公开(公告)号：CN111541645A

公开(公告)日：2020-08-14

申请号：CN202010213474.X

申请日：2020-03-24

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 孙旭东 ,  李舒 ,  刘发强 ,  李钊 ,  李娅强 ,  张成伟 ,  张震 ,  杜梅婕

IPC: H04L29/06 ,  H04L29/12 ,  H04M7/00 ,  G06F16/2455 ,  G06F16/2458 ,  G06F16/248 ,  G06N5/02

Abstract: 本发明公开了一种VoIP服务知识库构建方法及系统。本方法为：1)在各选定的物理网关上分别部署一实时流量解析模块，用于从VoIP流量中解析出SIP协议和SDP协议，生成VoIP信令日志发送至消息队列；2)从各消息队列中实时读取VoIP信令日志并对其统一标准化；3)对标准化日志进行实时统计计算，并将统计计算结果实时存入实时结果数据库；4)定期从原始日志数据库中获取标准化日志进行聚合，得到各服务域名下的统计信息；然后基于服务域名下的统计信息和设定的判断条件判断该服务域名所代表的VoIP服务的网关类型、VoIP服务与PSTN的关系以及VoIP服务是否存在可疑行为，并将其保存在VoIP服务基础知识库。

公开(公告)号：CN109688043B

公开(公告)日：2020-05-22

申请号：CN201710975868.7

申请日：2017-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 张成伟 ,  刘庆云 ,  刘洋 ,  杨威

IPC: H04L12/58 ,  H04L12/26

Abstract: 本发明公开了一种IMAP协议多链接关联解析方法及系统。本方法为：1)从TCP链接中获取每一描述整封邮件的所有MIME块的头部信息的数据结构BODYSTRUCTURE；2)从该数据结构BODYSTRUCTURE中抽取MIME块头部，并根据MIME块头部所在的位置对其进行标号；3)对每一MIME块头部构造唯一键KEYx并将MIME块的头部信息加入哈希表；传输MIME实体的TCP链接捕获到MIME块实体的流量后，从流量中提取关键信息，生成与KEYx一致的键，根据键KEYx从该哈希表中获取对应的MIME头部信息。本发明具有更全面的监测能力，极大增强了进行哈希关联时的效率。

公开(公告)号：CN109688043A

公开(公告)日：2019-04-26

申请号：CN201710975868.7

申请日：2017-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 张成伟 ,  刘庆云 ,  刘洋 ,  杨威

IPC: H04L12/58 ,  H04L12/26

Abstract: 本发明公开了一种IMAP协议多链接关联解析方法及系统。本方法为：1)从TCP链接中获取每一描述整封邮件的所有MIME块的头部信息的数据结构BODYSTRUCTURE；2)从该数据结构BODYSTRUCTURE中抽取MIME块头部，并根据MIME块头部所在的位置对其进行标号；3)对每一MIME块头部构造唯一键KEYx并将MIME块的头部信息加入哈希表；传输MIME实体的TCP链接捕获到MIME块实体的流量后，从流量中提取关键信息，生成与KEYx一致的键，根据键KEYx从该哈希表中获取对应的MIME头部信息。本发明具有更全面的监测能力，极大增强了进行哈希关联时的效率。

公开(公告)号：CN105791460A

公开(公告)日：2016-07-20

申请号：CN201610121291.9

申请日：2016-03-03

Applicant: 中国科学院信息工程研究所

Inventor： 孙永 ,  刘晓梅 ,  赵静芬 ,  刘庆云 ,  张鹏 ,  喻灵婧 ,  张成伟

IPC: H04L29/12 ,  H04L29/08 ,  H04L29/06

CPC classification number: H04L61/1511 ,  H04L63/0236 ,  H04L67/2842

Abstract: 本发明涉及一种基于多维度聚合的DNS代理缓存优化方法和系统，该方法包括以下步骤：1)对请求非法域名进行过滤；2)若域名合法且域名在DNS代理缓存中命中，则直接应答用户请求，结束域名查询行为；否则转步骤3)；3)DNS代理缓存将域名请求转发给缓存域名服务器，接收缓存域名服务器的应答结果并进行存储；4)将合法域名按级依次插入多级哈希表中，为各个缓存项更新查询频数和查询时间；同时将末级域名的多应答IP按{网段号：主机号列表}进行聚合存储；5)若哈希冲突，则采用线性法处理冲突；6)若哈希表满，则根据更新频数和更新时间为每个表项计算替换概率，根据最小替换概率对表项进行替换。

公开(公告)号：CN112350986B

公开(公告)日：2023-06-23

申请号：CN202010987152.0

申请日：2020-09-18

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李扬曦 ,  张冬明 ,  郑超 ,  李舒 ,  张成伟 ,  杜梅婕 ,  张中一 ,  李钊

IPC: H04L65/60 ,  H04L47/2483 ,  H04L67/02 ,  H04L69/18 ,  H04L67/06

Abstract: 本发明涉及一种音视频网络传输碎片化的整形方法及系统。该方法的步骤包括：在实时网络流量中，识别音视频碎片化传输的数据流和信息流；将识别的音视频碎片传输的信息流存储在高性能消息队列中；在高性能消息队列中获取音视频碎片传输的信息流，对信息流进行分析处理；利用识别的音视频碎片传输的数据流与分析处理后的信息流，进行音视频碎片数据的关联，实现碎片化传输的音视频的整形。本发明高度概括了音视频碎片化传输的描述模型，能够涵盖目前已知的音视频碎片化传输的所有表现形式，音视频网络传输碎片化的整形具有通用性、灵活性，能够应对不同音视频服务提供商碎片化传输方式的差异性和动态变化。

公开(公告)号：CN114201698A

公开(公告)日：2022-03-18

申请号：CN202010981078.1

申请日：2020-09-17

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 徐小琳 ,  袁庆升 ,  王佩 ,  朱宇佳 ,  李钊 ,  尹姜谊 ,  李舒 ,  张成伟

IPC: G06F16/955

Abstract: 本发明提供一种基于URL特征的网站首页识别方法及电子装置，包括剔除待识别URL首部的http://字符或者https://字符，获取包含http://字符或https://字符的临时变量t1；按照“/”字符对临时变量t1进行拆分，并进行有效性判断；若不能拆分或仅能拆成两部分且第二部分为空，则判断临时变量t1是否包含是二级、三级或四级域名；若仅能拆成两部分、第二部分不为空且第二部分长度小于第一阈值，则判断第二部分是否包含特定字符；若临时变量t1包含是二级、三级或四级域名或第二部分包含特定字符，则判断待识别URL为首页URL。本发明无需训练分类器、人工标注大量数据集及对URL页面内容进行分析，解决了通过语义无法识别嵌套URL的情况，降低了误报率，节省人力与网络资源，提升了识别速度。

公开(公告)号：CN107612890B

公开(公告)日：2020-09-15

申请号：CN201710733192.0

申请日：2017-08-24

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  刘萍 ,  孙永 ,  刘庆云 ,  张成伟 ,  刘俊朋 ,  王凤梅

IPC: H04L29/06

Abstract: 本发明提供一种网络监测方法，其步骤包括：接收攻击窃密行为检测策略；根据其中的规则特征，对网络流量进行检测，发现攻击窃密行为；根据与攻击窃密行为检测策略对应的报文留存策略，对相应攻击窃密行为进行报文留存；并据以完成攻击窃密行为溯源。同时提供相应系统，包括存储器、接收器和处理器；存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令；接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略；处理器用于执行存储器中存储的上述方法对应的程序指令。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略，采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。

公开(公告)号：CN106407400B

公开(公告)日：2019-08-06

申请号：CN201610839140.7

申请日：2016-09-21

Applicant: 中国科学院信息工程研究所

Inventor： 郑超 ,  李响 ,  刘庆云 ,  李舒 ,  杨威 ,  张成伟 ,  汤琦

IPC: G06F16/2455 ,  G06N7/02

Abstract: 本发明公开了一种面向流式数据的实时摘要生成方法，采用存储中间计算结果的方法进行流式数据摘要计算，能够处理数据缺损、乱序和重叠的情况，并且采用矩阵的乘法运算作为强哈希算法减少内存占用，使得本发明能够使用较少的内存实时计算流式数据摘要。

公开(公告)号：CN107612890A

公开(公告)日：2018-01-19

申请号：CN201710733192.0

申请日：2017-08-24

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  刘萍 ,  孙永 ,  刘庆云 ,  张成伟 ,  刘俊朋 ,  王凤梅

IPC: H04L29/06

Abstract: 本发明提供一种网络监测方法，其步骤包括：接收攻击窃密行为检测策略；根据其中的规则特征，对网络流量进行检测，发现攻击窃密行为；根据与攻击窃密行为检测策略对应的报文留存策略，对相应攻击窃密行为进行报文留存；并据以完成攻击窃密行为溯源。同时提供相应系统，包括存储器、接收器和处理器；存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令；接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略；处理器用于执行存储器中存储的上述方法对应的程序指令。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略，采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。

公开(公告)号：CN113938491A

公开(公告)日：2022-01-14

申请号：CN202111027263.8

申请日：2021-09-02

Applicant: 中国科学院信息工程研究所

Inventor： 蒋卓君 ,  杨嵘 ,  王凤梅 ,  张成伟 ,  张中一 ,  郭江 ,  李舒 ,  刘庆云

IPC: H04L67/104 ,  H04L9/40 ,  H04L9/32 ,  H04L41/0631 ,  H04L67/06

Abstract: 本发明涉及一种基于区块链技术的指令数据可溯源的防篡改方法和系统。本发明主要包括：1)基于区块链的指令防篡改技术：通过链表和二叉树的区块链结构保存各个指令下发阶段文件的摘要函数值，采用减少下发区块的数据量来缩短上下游的通信时间，并跟随正常业务指令一起下发，节约带宽成本；当文件遭到篡改时不影响后续指令下发的安全性，并根据区块链上各个环节文件的摘要函数值进行快速定位，再配合告警机制做到对篡改行为的及时发现和有效处理。2)基于双链动态调节的指令一致性校验技术：在功能端节点建立两条区块链，通过双链的首尾相连、区块确认和正式上链等方式来实现下游业务系统的实时校验，解决了现有技术中频繁解密带来的性能问题。