王明华
- 作品数:17 被引量:21H指数:3
- 供职机构:国家互联网应急中心更多>>
- 发文基金:国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术经济管理环境科学与工程更多>>
- 高危零日漏洞创历史新高
- 2009年
- 在6月微软创下月度漏洞修补个数历史新高的情况下,7月爆发的系统及应用软件高危零日漏洞创下互联网史上的新高,且与6月相比,漏洞影响的用户数、涉及的应用领域更为广泛。CNCERT共接收到国内外安全组织报告的高危零日漏洞15个,影响的软硬件系统包括Adobe、BIND、Cisco、Citrix、FCKeditor、Microsoft(微软)、Mozilla、Nagios、NASA、Sun等厂商。此外,7月境外黑客发动的对大陆地区网站特别是政府网站的篡改攻击需引起有关部门的高度重视。
- 王明华
- 关键词:僵尸网络
- 一种IP可追踪性的网络流量异常检测方法
- 提出了一种支持IP可追踪性的网络流量异常检测方法。该方法实时记录网络数据流信息到概要数据结构,然后每隔一定周期进行异常检测。采用EWMA预测模型预测每一周期的预测值,计算观测值与预测值之间的差异sketch,然后基于差异...
- 王明华周渊李爱平张冰罗娜
- 关键词:异常检测概要数据结构EWMA网络流量
- 文献传递
- 基于通信特征提取和IP聚集的僵尸网络相似性度量模型被引量:11
- 2010年
- IRC僵尸网络(botnet)是攻击者通过IRC服务器构建命令与控制信道方式控制大量主机(bot)组成的网络.IRC僵尸网络中IRC服务器与bot连接具有很强的动态特性,为识别使用不同IRC服务器的同一僵尸网络,文中提取并比对僵尸网络的通信量特征、通信频率特征,建模估算bot重叠率,通过融合以上度量指标,提出了僵尸网络相似性度量模型.实验验证了模型的有效性,计算了其准确率,并分析了僵尸网络的迁移.
- 李润恒王明华贾焰
- 关键词:僵尸网络通信迁移
- 一种互联网宏观流量异常检测方法
- 2007年
- 网络流量异常指网络中流量不规则地显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。
- 王明华
- 关键词:主成分分析异常检测
- 2011年5月网络安全监测数据分析
- 2011年
- 根据CNCERT监测结果,2011年5月,中国境内僵尸网络受控主机数量和木马受控主机数量较4月大幅下降,网页篡改数量下降。恶意代码活动情况方面,中国大陆地区约有40万个IP地址对应的主机被木马或僵尸程序控制,较4月下降75%;网站安全方面,5月中国大陆地区被篡改网站数量为3358个,较4月增加5%,其中被篡改政府网站数量为212个,较4月减少7%。
- 王明华
- 关键词:木马恶意代码网页仿冒
- 僵尸网络的类型、危害及防范措施被引量:3
- 2009年
- 作为一种危害性极强的新型攻击手段,僵尸网络逐步成为互联网最严重的威胁之一。僵尸网络不是一种单一的网络攻击行为,而是一种网络攻击的平台和其他传统网络攻击手段的综合。介绍了僵尸网络的分类及危害,提出了僵尸网络的应对方法与措施,并对僵尸网络的发展进行了探讨。
- 袁春阳徐娜王明华
- 关键词:僵尸网络网络危害
- 网络安全波澜不惊
- 2010年
- 2010年2月,无论从木马数量还是僵尸网络规模都比1月有了明显下降,网络安全形势有了一定程度的好转。2月,CNCERT对29种远控类木马进行了抽样监测。与1月相比,2月增加了对一种较活跃远控类木马的监测。为保证数据的可比性,仍取近两月相同种类木马的监测数据做环比分析。
- 王明华
- 关键词:僵尸网络木马病毒
- CNCERT发布9月网络安全监测数据 网络形势波澜不惊
- 2010年
- 被控主机数量回落
9月,CNCERT监测发现我国大陆地区676793个IP地址对应的主机被木马程序控制,同种类木马感染量较8月下降31%,其中,数量最多的地区分别为广东省90241个(占中国大陆13.33%)、湖南省69805个(占中闰大陆10.31%)和山东省49557个(占中国大陆7.32%)。
- 王明华
- 关键词:网络程序控制IP地址
- CNCERT/CC捕获恶意代码新样本数量略有下降被引量:1
- 2009年
- 2008年11月1日至11月30日期间,CNCERT/CC捕获恶意代码次数比上月上升了约46%,所捕获的新样本数量比上月下降了约18%。本月日均捕获恶意代码4010次。2008年11月1日至11月30日期间,CNCERT/CC日均捕获新样本180个。
- 王明华
- 关键词:恶意代码捕获CC
- Conficker蠕虫传播模型被引量:2
- 2010年
- "飞客"(conficker)蠕虫病毒是近期在全球爆发的以微软的windows操作系统为攻击目标的计算机蠕虫病毒,从爆发至今,感染数量巨大,形成了巨大规模的僵尸网络,对互联网安全形成了巨大的威胁.采用域名重定向技术监测conficker蠕虫的扩散传播,针对其查杀率低,传播周期长的特点,考虑地域、连通性等因素所导致的感染主机传播能力的差异,建立conficker蠕虫传播模型,最后通过真实的conficker蠕虫监测数据验证了模型的有效性.
- 李润恒王明华贾焰
- 关键词:蠕虫僵尸网络
