公开(公告)号：CN111709028A

公开(公告)日：2020-09-25

申请号：CN202010317082.8

申请日：2020-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 詹孟奇 ,  李杨 ,  张棪 ,  杨兴华 ,  范雨琳

IPC: G06F21/57 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明公开了一种网络安全状态评估和攻击预测方法，其步骤包括：1)从设定观测周期内入侵检测系统IDS产生的警报中选择具有代表性的IDS警报，并将所选每一代表性IDS警报作为一攻击步骤；将属于同一类攻击的代表性IDS警报按照时间顺序排列，得到该类攻击的攻击步骤序列；2)分别从每类攻击的攻击步骤序列中提取攻击事件；3)利用从第m类攻击的攻击步骤序列中所提取的攻击事件生成训练序列训练马尔可夫模型HMM，保存每一训练后的HMM及对应的训练序列S；4)对于一观察序列，将该观察序列与各HMM对应的训练序列S进行匹配，选择最匹配的HMM；然后将该观察序列输入该最匹配的HMM，评估该观察序列对应的网络安全状态。

公开(公告)号：CN107181738A

公开(公告)日：2017-09-19

申请号：CN201710279176.9

申请日：2017-04-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  陈鑫 ,  崔华俊

IPC: H04L29/06 ,  G06F21/56

CPC classification number: H04L63/1416 ,  G06F21/56 ,  H04L63/1425

Abstract: 本发明提供一种软件化入侵检测系统及方法，其中，所述系统包括：控制核、检测核和输出核三个层次，其中，所述控制核用于与上层控制器进行交互，并管理检测核和输出核所产生的信息；所述检测核用于基于DPDK对数据包进行采集和解析，遍历规则库对经过解析后的所述数据包进行检测匹配；所述输出核用于定时将检测核所获得的检测匹配结果记录至系统日志，并将根据所述检测匹配结果获知的非法数据包信息进行封装后上报给控制核。本发明提供的一种软件化入侵检测系统及方法，部署灵活且可扩展性好，具有减少报文拷贝，亲核性等特点，可以显著提升报文的处理能力，且上层开放控制接口，具有可控性，可以很好兼容虚拟化与云计算平台。

公开(公告)号：CN106027208A

公开(公告)日：2016-10-12

申请号：CN201610282604.9

申请日：2016-04-29

Applicant: 中国科学院信息工程研究所

Inventor： 孙继燕 ,  张棪 ,  唐鼎 ,  张舒黎 ,  陈鑫

IPC: H04L1/16 ,  H04L1/00 ,  H04W28/02

CPC classification number: H04L1/0076 ,  H04L1/1607 ,  H04W28/0289

Abstract: 本发明提供了一种基于反馈的网络编码TCP解码方法及装置，所述方法包括：当接收到TCP层发送的TCP数据包时，发送端根据当前链路丢包率对当前需要发送的编码包数量Sn进行更新；根据当前时刻接收到的由接收端发送的应答消息中携带的反馈信息确定当前的编码窗口锁的次数Ln；若当前的编码窗口锁的次数Ln不为0，则固定编码窗口，并将编码窗口内的W个TCP数据包按照编码包数量进行预设编码，将编码好的个数据包发送至接收端。本发明不仅能够根据网络环境产生主动补偿，并且可以基于反馈做出相应调整以加速解码矩阵满秩，减少解码等待时延。

公开(公告)号：CN105847175A

公开(公告)日：2016-08-10

申请号：CN201610252477.8

申请日：2016-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 张舒黎 ,  张棪 ,  孙继燕 ,  曹玖玥 ,  陈鑫

IPC: H04L12/813 ,  H04L12/807 ,  H04L12/801 ,  H04L12/835 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L47/12 ,  H04L47/19 ,  H04L47/20 ,  H04L47/27 ,  H04L47/30 ,  H04L69/163 ,  H04L69/329

Abstract: 本发明提供一种数据中心网络中的应用层调度方法，包括：客户端获取网络和应用信息；根据网络和应用信息采用最优化模型获得并行服务器数和TCP流速率；根据所述并行服务器数对服务器进行分组，获得分组调度策略；根据分组调度策略向服务器发送数据请求，并同时发送对应的TCP流速率，以使服务器根据数据请求和TCP流速率调整发送速率进行数据传递；客户端获取数据。本发明提供一种数据中心网络中的应用层调度方法，通过综合考虑网络和应用的多种参数，采用最优化模型确定并发服务器的数量和TCP流的传输速率，保证最大程度地利用核心链路资源，还避免TCP数据包的丢失以及TCP超时的产生，从而有效地解决了TCP Incast问题。

公开(公告)号：CN119364369A

公开(公告)日：2025-01-24

申请号：CN202411559776.7

申请日：2024-11-04

Applicant: 中国科学院信息工程研究所

Inventor： 于光喜 ,  张棪 ,  胡家熙 ,  贾丙豪 ,  王伟平 ,  杨兴华

IPC: H04W12/60 ,  H04L9/40

Abstract: 本发明公开了一种5G核心网网元行为信任评估方法及系统，属于网络通信安全领域。本发明从5G核心网各网元采集通信数据并分析，确定网元之间是否存在符合标准的交互关系；对于符合标准的交互关系的网元，计算其基准信任值；根据网元的交互行为对基准信任值进行动态调整，计算奖惩评分；将基准信任值与奖惩评分进行综合计算，得到网元的综合信任度；聚合所有服务生产网元对某服务消费网元的综合信任度，得到聚合信任度；基于聚合信任度进行信任分级，根据信任分级制定相应的访问控制策略，决定网元的操作权限和资源访问级别。本发明实现了分布式与集中式信任评估模块相结合的架构，对5G核心网元进行动态、精准的信任评估。

公开(公告)号：CN118741527A

公开(公告)日：2024-10-01

申请号：CN202411199241.3

申请日：2024-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 张棪 ,  于光喜 ,  胡家熙 ,  贾丙豪 ,  王伟平 ,  杨兴华

IPC: H04W12/121 ,  H04W24/08

Abstract: 本发明公开了一种5G专网核心网安全监测的方法及系统，属于网络安全领域。本发明对5G专网的N1、N2和N4接口进行监测，从AMF、SMF网元处捕获流量，解析得到NAS、NGAP和PFCP信令；通过信令数据包的深度解析，生成xDR话单，并进行周期性地信令统计计数；基于xDR话单进行异常信令监测、异常终端监测、网络状态监测和异常网元监测，基于信令统计计数进行信令风暴监测，基于模型进行未知异常监测，输出监测结果。本发明可以对5G专网核心网中的NAS、NGAP、PFCP信令进行深入细致地安全监测，对5G专网核心网环境进行有效地防护。

公开(公告)号：CN118509527A

公开(公告)日：2024-08-16

申请号：CN202410962604.8

申请日：2024-07-18

Applicant: 中国科学院信息工程研究所

Inventor： 张棪 ,  于光喜 ,  胡家熙 ,  贾丙豪 ,  王伟平 ,  杨兴华

IPC: H04M3/22 ,  H04M3/36 ,  H04W24/04

Abstract: 本发明公开了一种5G核心网多维KPI时间序列的异常检测方法及系统，属于网络安全领域。本发明通过采集5G核心网中的数据包并对其进行解析，识别消息类型和进行KPI统计计数来生成多维KPI时间序列，然后对多维KPI时间序列进行离线处理生成KPI的筛选结果，再通过在线处理基于前述筛选结果筛选KPI时间序列并进行异常检测。本发明实现了在没有标注信息的情况下检测多维KPI时间序列中的多种异常，解决现有的KPI检测方法无法适用于5G核心网中多维KPI的问题。

公开(公告)号：CN111709028B

公开(公告)日：2023-04-07

申请号：CN202010317082.8

申请日：2020-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 詹孟奇 ,  李杨 ,  张棪 ,  杨兴华 ,  范雨琳

IPC: G06F21/57 ,  G06F21/55 ,  G06F18/22 ,  G06F18/2415 ,  G06N7/01

Abstract: 本发明公开了一种网络安全状态评估和攻击预测方法，其步骤包括：1)从设定观测周期内入侵检测系统IDS产生的警报中选择具有代表性的IDS警报，并将所选每一代表性IDS警报作为一攻击步骤；将属于同一类攻击的代表性IDS警报按照时间顺序排列，得到该类攻击的攻击步骤序列；2)分别从每类攻击的攻击步骤序列中提取攻击事件；3)利用从第m类攻击的攻击步骤序列中所提取的攻击事件生成训练序列训练马尔可夫模型HMM，保存每一训练后的HMM及对应的训练序列S；4)对于一观察序列，将该观察序列与各HMM对应的训练序列S进行匹配，选择最匹配的HMM；然后将该观察序列输入该最匹配的HMM，评估该观察序列对应的网络安全状态。

公开(公告)号：CN111556018A

公开(公告)日：2020-08-18

申请号：CN202010218396.2

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种基于CNN的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练CNN网络，判读各流袋中流量是否为正常流量。本发明通过提取具备缩放不变性和大小与序列不变性的袋特征和CNN学习特征表达，对未知攻击的检测能力得到大幅提升，更适用于大数据下分布式计算场景，提供了更灵活和快速的模型更新。

公开(公告)号：CN108769097A

公开(公告)日：2018-11-06

申请号：CN201810279630.5

申请日：2018-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 张棪 ,  刘畅 ,  杨慧然 ,  徐震 ,  谭倩 ,  崔华俊 ,  杨兴华

IPC: H04L29/08 ,  H04L12/741

CPC classification number: H04L67/32 ,  H04L45/74 ,  H04L67/2814 ,  H04L67/2842 ,  H04L67/2852 ,  H04L67/327

Abstract: 本发明提供一种支持网络控制的内容分发网络系统，包括：控制器，用于向交换节点下发第一内容资源管理策略和第一内容路由策略，以及向内容节点下发第二内容资源管理策略和第二内容路由策略；交换节点用于对本地存储的第一内容路由策略进行管理；还用于当客户端请求内容资源的内容请求到达时，根据记录于本地的第一内容路由策略将内容请求重定向到拥有请求内容的其它节点；内容节点用于存储内容资源并根据第二内容资源管理策略，对本地存储的内容资源进行管理，还用于当作为目标节点时，根据第二内容路由策略获得对应该内容请求的执行动作并执行。本发明的内容分发网络系统，在内容控制和网络控制上提供更高的灵活性、提升互联网的内容服务质量。