公开(公告)号：CN102073547B

公开(公告)日：2013-08-28

申请号：CN201010611827.8

申请日：2010-12-17

Applicant: 国家计算机网络与信息安全管理中心 ,  曙光信息产业(北京)有限公司

Inventor： 云晓春 ,  杜跃进 ,  王丽宏 ,  汪立东 ,  陈训逊 ,  包秀国 ,  杜翠兰 ,  王勇 ,  刘朝辉

IPC: G06F9/50

Abstract: 本发明提供了一种多路服务器多缓冲区并行收包的性能优化方法。驱动软件负责分配接收报文使用的缓冲区，需要在内核中为每一个线程申请一个报文缓冲区，因为在内核中申请，所以申请内存时，可以通过参数指定内存的相连的CPU号为线程编号，也就是说，为线程0申请0号CPU上的本地内存，为线程1申请1号CPU上的本地内存。接口库软件在每个线程第一次调用接收报文的API接口时，把线程绑定到与线程号相对应的CPU上。有效避免了CPU访问远地内存和线程在多个CPU上调度的开销，提高了多线程收包的效率。

公开(公告)号：CN102769750A

公开(公告)日：2012-11-07

申请号：CN201210241814.5

申请日：2012-07-12

Applicant: 国家计算机网络与信息安全管理中心 ,  曙光信息产业(北京)有限公司

Inventor： 袁庆升 ,  刘立 ,  包秀国 ,  邵宗有 ,  云晓春 ,  许建卫 ,  王勇 ,  柳胜杰

IPC: H04N7/26 ,  H04N17/00

Abstract: 本发明公开了基于众核平台的解码方法和解码设备，其中，该解码方法包括：将多个核心分为多个组，其中，多个组包括多个解码组，每一组中又包括多个核心中的一个或多个；将待解码数据的多个片段重排为多个任务序列；以及向每一个解码组中的各个核心分配多个任务序列中的一个或多个。本发明通过分组策略进行数据并行和功能并行，实现每个流内容解码检测的性能需求。

公开(公告)号：CN101702660A

公开(公告)日：2010-05-05

申请号：CN200910237594.7

申请日：2009-11-12

Applicant: 中国科学院计算技术研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 张永铮 ,  周勇林 ,  王明华 ,  袁春阳 ,  云晓春 ,  郭莉 ,  李世淙 ,  由林麟

IPC: H04L12/26 ,  H04L29/12

Abstract: 本发明涉及一种异常域名检测方法及其系统，方法包括：步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期进行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集；步骤2，以预设的检测时间间隔为检测周期进行检测，在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计，生成检测特征向量集，所述检测特征向量集中每个检测特征向量同一个域名对应；步骤3，对检测特征向量集中的检测特征向量进行检测，生成异常域名。本发明能够对未知异常域名进行检测。

公开(公告)号：CN114697408B

公开(公告)日：2023-09-26

申请号：CN202011581609.4

申请日：2020-12-28

Applicant: 国家计算机网络与信息安全管理中心 ,  杭州迪普信息技术有限公司

Inventor： 李高超 ,  李维 ,  金鑫 ,  邹昕 ,  徐小琳 ,  陈训逊 ,  云晓春

IPC: H04L69/22 ,  H04L12/46

Abstract: 本申请公开了一种隧道报文的处理方法和装置，所述方法包括：当接收到待处理隧道报文时，解析出其隧道头特征；将所述待处理隧道报文的隧道头特征，与已存储的报文处理策略表进行匹配；若命中，根据所命中的报文处理策略处理所述待处理隧道报文；若未命中，解析出所述待处理隧道报文的原始报头特征；将所述待处理隧道报文的原始报头特征，与所述报文处理策略表进行匹配；若命中，根据所命中的报文处理策略处理所述待处理隧道报文。本申请方案，对接收到的待处理隧道报文进行双重匹配，提高了隧道报文处理的准确性。

公开(公告)号：CN111988231B

公开(公告)日：2022-07-22

申请号：CN202010845709.7

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 张良 ,  党向磊 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L45/745 ,  G06F16/901 ,  G06F16/903

Abstract: 一种掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别，将包含识别到的合并位的多条掩码五元组规则合并为一条规则；将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的UserData部分中，并将上述合并位作为索引分别分配给相应的匹配结果；在数据报文五元组信息与该合并的规则匹配后，再基于该合并位索引最终的匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法及装置，可以有效提升了TCAM表项资源所能存储的掩码五元组规则容量，在提高利用率的同时节约了成本。

公开(公告)号：CN114760166A

公开(公告)日：2022-07-15

申请号：CN202011582889.0

申请日：2020-12-28

Applicant: 国家计算机网络与信息安全管理中心 ,  杭州迪普信息技术有限公司

Inventor： 李高超 ,  马宇 ,  金鑫 ,  邹昕 ,  徐小琳 ,  陈训逊 ,  云晓春 ,  王文杰

IPC: H04L12/46 ,  H04L69/22

Abstract: 本申请公开了一种隧道报文的处理方法和装置，所述方法包括：当接收到待处理隧道报文时，解析出所述待处理隧道报文的隧道头特征和原始报头特征；汇总所述待处理隧道报文的隧道头特征和原始报头特征，得到所述待处理隧道报文的综合特征；判断所述综合特征是否命中已存储的报文处理策略表，所述报文处理策略表包括若干隧道报文综合特征及处理策略之间的映射关系；若命中，则基于所命中的报文处理策略中的处理策略对所述待处理隧道报文进行处理。本申请方案，以包含待处理隧道报文隧道信息和原始信息的综合特征，作为报文处理策略的匹配指标，提高了隧道报文处理的准确性。

公开(公告)号：CN111984835B

公开(公告)日：2022-07-05

申请号：CN202010845708.2

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: G06F16/903 ,  G06F16/901 ,  H04L45/745 ,  H04L101/695

Abstract: 一种IPv4掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：压缩该TCAM芯片所存储的掩码五元组规则中的源端口SP字段及目的端口DP字段，删除协议号P字段，压缩后占10字节，并将原始掩码五元组规则中的协议号字P字段与该规则的匹配结果合并存储；接收报文并提取报文中的五元组信息，在TCAM芯片所存储的掩码五元组规则中查询；若查询命中匹配结果，则判断报文中的五元组信息与匹配结果相应的协议号P字段是否一致，若一致则输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置，能够有效解决TCAM资源浪费的问题，使TCAM得到充分的使用。

公开(公告)号：CN114330469A

公开(公告)日：2022-04-12

申请号：CN202110999637.6

申请日：2021-08-29

Applicant: 北京工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 王一鹏 ,  贺慧杰 ,  赖英旭 ,  云晓春

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种快速、准确的加密流量分类方法及系统，该方法包括模型构建阶段1、模型构建阶段2以及分类阶段。模型构建阶段1包括：对流序列进行短序列预处理；对短序列训练数据进行模型构建，生成早期快速检测模型。模型构建阶段2包括：对流序列进行长序列预处理；对长序列训练数据进行模型构建，生成细粒度分类模型。根据模型构建阶段2生成的细粒度分类模型对不能早期分类的流进行精细化分类，并输出其预测标签。本发明使用较多的数据报文将不能早期分类的流进行精细化分类，在网络流量分类过程既保证了高精度的同时又极大的减少了所有流等待数据报文所花费的时间，因此，能够同时满足高速与高精度的分类需求。

公开(公告)号：CN113723440A

公开(公告)日：2021-11-30

申请号：CN202110669055.1

申请日：2021-06-17

Applicant: 北京工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 王一鹏 ,  云晓春 ,  赖英旭

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种云平台上加密TLS应用流量分类方法及系统，该方法包括训练阶段和分类阶段；训练阶段包括：对加密TLS应用流量样本进行统一处理；对训练数据进行学习训练，构建应用分类模型；分类阶段包括：对未分类的加密TLS应用流量样本进行统一处理；根据训练阶段得到的应用分类模型，对待测流量样本的应用类型进行判别，并输出判别结果。本方法及系统通过提取网络流的报文长度序列并结合门限机制、自注意力机制等，从而实现了准确率、效率更优的“云”平台上加密TLS应用流量分类。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。