉及检测恶意代码样本的网络行为的方法及系统,方法包括:步骤1,获取恶意代码样本,并存储所述恶意代码样本;步骤2,将所述恶意代码样本输入虚拟机,运行所述恶意代码样本,获得所述恶意代码样本的网络数据;步骤3,解析所述恶意代码样本的网络数据获得关键信息数据,依据所述关键信息数据中的命令进行连接,并追踪所述连接之后的行为;步骤4,输出追踪结果。本发明能够通过对恶意代码样本的网络行为追踪获得恶意代码样本的行为数据,从而减少分析资源成本,降低计算开销。
-
公开(公告)号:CN101986642B
公开(公告)日:2012-12-26
申请号:CN201010517771.X
申请日:2010-10-18
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种检测Domain Flux数据流的系统和方法,监听模块用于监听并分析出入网关的数据流,获取DNS查询请求数据包和DNS应答包,并提取源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息;数据库操作模块,用于将监听模块提取的源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息记录在数据库中;计算窗口最大公共子串的模块,用于计算时间窗口内任意两个请求的DNS的最大公共子串,并对最大公共子串出现的次数计数来确定窗口最大公共子串。
-
Patent Agency Ranking
公开(公告)号:CN101800754B
公开(公告)日:2012-11-21
申请号:CN201010133167.7
申请日:2010-03-25
Applicant: 中国科学院计算技术研究所
IPC: H04L29/06
Abstract: 本发明提供一种补丁分发方法,包括下列步骤:1蜜罐机被扫描性蠕虫感染;当蜜罐机作为攻击源攻击其它计算机系统时,用补丁程序替换用于攻击活动的恶意代码,并将补丁程序投递到远程受攻击计算机系统。与现有技术相比,本发明提供了一种利用扫描性蠕虫的传播机制进行补丁分发的方案,能够准确的进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系统安装补丁,同时不会给网络引入新的攻击流量。同时,本发明是一种与现有补丁分发工具相比具有不同机制的补丁分发方案,能够作为对现有补丁分发工具的补充,及时为更多的计算机系统打上相应的补丁。
-
公开(公告)号:CN101841523A
公开(公告)日:2010-09-22
申请号:CN201010107195.1
申请日:2010-02-05
Applicant: 中国科学院计算技术研究所
Abstract: 本发明涉及检测恶意代码样本的网络行为的方法及系统,方法包括:步骤1,获取恶意代码样本,并存储所述恶意代码样本;步骤2,将所述恶意代码样本输入虚拟机,运行所述恶意代码样本,获得所述恶意代码样本的网络数据;步骤3,解析所述恶意代码样本的网络数据获得关键信息数据,依据所述关键信息数据中的命令进行连接,并追踪所述连接之后的行为;步骤4,输出追踪结果。本发明能够通过对恶意代码样本的网络行为追踪获得恶意代码样本的行为数据,从而减少分析资源成本,降低计算开销。
-
公开(公告)号:CN101393591A
公开(公告)日:2009-03-25
申请号:CN200810224942.2
申请日:2008-10-27
Applicant: 中国科学院计算技术研究所
IPC: G06F21/00
Abstract: 本发明涉及一种发现未知USB病毒的方法和系统,所述方法包括:步骤1,创建动态链接库文件;在执行所述动态链接库文件查询驱动盘的类型时,如果被查询的驱动盘不存在,则回复被查询的驱动盘的类型为可移动,在执行所述动态链接库文件复制文件时,如果复制文件的目标路径不存在,则将所述文件复制到指定路径下;步骤2,将所述动态链接库文件注入到操作系统中正在运行的进程中,使USB病毒通过所述动态链接库文件进行驱动盘类型的查询和病毒文件的复制。本发明能够无误报地发现未知USB病毒并获取该USB病毒的样本。
-
公开(公告)号:CN103746982B
公开(公告)日:2017-05-31
申请号:CN201310745102.1
申请日:2013-12-30
Applicant: 中国科学院计算技术研究所
Abstract: 本发明公开了一种HTTP网络特征码自动生成方法,该方法包括:包特征码生成步骤、URI特征码生成步骤和HTTP网络特征码总集合生成步骤,包特征码生成步骤为针对多个网络样本的一问一答包提取出的特征统计和包内容,通过二次聚类生成粗粒度聚类集,进而在粗粒度聚类集的基础上二次聚类生成细粒度聚类集,通过细粒度聚类集生成网络样本的一问一答包特征码集合URI特征码生成步骤为针对网络样本中被划分为单独一类的流量,进行URI路径及参数特征码的补充提取,生成URI的特征码集合最终通过一问一答包特征码集合和URI的特征码集合合并生成特征码总集合Tall。
-
公开(公告)号:CN101977188A
公开(公告)日:2011-02-16
申请号:CN201010515343.3
申请日:2010-10-14
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种恶意程序检测系统,包括用户交互模块、控制模块、由多个虚拟机组成的虚拟机群以及运行在所述虚拟机上的监视模块;其中,虚拟机群中的各个虚拟机运行在不同的软件环境下,且虚拟机安装有至少一种杀毒软件;用户交互模块将待检测的程序提交给控制模块,由控制模块将待检测程序分配到虚拟机群的各个虚拟机上并运行,监视模块监测待检测程序在虚拟机上的运行过程,根据杀毒软件的检测结果与自身的监测情况提交检测报告。本发明具有多平台检测,准确性高,适用性广的优点。
-
-
-
-
-
-
-
-
-
Search Results
18
records
(took 0.041 seconds)
