徐国天
- 作品数:105 被引量:181H指数:8
- 供职机构:中国刑事警察学院更多>>
- 发文基金:辽宁省自然科学基金中央高校基本科研业务费专项资金公安部应用创新计划更多>>
- 相关领域:自动化与计算机技术政治法律电子电信文化科学更多>>
- 不依赖日志文件的Oracle数据库恢复工具的开发被引量:2
- 2010年
- 设计一款不依赖日志文件的oracle数据库综合检验、恢复工具。该工具可从oracle数据文件(*.dbf)中检测出所有数据表(包括“被删除”数据表)的详细信息,例如表名称、字段名、字段类型、字段长度、字段序号和表数据实际保存的数据块号。该工具可在日志文件被清除的情况下直接从数据文件中恢复出被删除的记录,准确率达到100%。该工具可从数据文件中恢复出某些“被删除”的数据表。
- 徐国天
- 关键词:数据库ORACLE
- 基于异常加密流量标注的Android恶意进程识别方法研究被引量:10
- 2020年
- 现有Android恶意样本分析方法需要提前获得待检的样本程序,当待检对象是Android智能终端而非一个样本程序时,因无法确定智能终端内哪个进程为待检恶意进程,导致样本分析法无法有效应用。现有针对恶意加密流量的检测方法可以达到较高的识别精度,但无法确定恶意流量与Android终端内恶意进程的映射关系,即无法确定恶意加密流量是由哪个进程产生的,也就不能锁定恶意进程具体位置信息。针对上述问题,文章提出一种基于异常加密流量标注的Android恶意进程识别方法,通过监听待检Android终端产生的网络通信数据,提取TLS加密通信流DNS特征、TLS握手协商特征和流统计特征,采用基于随机森林算法的二元分类器,识别恶意加密通信流;再通过提取流五元组特征值,在恶意加密通信流与Android终端进程之间建立一一映射关系,确定终端内恶意进程的具体位置。实验结果表明,该方法对复杂网络环境下未知恶意加密流量的检测精确度为97.46%,可根据检测出的恶意加密数据流定位Android终端内的恶意进程。
- 徐国天
- 关键词:TLS协议
- 网络安全态势感知中Trie树关键词高速匹配算法研究被引量:9
- 2019年
- 海量数据中关键词高速检索对增强网络安全态势感知系统反应速度,提高系统整体效率和安全性具有重要意义。基于双数组Trie树的网络信息检索算法具有较高的查找效率,但其插入时间复杂度较高,同时叶子结点占用了大量存储空间。为此,文章提出一种基于叶子结点压缩存储的双数组Trie树构造方法,按层次遍历Trie树,将分枝结点存储在基本双数组中,对叶子结点进行压缩后以位图形式存储于压缩数组中。该方法在保留双数组Trie树查询性能的同时,一定程度上提高了插入效率,改善了存储空间利用效率。
- 徐国天张铭
- 关键词:态势感知TRIE树信息检索
- 基于双树的高维向量空间样本快速搜索方法及装置
- 基于双树的高维向量空间样本快速搜索方法及装置,从原始数据点集合中过滤出极少量数据点组成剪枝点集合,过滤剩余数据点组成被删点集合,剪枝点集合中数据点最大限度地保留原始数据点集合在多维空间中的分布形态,这样待查点在剪枝点集合...
- 徐国天
- 文献传递
- 基于改进哈里斯鹰算法同步优化特征选择的恶意软件检测方法
- 针对恶意软件检测领域存在特征选择与模型参数调优难度大的问题,文章提出一种基于改进哈里斯鹰(Improved Harris Hawks Optimization,IHHO)算法同步优化特征选择的恶意软件检测方法。首先,将自...
- 徐国天刘猛猛
- 基于EXT3文件系统的数据库文件恢复与检验软件的开发被引量:11
- 2011年
- 文章介绍了一种通过日志恢复EXT3文件系统下被删除Oracle数据文件的方法,研究了通过数据页存储特征恢复与检验Oracle数据文件的方法,介绍了基于EXT3的Oralce数据文件恢复与检验软件的总体执行流程图。该软件可以根据日志文件中保存的地址指针定位被删除文件散布在硬盘分区中的具体数据,进而将它们恢复成一个完整的数据库文件,该软件还可以根据Oracle数据页的存储特征最大限度地提取分布在硬盘分区上的数据页碎片,将这些数据页组合成一个文件,再利用自行开发的检验软件从中检验出有效的数据记录。
- 徐国天
- 关键词:EXT3日志
- 基于ICMP重定向的“中间人”攻击研究被引量:2
- 2012年
- 文章研究了基于ICMP重定向的"中间人"攻击的实施过程,通过捕获、分析"中间人"攻击过程中不同阶段的IP数据报,研究"中间人"攻击的具体实施方式和可以达到的攻击目的,比较深入地研究了这种攻击行为,进而总结了ICMP重定向报文的构造方法和需要注意的问题,研究了"中间人"攻击的危害。
- 徐国天
- 关键词:重定向中间人监听篡改
- 基于HTTP/2协议分析的网站挂马线索调查方法研究被引量:1
- 2022年
- 当被挂马网站采用HTTP/2协议时,办案人员无法对加密传输的通信数据进行有效分析,影响了网站挂马案件调查分析工作的开展。针对这一问题,提出一种基于主机内部调查和网络信息监听的木马线索调查方法,在染毒计算机上浏览疑似被挂马的HTTP/2网站,对比浏览前后进程和网络连接变化情况,初步筛选出木马程序,再使用Wireshark捕获并解密通信数据,还原木马程序,结合数据包中的Referer字段分析,确定木马感染计算机的完整过程,找到网站被挂马的具体位置,提取相应恶意代码。实验结果表明,应用提出的方法可以准确还原木马程序和木马传播链条,分析出网站被挂马位置,确定黑客端相关信息。
- 刘猛猛徐国天程斌
- 关键词:网站挂马WIRESHARK
- Oralce数据库系统文件恢复与检验软件的开发研究被引量:5
- 2011年
- 侦查部门打击利用网络进行的诈骗犯罪需要有法可依,这是我们依法治国方略的应有之义。然而,利用网络进行诈骗犯罪是一个近年来随着网络发展才开始泛滥,并受到广泛关注的问题,因此惩治利用网络进行诈骗犯罪的相关法律法规还不够完备,情报信息应用还不够充分,相关网络诈骗防范机制还未建立,这些都直接影响着案件的侦破。因此,有必要借鉴国外经验,结合我国国情,完善利用网络进行诈骗犯罪的防控对策。
- 徐国天
- 关键词:网络诈骗情报信息防控对策
- Excel 2003文件碎片检验方法研究
- 2018年
- 目的在实际办案工作中,我们发现存在这样一种情况,被删除的涉案Excel文件仍有大量数据残留在磁盘内,但是现有数据恢复工具却无法成功恢复。本文尝试建立一种手工提取残留Excel数据碎片的检验方法。方法首先确定原始Excel文件中的一组数据作为搜索特征值,之后使用winhex在磁盘空间内定位这组特征值,再通过人工分析方式排除误报,提取有效数据。结果使用本文提出的手工分析方法可以准确定位Excel数据碎片中的某个字段值,由于Excel的数据内容都在相邻扇区内存储,因此可以从相邻扇区提取出所有残留的字段值,再根据这些字段值之间的逻辑关系确定这是否为一个有效的Excel碎片。最后利用各个字段值的具体内容和不同字段值之间的逻辑关系来还原原始的Excel表格。结论使用本文提出的手工分析方法可以有效提取磁盘内残留的Excel数据碎片,恢复某些现有工具所不能提取的Excel数据。
- 徐国天
- 关键词:EXCEL特征值
