公开(公告)号：CN115766600B

公开(公告)日：2024-10-29

申请号：CN202211358713.6

申请日：2022-11-01

Applicant: 中国科学院计算技术研究所

Inventor： 吕凯 ,  武文浩 ,  李露阳 ,  潘恒 ,  关洪涛 ,  李振宇 ,  谢高岗

IPC: H04L47/2483 ,  H04L41/0873

Abstract: 本发明提出一种在可编程交换机上进行流大小无关的流记录计数方法和系统，包括：解析计数周期内发送端发出的每一个数据包，将流ID同时输入哈希组中的多个哈希函数，将每个哈希函数输出的哈希值作为布鲁姆记录表的地址索引；判断布鲁姆记录表中地址索引的位置是否为空，若是则将流ID记录于位置并给出代表流已被记录的标志位，流计数器数值加1；否则执行冲突解决策略，若依然存在记录冲突，则给出代表发生记录误差的标志位，误差计数器数值加1。本发明能够在较为准确地对流量进行计数的同时记录流ID，能够应对较重的流量负载，同时具备对给定数量的流进行计数的能力。当流记录计数过程完成时，能够给出“是否存在计数误差”的显式提示。

公开(公告)号：CN115102716B

公开(公告)日：2023-09-22

申请号：CN202210580579.8

申请日：2022-05-25

Applicant: 中国科学院计算技术研究所

Inventor： 李恩晗 ,  李振宇 ,  张磊磊 ,  武文浩 ,  王阳

IPC: H04L9/40 ,  H04L43/0888

Abstract: 本发明提出一种基于自适应采样阈值的网络大流检测方法，包括：可编程交换机根据预设的本地阈值，将在时间间隔中数据包计数大于本地阈值的数据流作为候选流，在当前时间间隔结束时将候选流及其对应的数据包计数以报告表的方式发往中心控制器；中心控制器根据所有可编程交换机的报告表，以各候选流对应的数据包计数之和，作为网络中所有流量的流量总值，根据流量总值和预设检测精度#imgabs0#得到全局阈值，将数据包计数大于全局阈值的候选流作为网络大流，并根据网络流量的时间特性，更新可编程交换机本地阈值。本发明具有更加优秀的精确度，在可编程交换机上占用较小的内存，且通信数据包不会因为通信原因增加网络负担、加重网络拥塞对网络造成负面影响。

公开(公告)号：CN119341950A

公开(公告)日：2025-01-21

申请号：CN202310898626.8

申请日：2023-07-20

Applicant: 中国科学院计算技术研究所

Inventor： 李恩晗 ,  李振宇 ,  武文浩

IPC: H04L43/0876 ,  H04L43/16 ,  H04L43/028

Abstract: 本发明首先提供一种应用于网络测量的采样方法，并在所述网络测量的采样方法基础上提供了一种基于自适应采样的路由无关全网大流检测方法，所述检测方法包括以下步骤：测量点根据所述采样方法向中心控制器发送采样的数据包；所述中心控制器在当前固定时间间隔的末尾，确定接收到的所有测量点采样的数据包个数中的最小值并按哈希值从小到大的顺序从中选出kmin个不同的哈希值对应的数据包；所述中心控制器根据流标识统计所选出的kmin个数据包中不同流的数据包个数。本发明基于自适应采样的路由无关全网大流检测方法不关心测量点之间拓扑和流的路由情况，占用数据面内存小，精确检测全网大流。

公开(公告)号：CN118784614A

公开(公告)日：2024-10-15

申请号：CN202410791225.7

申请日：2024-06-19

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇 ,  李沁心 ,  李子涵 ,  张博宁 ,  周子涵

IPC: H04L61/4511

Abstract: 本发明提供了一种用于挖掘服务器间依赖关系的系统，所述系统包括权威服务器模块，其被配置为：负责对指定域名进行解析，响应于查询所述指定域名的DNS查询请求，反馈一个虚构I P地址作为分簇回复标识，并且针对不同的DNS查询请求所反馈的虚构I P地址是不同的，其中，所述分簇回复标识用于挖掘服务器间依赖关系，将开放递归服务器列表中反馈同一分簇回复标识的服务器视为具有依赖关系的服务器。本发明的技术方案通过为每一次到达权威服务器模块的查询指定域名的DNS查询请求反馈一个不同的虚构I P地址作为分簇回复标识，将同一分簇回复标识的服务器视为具有依赖关系的服务器，从而解决现有方法难以挖掘出网络空间中存在的服务器间的依赖关系的问题。

公开(公告)号：CN119484328A

公开(公告)日：2025-02-18

申请号：CN202411463837.X

申请日：2024-10-21

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇 ,  刘熙来 ,  张广兴

IPC: H04L43/08 ,  H04L43/0876 ,  H04L9/06

Abstract: 本发明提供一种路由无关的网络测量系统，包括多个网络测量点和集中控制器，每个网络测量点维护有与路由无关的数据草图，其为多层结构，每层包括多个设置有位图的单元，位图中所有位的初始值为第一数值；网络测量点被配置为：根据测量任务获取其接收的数据包的包关键字以及数据包所属数据流的流关键字；根据关键字更新网络测量点的数据草图，包括；根据包关键字确定关联的层，在关联的层中根据流关键字确定关联的单元；将包关键字映射到关联的单元的位图的一个位置，该位置的数值更新为第二数值；集中控制器被配置为：根据其采集并聚合多个网络测量点更新后的数据草图得到的全局数据草图，估计网络中各个数据流传输的数据包数量，以完成测量任务。

公开(公告)号：CN115277103B

公开(公告)日：2024-08-16

申请号：CN202210764685.1

申请日：2022-06-29

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇 ,  张磊磊 ,  李恩晗

IPC: H04L9/40

Abstract: 本发明提出一种DDoS攻击检测方法、DDoS攻击流量过滤方法、装置，方法包括：将进入可编程交换机数据平面的数据包划分为多个观察窗口，分别计算每一个观察窗口内的源IP地址的地址熵与目的IP地址的地址熵；依据源IP地址的地址熵与目的IP地址的地址熵，判断当前观察窗口中是否含有DDoS攻击流量；若当前观察窗口中的DDoS攻击状态为DDoS攻击发生，则判别当前数据包是否属于DDoS攻击流量；若当前数据包的目的IP地址被判别为被攻击者，将指向被攻击者的数据包识别为攻击数据包并丢弃。该方法将DDoS攻击检测与防御的机制完整的实现在可编程交换机上，不依赖控制面和远程服务器，有效避免了数据面与控制平面交互过程带来的额外开销。

公开(公告)号：CN115118617A

公开(公告)日：2022-09-27

申请号：CN202210590211.X

申请日：2022-05-26

Applicant: 中国科学院计算技术研究所

Inventor： 张磊磊 ,  李振宇 ,  李恩晗 ,  黄易雯 ,  武文浩 ,  王阳 ,  潘恒 ,  武庆华

IPC: H04L43/08 ,  H04L43/12 ,  H04L43/50 ,  G06F8/41

Abstract: 本发明提出一种基于P4交换机的意图驱动网络测量方法和系统，包括：测量系统的编译器获取用户端下发的基于测量原语编写的测量任务，并将其编译为数据面P4代码和控制面配置文件；测量系统的运行时环境根据控制面配置文件，将转发处理表下发至P4交换机，以对P4交换机的运行时环境进行交互；P4交换机的P4编译器将数据面P4代码编译部署到P4交换机的交换芯片；P4交换机的运行时环境作为测量系统的运行时环境的驱动，连接测量系统与交换芯片的桥梁；数据包经过交换芯片时，触发转发处理表，记录相关统计信息到指定存储空间，存储空间中相关信息作为网络测量结果，经由P4交换机的运行时环境和测量系统的运行时环境返回给用户端。

公开(公告)号：CN115118617B

公开(公告)日：2024-05-28

申请号：CN202210590211.X

申请日：2022-05-26

Applicant: 中国科学院计算技术研究所

Inventor： 张磊磊 ,  李振宇 ,  李恩晗 ,  黄易雯 ,  武文浩 ,  王阳 ,  潘恒 ,  武庆华

IPC: H04L43/08 ,  H04L43/12 ,  H04L43/50 ,  G06F8/41

Abstract: 本发明提出一种基于P4交换机的意图驱动网络测量方法和系统，包括：测量系统的编译器获取用户端下发的基于测量原语编写的测量任务，并将其编译为数据面P4代码和控制面配置文件；测量系统的运行时环境根据控制面配置文件，将转发处理表下发至P4交换机，以对P4交换机的运行时环境进行交互；P4交换机的P4编译器将数据面P4代码编译部署到P4交换机的交换芯片；P4交换机的运行时环境作为测量系统的运行时环境的驱动，连接测量系统与交换芯片的桥梁；数据包经过交换芯片时，触发转发处理表，记录相关统计信息到指定存储空间，存储空间中相关信息作为网络测量结果，经由P4交换机的运行时环境和测量系统的运行时环境返回给用户端。

公开(公告)号：CN117714102A

公开(公告)日：2024-03-15

申请号：CN202311557906.9

申请日：2023-11-21

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇

IPC: H04L9/40

Abstract: 本发明实施例提供了一种分布式服务攻击检测方法，该方法为在网络中分布式部署多个测量节点，其中，多个测量节点构成数据平面；并采用多流标识基数测量的数据结构分别计算在预设时间段内数据平面中的每种源地址频次以及每种目的地址频次；基于预设时间段内数据平面中的每种源地址频次得到预设时间段内数据平面中的源地址熵，以及基于预设时间段内数据平面中的每种目的地址频次得到预设时间段内数据平面中的目的地址熵；利用预设时间段内数据平面中的源地址熵和目的地址熵的差值判断该预设时间段内是否发生DDoS，其中，差值大于预设地址熵阈值时有分布式拒绝服务攻击发生。该方法能更加准确地检测到DDoS攻击发生，从而保障网络的安全和稳定。

公开(公告)号：CN115766600A

公开(公告)日：2023-03-07

申请号：CN202211358713.6

申请日：2022-11-01

Applicant: 中国科学院计算技术研究所

Inventor： 吕凯 ,  武文浩 ,  李露阳 ,  潘恒 ,  关洪涛 ,  李振宇 ,  谢高岗

IPC: H04L47/2483 ,  H04L41/0873

Abstract: 本发明提出一种在可编程交换机上进行流大小无关的流记录计数方法和系统，包括：解析计数周期内发送端发出的每一个数据包，将流ID同时输入哈希组中的多个哈希函数，将每个哈希函数输出的哈希值作为布鲁姆记录表的地址索引；判断布鲁姆记录表中地址索引的位置是否为空，若是则将流ID记录于位置并给出代表流已被记录的标志位，流计数器数值加1；否则执行冲突解决策略，若依然存在记录冲突，则给出代表发生记录误差的标志位，误差计数器数值加1。本发明能够在较为准确地对流量进行计数的同时记录流ID，能够应对较重的流量负载，同时具备对给定数量的流进行计数的能力。当流记录计数过程完成时，能够给出“是否存在计数误差”的显式提示。