公开(公告)号：CN114169390B

公开(公告)日：2024-11-05

申请号：CN202111231657.5

申请日：2021-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  李仁杰 ,  刘庆云 ,  杨嵘 ,  杨威 ,  李舒

IPC: G06F18/214 ,  G06F18/10 ,  G06F18/21 ,  G06F18/2431 ,  G06N20/20 ,  G06N5/01 ,  G06N3/04 ,  G06N3/082 ,  G06N3/084 ,  H04L9/40

Abstract: 本发明公开一种集成GBDT与神经网络的网络异常检测方法，属于网络信息安全和机器学习的交叉技术领域。为了克服网络异常检测任务中传统机器学习算法和深度学习算法在处理表格数据上的不足，本发明选用专为表格数据设计的TabTransformer结构，同时为了应对网络异常检测中的类别不平衡问题，本发明采取了代价敏感的思想，引入了专门针对不平衡问题设计的Focal Loss损失函数，采取自适应学习策略，从参数搜索空间中自动选取Focal Loss的最佳参数。本发明既适用于二分类问题又适用于多分类问题。

公开(公告)号：CN116069618A

公开(公告)日：2023-05-05

申请号：CN202211447427.7

申请日：2022-11-18

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 郭江 ,  刘谦 ,  王勇 ,  苗淏 ,  杨嵘 ,  马敬雪 ,  周舟 ,  刘庆云

IPC: G06F11/36 ,  G06F17/18

Abstract: 本发明公开了一种面向应用场景的国产化系统评估方法。本方法为：1)构建针对应用系统的通用业务架构，包括：流量处理业务模块、数据转发业务模块、数据处理业务模块、数据存储业务模块、虚拟化平台业务模块、云平台业务模块；2)选取一业务系统并将其划分为多个业务模块；业务系统部署于多个服务器，每台服务器上均运行国产化操作系统，所述国产化操作系统中运行至少一个业务模块；3)通用业务架构中的每一模块分别获取各所述服务器的国产化操作系统中运行所述业务模块时的指标值；4)根据每一业务模块的指标值与对应业务模块的指标阈值进行比较，根据各指标值的比较结果得到一综合评估值，根据综合评估值确定国产化操作系统的评估结果。

公开(公告)号：CN114268426A

公开(公告)日：2022-04-01

申请号：CN202111573027.6

申请日：2021-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 杨威 ,  李玉冰 ,  周舟 ,  刘庆云 ,  李钊 ,  李舒

IPC: H04L9/00 ,  H04L9/40

Abstract: 本发明公开一种面向ICMPv6 DoS攻击与DDoS攻击的检测方法及系统，包括：获取ICMPv6数据包S的数据包类型与所述ICMPv6数据包S进入交换机的端口类型；对数据包类型为邻居请求数据包的ICMPv6数据包或端口类型为连接三层转发设备的ICMPv6数据包，进行防止泛洪攻击检测；对数据包类型为非邻居请求数据包，且端口类型为连接一台主机或连接多台主机的ICMPv6数据包，基于源IPv6地址进行源地址欺骗攻击检测，并对通过源地址欺骗攻击检测的ICMPv6数据包进行防止泛洪攻击检测。本发明对ICMPv6 DoS和DDoS重新分类，对分类的攻击，提出解决ICMPv6 DoS和DDoS攻击检测方法，保护IPv6网络安全。

公开(公告)号：CN113438332A

公开(公告)日：2021-09-24

申请号：CN202110555956.8

申请日：2021-05-21

Applicant: 中国科学院信息工程研究所

Inventor： 朱宇佳 ,  吴佳挺 ,  刘庆云 ,  杨威 ,  郑超 ,  周舟 ,  张晓欧 ,  马泽宇

IPC: H04L29/12 ,  H04L29/08 ,  H04L29/06 ,  G06K9/62

Abstract: 本发明提供一种DoH服务标识方法及装置，包括提取被动流量及服务端口信息，构建IP解析域名的反向解析系统；提取被动流量的数据流特征，并将数据流特征输入一DoH流量分类器；获取DoH流量的服务端IP，并结合反向解析系统，得到一或多个DoH服务端域名；结合常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；将各DoH请求发生至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识。本发明解决DoH流量与普通HTTPs流量混淆无法区分的问题，克服了常规方法中训练集负样本缺失问题，保证DoH服务端标识的正确性，具有有较高的解析覆盖率，可随着系统部署周期的增加而不断提升识别正确率。

公开(公告)号：CN112350940A

公开(公告)日：2021-02-09

申请号：CN202011182654.2

申请日：2020-10-29

Applicant: 中电积至(海南)信息技术有限公司 ,  中国科学院信息工程研究所

Inventor： 方顺健 ,  周舟 ,  钟友兵 ,  黄园园

IPC: H04L12/721 ,  H04L12/803 ,  G09F9/33

Abstract: 本发明公开了面向终端应用的多通道融合的自适应网络链路选择方法，包括网络链路探测模块、信道管理模块、频繁访问目标存储模块、终端应用和目标服务，面向终端应用的多通道融合的自适应网络链路选择方法包括以下步骤：S1：终端应用在访问目标服务前，本发明涉及终端应用技术领域，该发明提供了面向终端应用的多通道融合的自适应网络链路选择方法，可以解决单一通信链路网络拥塞及故障的问题，提升用户体验，该方法的主要策略是根据网络链路探测模块返回的结果动态选择出口链路，并且为了降低对同一目标服务的重复探测，须将选择结果上传到网络信道管理模块，作为下次客户端访问同一目标时信道选择的参考依据，降低服务访问延迟。

公开(公告)号：CN112350930A

公开(公告)日：2021-02-09

申请号：CN202011182676.9

申请日：2020-10-29

Applicant: 中电积至(海南)信息技术有限公司 ,  中国科学院信息工程研究所

Inventor： 朱嵬 ,  周舟 ,  李玉珍 ,  黄园园

IPC: H04L12/707 ,  H04L12/721 ,  H04L12/751 ,  H04L29/06

Abstract: 本发明公开了一种通过多通道竞速模式选择最优网络通道的方法，设置有最近访问列表模块、唯一访问列表模块和多道竞速模块，所述最近访问列表模块和所述唯一访问列表模块的输出端均和所述多道竞速模块的输出端电性连接，所述多道竞速模块的输出端分别与所述最近访问列表模块和唯一访问列表模块的输入端电性连接，本发明涉及网络传输技术领域。该通过多通道竞速模式选择最优网络通道的方法通过多个通道访问网络地址的方式，选出最优的访问通道，根据竞速结果维护一张最近访问地址列表和每种通道的一张唯一通道访问列表，通过选择最优网络通道选择架构使得可以在最小化资源浪费的情况下通过多通道竞速选择最优网络通道的策略。

公开(公告)号：CN112260953A

公开(公告)日：2021-01-22

申请号：CN202011133763.5

申请日：2020-10-21

Applicant: 中电积至(海南)信息技术有限公司 ,  中国科学院信息工程研究所

Inventor： 王媛娣 ,  周舟 ,  张帅 ,  方顺建

IPC: H04L12/751 ,  H04L12/721

Abstract: 本发明公开了一种基于强化学习的多通道数据转发决策方法，包括以下步骤：S1、系统部署：首先进行系统部署，系统部署包括用户侧接入模块、出口路由信息收集模块和多通道路由管理中心。涉及计算机网络技术领域。该基于强化学习的多通道数据转发决策方法，设备算力以及模型表达能力的提升使得的人工智能模型具备了强大的学习能力和良好的泛化性，以一种通用的形式将深度学习的感知能力和强化学习的决策能力相结合，并以端到端的学习方式实现输入到输出的直接控制，网络安全保密性较高，不占用网络带宽，而且当网络拓扑或链路状态发生变化时，静态路由信息不需要大规模调整，降低了操作的复杂度。

公开(公告)号：CN107612890B

公开(公告)日：2020-09-15

申请号：CN201710733192.0

申请日：2017-08-24

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  刘萍 ,  孙永 ,  刘庆云 ,  张成伟 ,  刘俊朋 ,  王凤梅

IPC: H04L29/06

Abstract: 本发明提供一种网络监测方法，其步骤包括：接收攻击窃密行为检测策略；根据其中的规则特征，对网络流量进行检测，发现攻击窃密行为；根据与攻击窃密行为检测策略对应的报文留存策略，对相应攻击窃密行为进行报文留存；并据以完成攻击窃密行为溯源。同时提供相应系统，包括存储器、接收器和处理器；存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令；接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略；处理器用于执行存储器中存储的上述方法对应的程序指令。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略，采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。

公开(公告)号：CN106899308B

公开(公告)日：2020-05-22

申请号：CN201710043942.1

申请日：2017-01-19

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  张曦 ,  刘庆云 ,  郑超 ,  杨威 ,  杨嵘 ,  郭莉

IPC: H03M7/40 ,  H03M13/00 ,  H04L29/06

Abstract: 本发明公开了一种软硬件结合的自适应实时gzip数据解压缩方法及系统。本方法为：1)自适应选择器从压缩流量中获取待解压的压缩数据长度，并获取系统当前的CPU负载状态信息以及从模块控制器获取硬件解压模块状态；2)自适应选择器根据获取的信息和设定的自适应策略确定对当前待解压的压缩数据进行软件解压或硬件解压，然后将确定结果发送给模块控制器；3)模块控制器根据该确定结果将压缩数据送至相应解压模块。本发明提出的自适应gzip数据解压方法的平均解压性能加速比可达5至7倍。

公开(公告)号：CN107612890A

公开(公告)日：2018-01-19

申请号：CN201710733192.0

申请日：2017-08-24

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  刘萍 ,  孙永 ,  刘庆云 ,  张成伟 ,  刘俊朋 ,  王凤梅

IPC: H04L29/06

Abstract: 本发明提供一种网络监测方法，其步骤包括：接收攻击窃密行为检测策略；根据其中的规则特征，对网络流量进行检测，发现攻击窃密行为；根据与攻击窃密行为检测策略对应的报文留存策略，对相应攻击窃密行为进行报文留存；并据以完成攻击窃密行为溯源。同时提供相应系统，包括存储器、接收器和处理器；存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令；接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略；处理器用于执行存储器中存储的上述方法对应的程序指令。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略，采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。