公开(公告)号：CN101702660A

公开(公告)日：2010-05-05

申请号：CN200910237594.7

申请日：2009-11-12

Applicant: 中国科学院计算技术研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 张永铮 ,  周勇林 ,  王明华 ,  袁春阳 ,  云晓春 ,  郭莉 ,  李世淙 ,  由林麟

IPC: H04L12/26 ,  H04L29/12

Abstract: 本发明涉及一种异常域名检测方法及其系统，方法包括：步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期进行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集；步骤2，以预设的检测时间间隔为检测周期进行检测，在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计，生成检测特征向量集，所述检测特征向量集中每个检测特征向量同一个域名对应；步骤3，对检测特征向量集中的检测特征向量进行检测，生成异常域名。本发明能够对未知异常域名进行检测。

公开(公告)号：CN101645778A

公开(公告)日：2010-02-10

申请号：CN200910091792.7

申请日：2009-08-25

Applicant: 中国科学院计算技术研究所

Inventor： 罗浩 ,  吴志刚 ,  云晓春 ,  王曦 ,  袁春阳 ,  张永铮 ,  王树鹏 ,  金书源

IPC: H04L9/36 ,  H04L12/26 ,  H04L12/56

Abstract: 本发明提供了一种网络业务流识别系统，包括：识别插件库，所述识别插件库包括多个识别插件；数据接收单元，用于接收待识别连接的数据包；注册管理单元，用于维护识别插件列表，增加或删除所述识别插件列表中的识别插件项目；以及插件调度及综合识别单元，用于调用各识别插件对所述数据接收单元所提供的数据包进行识别并根据各识别插件的识别结果综合得出当前待识别连接的业务类型。本发明能够识别多种业务类型且易于扩展。

公开(公告)号：CN102360408A

公开(公告)日：2012-02-22

申请号：CN201110290172.3

申请日：2011-09-28

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院计算技术研究所

Inventor： 郑礼雄 ,  孙波 ,  许俊峰 ,  严寒冰 ,  王伟平 ,  袁春阳 ,  林绅文 ,  杨鹏 ,  向小佳 ,  王永建 ,  王进 ,  张伟 ,  郭承青

IPC: G06F21/00 ,  G06F17/30

Abstract: 本发明提出了一种OLAP引擎辅助的、以恶意代码主控端被控端交互行为为特征的、基于挖掘的恶意代码检测方法及其对应的原型系统。其中检测方法包括首先探测网络步骤101；然后提取可疑主控端行为201；接下来扩充训练集301-303；训练分类器401；刷新Cube501；序列挖掘601-606；生成规则701。检测系统包括侦测模块、训练样本池、SVM分类器、关系数据库、OLAP引擎、特征序列挖掘引擎和知识库。

公开(公告)号：CN101702660B

公开(公告)日：2011-12-14

申请号：CN200910237594.7

申请日：2009-11-12

Applicant: 中国科学院计算技术研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 张永铮 ,  周勇林 ,  王明华 ,  袁春阳 ,  云晓春 ,  郭莉 ,  李世淙 ,  由林麟

IPC: H04L12/26 ,  H04L29/12

Abstract: 本发明涉及一种异常域名检测方法及系统，方法包括：步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期进行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集；步骤2，以预设的检测时间间隔为检测周期进行检测，在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计，生成检测特征向量集，所述检测特征向量集中每个检测特征向量同一个域名对应；步骤3，对检测特征向量集中的检测特征向量进行检测，生成异常域名。本发明能够对未知异常域名进行检测。

公开(公告)号：CN101599080B

公开(公告)日：2011-06-29

申请号：CN200910089058.7

申请日：2009-07-22

Applicant: 中国科学院计算技术研究所

Inventor： 王树鹏 ,  云晓春 ,  郭莉 ,  吴志刚 ,  袁春阳

IPC: G06F17/30 ,  G06F11/14

Abstract: 本发明提供一种备份数据的组织系统和方法，该系统包括备份数据管理装置、备份数据索引操作装置、备份数据操作装置和数据存储装置。备份数据管理装置接收来自备份客户端的备份命令、备份数据和备份数据索引；备份数据索引操作装置接收来自备份数据管理装置的备份数据索引并将其转发给数据存储装置；备份数据操作装置接收来自备份数据管理装置的备份数据并将其转发给数据存储装置；数据存储装置根据备份数据索引和备份数据的本地存储地址及备份数据大小建立表示本地存储和备份客户端存储的备份数据索引组织表。使用该系统和方法组织管理备份数据时，可以有效减少备份索引量，降低存储开销，提高备份数据的访问效率，降低时间开销。

公开(公告)号：CN101599080A

公开(公告)日：2009-12-09

申请号：CN200910089058.7

申请日：2009-07-22

Applicant: 中国科学院计算技术研究所

Inventor： 王树鹏 ,  云晓春 ,  郭莉 ,  吴志刚 ,  袁春阳

IPC: G06F17/30 ,  G06F11/14

Abstract: 本发明提供一种备份数据的组织系统和方法，该系统包括备份数据管理装置、备份数据索引操作装置、备份数据操作装置和数据存储装置。备份数据管理装置接收来自备份客户端的备份命令、备份数据和备份数据索引；备份数据索引操作装置接收来自备份数据管理装置的备份数据索引并将其转发给数据存储装置；备份数据操作装置接收来自备份数据管理装置的备份数据并将其转发给数据存储装置；数据存储装置根据备份数据索引和备份数据的本地存储地址及备份数据大小建立表示本地存储和备份客户端存储的备份数据索引组织表。使用该系统和方法组织管理备份数据时，可以有效减少备份索引量，降低存储开销，提高备份数据的访问效率，降低时间开销。

公开(公告)号：CN101645778B

公开(公告)日：2012-02-15

申请号：CN200910091792.7

申请日：2009-08-25

Applicant: 中国科学院计算技术研究所

Inventor： 罗浩 ,  吴志刚 ,  云晓春 ,  王曦 ,  袁春阳 ,  张永铮 ,  王树鹏 ,  金书源

IPC: H04L9/36

Abstract: 本发明提供了一种网络业务流识别系统，包括：识别插件库，所述识别插件库包括多个识别插件；数据接收单元，用于接收待识别连接的数据包；注册管理单元，用于维护识别插件列表，增加或删除所述识别插件列表中的识别插件项目；以及插件调度及综合识别单元，用于调用各识别插件对所述数据接收单元所提供的数据包进行识别并根据各识别插件的识别结果综合得出当前待识别连接的业务类型。本发明能够识别多种业务类型且易于扩展。