公开(公告)号：CN107181738B

公开(公告)日：2020-09-11

申请号：CN201710279176.9

申请日：2017-04-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  陈鑫 ,  崔华俊

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明提供一种软件化入侵检测系统及方法，其中，所述系统包括：控制核、检测核和输出核三个层次，其中，所述控制核用于与上层控制器进行交互，并管理检测核和输出核所产生的信息；所述检测核用于基于DPDK对数据包进行采集和解析，遍历规则库对经过解析后的所述数据包进行检测匹配；所述输出核用于定时将检测核所获得的检测匹配结果记录至系统日志，并将根据所述检测匹配结果获知的非法数据包信息进行封装后上报给控制核。本发明提供的一种软件化入侵检测系统及方法，部署灵活且可扩展性好，具有减少报文拷贝，亲核性等特点，可以显著提升报文的处理能力，且上层开放控制接口，具有可控性，可以很好兼容虚拟化与云计算平台。

公开(公告)号：CN105827545A

公开(公告)日：2016-08-03

申请号：CN201610251502.0

申请日：2016-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 张舒黎 ,  张棪 ,  孙继燕 ,  曹玖玥 ,  陈鑫

IPC: H04L12/851 ,  H04L12/863

CPC classification number: H04L47/24 ,  H04L47/2433 ,  H04L47/2441 ,  H04L47/50

Abstract: 本发明公开了一种数据中心网络中TCP共流的调度方法和装置。该方法包括：发送端根据共流初始信息生成每个待调度共流的初始优先级，并向待调度共流的每个TCP流对应的接收端发送第一调度数据包；在检测到待调度共流被服务时，根据生成待调度共流的共流优先级；根据与发送端关联的发送端剩余的TCP流的数据量每个TCP流的内部优先级；根据与发送端关联的发送端剩余的TCP流量和发送端剩余的每个TCP流的数据量生成每个TCP流的期望速率；由交换机根据共流优先级、内部优先级和期望速率对TCP流分配速率，以使发送端根据交换机分配的速率对TCP流进行调度。本发明采用共流间和共流内两项调度协调工作，能有效的减少CCT、降低系统开销。

公开(公告)号：CN107181738A

公开(公告)日：2017-09-19

申请号：CN201710279176.9

申请日：2017-04-25

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘超玲 ,  张棪 ,  于光喜 ,  韩言妮 ,  陈鑫 ,  崔华俊

IPC: H04L29/06 ,  G06F21/56

CPC classification number: H04L63/1416 ,  G06F21/56 ,  H04L63/1425

Abstract: 本发明提供一种软件化入侵检测系统及方法，其中，所述系统包括：控制核、检测核和输出核三个层次，其中，所述控制核用于与上层控制器进行交互，并管理检测核和输出核所产生的信息；所述检测核用于基于DPDK对数据包进行采集和解析，遍历规则库对经过解析后的所述数据包进行检测匹配；所述输出核用于定时将检测核所获得的检测匹配结果记录至系统日志，并将根据所述检测匹配结果获知的非法数据包信息进行封装后上报给控制核。本发明提供的一种软件化入侵检测系统及方法，部署灵活且可扩展性好，具有减少报文拷贝，亲核性等特点，可以显著提升报文的处理能力，且上层开放控制接口，具有可控性，可以很好兼容虚拟化与云计算平台。

公开(公告)号：CN106357641A

公开(公告)日：2017-01-25

申请号：CN201610829821.5

申请日：2016-09-18

Applicant: 中国科学院信息工程研究所

Inventor： 辛永辉 ,  李杨 ,  李唯源 ,  陈鑫

IPC: H04L29/06

Abstract: 本发明提供一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置，涉及网络安全领域。其中，所述方法包括：根据预设的窗口统计内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值；采用累积和算法对统计得到的熵值进行处理，得到熵值在不同时刻的累计值；判断累计值是否小于预设的攻击检测阈值，若否，则检测到兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对兴趣包的名字的前缀集合进行查找，得到攻击前缀；根据攻击前缀生成含有攻击前缀的数据包，并根据路由器的待定兴趣表中记录的具有攻击前缀的兴趣包的路由信息将数据包发送至攻击者所在的接入路由器，以使得接入路由器根据数据包中的攻击前缀对接收的兴趣包进行相应的限入处理。

公开(公告)号：CN106027208A

公开(公告)日：2016-10-12

申请号：CN201610282604.9

申请日：2016-04-29

Applicant: 中国科学院信息工程研究所

Inventor： 孙继燕 ,  张棪 ,  唐鼎 ,  张舒黎 ,  陈鑫

IPC: H04L1/16 ,  H04L1/00 ,  H04W28/02

CPC classification number: H04L1/0076 ,  H04L1/1607 ,  H04W28/0289

Abstract: 本发明提供了一种基于反馈的网络编码TCP解码方法及装置，所述方法包括：当接收到TCP层发送的TCP数据包时，发送端根据当前链路丢包率对当前需要发送的编码包数量Sn进行更新；根据当前时刻接收到的由接收端发送的应答消息中携带的反馈信息确定当前的编码窗口锁的次数Ln；若当前的编码窗口锁的次数Ln不为0，则固定编码窗口，并将编码窗口内的W个TCP数据包按照编码包数量进行预设编码，将编码好的个数据包发送至接收端。本发明不仅能够根据网络环境产生主动补偿，并且可以基于反馈做出相应调整以加速解码矩阵满秩，减少解码等待时延。

公开(公告)号：CN105847175A

公开(公告)日：2016-08-10

申请号：CN201610252477.8

申请日：2016-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 张舒黎 ,  张棪 ,  孙继燕 ,  曹玖玥 ,  陈鑫

IPC: H04L12/813 ,  H04L12/807 ,  H04L12/801 ,  H04L12/835 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L47/12 ,  H04L47/19 ,  H04L47/20 ,  H04L47/27 ,  H04L47/30 ,  H04L69/163 ,  H04L69/329

Abstract: 本发明提供一种数据中心网络中的应用层调度方法，包括：客户端获取网络和应用信息；根据网络和应用信息采用最优化模型获得并行服务器数和TCP流速率；根据所述并行服务器数对服务器进行分组，获得分组调度策略；根据分组调度策略向服务器发送数据请求，并同时发送对应的TCP流速率，以使服务器根据数据请求和TCP流速率调整发送速率进行数据传递；客户端获取数据。本发明提供一种数据中心网络中的应用层调度方法，通过综合考虑网络和应用的多种参数，采用最优化模型确定并发服务器的数量和TCP流的传输速率，保证最大程度地利用核心链路资源，还避免TCP数据包的丢失以及TCP超时的产生，从而有效地解决了TCP Incast问题。

公开(公告)号：CN105471764A

公开(公告)日：2016-04-06

申请号：CN201510783079.4

申请日：2015-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 王鹏 ,  刘延伟 ,  陈鑫 ,  徐震

IPC: H04L12/851

CPC classification number: H04L47/24

Abstract: 本发明公开了一种SDN网络中端到端QoS保障的方法。本方法为：1)对于每一到达SDN网络的新数据流，SDN网络控制器周期性的采集网络状态信息；2)SDN网络控制器根据采集到的网络状态信息计算传输该新数据流的所有备选路径的代价，确定出一最佳传输路径；3)SDN网络控制器将该最佳传输路径信息封装成流表项下发给该SDN网络的交换机节点，交换机节点根据流表项对收到的数据包进行转发。本发明设计了OpenFlow交换机的队列机制，并通过控制器对交换机的队列状态实时监控。当新的数据流到达时，根据路径上链路的传输时延和交换机节点队列的排队时延，结合当前链路的拥塞情况，选出一条代价最小的路径进行数据流的传输。

公开(公告)号：CN106027404A

公开(公告)日：2016-10-12

申请号：CN201610285483.3

申请日：2016-04-29

Applicant: 中国科学院信息工程研究所

Inventor： 孙继燕 ,  张棪 ,  唐鼎 ,  张舒黎 ,  陈鑫

IPC: H04L12/801 ,  H04L12/807 ,  H04L12/815 ,  H04L12/823 ,  H04L12/855

CPC classification number: H04L47/12 ,  H04L47/193 ,  H04L47/225 ,  H04L47/2466 ,  H04L47/27 ,  H04L47/323

Abstract: 本发明提供了一种基于自适应补偿编码的网络性能优化方法及装置，所述方法包括：发送端为传输控制协议TCP层中待发送的数据包增加预设长度的头部信息位，增加的头部信息位包括：编码信息字段；对于一个拥塞窗口单元，当发送端根据当前链路丢包率检测出当前超时概率超过预设阈值时，发送端将当前拥塞窗口中的w1个原始数据包进行编码生成C1个补偿编码包，并将处理后的C1个补偿编码包发送至接收端，C1是根据当前超时概率以及李雅普诺夫最优化框架模型确定的。本发明能够根据实时的网络环境产生主动编码补偿，降低TCP流超时概率，且不需要对交换机，网络接口等硬件设备进行修改，易于部署实施。

公开(公告)号：CN106357641B

公开(公告)日：2019-10-22

申请号：CN201610829821.5

申请日：2016-09-18

Applicant: 中国科学院信息工程研究所

Inventor： 辛永辉 ,  李杨 ,  李唯源 ,  陈鑫

IPC: H04L29/06

Abstract: 本发明提供一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置，涉及网络安全领域。其中，所述方法包括：根据预设的窗口统计内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值；采用累积和算法对统计得到的熵值进行处理，得到熵值在不同时刻的累计值；判断累计值是否小于预设的攻击检测阈值，若否，则检测到兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对兴趣包的名字的前缀集合进行查找，得到攻击前缀；根据攻击前缀生成含有攻击前缀的数据包，并根据路由器的待定兴趣表中记录的具有攻击前缀的兴趣包的路由信息将数据包发送至攻击者所在的接入路由器，以使得接入路由器根据数据包中的攻击前缀对接收的兴趣包进行相应的限入处理。

公开(公告)号：CN105471764B

公开(公告)日：2019-01-25

申请号：CN201510783079.4

申请日：2015-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 王鹏 ,  刘延伟 ,  陈鑫 ,  徐震

IPC: H04L12/851

Abstract: 本发明公开了一种SDN网络中端到端QoS保障的方法。本方法为：1)对于每一到达SDN网络的新数据流，SDN网络控制器周期性的采集网络状态信息；2)SDN网络控制器根据采集到的网络状态信息计算传输该新数据流的所有备选路径的代价，确定出一最佳传输路径；3)SDN网络控制器将该最佳传输路径信息封装成流表项下发给该SDN网络的交换机节点，交换机节点根据流表项对收到的数据包进行转发。本发明设计了OpenFlow交换机的队列机制，并通过控制器对交换机的队列状态实时监控。当新的数据流到达时，根据路径上链路的传输时延和交换机节点队列的排队时延，结合当前链路的拥塞情况，选出一条代价最小的路径进行数据流的传输。