公开(公告)号：CN103309966B

公开(公告)日：2016-02-24

申请号：CN201310219213.9

申请日：2013-06-04

Applicant: 中国科学院信息工程研究所

Inventor： 王坤朋 ,  王伟平 ,  木伟民 ,  孟丹

IPC: G06F17/30

Abstract: 本发明涉及基于时间滑动窗口的数据流点连接查询方法，该方法将一定时间内到来的数据流的元组存入缓冲区，进而对缓冲区内的元组批量与其要连接的时间滑动窗口内的元组进行连接，将完成连接的元组批量删除，将未完成连接的元组批量插入到其对应的时间滑动窗口中；从而大大减少了对时间滑动窗口加锁和解锁操作次数；将缓冲区未完成连接的元组插入到其对应的时间滑动窗口时用顺序存储链表存储元组在时间滑动窗口中的位置，顺序存储链表的头结点中存储该缓冲区的开辟时间，避免查找时间滑动窗口中过期数据时对整个时间窗口进行遍历，只需对顺序存储链表头结点进行遍历，即可找到时间滑动窗口中一批过期元组，降低了运算量，提高了效率。

公开(公告)号：CN103001823B

公开(公告)日：2016-02-10

申请号：CN201210455486.9

申请日：2012-11-13

Applicant: 中国科学院信息工程研究所

Inventor： 郝志宇 ,  云晓春 ,  李伦 ,  孟丹 ,  张永铮

IPC: H04L12/26

Abstract: 本发明涉及一种基于多粒度抽象理论的虚拟网络构建方法及系统，所述方法包括：进行虚拟网络拓扑环境与应用场景配置；将配置转化为基于多粒度计算资源的虚拟化网络环境统一描述的配置文件；根据配置文件进行虚拟网络的场景解析，并对解析后的配置文件进行场景描述自动化分析；采用分布式无中心结构完成虚拟网络构建，进行不同粒度节点的网络流量能够无感融合。本发明通过采用数学模型、模拟、仿真、实物设备等多粒度的虚拟仿真方式构建虚拟网络，并实现不同粒度流量的无感融合，能够使平台具备细粒度的网络行为仿真能力，有效平衡虚拟网络建设成本与仿真真实性之间的矛盾。

公开(公告)号：CN104484594A

公开(公告)日：2015-04-01

申请号：CN201410643335.5

申请日：2014-11-06

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  李艳昭 ,  孟丹

IPC: G06F21/45

CPC classification number: G06F21/44 ,  G06F2221/2141

Abstract: 本发明公开了一种基于权能机制的linux系统特权分配方法。本方法为：1)安全模式下，设置用户角色配置文件和角色能力配置文件；2)根据系统的特权应用所需要的能力对其进行标记；服务器的TPM对配置文件和标记后的特权应用进行度量和写保护；3)开启TPM度量，进入系统工作模式；TPM对所述配置文件进行度量验证，通过后根据用户名查询配置文件获得对应的角色，读取该角色包含的能力集；4)PAM根据该角色对当前进程的能力进行标记，当调用某个应用时，如果是特权应用，则判断该应用所标记的能力集与进程所标记的能力集是否匹配，如果匹配则进程获取该特权应用的能力并执行该特权应用，否则拒绝执行。本方法易于管理和权限控制。

公开(公告)号：CN104156400A

公开(公告)日：2014-11-19

申请号：CN201410350005.7

申请日：2014-07-22

Applicant: 中国科学院信息工程研究所

Inventor： 陈重韬 ,  王伟平 ,  孟丹 ,  胡斌 ,  崔甲

IPC: G06F17/30

CPC classification number: G06F17/30312 ,  G06F17/30203 ,  G06F17/30516

Abstract: 本发明涉及一种海量网络流数据的存储方法及装置，包括以下步骤：采集任一时段内用户提交的数据查询请求，根据数据查询请求得到查询条件；分析查询条件中的时间属性及特征属性，选择超出预设出现频率的阈值的特征属性作为聚簇属性；为待查询数据选定分段的数量和分段的端点，根据划分的分段中待查询数据的存储量选定缓存区的大小，根据聚簇属性、待查询数据中分段的数量、分段的端点和待写入的缓存区的大小生成配置文件；采集机接收网络流数据并转发给文件服务器，文件服务器按照配置文件存储接收到的网络流数据。本发明使查询条件直接映射到相应的空间划分中，直接进行数据的写入或查询，在最大程度上降低加载和存储的开销的同时，保证查询性能。

公开(公告)号：CN103870314A

公开(公告)日：2014-06-18

申请号：CN201410080648.4

申请日：2014-03-06

Applicant: 中国科学院信息工程研究所

Inventor： 张章 ,  王旻 ,  汤学海 ,  周薇 ,  韩冀中 ,  孟丹

IPC: G06F9/455

Abstract: 本发明涉及一种单节点同时运行不同类型虚拟机的方法及系统，实现方法为，解析任务请求中包含的对运行虚拟机的资源需求；将CPU参数转换成cgroup框架可识别的参数，判断待创建的虚拟机类型，如果是轻量级虚拟机，直接将资源需求传递给底层cgroup框架，建立并启动轻量级虚拟机；如果是全虚拟机，接将资源需求传递给底层cgroup框架，cgroup框架创建一个容器，在容器中建立所需的全虚拟机；利用网桥技术和TBF令牌桶过滤器技术将建立的轻量级虚拟机或全虚拟机接入局域网并进行网络I/O控制；本发明使得不同类型的虚拟机可以共享一台物理机的资源，提供给用户一种简单、透明、统一使用虚拟机的接口，提高了资源利用率。

公开(公告)号：CN103530189A

公开(公告)日：2014-01-22

申请号：CN201310455128.2

申请日：2013-09-29

Applicant: 中国科学院信息工程研究所

Inventor： 王旻 ,  韩冀中 ,  李勇 ,  张章 ,  孟丹

IPC: G06F9/50

Abstract: 本发明涉及一种面向流式数据的自动伸缩及迁移方法，包括以下步骤：调度管理器包括收集模块、调度模块和监控模块，所述调度模块根据待调度作业的信息生成包括多个处理单元的处理单元队列;调度模块将所有处理单元分别分配给对应的物理节点，执行器在处理单元所在的物理节点上创建一个linux容器；收集模块通过监控linux容器的资源利用率得到处理单元的资源利用率；监控模块调整处理单元的资源配额；监控模块将处理单元迁移到其它的资源利用率低的物理节点上。本发明根据实际负载动态调整资源，避免资源浪费，提高了资源利用率，并提出一种处理单元迁移方法，在物理节点负载明显不均衡时，迁移特定的处理节点，实现了面向流式数据的动态负载均衡。

公开(公告)号：CN103401937A

公开(公告)日：2013-11-20

申请号：CN201310341764.2

申请日：2013-08-07

Applicant: 中国科学院信息工程研究所

Inventor： 韩冀中 ,  王旻 ,  李勇 ,  张章 ,  孟丹

IPC: H04L29/08

Abstract: 本发明涉及一种日志数据处理方法及系统。其中，日志数据处理方法包括：步骤一，设置每个发送端都与所有的服务器相连；步骤二，发送端为自身产生的每条日志分配一个日志标识；步骤三，发送端查询发送记录表中是否存在待发送日志的日志标识，若存在则从发送记录表中获取与该待发送日志的日志标识对应的服务器标识，该服务器标识对应的服务器即为选择的服务器；步骤四，发送端将待发送日志数据直接发送给选择的服务器。本发明的日志数据处理方法及系统，避免了负载均衡器成为性能瓶颈，使得应用本发明日志数据处理方法的系统具有良好的可扩展性，较好地适应了日志分析中输入数据量大、输出数据量小的特点。

公开(公告)号：CN103136338A

公开(公告)日：2013-06-05

申请号：CN201310042675.8

申请日：2013-02-04

Applicant: 中国科学院信息工程研究所

Inventor： 马灿 ,  王伟平 ,  孟丹

IPC: G06F17/30

Abstract: 本发明涉及一种基于目录划分的元数据分布方法，包括以下步骤：获取元数据中的文件名，得到名称文件；对目录进行目录划分，得到多个目录分片文件，并为每个目录分片文件分配一个目录分片号；分别为每个名称文件分配一个目录分片号，将名称文件保存在相应的目录分片文件中；将名称文件存储于当前的目录分片文件中或者将目录分片文件进行分裂，为分裂出的目录分片文件分配目录分片号，将名称文件存储于当前的目录分片文件中或者分裂后的目录分片文件中；根据目录分片号与预定值判断当前的目录分片文件分裂出的目录分片文件的存储位置。本发明提高了系统的并发度，利用了更多并行资源，利用本地性优势，减少对网络带宽的消耗，提升系统的整体性能。

公开(公告)号：CN111898119B

公开(公告)日：2024-08-09

申请号：CN202010599864.5

申请日：2020-06-28

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  陈李维 ,  李锦峰 ,  佘才睿 ,  史岗

IPC: G06F21/52

Abstract: 本发明实施例提供一种控制流完整性保护方法、装置、设备及存储介质，所述方法包括：将待保护程序的控制流中的当前间接分支指令的所有合法目标地址的预设位更改至相同；将当前间接分支指令的当前目标地址的预设位改写为与合法目标地址的预设位相同，以使待保护程序在当前目标地址被篡改时终止执行。本发明实施例通过将当前间接分支指令的所有合法目标地址的预设位更改至相同；并将当前目标地址的预设位改写为与合法目标地址的预设位一致，用预设位覆盖操作替代传统的标签比对，减小性能开销，提高攻击防御效率；使程序被篡改时由于目标指令的错误而触发异常终止执行，实现了细粒度控制流完整性保护，提高了控制流完整性保护的安全性与可靠性。

公开(公告)号：CN113887642B

公开(公告)日：2024-06-21

申请号：CN202111183417.2

申请日：2021-10-11

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  刘柱 ,  蔡利君 ,  赵力欣 ,  孟丹

IPC: G06F18/2411 ,  G06F18/2415 ,  G06F18/214 ,  G06N3/045

Abstract: 本发明涉及一种基于开放世界的网络流量分类方法及系统，其方法包括：步骤S1：构建基于孪生神经网络的SHE‑Net模型，以开放世界网络流量作为样本集，获取样本集的低维特征向量，低维特征向量中含有序列特征向量和空间特征向量；同时，构建互补损失函数训练困难样本；其中，SHE‑Net模型包括：字节编码器、包编码器和流编码器；步骤S2：根据低维特征向量，利用基于阈值和支持向量机的检测器，对开放世界网络流量进行分类和预测。本发明提供的方法构建了双分支三级编码器的SHE‑Net模型，增强网络流量识别的鲁棒性和泛化性，并构建互补损失函数，解决了孪生神经网络的对比损失函数的收敛不稳定的问题。