公开(公告)号：CN109510815A

公开(公告)日：2019-03-22

申请号：CN201811224807.8

申请日：2018-10-19

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  崔兆林 ,  刘博 ,  彭渝 ,  董效宇 ,  郭振洋 ,  李凯悦 ,  林明峰 ,  金丽慧 ,  李凯

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于有监督学习的多级钓鱼网站检测方法及检测系统，第一检测层以黑名单数据库或白名单数据库进行钓鱼网站判断，匹配则直接输出，否则第二检测层提取待检测网站URL的特征并以已知钓鱼网站的URL特征构建分类器模型进行检测，若检测为可疑网站则第三检测层下载待检测网站的页面，获得页面内容特征，以已知钓鱼网站内容特征构建分类器模型进行检测，输出端输出待检测网站为钓鱼网站或正常网站并将数据增加至黑名单数据库和白名单数据库。本发明的一级黑白名单判断已知网站，降低检测成本，二级URL检测辨别明确的钓鱼网站或正常网站，三级页面内容检测对二级检测的可疑网站进行识别，判定结果精确；识别结果准确且检测时间短。

公开(公告)号：CN109510815B

公开(公告)日：2022-01-25

申请号：CN201811224807.8

申请日：2018-10-19

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  崔兆林 ,  刘博 ,  彭渝 ,  董效宇 ,  郭振洋 ,  李凯悦 ,  林明峰 ,  金丽慧 ,  李凯

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明涉及一种基于有监督学习的多级钓鱼网站检测方法及检测系统，第一检测层以黑名单数据库或白名单数据库进行钓鱼网站判断，匹配则直接输出，否则第二检测层提取待检测网站URL的特征并以已知钓鱼网站的URL特征构建分类器模型进行检测，若检测为可疑网站则第三检测层下载待检测网站的页面，获得页面内容特征，以已知钓鱼网站内容特征构建分类器模型进行检测，输出端输出待检测网站为钓鱼网站或正常网站并将数据增加至黑名单数据库和白名单数据库。本发明的一级黑白名单判断已知网站，降低检测成本，二级URL检测辨别明确的钓鱼网站或正常网站，三级页面内容检测对二级检测的可疑网站进行识别，判定结果精确；识别结果准确且检测时间短。

公开(公告)号：CN108337269B

公开(公告)日：2020-12-15

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

公开(公告)号：CN110336789A

公开(公告)日：2019-10-15

申请号：CN201910449046.4

申请日：2019-05-28

Applicant: 北京邮电大学 ,  杭州安恒信息技术股份有限公司

Inventor： 谷勇浩 ,  崔卓群 ,  范渊 ,  郭振洋 ,  李良训 ,  李凯悦 ,  林明峰 ,  刘博 ,  杨勃

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明涉及基于混合学习的Domain-flux僵尸网络检测方法，输入的DNS数据区分训练数据集和检测数据集，分别预处理并将预处理后的训练数据集输入模型，训练得到分类器，将预处理后的检测数据集输入分类器，输出聚类后的域名簇，计算域名簇分值并筛选属于Domain-flux僵尸网络域名的簇，获得受感染主机IP地址及C&C服务器IP地址。本发明为后续防御措施奠定基础，解析时使用和域名、时间、请求IP、解析IP等多方相关的特征，不容易被绕过；兼顾有监督和无监督学习优势，结合分类和聚类算法，可有效检测与训练集差异较大、表现形式不同的未知僵尸样本，相较其他聚类算法检测速度快。

公开(公告)号：CN108337269A

公开(公告)日：2018-07-27

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

公开(公告)号：CN115712910B

公开(公告)日：2025-05-23

申请号：CN202211443166.1

申请日：2022-11-17

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 胡耿然 ,  刘博 ,  徐龙华 ,  袁国平 ,  严军荣 ,  莫凡

IPC: G06F21/60 ,  G06F21/62 ,  H04L9/00 ,  G06F16/2455

Abstract: 本发明公开了一种数据库SQL字符串操作隐私保护方法及系统，其方法包括步骤：对数据库隐私字段的字符串数据执行同态加密；根据隐私字段字符串信息和同态加密信息计算辅助信息；根据加密后的数据和辅助信息构建密文数据表；识别涉及隐私字段的字符串操作类型；根据字符串操作类型使用数乘同态和/或加法同态和/或减法同态计算隐私字段字符串操作后的密文结果；根据隐私字段字符串操作后的密文结果和非隐私字段的查询结果得到用户的最终查询结果。本发明解决了相关技术中不能支持对数据库的隐私字段字符串数据进行大部分标准SQL字符串操作的问题。

公开(公告)号：CN115499204B

公开(公告)日：2025-04-18

申请号：CN202211121575.X

申请日：2022-09-15

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 杨万年 ,  刘博

IPC: H04L9/40

Abstract: 本申请公开了一种蜜罐攻击溯源方法、装置、设备、存储介质，涉及网络安全技术领域，包括：当监测到安装伪服务的终端接收到攻击者发送的攻击流量时，抓取攻击者的MAC信息；判断终端是否存在蜜罐服务；若终端不存在蜜罐服务，则产生告警数据并断开与攻击者的连接；若终端存在蜜罐服务，则基于蜜罐服务端口与本地服务端口的对应关系将攻击流量转发至对应的蜜罐服务端口，以便蜜罐服务端口将包含攻击者IP信息在内的部分攻击者信息发送至蜜罐中心平台，并将MAC信息与部分攻击者信息进行整合，生成完整的攻击者信息。使用终端伪服务的方式触发蜜罐的告警，提高蜜罐告警概率；通过抓包匹配的方式，抓取MAC地址，并匹配溯源到真实的攻击者。

公开(公告)号：CN113869882B

公开(公告)日：2025-03-25

申请号：CN202111211480.2

申请日：2021-10-18

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 叶新华 ,  范渊 ,  刘博

IPC: G06Q10/10

Abstract: 本申请公开了一种数据处理方法、装置、介质，该数据处理方法包括：流程网关获取工作流模型中前置分支发送的数据并确定待获取数据的执行分支，判断各执行分支是否存在筛选条件；若执行分支存在筛选条件，则获取各执行分支的筛选条件，使各执行分支能够获取更准确的数据，根据筛选条件对数据集进行筛选以获取目标数据，将目标数据发送至对应的执行分支，不需要将数据集整体发送至每个执行分支，减少计算资源的浪费。由此可见，采用本申请提供的数据处理方式，能够使执行分支获取到的数据更准确，使后续处理更加准确，且降低计算资源的浪费，提高工作效率。

公开(公告)号：CN114138392B

公开(公告)日：2025-01-10

申请号：CN202111471334.3

申请日：2021-12-04

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 李昭宇 ,  范渊 ,  刘博

IPC: G06F9/451 ,  G06F3/0481 ,  G06F3/0488

Abstract: 本申请涉及一种页面显示方法、系统、电子装置和存储介质，其中，该页面显示方法包括：获取该终端设备生成的视频文件，将该视频文件显示在该显示区域中的视频显示界面；获取该终端设备生成的业务展示信息，将该业务展示信息显示在该显示区域中的业务展示界面；其中，该业务展示界面覆盖于该视频显示界面上方。通过本申请，解决了相关技术中页面显示加载效率低的问题，实现了低性能终端展示设备的可视化高效展示。

公开(公告)号：CN114064390B

公开(公告)日：2025-01-10

申请号：CN202111126158.X

申请日：2021-09-26

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 张江湖 ,  范渊 ,  刘博

IPC: G06F11/30 ,  G06F11/34

Abstract: 本申请涉及一种日志碰撞规则转化方法、装置、系统和电子装置，其中，该日志碰撞规则转化方法包括：获取日志样例、第一日志碰撞规则和目标规则类型，提取所述第一日志碰撞规则中的第一规则信息；对所述第一规则信息的特征值进行正则化得到第一规则信息正则语句，利用所述日志样例将所述第一规则信息进行拼接得到拼接语句；根据所述目标规则类型将所述拼接语句进行规则转换处理，得到第二日志碰撞规则；将所述第二日志碰撞规则与所述日志样例进行日志内容碰撞测试，得到碰撞测试结果；输出所述碰撞测试结果和所述第二日志碰撞规则至终端设备。通过本申请，解决了碰撞规则利用率低、冗余大，规则转化效率低的问题，实现了日志碰撞规则的高效转化。