公开(公告)号：CN115242596A

公开(公告)日：2022-10-25

申请号：CN202210664510.3

申请日：2022-06-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  王睿怡 ,  郭璇 ,  侯恩泽 ,  宋超然

IPC: H04L41/0246 ,  H04L41/044 ,  H04L41/0823 ,  H04L41/12 ,  H04L43/08 ,  H04L67/30 ,  H04L67/60 ,  H04L9/40

Abstract: 本发明提供了一种面向用户的网络测试床场景业务调度方法及装置，所述方法包括：创建项目场景，并接收用户的场景资源申请；资源池中的现有资源满足所述场景资源申请时，基于用户的网络需求与终端设备需求，绘制网络拓扑，以得到用户需求描述性文件；解析用户需求描述性文件，生成子任务系统，并根据各子任务系统所需信息拆解测试任务，且并行分发至各个消息队列，以使各子任务系统接受并执行测试任务。本发明解决了现有方法不够多元化及大规模网络构建功能空缺的问题。

公开(公告)号：CN112446033A

公开(公告)日：2021-03-05

申请号：CN202011450304.X

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  黄庆佳 ,  谢静 ,  张伟娟 ,  王睿怡 ,  赵崇名

IPC: G06F21/57

Abstract: 本申请实施例提供了一种软件可信启动方法、装置、电子设备和存储介质，该方法应用于电子设备，电子设备包括可信执行环境，可信执行环境包括可信执行内核，电子设备首先通过可信执行内核获取请求启动的待启动程序，然后再通过可信执行内核对待启动程序进行可信启动校验，其中，可信启动校验包括可信白名单校验，以及完整性校验和/或权限校验；当可信校验通过后，通过可信执行内核启动待启动程序。上述方法在待启动程序请求启动时，对待启动程序进行多种不同方式的可信启动校验，多种可信启动校验方式可以组成一条可信启动链，确保恶意的应用程序无法启动，从而避免用户的个人隐私或商业秘密被窃取，以保障电子设备的信息安全。

公开(公告)号：CN112291066A

公开(公告)日：2021-01-29

申请号：CN202011181333.0

申请日：2020-10-29

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  孟慧石 ,  贾晓启 ,  黄庆佳 ,  武希耀 ,  孙慧琪 ,  杜海超 ,  王睿怡 ,  谢静

IPC: H04L9/32 ,  H04L29/06 ,  H04W12/069

Abstract: 本申请实施例中提供了一种数据发送方法、接收方法、终端设备及电子设备，在发送数据时，首先封装生成IP数据包，然后基于预共享密钥以及所述IP数据包中的业务数据段运算生成第一认证码，以使接收到所述IP数据包的接收端基于所述第一认证码对所述IP数据包进行认证；再将所述第一认证码插入所述IP数据包，生成并发送IP报文；从而在预设群体用户范围内，通过设置相同的预共享密钥，实现信息安全认证，因此，本申请实施例技术方案具有提高信息传播安全性的技术效果。

公开(公告)号：CN115473688B

公开(公告)日：2024-07-30

申请号：CN202210975910.6

申请日：2022-08-15

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  郭璇 ,  王明慧 ,  侯恩泽 ,  宋超然

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L45/645 ,  H04L45/76 ,  H04L47/125

Abstract: 本发明提出了一种面向软件定义网络的异常检测方法、装置及设备，应用于互联网技术领域。所述方法包括：获取软件定义网络的网络拓扑；将各节点所存储的链路属性转换为表示网络流量情况的时间序列数据，并使用固定的滑动窗口大小对时间序列数据进行切分，通过比较时序片段的预测值和真实观测值之间的相对误差，判断软件定义网络中所有节点间的链路状态是否存在异常；计算网络拓扑中的中心节点，并根据链路状态异常情况以及节点之间的连接关系，得到所述网络拓扑中的异常节点；基于中心节点和异常节点的流表信息，识别软件定义网络中的异常行为。本发明实现了平衡网络负载和异常检测的精度。

公开(公告)号：CN115242596B

公开(公告)日：2024-04-30

申请号：CN202210664510.3

申请日：2022-06-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  王睿怡 ,  郭璇 ,  侯恩泽 ,  宋超然

IPC: H04L41/0246 ,  H04L41/044 ,  H04L41/0823 ,  H04L41/12 ,  H04L43/08 ,  H04L67/30 ,  H04L67/60 ,  H04L9/40

Abstract: 本发明提供了一种面向用户的网络测试床场景业务调度方法及装置，所述方法包括：创建项目场景，并接收用户的场景资源申请；资源池中的现有资源满足所述场景资源申请时，基于用户的网络需求与终端设备需求，绘制网络拓扑，以得到用户需求描述性文件；解析用户需求描述性文件，生成子任务系统，并根据各子任务系统所需信息拆解测试任务，且并行分发至各个消息队列，以使各子任务系统接受并执行测试任务。本发明解决了现有方法不够多元化及大规模网络构建功能空缺的问题。

公开(公告)号：CN112905300A

公开(公告)日：2021-06-04

申请号：CN202110239800.9

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  白璐 ,  张伟娟 ,  张志聪 ,  周启航 ,  邹成进 ,  韦秋石 ,  武希耀 ,  黄庆佳

IPC: G06F9/455 ,  G06F21/57

Abstract: 本发明公开了一种虚拟机的可信启动方法及系统，包括：宿主机启动过程中，通过服务器内置安全芯片对宿主机系统进行安全度量，确保宿主机系统的可信；在宿主机中用虚拟统一可扩展固件接口引导虚拟机启动，并依据虚拟统一可扩展固件接口读取的虚拟机镜像内的虚拟机核心文件，生成度量值；所述度量值经至虚拟机监视器，传递给服务器内置安全芯片；依据所述度量值及服务器内置安全芯片中度量基准值，判定是否启动所述虚拟机。本发明解决了虚拟机内核被篡改、启动过程安全性保证难等问题，结合内置安全芯片将虚拟机核心文件的度量基准值存入内置安全芯片中，确保度量基准值的存储安全性，使用虚拟UEFI对虚拟机核心文件做度量，精简了可信启动流程。

公开(公告)号：CN112187734A

公开(公告)日：2021-01-05

申请号：CN202010943577.1

申请日：2020-09-09

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  侯锐 ,  孟慧石 ,  黄庆佳 ,  付玉霞 ,  孙慧琪 ,  张伟娟 ,  赵崇名

IPC: H04L29/06 ,  H04L12/46

Abstract: 本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法。采用本申请中的方案，将包括IPSec核心组件的TEE侧模块组设置在TEE可信执行环境中运行，将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行，同时设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源，因此在VPN隧道建立过程中，其关键数据的处理过程可以避开常规操作系统的其它应用干扰。又因为IPSec协议封装模块及TCP/IP协议栈设置在REE驱动系统中，因此IP协议数据包封装处理流程可置于REE驱动系统处理，实现了在保证VPN隧道安全性的同时具备降低TEE驱动系统复杂度、负载度、提高处理效率以及降低开发成本的技术效果。

公开(公告)号：CN111783929A

公开(公告)日：2020-10-16

申请号：CN202010640909.9

申请日：2020-07-06

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  魏钰宸 ,  唐静 ,  谢静 ,  周梦婷 ,  付玉霞 ,  刘冠廷

IPC: G06N3/00 ,  G06N20/00 ,  H04L29/06

Abstract: 本发明提供一种基于机器学习的智能Web攻击捕获方法及电子装置，包括截获一攻击流量，检索该攻击流量的源IP信息是否在IP-目标映射表中及相应的IP-目标映射表权重与实时流量分类表权重；根据IP-目标映射表权重与实时流量分类表权重相互大小，分别通过IP-目标映射表或实时攻击流量分类模型中得到该攻击流量对应的目标应用类型，并引导至相应的应用蜜罐中。本发明实现对攻击者的高效准确引导，并通过反馈调节机制让蜜罐系统实现对于攻击者行为和目标的不断学习，持续提升攻击引导和捕获的能力。

公开(公告)号：CN111783929B

公开(公告)日：2023-05-05

申请号：CN202010640909.9

申请日：2020-07-06

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  魏钰宸 ,  唐静 ,  谢静 ,  周梦婷 ,  付玉霞 ,  刘冠廷

IPC: G06N3/006 ,  G06N20/00 ,  H04L9/40

Abstract: 本发明提供一种基于机器学习的智能Web攻击捕获方法及电子装置，包括截获一攻击流量，检索该攻击流量的源IP信息是否在IP‑目标映射表中及相应的IP‑目标映射表权重与实时流量分类表权重；根据IP‑目标映射表权重与实时流量分类表权重相互大小，分别通过IP‑目标映射表或实时攻击流量分类模型中得到该攻击流量对应的目标应用类型，并引导至相应的应用蜜罐中。本发明实现对攻击者的高效准确引导，并通过反馈调节机制让蜜罐系统实现对于攻击者行为和目标的不断学习，持续提升攻击引导和捕获的能力。

公开(公告)号：CN115543501A

公开(公告)日：2022-12-30

申请号：CN202211116106.9

申请日：2022-09-14

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  张伟娟 ,  陈家赟 ,  刘超 ,  王睿怡 ,  黄庆佳 ,  宋振宇 ,  杜海超 ,  周梦婷 ,  唐静 ,  孟丹

IPC: G06F9/451 ,  G06F9/455 ,  G06F9/54 ,  G06F21/60 ,  G06F21/64

Abstract: 本发明提出一种可信桌面虚拟化系统，包括桌面虚拟化宿主机、桌面虚拟化管理器、虚拟桌面透传协议组件、虚拟桌面终端设备；桌面虚拟化宿主机包含内置安全设备卡，可确保主机内存中操作系统、桌面虚拟化功能安全可信；桌面虚拟化管理器通过虚拟可信启动组件、虚拟桌面度量设备组件、虚拟桌面可信迁移组件等确保安全可信；虚拟桌面透传协议组件提供从虚拟桌面到虚拟桌面终端设备的可信传输隧道，确保虚拟桌面实时数据在传输过程中的机密性和完整性；虚拟桌面终端设备包含内置安全硬件模块，对终端系统内存中操作系统或虚拟桌面客户端的相关重要对象进行主动动态度量，确保安全可信。本发明能够提升桌面虚拟化系统在生命周期各个环节中的安全可信。