公开(公告)号：CN101286979A

公开(公告)日：2008-10-15

申请号：CN200810044620.X

申请日：2008-06-03

Applicant: 电子科技大学

Inventor： 张小松 ,  陈厅 ,  陈大鹏 ,  刘智 ,  潘小会

IPC: H04L29/06

Abstract: 本发明提供一种网络攻击检测方法，属于计算机网络安全领域。首先捕捉网络数据包，提取出网络数据包中的payload序列，然后计算每个网络数据包的payload序列的任意位置开始可反汇编的合法指令的条数中的最大值MEL，最后判决：若某个网络数据包的MEL超过阈值，则认为该网络数据包是网络攻击数据包；若某个网络数据包的MEL不超过阈值，则认为该网络数据包是是正常通信数据包。本发明能够检测未知网络攻击，具有检测效率高、误报率低和能检测经过高级变形技术变形后的网络攻击的特点。本发明部署于中小型网络的进出口，如果要将本发明应用于大型高速网络的进出口，可以采用将本发明以硬件程序的方式固化在硬件上或部署多台计算机进行并行处理。

公开(公告)号：CN101335752B

公开(公告)日：2011-07-27

申请号：CN200810044621.4

申请日：2008-06-03

Applicant: 电子科技大学

Inventor： 张敏 ,  张小松 ,  陈大鹏 ,  刘智 ,  潘小会

IPC: H04L29/06 ,  H04L12/24

Abstract: 一种基于频繁片断规则的网络入侵检测方法，属于网络安全领域，包括频繁片段规则库生成和网络入侵检测。首先对已知行为属性的数据流按照行为特征集合S-(特征1，特征2，...特征j)|T(数据流属性)的方式提取行为特征值集合G；然后将k个(2≤k≤8)相邻行为特征值集合G组合成频繁片段H；再对频繁片段H进行分类和计算置信度最终形成频繁片段规则库。检测待测数据流时，先提取其行为特征值集合G′；再组合集合G′形成频繁片段H′；最后将频繁片段H′与频繁片段规则库中的频繁片段H比对，若在库中找到一个T值为“异常”且置信度＞50％的频繁片段与一个频繁片段H′相同，则认为待测数据流据流为异常数据流。本发明网络入侵检测准确，误报率低；能检测未知网络入侵行为；还可以用于恶意程序检测。

公开(公告)号：CN101286979B

公开(公告)日：2011-02-09

申请号：CN200810044620.X

申请日：2008-06-03

Applicant: 电子科技大学

Inventor： 张小松 ,  陈厅 ,  陈大鹏 ,  刘智 ,  潘小会

IPC: H04L29/06

Abstract: 本发明提供一种网络攻击检测方法，属于计算机网络安全领域。首先捕捉网络数据包，提取出网络数据包中的payload序列，然后计算每个网络数据包的payload序列的任意位置开始可反汇编的合法指令的条数中的最大值MEL，最后判决：若某个网络数据包的MEL超过阈值，则认为该网络数据包是网络攻击数据包；若某个网络数据包的MEL不超过阈值，则认为该网络数据包是是正常通信数据包。本发明能够检测未知网络攻击，具有检测效率高、误报率低和能检测经过高级变形技术变形后的网络攻击的特点。本发明部署于中小型网络的进出口，如果要将本发明应用于大型高速网络的进出口，可以采用将本发明以硬件程序的方式固化在硬件上或部署多台计算机进行并行处理。

公开(公告)号：CN101626377A

公开(公告)日：2010-01-13

申请号：CN200910091105.1

申请日：2009-08-07

Applicant: 成都市华为赛门铁克科技有限公司 ,  电子科技大学

Inventor： 孙志敏 ,  潘小会 ,  张小松

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明实施例涉及一种病毒检测方法和装置。病毒检测方法包括：获取并分析分组的首次连接队列中各连接项的连接状态，所述分组的首次连接队列中各连接项具有相同的源IP地址和目的端口号；根据所述分组的首次连接队列中连接项的连接状态，判断所述分组对应的源IP地址的主机是否感染病毒。病毒检测装置包括获取分析模块和病毒判断模块。本发明实施例可有效提高蠕虫的检测效率，实时高效地检测到网络中可能存在的蠕虫病毒，病毒检测效率高，误报率低，可有效检测慢扫描方式传播的蠕虫病毒。

公开(公告)号：CN101335752A

公开(公告)日：2008-12-31

申请号：CN200810044621.4

申请日：2008-06-03

Applicant: 电子科技大学

Inventor： 张敏 ,  张小松 ,  陈大鹏 ,  刘智 ,  潘小会

IPC: H04L29/06 ,  H04L12/24

Abstract: 一种基于频繁片断规则的网络入侵检测方法，属于网络安全领域，包括频繁片段规则库生成和网络入侵检测。首先对已知行为属性的数据流按照行为特征集合S－(特征1，特征2，...特征j)|T(数据流属性)的方式提取行为特征值集合G；然后将k个(2≤k≤8)相邻行为特征值集合G组合成频繁片段H；再对频繁片段H进行分类和计算置信度最终形成频繁片段规则库。检测待测数据流时，先提取其行为特征值集合G′；再组合集合G′形成频繁片段H′；最后将频繁片段H′与频繁片段规则库中的频繁片段H比对，若在库中找到一个T值为“异常”且置信度＞50％的频繁片段与一个频繁片段H′相同，则认为待测数据流据流为异常数据流。本发明网络入侵检测准确，误报率低；能检测未知网络入侵行为；还可以用于恶意程序检测。