公开(公告)号：CN106961387A

公开(公告)日：2017-07-18

申请号：CN201710200585.5

申请日：2017-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  雷程 ,  马多贺 ,  孔同 ,  陈凯 ,  欧悯洁 ,  董文婷

IPC: H04L12/721 ,  H04L12/801 ,  H04L29/06

Abstract: 本发明提出了一种基于转发路径自迁移的链路型DDoS防御方法，应用于SDN，其步骤包括：1)通过收集LLDP报文，构造网络流量矩阵并定位拥塞链路；2)判断拥塞链路是否构成链路泛洪攻击；3)如存在链路泛洪攻击，则识别拥塞链路中的可疑网络流；4)依据约束条件选取与拥塞链路不邻接的可迁移链路集合、选取待迁移的网络流和迁移时间间隔，并生成迁移规则信息；依据迁移规格信息对可疑网络流进行迁移。并将该方法在基于OpenFlow的软件定义网络中实现。该方法通过采用易于维护和迁移的组件式实现对链路式DDoS攻击防御系统的部署。同时提出实现上述方法的系统。

公开(公告)号：CN106790062A

公开(公告)日：2017-05-31

申请号：CN201611186125.3

申请日：2016-12-20

Applicant: 国家电网公司 ,  中国科学院信息工程研究所 ,  国网福建省电力有限公司信息通信分公司

Inventor： 刘艇 ,  王利明 ,  罗熙 ,  杨婧 ,  张明扬 ,  周晟 ,  傅慧斌

IPC: H04L29/06

Abstract: 本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统，通过融合各种设备上反向DNS查询日志，可以快速检测网络的异常行为，比如网段被扫描的频率、垃圾邮件的肆虐程度。并且，反向DNS查询记录数据量较小，可避免大量日志造成设备拥塞，提高设备性能；通过不同设备的反向DNS查询记录，可以对整个监控网络全局进行掌控；反向DNS查询记录是攻击者无法控制日志信息的内容，攻击者无法隐藏其行为，日志记录内容的可靠性更高，可以更准确的反应整个网络的活动状态，从而可以更好的检测网络环境中的异常行为。

公开(公告)号：CN106375288A

公开(公告)日：2017-02-01

申请号：CN201610751260.1

申请日：2016-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  李丹

IPC: H04L29/06 ,  H04L29/12 ,  G06F17/27 ,  G06K9/62

CPC classification number: H04L63/1491 ,  G06F17/2765 ,  G06K9/6215 ,  H04L61/1511 ,  H04L63/1483

Abstract: 本发明公开了一种中文域名相似度计算方法及仿冒域名检测方法。本方法为：1)分别生成待测域名d1、目标域名d2的中文字符集合set1、set2；2)根据集合set1、set2中字符数的比较结果确定计算标志flag的值并确定集合set1、set2中所包含的n组相似字符对以及每组相似字符对的相似度；3)根据形近字变换对待测域名d1、目标域名d2的影响值，以及字序交换对待测域名d1、目标域名d2的影响值，计算域名d1与域名d2的整体相似度值。如果整体相似度值大于设定阈值，则判定域名d1为域名d2的仿冒域名。本发明可有效检测出基于形近字替换、基于字序交换的中文仿冒域名，在网络安全领域具有广泛的应用前景。

公开(公告)号：CN106329518A

公开(公告)日：2017-01-11

申请号：CN201610806061.6

申请日：2016-09-06

Applicant: 中国科学院信息工程研究所

Inventor： 马爽 ,  徐震 ,  王利明

IPC: H02J3/00

CPC classification number: H02J3/00 ,  H02J2003/007

Abstract: 本发明公开了一种电网信息物理融合系统交互建模方法。本方法为：1)根据电力系统中信息系统与物理系统的结构搭建电网CPS信息-物理耦合架构；该CPS信息-物理耦合架构描述电力系统信息流与能量流的交互关系，包括信息设备经信息系统向物理系统发送控制信号；物理系统向信息系统发送遥测量与遥信量；2)基于该电网CPS信息-物理耦合架构建立CPS子模块的基元模型；3)基于该电网CPS信息-物理耦合架构将CPS子模块的基元模型与电力系统中的电气设备进行电气连接与逻辑连接，形成整体的电网信息物理融合系统。本发明为电力系统优化控制、可靠性分析等提供了新的框架与技术基础。

公开(公告)号：CN106170002A

公开(公告)日：2016-11-30

申请号：CN201610809596.9

申请日：2016-09-08

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  李丹

IPC: H04L29/06

CPC classification number: H04L63/1491 ,  H04L63/1416 ,  H04L63/1441

Abstract: 本发明公开了一种中文仿冒域名检测方法及系统，适用于检测利用形近字构造的中文仿冒域名。主要包括：用于统计每个输入域名的长度和总笔画数的域名预处理模块；对比待检测域名与目标域名的长度和总笔画数，过滤出可能被仿冒的目标域名集合的目标域名过滤模块；将待检测域名与过滤出的目标域名对应拆分为单个汉字的域名拆分模块；将汉字转化为笔画顺序的字符串并基于字符串编辑距离计算单字相似度的单字相似度计算模块；基于单字相似度计算整体域名相似度的域名相似度计算模块；基于域名相似度判定并输出最可能被仿冒的目标域名的仿冒域名决策模块。通过以上方法及系统可有效识别利用形近字构造的中文仿冒域名，在网络安全领域具有广泛的应用前景。

公开(公告)号：CN105391690A

公开(公告)日：2016-03-09

申请号：CN201510679633.4

申请日：2015-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L29/06

CPC classification number: H04L63/1475 ,  H04L63/30

Abstract: 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN113141612B

公开(公告)日：2022-09-16

申请号：CN202110411848.3

申请日：2021-04-16

Applicant: 中国科学院信息工程研究所

Inventor： 徐震 ,  王利明 ,  李宏佳 ,  汪丹 ,  宋晨 ,  蒋婧然

IPC: H04W12/122 ,  H04W12/30

Abstract: 本发明提出一种移动终端高可信管控系统及方法，包括：高安全终端在可信隔离环境TIE中部署管控验证代理，管控验证代理包括签名/验签模块以及外设状态读取模块，外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值；在高可信Hypervisor中，包括有主系统内核修复模块和外设状态监测模块，所述外设状态监测模块基于Hypervisor的不可绕过性，为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口；所述管控后台中部署有管控实施验证模块。

公开(公告)号：CN114489949A

公开(公告)日：2022-05-13

申请号：CN202210096529.2

申请日：2022-01-26

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  郑超 ,  王宇翔 ,  高海华 ,  王建凯 ,  邓启晴

IPC: G06F9/455 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于深度强化学习的安全性容器放置方法及系统，其方法包括：S1：接收待分配容器的分配请求序列，初始化待分配容器的放置策略；S2：将当前数据中心的状态输入策略神经网络，输出当前放置策略，执行动作action，将请求序列中的一个容器放置在一个工作节点后，更新数据中心状态；S3：重复S2，依次放置分配请求序列中的下一个容器，待分配请求序列中所有容器放置完毕后，计算容器同驻率、用户负载均衡指标值以及奖励；将奖励作为反馈指导下一轮训练并更新网络参数；S4：按照预设轮次重复S1～S3，获取各轮次中奖励最高的动作序列作为放置策略。本发明提供的方法可在保证用户负载均衡的同时减小不同用户间容器同驻的概率，缓解容器间安全威胁。

公开(公告)号：CN107770132B

公开(公告)日：2021-11-05

申请号：CN201610686248.7

申请日：2016-08-18

Applicant: 中兴通讯股份有限公司 ,  中国科学院信息工程研究所

Inventor： 孙默 ,  罗熙 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种对算法生成域名进行检测的方法及装置，本发明通过概率模型生成算法，分别根据算法生成域名集和正常域名集建立随机模型和正常模型，并通过上述模型对算法生成域名进行检测，从而实现对算法生成域名进行快速检测，进而有效解决了现有技术不能对算法生成域名进行快速检测的问题。

公开(公告)号：CN113271292A

公开(公告)日：2021-08-17

申请号：CN202110371772.6

申请日：2021-04-07

Applicant: 中国科学院信息工程研究所

Inventor： 李依馨 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12 ,  G06F16/33 ,  G06F16/35 ,  G06F40/30 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于词向量的恶意域名集群检测方法及装置，包括：通过服务器日志中原始数据，生成各客户端的访问序列；对访问序列从时间维度与空间维度上进行聚类，生成域名访问序列；对各域名访问序列进行访问域名去重处理，生成域名集群；生成各访问域名的域名语义向量；通过域名集群与域名语义向量，生成域名语义向量矩阵；依据域名语义向量矩阵对域名集群进行分类，得到恶意域名集群检测结果。本发明可有效识别进行同一恶意活动的域名集群，为分析恶意活动提供更全面的视角，并且使用数据字段少，使用的计算资源少，提高了检测效率，可有效部署在各类企业或服务商网络中，无需安全人员手动调节参数，预训练好的模型可以稳定有效的运行。