公开(公告)号：CN111556017A

公开(公告)日：2020-08-18

申请号：CN202010217977.4

申请日：2020-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 张小洋 ,  张棪 ,  于光喜 ,  杨慧然 ,  崔华俊

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于自编码机的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。本发明不依赖于流量标签，也不需要采集足够的攻击流量用于模型训练，更适用于大数据下分布式计算场景，其检测时效率与准确率远高于现有技术。

公开(公告)号：CN107682312A

公开(公告)日：2018-02-09

申请号：CN201710743670.6

申请日：2017-08-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  崔华俊 ,  安伟

IPC: H04L29/06

CPC classification number: H04L63/02 ,  H04L63/0227 ,  H04L63/1416

Abstract: 本发明提供一种安全防护系统及方法，所述系统包括入侵检测子系统、防火墙子系统和控制器子系统，其中：控制器子系统，用于更新入侵检测子系统规则和防火墙子系统规则，将更新后的入侵检测子系统规则和防火墙子系统规则分别下发至入侵检测子系统和防火墙子系统；入侵检测子系统，用于基于DPDK对任一数据包进行获取并检测，将检测结果中的非法数据上报给控制器子系统；防火墙子系统，用于基于DPDK对任一数据包进行过滤处理。本发明提供的一种安全防护系统及方法，部署灵活且可扩展性好，可以很好地适应虚拟化与云计算平台；具有减少报文拷贝，亲核性等特点，能够适应高吞吐网络环境；且向上层开放控制接口，具有良好的可控性，便于运维和管理。

公开(公告)号：CN116668558B

公开(公告)日：2024-03-01

申请号：CN202310495803.8

申请日：2023-05-05

Applicant: 中国科学院信息工程研究所

Inventor： 李玥琦 ,  崔华俊 ,  张棪 ,  杨慧然 ,  张亚文 ,  王伟平

IPC: H04L69/16 ,  H04L67/02 ,  H04L69/329

Abstract: 访问控制。本公开涉及一种针对UDP协议流量实行动态访问控制的方法及系统。所述方法应用于动态访问控制网关，包括：接收隧道数据包，并对隧道数据包剥离SSL VPN隧道的封装，以得到数据包；获取该数据包的四元组信息及传输层协议类型，并基于所述传输层协议类型，对四元组信息中的IP和端口进行转换；特别地，针对承载于UDP协议的数据包，对其进行应用层解析，结合动态访问控制策略判断是否将数据包代理至服务端。本公开

公开(公告)号：CN117201353A

公开(公告)日：2023-12-08

申请号：CN202311179785.9

申请日：2023-09-13

Applicant: 中国科学院信息工程研究所

Inventor： 周书丞 ,  李杨 ,  杨兴华 ,  崔华俊 ,  张棪 ,  王伟平

IPC: H04L43/08 ,  H04L43/0823 ,  H04L43/50 ,  H04L67/10 ,  H04L67/60

Abstract: 本发明公开了一种基于时序的多维度指标异常检测方法及装置，所述方法包括：获取目标微服务备份的所有节点，并通过监控该些节点的物理资源数据，构造每一节点对应的时间序列和每一微服务调用链对应的PCA摘要；基于PCA摘要形成改良后的STMV后，基于改良后的STMV进行分类，以得到每一微服务调用链的第一异常检测结果；根据异常检测准确率要求，提取对应的时间序列；将对应的时间序列分解为趋势序列、随机成分序列和季节性序列后，进行异常值的统计检验，以生成异常值集合；基于异常值集合对第一异常检测结果中的异常微服务调用链进行检测，得到微服务调用链的最终检测结果。本发明可以检测出除响应时间以外环境的异常，并减少了异常误报或者漏报。

公开(公告)号：CN115883409A

公开(公告)日：2023-03-31

申请号：CN202211514467.9

申请日：2022-11-29

Applicant: 中国科学院信息工程研究所

Inventor： 施园 ,  李杨 ,  杨兴华 ,  杨慧然 ,  张棪 ,  王伟平

IPC: H04L43/08 ,  H04L43/0823 ,  H04L43/0852 ,  H04L43/087 ,  H04L67/10 ,  H04L43/50 ,  H04L67/60

Abstract: 本发明公开了一种微服务云环境下的多类型指标相融合异常检测方法及装置，所述方法包括：获取微服务系统中的待检测服务调用链；根据每一调用关系对应的响应时间，得到所述待检测服务调用链的第一子向量表示；基于每一个服务所在的所有主机指标和服务的资源利用情况，得到所述待检测服务调用链的第二子向量表示；拼接所述第一子向量表示与所述第二子向量表示，得到所述待检测服务调用链的向量表示；基于所述向量表示，计算所述待检测服务调用链的异常检测结果。本发明丰富了微服务异常检测的全面性和鲁棒性。

公开(公告)号：CN107181738B

公开(公告)日：2020-09-11

申请号：CN201710279176.9

申请日：2017-04-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  陈鑫 ,  崔华俊

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明提供一种软件化入侵检测系统及方法，其中，所述系统包括：控制核、检测核和输出核三个层次，其中，所述控制核用于与上层控制器进行交互，并管理检测核和输出核所产生的信息；所述检测核用于基于DPDK对数据包进行采集和解析，遍历规则库对经过解析后的所述数据包进行检测匹配；所述输出核用于定时将检测核所获得的检测匹配结果记录至系统日志，并将根据所述检测匹配结果获知的非法数据包信息进行封装后上报给控制核。本发明提供的一种软件化入侵检测系统及方法，部署灵活且可扩展性好，具有减少报文拷贝，亲核性等特点，可以显著提升报文的处理能力，且上层开放控制接口，具有可控性，可以很好兼容虚拟化与云计算平台。

公开(公告)号：CN108667754A

公开(公告)日：2018-10-16

申请号：CN201810291642.X

申请日：2018-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘畅 ,  崔华俊 ,  徐震 ,  张棪 ,  杨兴华 ,  谭倩

IPC: H04L12/947 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明提供一种支持网络控制的内容分发网络中的交换机，所述内容分发网络中还包括用户端、内容节点以及控制器，所述交换机用于捕获并解析所述用户端发送的请求内容资源的请求，提取所述内容请求的L2-L7层信息，根据所述L2-L7层信息以及本地存储的路由表，将所述内容请求重定向到拥有该内容资源的内容节点；接收所述控制器下发的路由表管理指令，根据所述路由表管理指令对所述本地存储的路由表进行管理。本发明实施例的交换机够识别七层信息，可以捕获并解析http请求和DNS请求，并根据内容路由表处理http及DNS请求，增加了内容层面的调度能力，使OpenvSwitch更有效得运用于CDN网络。

公开(公告)号：CN108449387A

公开(公告)日：2018-08-24

申请号：CN201810157699.0

申请日：2018-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 崔华俊 ,  刘畅 ,  杨慧然 ,  徐震 ,  张棪 ,  谭倩 ,  杨兴华

IPC: H04L29/08 ,  H04L12/741

Abstract: 本发明提供一种内容分发网络中的内容节点以及内容分发方法，其中内容节点包括：用户请求管理模块，用于接收并解析请求端发送的http请求，获知所请求的内容；本地缓存管理模块，用于在查询内容节点未缓存该内容时，查询路由表中是否存在该内容的路由表项，当路由表中存在该内容的路由表项，将该路由表项中指示的内容节点作为目标内容节点；代理模块；路由表管理模块，用于执行对路由表项进行添加、删除和/或查询的命令和数据下载模块。本发明实施例的内容节点在本地未缓存请求端请求的内容时，能够根据路由表项查找目标内容节点，并且支持对路由表项的更新，提高了内容分发的便捷性。

公开(公告)号：CN105827545A

公开(公告)日：2016-08-03

申请号：CN201610251502.0

申请日：2016-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 张舒黎 ,  张棪 ,  孙继燕 ,  曹玖玥 ,  陈鑫

IPC: H04L12/851 ,  H04L12/863

CPC classification number: H04L47/24 ,  H04L47/2433 ,  H04L47/2441 ,  H04L47/50

Abstract: 本发明公开了一种数据中心网络中TCP共流的调度方法和装置。该方法包括：发送端根据共流初始信息生成每个待调度共流的初始优先级，并向待调度共流的每个TCP流对应的接收端发送第一调度数据包；在检测到待调度共流被服务时，根据生成待调度共流的共流优先级；根据与发送端关联的发送端剩余的TCP流的数据量每个TCP流的内部优先级；根据与发送端关联的发送端剩余的TCP流量和发送端剩余的每个TCP流的数据量生成每个TCP流的期望速率；由交换机根据共流优先级、内部优先级和期望速率对TCP流分配速率，以使发送端根据交换机分配的速率对TCP流进行调度。本发明采用共流间和共流内两项调度协调工作，能有效的减少CCT、降低系统开销。

公开(公告)号：CN118799157A

公开(公告)日：2024-10-18

申请号：CN202410777309.5

申请日：2024-06-17

Applicant: 中国科学院信息工程研究所

Inventor： 李玥琦 ,  张棪 ,  杨慧然 ,  张亚文 ,  王伟平

IPC: G06Q50/50 ,  G06Q10/0635 ,  G06F18/241 ,  G06F18/214 ,  G06N3/09 ,  G06F18/2433

Abstract: 本发明公开一种基于流量分析的工业终端信任评估方法及系统，该方法包括：形成已标记数据集U0和未标记数据集V0；基于已标注数据集Ui进行模型训练，得到工业终端信任评估模型Mi；基于工业终端信任评估模型Mi评估未标注数据集Vi中数据样本的可信度，并将高可信度数据样本和经过人工标注的低可信度数据样本加入到已标记数据集Ui来形成已标记数据集Ui+1，基于未标注数据集Vi中的其他数据样本形成未标注数据集Vi+1；进行迭代训练后，得到训练后的工业终端信任评估模型；基于训练后的工业终端信任评估模型对无法使用现有终端信任评估组件的工业终端进行信任评估，得到风险评估结果。本发明可以对无法使用现有终端信任评估组件的工业终端进行信任评估。