-
-
公开(公告)号:CN101630325B
公开(公告)日:2012-05-30
申请号:CN200910091334.3
申请日:2009-08-18
Applicant: 北京大学
Abstract: 本发明公开了一种基于脚本特征的网页聚类方法,属于计算机安全技术领域。本发明方法以多个网页作为聚类对象,包括:a)获得网页中的脚本片段及其各级内嵌链接页面中的脚本片段;b)对脚本片段作规格化处理后计算其特征值作为脚本片段标识;c)将各个脚本片段标识排序后计算该序列的特征值作为网页标识;d)将网页标识相同的网页聚为一类。本发明方法可用于挂马网页检测分析的预处理过程,用于将同一网站页面分类,对于同一集合的网页,只需选择一部分抽样进行检测,从而可以节省大量检测资源。
-
公开(公告)号:CN101266550B
公开(公告)日:2011-02-16
申请号:CN200810089576.4
申请日:2008-04-08
Applicant: 北京大学
Abstract: 本发明公开了一种基于语义的恶意代码检测方法,可以完整地刻画基于函数调用的攻击行为,并有效地识别二进制可疑程序中的恶意行为,属于互联网安全技术领域。本发明方法包含a)获得已知恶意代码的有穷状态自动机;b)获得待检测的二进制可疑程序的下推自动机;c)使用模型检验方法检测所述的下推自动机和所述有穷状态自动机之间是否存在可以同时被两者接收的输入字符串,若是,则判定上述待检测的可疑程序为恶意程序。本发明利用有穷状态自动机来描述恶意行为,结合现有的工具和方法把可疑程序转换为下推自动机,然后利用已有的模型检验方法来检测可疑程序中是否包含恶意代码。可有效地用于互联网安全技术领域的恶意代码检测。
-
公开(公告)号:CN101820419A
公开(公告)日:2010-09-01
申请号:CN201010131887.X
申请日:2010-03-23
Applicant: 北京大学
IPC: H04L29/06
Abstract: 本发明公开了一种挂马网页中网页木马挂接点自动定位方法,属于计算机安全领域。该方法包括:a)确定挂马网页;b)获得挂马网页中的样式表;对其中的脚本按步骤c)进行脚本分析;c)获得挂马网页中的脚本;输出恶意脚本在其父网页中的位置,恶意特征包括:调用已知漏洞的对象、包含恶意代码、打开恶意网页、重定向至恶意网页、和添加恶意网页;d)获得挂马网页中的内嵌网页,对确定挂马的内嵌网页,比较其站点域名与挂马网页是否相同,若不同则输出其内嵌标签在其父网页中的位置;若相同则进行递归分析。本发明可用于计算机安全应用,包括快速定位网页木马在网页中挂接的位置,协助网站管理人员快速移除受害网页中所包含的恶意内容。
-
公开(公告)号:CN101477611B
公开(公告)日:2010-07-28
申请号:CN200910076769.0
申请日:2009-01-20
Applicant: 北京大学
IPC: G06F21/22
Abstract: 本发明公开了一种程序分解方法,属于软件工程、信息安全技术领域。本发明方法包括:a)设定始函数和终函数;b)以始函数和直接或间接调用始函数的函数组成的集合为Source;类似地,设定Sinks;c)分别对仅属于Source和Sinks的函数,以及两者交集中的函数分解其控制流图;d)依次连接各控制流图,输出对应的程序。当本方法用于漏洞挖掘时,始函数选自污染数据引入函数,比如文件读入函数,网络数据读入函数和格式化输入函数;终函数选自污染数据敏感函数,比如内存操作函数,内存分配函数,字符串操作函数和进程启动函数。本发明方法可将大规模程序分解为较小的代码片段,可有效地应用域漏洞挖掘等技术领域。
-
Patent Agency Ranking
公开(公告)号:CN100469054C
公开(公告)日:2009-03-11
申请号:CN200610113380.5
申请日:2006-09-26
Applicant: 北京大学
Abstract: 一种用于重定向网络通信连接的方法和装置,所述的方法是一种两步处理法,即首先查表判别数据包是否符合重定向要求,其后根据查询结果放行或者重定向该数据包。由于其中将查询的表即时地反映着当前活跃的IP地址,这样本方法就能够即时重定向一个通信连接,也能即时停止重定向该通信连接。所述的装置包括:IP地址转发规则模块、正向转发模块;还可以包括逆向转发模块。上述方法和装置实现了对内部网络IP地址的活跃性的实时监测,并且能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。同时还实现了重定向通信连接过程时对数据包的灵活改造。
-
公开(公告)号:CN101197810A
公开(公告)日:2008-06-11
申请号:CN200610140393.1
申请日:2006-12-08
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种实时检测蠕虫的方法,其包括如下步骤:侦听网络数据包并对其进行处理的步骤,在该步骤中对收集的数据包按照TCP/IP协议模型进行分层与分类,并建立记录各主机发送数据包情况的设备发包统计信息表;判定是否是ARP请求数据包的步骤,如果是则更新设备发包统计信息表,如果不是则判定是否是IP新建连接;判定是否是IP新建连接的步骤,如果不是则返回到侦听网络数据包并对其进行处理的步骤,如果是则更新设备发包统计信息表;判断该设备是否是可疑设备的步骤,根据设备发包统计信息表的内容判定是否是感染蠕虫的可疑设备,如果是对其进行标记,如果不是则返回到侦听网络数据包并对其进行处理的步骤。
-
公开(公告)号:CN101193044A
公开(公告)日:2008-06-04
申请号:CN200610144809.7
申请日:2006-11-21
Applicant: 北京大学
Abstract: 一种实时检测网络活动的重定向方法,包括步骤:A.通过对网络活动的监测和分析得到局域网内的活跃IP,并将其登记在活跃IP地址表中,此外,一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃,并将不再活跃的IP地址从活跃IP地址表中删除;B.判别待转发的数据包是否符合重定向要求,并根据查询结果放行或者重定向该数据包。用于实现该方法的装置包括:用于监测并登记活跃IP地址的网络活动监测模块和用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块。本发明通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测,能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。
-
公开(公告)号:CN101087196A
公开(公告)日:2007-12-12
申请号:CN200610169676.9
申请日:2006-12-27
Applicant: 北京大学
Abstract: 本发明涉及一种多层次蜜网数据传输方法及系统,由蜜网网关统一接收外部网络数据流;蜜网网关对所接收的数据流进行网络入侵检测分析;将正常数据流放行,发送给该数据流的目标主机;将非正常数据流按照威胁级别分为高、中、低三类;将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力;有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。
-
公开(公告)号:CN1812335A
公开(公告)日:2006-08-02
申请号:CN200510002914.2
申请日:2005-01-26
Applicant: 北京大学
CPC classification number: H04L63/0407 , H04L63/1458
Abstract: 本发明的一个方面提出了一种新的基于准匿名信用机制的,针对分布式拒绝服务攻击防范系统,能够大大提升对分布式拒绝服务攻击的防范效果,并且能够起到推动客户计算机系统进行自身安全增强的作用,从而最终从根本上解决分布式拒绝服务攻击问题。根据本发明的针对分布式拒绝服务攻击的防范系统,主要包括以下装置:准匿名身份应用装置、准匿名信用检查装置和准匿名信用评分装置。为了提升防护效果,根据本发明的基于准匿名信用机制的分布式拒绝服务攻击防范系统,还包括了外围选配装置:路由标记装置和子网行为控制装置。本发明的另一个方面提出了一种新的基于准匿名信用机制的,针对分布式拒绝服务攻击防范方法。
-
-
-
-
-
-
-
-
-
Search Results
56
records
(took 0.022 seconds)
