公开(公告)号：CN115828996A

公开(公告)日：2023-03-21

申请号：CN202111102875.9

申请日：2021-09-15

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  周舟 ,  杨威 ,  张宏飞 ,  杨嵘 ,  杜梅婕 ,  李钊

IPC: G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种层次化深度图卷积网络的训练方法，其特征在于，包括如下步骤：1)将目标领域的图中的节点特征输入待训练的层次化深度图卷积网络；2)每次迭代训练时，计算邻接矩阵A的对称归一化邻接矩阵3)判断当前迭代次数k是否小于设定迭代次数K，若小于则进行步骤4)，否则结束训练；4)计算该层次化深度图卷积网络第k+1次迭代训练后输出的节点嵌入Zk+1，然后根据Zk+1计算该层次化深度图卷积网络第k+1次迭代训练后输出的各节点的类别predk+1；5)采用predk+1和节点真实标签的交叉熵作为损失函数，对该层次化深度图卷积网络的参数矩阵进行参数优化，迭代次数加一，返回步骤3)。

公开(公告)号：CN115801730A

公开(公告)日：2023-03-14

申请号：CN202211503062.5

申请日：2022-11-28

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  韩丁康 ,  李白杨 ,  莫迪凯 ,  揭真 ,  刘庆云 ,  杨嵘 ,  周舟

IPC: H04L61/4511 ,  H04L61/103 ,  H04L101/686

Abstract: 本发明公开一种IPv6解析器关联发现方法及系统，涉及计算机技术领域。基于可控的域名以及自建的DNS服务，形成跨IP栈的域名解析过程；再对于活跃的IPv4解析器进行收集，形成输入数据集，在客户端将这些IPv4解析器作为目标解析器，发送关于已配置域名DNS记录的查询请求，同时在服务端对所有DNS查询请求的源IP地址进行收集，如果为IPv6地址则为IPv6解析器，从而完成了IPv6解析器的发现。本发明能够在降低发现难度的同时提高结果的准确性。

公开(公告)号：CN112995145B

公开(公告)日：2022-05-31

申请号：CN202110162792.2

申请日：2021-02-05

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  杨威 ,  周舟 ,  张宏飞 ,  刘洋 ,  李钊 ,  杨嵘

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/30 ,  H04L67/60 ,  H04L69/22

Abstract: 本发明公开一种面向DPI应用的HTTP流量分析处理的方法、系统及存储介质，属于网络安全领域，分为解析层和业务层，业务层将各个业务感兴趣的HTTP字段填写在配置文件中，并同时标明解析层到业务层的回调模式，然后将该配置文件发送给解析层进行业务注册；解析层根据配置文件中的各个业务感兴趣的HTTP字段，按照HTTP协议标准对HTTP流量进行解析，当完整解析出HTTP协议的一个字段时，查看业务层是否有业务注册和回调模式，根据回调模式，回调相应的业务至业务层。本发明采用对HTTP协议解析与HTTP业务分析进行分层的设计思想，通过灵活的字段注册的方式以及不同的回调模式，实现HTTP流量的分析处理。

公开(公告)号：CN114169390A

公开(公告)日：2022-03-11

申请号：CN202111231657.5

申请日：2021-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  李仁杰 ,  刘庆云 ,  杨嵘 ,  杨威 ,  李舒

IPC: G06K9/62 ,  G06N20/20 ,  G06N5/00 ,  G06N3/04 ,  G06N3/08 ,  H04L9/40

Abstract: 本发明公开一种集成GBDT与神经网络的网络异常检测方法，属于网络信息安全和机器学习的交叉技术领域。为了克服网络异常检测任务中传统机器学习算法和深度学习算法在处理表格数据上的不足，本发明选用专为表格数据设计的TabTransformer结构，同时为了应对网络异常检测中的类别不平衡问题，本发明采取了代价敏感的思想，引入了专门针对不平衡问题设计的Focal Loss损失函数，采取自适应学习策略，从参数搜索空间中自动选取Focal Loss的最佳参数。本发明既适用于二分类问题又适用于多分类问题。

公开(公告)号：CN112995145A

公开(公告)日：2021-06-18

申请号：CN202110162792.2

申请日：2021-02-05

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  杨威 ,  周舟 ,  张宏飞 ,  刘洋 ,  李钊 ,  杨嵘

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开一种面向DPI应用的HTTP流量分析处理的方法、系统及存储介质，属于网络安全领域，分为解析层和业务层，业务层将各个业务感兴趣的HTTP字段填写在配置文件中，并同时标明解析层到业务层的回调模式，然后将该配置文件发送给解析层进行业务注册；解析层根据配置文件中的各个业务感兴趣的HTTP字段，按照HTTP协议标准对HTTP流量进行解析，当完整解析出HTTP协议的一个字段时，查看业务层是否有业务注册和回调模式，根据回调模式，回调相应的业务至业务层。本发明采用对HTTP协议解析与HTTP业务分析进行分层的设计思想，通过灵活的字段注册的方式以及不同的回调模式，实现HTTP流量的分析处理。

公开(公告)号：CN111787055A

公开(公告)日：2020-10-16

申请号：CN202010441543.2

申请日：2020-05-22

Applicant: 中国科学院信息工程研究所

Inventor： 张中一 ,  杨威 ,  刘洋 ,  杨嵘 ,  刘庆云

IPC: H04L29/08 ,  G06F16/27

Abstract: 本发明涉及一种基于Redis且面向事务机制和多数据中心的数据分发方法和系统。本发明提出的基于Redis的数据发布/订阅框架，能够保证跨地跨中心数据分发服务的低延迟、高可靠；本发明提出的基于Redis的数据一致性传递机制，能够解决网络异常或集群节点故障引起的数据丢失和重复问题；本发明提出的优化的Redis的主从同步机制，能够提升在跨中心的不稳定网络环境下数据同步的性能；本发明提出的基于智能日志分析的节点健康状态预测方法和基于服务发现的系统高可用保证方案，能够解决系统组件失效引起的数据分发服务不可用问题。

公开(公告)号：CN103532764B

公开(公告)日：2016-05-11

申请号：CN201310507458.1

申请日：2013-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 杨嵘 ,  陈晨 ,  郑超 ,  刘洋 ,  孙永 ,  秦鹏 ,  周舟 ,  李佳

IPC: H04L12/24 ,  H04L1/22

Abstract: 本发明涉及一种多机热备份方法及系统。多机热备份方法包括：将热备份主机划分为多个层级；在同级的每组热备份主机组中通过同级协商确定本组唯一的一个活动态主机，所述活动态指激活状态，活动态主机用于对本层级主机的下级热备份主机进行控制；上级热备份主机通过本层级的活动态主机对下级热备份主机进行控制，上级热备份主机与下级热备份主机处于相邻的层级且上级热备份主机所在的层级高于下级热备份主机的层级。本发明的多机热备份方法及系统可以正确进行活动态主机的协商，并能够保证同级同组内有且只有一台主机处于活动态。本发明能够确保在高层应用的开发中，可以充分利用下层的热备份状态，因此提高了整个热备份系统的可扩展性。

公开(公告)号：CN105528544A

公开(公告)日：2016-04-27

申请号：CN201610023559.5

申请日：2016-01-14

Applicant: 中国科学院信息工程研究所

Inventor： 张鹏 ,  熊翠文 ,  刘庆云 ,  杨嵘 ,  郑超 ,  孙永

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明公开了一种基于URLs极大模式的恶意URL检测方法。本方法首先给出最基本的两个段模式之间的极大段模式的挖掘，其次是在此基础上给出段模式集合的极大段模式挖掘，然后在此基础上给出段序列模式集合的极大段序列模式的挖掘，再然后给出URL模式集合的极大URL模式的挖掘；最后将挖掘出的URL模式使用公知的有穷自动机方法匹配被检测的URL，若被检测的URL与恶意URL模式匹配，则被判定是恶意的。本发明利用极大模式能够检测出那些新的、未知的恶意URL。

公开(公告)号：CN104796354A

公开(公告)日：2015-07-22

申请号：CN201510121507.7

申请日：2015-03-19

Applicant: 中国科学院信息工程研究所

Inventor： 张鹏 ,  于越 ,  杨嵘 ,  朱嵬 ,  刘庆云

IPC: H04L12/861 ,  G06F17/30

CPC classification number: H04L49/9057 ,  G06F17/30985 ,  G06F2207/025

Abstract: 本发明涉及一种乱序数据包字符串匹配方法及系统，包括以下步骤：初始化确定有限状态自动机DFA和模式后缀树PST；初始化缓冲区，逐个接收在网络中传输的、由数据流分割得到的字符串，每个所述数据流由至少两个字符串有序排列组成；逐个获取属于同一个数据流的字符串；如果当前的字符串存在前缀，设置确定有限状态自动机的当前状态；如果当前的字符串存在后缀，将查找状态追加到当前的字符串的末尾，得到合并片段；将合并片段输入到确定有限状态自动机中；存储当前的字符串信息，并让当前的字符串通过。本发明提出的乱序数据包字符串匹配方法，该模型不需要缓存数据包，而只缓存状态，实现了乱序数据包重排的字符串匹配。

公开(公告)号：CN104618351A

公开(公告)日：2015-05-13

申请号：CN201510020628.2

申请日：2015-01-15

Applicant: 中国科学院信息工程研究所

Inventor： 郑超 ,  赵静芬 ,  孙永 ,  刘庆云 ,  郭莉 ,  杨嵘 ,  杨威

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/0218 ,  H04L61/1511 ,  H04L63/1416 ,  H04L63/1466

Abstract: 本发明涉及一种识别DNS欺骗攻击包及检测DNS欺骗攻击的方法。对于五元组(事务标识符、源IP地址、目的IP地址、源端口号、目的端口号)相同的若干个DNS应答包，同时符合以下四个特征的即为DNS欺骗包：仅有一个应答域，应答域中是一个IP地址；应答域中不包含Cname类型的记录；应答包中A类记录对应的TTL值不合理；应答包中不包含授权域和附加域。检测DNS欺骗攻击时，首先捕获客户端和域名服务器之间的所有DNS数据包，然后依据上述方法判断每个应答包是否为DNS欺骗攻击包。本发明能够有效地识别DNS欺骗攻击包并及时检测出DNS欺骗攻击，对提高DNS系统的抗攻击性、保护DNS服务系统有很高的实用价值。