公开(公告)号：CN111711707A

公开(公告)日：2020-09-25

申请号：CN202010360534.0

申请日：2020-04-30

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  南京理工大学

Inventor： 尹魏昕 ,  蔡颖 ,  张琨 ,  蔡冰 ,  仲思超

IPC: H04L29/12 ,  H04L12/741 ,  H04L12/751 ,  H04L12/733

Abstract: 本发明提出了基于邻居关系的IP地址定位方法，包括以下步骤：步骤1、根据主动测量数据，定义IP地址关联度、路由路径关联度、时延关联度和路由跳数关联度；步骤2、根据IP地址四段关联度、路由路径关联度、时延关联度和路由跳数关联度，定义IP地址的邻居关系；3、根据IP地址的邻居关系，计算待定位IP地址的邻居节点；步骤4、根据改进的质心法，确定待定位IP地址所处的区县街道。本发明的IP地址定位方法，借鉴机器学习相关算法，提供一种从IP地址特点出发，综合考虑网络拓扑的IP地址定位方法，且定位结果具有较高的精度。

公开(公告)号：CN111711707B

公开(公告)日：2023-08-08

申请号：CN202010360534.0

申请日：2020-04-30

Applicant: 国家计算机网络与信息安全管理中心江苏分中心 ,  南京理工大学

Inventor： 尹魏昕 ,  蔡颖 ,  张琨 ,  蔡冰 ,  仲思超

IPC: H04L61/5007 ,  H04L45/02 ,  H04L45/00 ,  H04L45/74 ,  H04L101/69

Abstract: 本发明提出了基于邻居关系的IP地址定位方法，包括以下步骤：步骤1、根据主动测量数据，定义IP地址关联度、路由路径关联度、时延关联度和路由跳数关联度；步骤2、根据IP地址四段关联度、路由路径关联度、时延关联度和路由跳数关联度，定义IP地址的邻居关系；3、根据IP地址的邻居关系，计算待定位IP地址的邻居节点；步骤4、根据改进的质心法，确定待定位IP地址所处的区县街道。本发明的IP地址定位方法，借鉴机器学习相关算法，提供一种从IP地址特点出发，综合考虑网络拓扑的IP地址定位方法，且定位结果具有较高的精度。

公开(公告)号：CN117633560B

公开(公告)日：2024-04-09

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN113765879B

公开(公告)日：2022-11-29

申请号：CN202110695321.8

申请日：2021-06-23

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  吴琳 ,  罗雅琼 ,  许海滨 ,  邢欣 ,  贾晨 ,  苗杰

IPC: H04L9/40

Abstract: 本发明公开了网络安全技术领域的一种对称加密隧道破解方法、系统及存储介质，包括：将给定的对称加密隧道的流量接入构建的基于流量特征的对称加密隧道破解模型，获取破解结果。通过构建基于流量特征的对称加密隧道破解模型，无需提前了解目标设备使用的算法和实现细节，提高了对特定加密隧道的破解方法的适用性，解决了现有解密方法通用性不强的问题；提供了对接入的流量进行分析和破解的方法，无需与目标设备近距离接触，解决了破解加密隧道的隐蔽性的问题；提供了运用深度学习的对称加密隧道破解方法，结合深度学习的算法，使得本发明的破解准确度更高，破解更加高效。

公开(公告)号：CN115065623B

公开(公告)日：2022-11-01

申请号：CN202210971580.3

申请日：2022-08-15

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  邢欣 ,  嵇程 ,  邱凌志 ,  袁艺

IPC: H04L43/18

Abstract: 本发明公开了一种主被动相结合的私有工控协议逆向分析方法，包括采集工控设备正常通信过程中的报文，对所述报文进行逆向分析，获得逆向分析结果；构造错误的报文格式，产生报文与工控设备进行通信交互；确定接收到错误数据后工控设备的响应方式；对所述逆向分析结果中的字段属性进行验证；构建待验证报文结构格式集合，构造报文并发送至工控设备，根据与工控设备通信交互的响应结果确定该报文结构是否为符合所述工控协议规范的正确报文格式；对逆向分析结果中的状态机信息进行扩展分析，获得最终的逆向分析结果。该方法能够对协议格式、字段属性和状态机的分析结果进行更深入的挖掘，归纳出能够更加真实反映出工控协议全局信息的逆向结果。

公开(公告)号：CN111431821A

公开(公告)日：2020-07-17

申请号：CN202010231603.8

申请日：2020-03-27

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  罗雅琼 ,  尹魏昕 ,  仲思超 ,  王祥 ,  赵云

IPC: H04L12/851 ,  H04L12/863 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种在网络大流量中快速检测与识别特定信息的方法，包括处理器，所述处理器连接有数据库模块、信息识别模块、信息存储模块以及防护模块，其中所述数据库模块包括数据采集模块、发送模块、接收模块和中央控制模块；所述信息识别模块包括获取模块和筛选模块；所述信息存储模块包括数据转换单元、通信单元、云端存储器和反馈系统，所述防护模块包括无线入侵防护系统、防火墙系统。本发明可以快速从网络大流量中，在对各应用、协议进行分类识别的基础上，利用信息指纹技术准确识别特定信息内容，可以大幅度提高互联网特定信息鉴别和提取的准确性；且能对信息安全进行防护，避免信息丢失。

公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN104573107A

公开(公告)日：2015-04-29

申请号：CN201510050947.8

申请日：2015-02-02

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 任光裕 ,  马旸 ,  蔡冰 ,  俞宙 ,  罗雅琼 ,  王林汝

IPC: G06F17/30

CPC classification number: G06F17/30557 ,  G06F17/30595

Abstract: 本发明提供了一种网络安全应用NoSQL数据库与关系型数据库融合接口方法，包括中央处理器、网络安全应用、网络安全应用接口、NoSQL数据库、NoSQL数据库接口、关系型数据库以及关系型数据库接口，所述的中央处理器通过NoSQL数据库接口与NoSQL数据库连接，中央处理器通过关系型数据库接口与关系型数据库连接，并在另一端通过网络安全应用接口与网络安全应用进行连接，本发明在传统数据架构中增加了一个数据处理中间层，整合了NoSQL数据库和关系型数据库的数据访问接口，为应用提供统一的数据访问接口，简化了应用开发复杂度，降低了应用与数据间的耦合，提升了开发效率。

公开(公告)号：CN107888571B

公开(公告)日：2020-08-28

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN104994117A

公开(公告)日：2015-10-21

申请号：CN201510477268.9

申请日：2015-08-07

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  俞宙 ,  王林汝

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1483 ,  H04L61/1511

Abstract: 本发明公开了一种基于DNS解析数据的恶意域名检测方法及系统，包括以下步骤：获取DNS解析数据、对DNS解析数据进行数据清洗、根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名及根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名，本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。