公开(公告)号：CN120017340A

公开(公告)日：2025-05-16

申请号：CN202510106905.5

申请日：2025-01-23

Applicant: 中国科学院计算技术研究所

Inventor： 姜海洋 ,  吴国璋 ,  韩箫同 ,  刁祖龙 ,  张广兴

IPC: H04L9/40 ,  H04L43/04 ,  G06F18/214 ,  G06F18/2323 ,  G06F18/2433 ,  G06F18/213 ,  G06N7/01 ,  G06N5/01

Abstract: 本发明提供了一种横向移动流量检测方法，用于检测目标容器化集群中产生的待检测流量序列中是否存在横向移动流量，所述方法包括预处理阶段、第一检测阶段、第二检测阶段和检测结果输出阶段；其中，预处理阶段用于获取目标特征对应的取值范围和目标容器化集群的拓扑结构；第一检测阶段用于进行最值检测和拓扑检测；第二检测阶段用于采用预训练的横向移动检测模型对待检测流量序列进行流量检测；检测结果输出阶段用于做去重处理以获取待检测流量序列的最终检测结果。本发明的技术方案通过设置两阶段检测来筛选横向移动流量，在提高检测率的同时降低了误报率。

公开(公告)号：CN116502153A

公开(公告)日：2023-07-28

申请号：CN202310392001.4

申请日：2023-04-13

Applicant: 中国科学院计算技术研究所

Inventor： 蔡俊禹 ,  李雪菲 ,  姜海洋

IPC: G06F18/243 ,  H04L61/4511 ,  H04L61/103 ,  G06F18/213 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供一种用于域名分类的分类模型构建方法，所述分类模型为随机森林模型，且所述随机森林模型中包括多个决策树分类器，所述方法包括如下步骤：S1、获取来自于DNS服务器的DNS响应数据并对其进行预处理以得到带域名类型标签的训练集，其中，所述域名类型标签为一次性域名标签或非一次性域名标签；S2、对步骤S1得到的训练集进行多种特征提取以获取训练集中每个域名样本对应的特征集合；S3、基于经步骤S2进行特征提取后的训练集，以域名样本对应的特征集合为输入，域名样本类型为输出构建随机森林模型。本发明采用由多个决策树分类器组成的随机森林模型进行域名分类，以缓解现有方法中预测时间长、检测效率低的问题。

公开(公告)号：CN112506789B

公开(公告)日：2022-08-02

申请号：CN202011492806.9

申请日：2020-12-17

Applicant: 中国科学院计算技术研究所

Inventor： 李雪菲 ,  姜海洋 ,  杨晔

IPC: G06F11/36 ,  G06F16/903 ,  G06F8/41

Abstract: 本发明提供了一种用于数据包检测的并行模式匹配方法，包括：步骤1，将特征字符串编译成AC自动机；步骤2，将数据包依据匹配线程的数量分片，每个分片由对应的线程执行AC算法，寻找匹配的特征字符串；步骤3，每个线程在处理完毕所分配的数据包分片后，除了最后一个分片对应的线程之外的其他线程跨越数据包分片分割点继续执行AC算法，通过比较各个AC自动机的状态深度和越过分割点后所检测的字符个数，确定最小冗余区域长度，寻找匹配的特征字符串。

公开(公告)号：CN112671667B

公开(公告)日：2022-06-28

申请号：CN202011405147.0

申请日：2020-12-03

Applicant: 中国科学院计算技术研究所

Inventor： 杨晔 ,  姜海洋 ,  谢高岗

IPC: H04L47/215 ,  H04L47/24 ,  H04L12/46

Abstract: 本发明提出一种虚拟转发设备的转发限速方法及系统，包括通过测量得到服务提供商网络平均数据包大小和流数目作为流量特征，该服务提供商网络包含虚拟转发设备和多个租户，使用流量生成工具生成符合该特征的流量，通过在该虚拟转发设备中转发该流量的数据包并测量达到各个带宽所用于转发的CPU资源，构建CPU资源和带宽的对应关系；根据各租户的基础带宽需求以及该对应关系，为各租户分配基础CPU资源，并得到该服务提供商网络在满足该基础CPU资源后剩余的CPU资源，以为每一位租户按照权重再分配空闲CPU资源，每位租户用于转发的最终CPU资源为其分配的基础CPU资源和空闲CPU资源之和；该虚拟转发设备使用该最终CPU资源对其对应的租户完成数据包的转发。

公开(公告)号：CN113139100B

公开(公告)日：2022-06-14

申请号：CN202110457333.7

申请日：2021-04-27

Applicant: 中国科学院计算技术研究所

Inventor： 王越 ,  谢高岗 ,  张广兴 ,  姜海洋 ,  刁祖龙

IPC: G06F16/901 ,  G06F16/903

Abstract: 本发明提供一种用于构建数据包的索引的方法，其中所述索引采用哈希字典树方式存储数据包的属性值，所述属性值按照预定的规则被分成n段，所述哈希字典树包括树节点、偏移量链表头节点和偏移量节点，所述偏移量节点用于存储数据包的全局偏移量以及下一个偏移量节点的指针，所述偏移量链表头节点用于存储属性值与偏移量链表的第一个偏移量节点的指针，所述树节点为大小为M的指针数组，指针数组的每一元素用于存储指向下一层树节点的指针或指向偏移量链表头节点的指针，n和M为正整数。相比于现有其他方案，本发明在建索引时间、索引空间开销、查询效率以及扩展性方面取得了明显优势，达到了预期目的。

公开(公告)号：CN112671667A

公开(公告)日：2021-04-16

申请号：CN202011405147.0

申请日：2020-12-03

Applicant: 中国科学院计算技术研究所

Inventor： 杨晔 ,  姜海洋 ,  谢高岗

IPC: H04L12/819 ,  H04L12/851 ,  H04L12/46

Abstract: 本发明提出一种虚拟转发设备的转发限速方法及系统，包括通过测量得到服务提供商网络平均数据包大小和流数目作为流量特征，该服务提供商网络包含虚拟转发设备和多个租户，使用流量生成工具生成符合该特征的流量，通过在该虚拟转发设备中转发该流量的数据包并测量达到各个带宽所用于转发的CPU资源，构建CPU资源和带宽的对应关系；根据各租户的基础带宽需求以及该对应关系，为各租户分配基础CPU资源，并得到该服务提供商网络在满足该基础CPU资源后剩余的CPU资源，以为每一位租户按照权重再分配空闲CPU资源，每位租户用于转发的最终CPU资源为其分配的基础CPU资源和空闲CPU资源之和；该虚拟转发设备使用该最终CPU资源对其对应的租户完成数据包的转发。

公开(公告)号：CN119862421A

公开(公告)日：2025-04-22

申请号：CN202510026071.7

申请日：2025-01-08

Applicant: 中国科学院计算技术研究所

Inventor： 乔铭宇 ,  刁祖龙 ,  张广兴 ,  姜海洋 ,  谢高岗 ,  李振宇

IPC: G06F18/214 ,  H04L9/40 ,  G06F18/2431 ,  G06F18/2415 ,  G06F18/15 ,  G06F18/213 ,  G06F18/25 ,  G06F18/22 ,  G06N3/045 ,  G06N3/0455 ,  G06F123/00 ,  G06F123/02

Abstract: 本发明提供一种用于加密网络流量分类的数据集构建方法，包括：根据流量分类任务所需识别的多种类别，从网络中采集加密流量数据，得到流量数据文件，包括每种类别下的多个PCAP文件；基于流量数据文件确定若干条加密会话流量，包括每个PCAP文件中包含的一条或多条加密会话流量，每条会话流量包括通信双方交互时生成的若干数据包；根据每条会话流量的数据包，提取该条会话流量的多模态特征，其包括元数据特征、加密有效载荷字节特征和突发传输特征；根据若干条加密会话流量的多模态特征和每条加密会话流量所属的PCAP文件对应的类别，构建包括多个样本的数据集，每个样本包括根据每条会话流量的多模态特征构建的输入数据和指示该会话流量所属的类别的标签。

公开(公告)号：CN112953927A

公开(公告)日：2021-06-11

申请号：CN202110168279.4

申请日：2021-02-07

Applicant: 中国科学院计算技术研究所

Inventor： 杨晔 ,  姜海洋 ,  谢高岗

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/46

Abstract: 本发明提出一种基于虚拟交换机中流表结构隔离的流表查询方法及系统，包括为系统中每一台虚拟机分配独立的流表；从虚拟机接收数据包时，获取该虚拟机的流表，作为当前流表，根据数据包中五元组信息，在当前流表中完成查表流程，得到流表中匹配目的项，以执行相应操作；为网卡端口添加预分类模块和每一台虚拟机的流表子模块，其中预分类模块包括目的IP和流表子模块间的对应关系，每个流表子模块存有与其对应虚拟机的独立的流表；从网卡端口接收数据包时，根据目的IP，查询预分类模块，得到对应的流表子模块，在对应的流表子模块中完成查表流程，得到流表中匹配目的项，以执行相应操作。

公开(公告)号：CN109857517B

公开(公告)日：2020-12-29

申请号：CN201910006957.X

申请日：2019-01-04

Applicant: 中国科学院计算技术研究所

Inventor： 杨晔 ,  姜海洋 ,  谢高岗

IPC: G06F9/455 ,  G06F9/50 ,  G06F9/54

Abstract: 本发明提供一种虚拟化系统及其数据传输方法。所述系统，包括多个Qemu进程和一个vSwitch进程；其中，所述vSwitch进程管理主机数据包缓冲区，所述主机数据包缓冲区由所述vSwitch进程和全部所述多个Qemu进程共享；所述Qemu进程管理由该Qemu进程独享的虚拟机内存，并且所述Qemu进程具有用于从所述主机数据包缓冲区中将数据拷贝至所述虚拟机内存的拷贝线程；在所述虚拟化系统中还设置有被所述vSwitch进程和至少一个所述Qemu进程所共享的地址内存区，用于为所述拷贝线程提供所述虚拟机内存的可用地址。

公开(公告)号：CN111628970A

公开(公告)日：2020-09-04

申请号：CN202010332176.2

申请日：2020-04-24

Applicant: 中国科学院计算技术研究所

Inventor： 熊威 ,  姜海洋

IPC: H04L29/06 ,  H04L29/12 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明实施例提供了一种DGA型僵尸网络的检测方法、介质和电子设备，该检测方法包括：B1、对所有待检测网络中的域名进行预处理得到以数值向量表示的域名；B2、将进行预处理后的待检测网络的域名输入深度神经网络模型，提取每个域名的域名深度特征向量；B3、基于提取到的每个域名的域名深度特征向量，使用聚类算法根据域名之间的距离对每个待检测网络内的域名进行聚类，以确定所述待检测网络是否是DGA型僵尸网络。本发明通过构造深度神经网络以监督学习的方式自学习域名特征，不需要人工干预，实现了域名深度特征提取，保证了域名特征的全面性和有效性，提升了检测精度。