公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN107888571B

公开(公告)日：2020-08-28

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN105516196A

公开(公告)日：2016-04-20

申请号：CN201610033198.2

申请日：2016-01-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  强小辉 ,  蔡冰 ,  王林汝 ,  吴超

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1466

Abstract: 本发明公开了基于HTTP报文数据的并行化网络异常检测方法与系统，步骤包括获取HTTP报文数据，对HTTP报文数据进行数据清洗，对样本进行分层抽样，引入隐马尔科夫语法模型构建组合分类器并构建模糊化集合，使用组合分类器作为检测模型，引入模糊化集合动态判断待检测样本是否为异常访问记录，输出异常访问记录，本发明基于HADOOP大数据分析平台，可以全量分析HTTP报文数据，发现数据中隐藏的网络异常，此外，通过源IP进行回溯，结合与IP资源的比对，进一步挖掘发起攻击的终端的地理位置等社会信息，使得源头上阻止网络攻击发生变成可能。

公开(公告)号：CN104573107A

公开(公告)日：2015-04-29

申请号：CN201510050947.8

申请日：2015-02-02

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 任光裕 ,  马旸 ,  蔡冰 ,  俞宙 ,  罗雅琼 ,  王林汝

IPC: G06F17/30

CPC classification number: G06F17/30557 ,  G06F17/30595

Abstract: 本发明提供了一种网络安全应用NoSQL数据库与关系型数据库融合接口方法，包括中央处理器、网络安全应用、网络安全应用接口、NoSQL数据库、NoSQL数据库接口、关系型数据库以及关系型数据库接口，所述的中央处理器通过NoSQL数据库接口与NoSQL数据库连接，中央处理器通过关系型数据库接口与关系型数据库连接，并在另一端通过网络安全应用接口与网络安全应用进行连接，本发明在传统数据架构中增加了一个数据处理中间层，整合了NoSQL数据库和关系型数据库的数据访问接口，为应用提供统一的数据访问接口，简化了应用开发复杂度，降低了应用与数据间的耦合，提升了开发效率。

公开(公告)号：CN104994117A

公开(公告)日：2015-10-21

申请号：CN201510477268.9

申请日：2015-08-07

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  蔡冰 ,  俞宙 ,  王林汝

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1483 ,  H04L61/1511

Abstract: 本发明公开了一种基于DNS解析数据的恶意域名检测方法及系统，包括以下步骤：获取DNS解析数据、对DNS解析数据进行数据清洗、根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名及根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名，本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。

公开(公告)号：CN206259963U

公开(公告)日：2017-06-16

申请号：CN201621355360.4

申请日：2016-12-10

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  王林汝 ,  吴琳 ,  蔡冰 ,  尹魏昕

IPC: H04L29/06 ,  H04L29/12

Abstract: 本实用新型涉及一种恶意域名电子检测系统，它包括电子监控系统以及与其相连接的安全域名系统；所述电子监控系统包括主监控服务器和监控终端，安全域名系统包括主服务器和DNS服务器；其中主监控服务器与主服务器相连接，监控终端分别与主监控服务器和主服务器相连接，主服务器和DNS服务器相连接。本实用新型能够实现对恶意域名访问进行高效可靠的检测，进而有效防止互联网用户登录恶意网站。

公开(公告)号：CN111580931A

公开(公告)日：2020-08-25

申请号：CN202010389565.9

申请日：2020-05-10

Applicant: 江苏省互联网行业管理服务中心 ,  北京亚鸿世纪科技发展有限公司

Inventor： 蔡蓓蓓 ,  王林汝 ,  唐威 ,  林飞 ,  毛华阳 ,  古元

IPC: G06F9/455 ,  G06F8/41 ,  G06F8/76 ,  H04L29/06

Abstract: 支持多元协议变量的组合表达式的匹配规则引擎涉及信息技术领域，本发明由规则定义器、词法解析器、语法解析器、编译器和二进制代码生成器组成；规则定义器由规则输入器、规则检测引擎和规则输出器组成；本发明改进了扩展伯克利包过滤技术，使得匹配规则引擎的规则语法可定制，并且支持函数嵌套调用、函数变量引用、缓存范围偏移、嵌套表达式求值；本发明采用JIT技术，动态编译为机器码运行，可媲美C程序的执行效率，具备良好的系统移植性。

公开(公告)号：CN118349756B

公开(公告)日：2024-10-15

申请号：CN202410774673.6

申请日：2024-06-17

Applicant: 江苏省互联网行业管理服务中心

Inventor： 徐艺丹 ,  王林汝 ,  吴超 ,  韦芹余 ,  栾鹏林 ,  张浩 ,  蒋大伟 ,  张庭郡 ,  李永成 ,  刘晓莹 ,  盛响 ,  倪正国 ,  徐志超

IPC: G06F16/955 ,  G06F16/958 ,  G06F16/33 ,  G06F16/35 ,  G06F18/2321

Abstract: 本发明公开了一种基于源码结构和资源链接的不良网站识别方法及系统，涉及信息安全技术领域。通过对源码和请求链接的抽取与清洗，减少了无效数据的干扰；通过文本预处理精准提取出能够代表网站特征的关键词和特征词；将多种特征综合表示，并通过降维减少数据维度，通过HDBSCAN聚类算法自动确定聚类的数量，并有效识别噪声点，生成稳定且准确的聚类结果，能够有效区分正常网站和不良网站；对新的网站数据，利用已有的聚类类型对网站进行标注和推断，或者输入批量网站进行重新聚类，对网站结构相似的网站进行标注，以识别新的不良网站模板，实现了对新网站的自动化标注和推断，适应动态变化的网络环境，提高了不良网站识别的准确性和及时性。

公开(公告)号：CN111696050A

公开(公告)日：2020-09-22

申请号：CN202010389662.8

申请日：2020-05-11

Applicant: 江苏省互联网行业管理服务中心 ,  北京亚鸿世纪科技发展有限公司

Inventor： 蔡蓓蓓 ,  王林汝 ,  唐威 ,  林飞 ,  古元

IPC: G06T5/00 ,  G06T7/136

Abstract: 一种面向工艺参数曲线图的脱敏工具涉及信息技术领域。本发明由图片输入模块、图像去噪模块、图像二值矩阵转换模块、曲线扫描模块、阈值设定模块、曲线切片模块、曲线中心扫描器、曲线修正模块和图像合并模块组成；本发明可以解决以往采用切割、遮挡、涂抹等脱敏方法无法有效保留工艺参数曲线的原始趋势，又能达到曲线敏感信息脱敏的业务要求。本工具通过阀值设定模块较好的适应性各种各样的工业曲线样本图片进行脱敏，并且可以通过阀值设定参数达到模块半自动化调整脱敏效果，在不改动工艺参数生成系统的情况下，达到对连续型工艺曲线图片的脱敏处理。

公开(公告)号：CN118349756A

公开(公告)日：2024-07-16

申请号：CN202410774673.6

申请日：2024-06-17

Applicant: 江苏省互联网行业管理服务中心

Inventor： 徐艺丹 ,  王林汝 ,  吴超 ,  韦芹余 ,  栾鹏林 ,  张浩 ,  蒋大伟 ,  张庭郡 ,  李永成 ,  刘晓莹 ,  盛响 ,  倪正国 ,  徐志超

IPC: G06F16/955 ,  G06F16/958 ,  G06F16/33 ,  G06F16/35 ,  G06F18/2321

Abstract: 本发明公开了一种基于源码结构和资源链接的不良网站识别方法及系统，涉及信息安全技术领域。通过对源码和请求链接的抽取与清洗，减少了无效数据的干扰；通过文本预处理精准提取出能够代表网站特征的关键词和特征词；将多种特征综合表示，并通过降维减少数据维度，通过HDBSCAN聚类算法自动确定聚类的数量，并有效识别噪声点，生成稳定且准确的聚类结果，能够有效区分正常网站和不良网站；对新的网站数据，利用已有的聚类类型对网站进行标注和推断，或者输入批量网站进行重新聚类，对网站结构相似的网站进行标注，以识别新的不良网站模板，实现了对新网站的自动化标注和推断，适应动态变化的网络环境，提高了不良网站识别的准确性和及时性。