公开(公告)号：CN103516550B

公开(公告)日：2016-05-11

申请号：CN201310455753.7

申请日：2013-09-29

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 云晓春 ,  陈训逊 ,  王东安 ,  张晓明 ,  张永铮 ,  王曦 ,  杜飞 ,  王勇 ,  臧天宁

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种面向大规模包分类规则集的规则冲突检测方法及系统，所述方法包括：步骤1，接收并解析规则；步骤2，将解析后的规则划分为全前缀规则、非全前缀规则和无前缀规则；步骤3，采用源IP-目的IP双层哈希表HSIP-DIP或目的IP哈希表H*-DIP组织全前缀规则集，并对应在HSIP-DIP或H*-DIP中进行规则的增加、删除或查询；步骤4，采用源IP-目的IP双维Tire树TSIP-TDIP组织非全前缀规则集，并在TSIP-TDIP中进行规则的增加、删除或查询；步骤5，采用链表L*-*组织无前缀规则集，并在L*-*中进行规则的增加、删除或查询；步骤6，遍历HSIP-DIP、H*-DIP、TSIP-TDIP和L*-*中的每一个规则作为被检规则，检测与被检规则冲突的所有规则。本发明解决了现在技术中规则冲突算法存在的不足。

公开(公告)号：CN103347067B

公开(公告)日：2016-04-20

申请号：CN201310259810.4

申请日：2013-06-26

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  李书豪 ,  尹涛 ,  庹宇鹏

IPC: H04L29/08

Abstract: 本发明涉及一种远程控制重构方法及系统。远程控制重构方法包括：获取昵称参数，根据预设的昵称生成规则，利用昵称参数生成设定数目的昵称和与昵称对应的统一资源定位符URL，分别存放在昵称列表和URL列表中，昵称与URL一一对应，昵称用于构建虚拟主机，URL用于访问虚拟主机；从昵称列表中选择设定数目的昵称在互联网公共平台上注册，构建虚拟主机；接收重构请求，向虚拟主机发布可用的命令与控制服务器地址信息；访问虚拟主机，获取可用的命令与控制服务器地址信息并发送给远程控制系统，远程控制系统用该可用的命令与控制服务器替换失效的命令与控制服务器，实现远程控制系统重构。本发明能够有效提高远程控制系统的控制能力与抗毁能力。

公开(公告)号：CN103078769B

公开(公告)日：2016-01-06

申请号：CN201310009842.9

申请日：2013-01-10

Applicant: 中国科学院信息工程研究所

Inventor： 费海强 ,  郝志宇 ,  云晓春 ,  张永铮 ,  李伦 ,  丁振全 ,  孟丹

IPC: H04L12/26 ,  H04L12/911

Abstract: 本发明涉及一种实现实物设备无缝接入网络模拟器的系统及方法，所述系统包括实物设备（如主机和路由器）、实物设备接入系统和网络模拟器，其中实物设备接入系统包括ARP应答模块、接入测试模块、捕包器模块和转发器模块；ARP应答模块用于保证所有从实物设备发出的数据包首先到达系统监听的网卡；接入测试模块用于实时检测实物设备的接入信息；捕包器模块用于捕获所有接入的实物设备发出的真实网络数据包，并根据真实网络数据包的类型向其他模块转发；转发器模块用于实现虚拟网络数据包与真实网络数据包的转换和转发。本发明涉及的实物设备接入网络模拟器的方法与上述系统相对应。本发明实现实物设备的无缝接入及真实路由器的接入。

公开(公告)号：CN104933365A

公开(公告)日：2015-09-23

申请号：CN201510398325.4

申请日：2015-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  乔延臣 ,  云晓春

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明公开了一种基于WinAPI调用习惯的恶意代码自动化同源判定方法及系统，根据某作者的恶意代码样本集构建该作者的WinAPI调用习惯模型并选择同源判定阈值，依据WinAPI调用习惯模型与同源判定阈值判定待测样本是否同源，与人工同源判定相比，在保持高准确率的前提下大大提高了同源判定的效率，适合已知某作者多个样本，在海量样本集中或在线实时检测该作者所编写的其他恶意代码的场景。此外，本发明通过对比实验表明，与恶意代码家族判定相比，本发明具有跨家族同源判定的能力。

公开(公告)号：CN104933364A

公开(公告)日：2015-09-23

申请号：CN201510398323.5

申请日：2015-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  乔延臣

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明公开了一种基于调用行为的恶意代码自动化同源判定方法及系统。该方法首先提取两样本调用WinAPI的交集，基于WinAPI交集提取6类WinAPI调用行为，通过比较WinAPI的调用行为判定两样本是否同源。与手工同源判定相比，在保持高准确率的前提下大大提高了同源判定的效率，适合基于某特定样本在少量样本集中或在线实时捕获与该样本同源的其他恶意代码的场景，以快速发现不同攻击事件间的关联关系。本发明公开的系统可部署在恶意代码实时检测系统，用于快速检测与特定恶意代码同源的其他恶意代码样本，以有效防范新型恶意代码的传播，减轻危害降低损失。

公开(公告)号：CN104516687A

公开(公告)日：2015-04-15

申请号：CN201410806282.4

申请日：2014-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  郝志宇 ,  孙振喜 ,  张永铮 ,  李伦 ,  费海强 ,  丁振全

IPC: G06F3/06 ,  H04L29/08

CPC classification number: G06F3/0667 ,  G06F3/0655

Abstract: 本发明涉及一种Linux块设备的Windows远程映射方法。该方法在Linux系统中创建虚拟块设备文件，将Windows系统下的存储设备作为Linux系统中虚拟块设备文件所对应的实际物理设备；根据接入Windows系统的存储设备找到Windows内核中对应的设备对象指针，并创建Windows系统到Linux系统的TCP连接；Linux系统的虚拟块设备和Windows系统的USB存储设备采用TCP协议传输消息，根据TCP消息中的操作类型进行读操作或写操作。本发明通过扩展网络块设备到Windows系统平台的方式，简化了文件传输的操作过程，并且提高了数据传输效率。

公开(公告)号：CN104468262A

公开(公告)日：2015-03-25

申请号：CN201410652834.0

申请日：2014-11-17

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  王一鹏 ,  周宇

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明涉及一种基于语义敏感的网络协议识别方法及系统。在建模阶段，以特定应用协议的网络数据报文集合作为输入，利用Latent Dirichlet Allocation方法构建所分析协议的关键字模型；在训练阶段，依照协议关键字模型提取数据报文的分类特征信息，以获得的关键字特征向量作为输入，利用有监督机器学习方法对离线训练数据集学习训练，获得所分析协议的分类模型；在分类阶段，依照协议关键字模型提取数据报文的分类特征信息，利用协议分类模型对待测网络数据报文的协议属性做出判别，判断其是否属于目标协议的网络数据报文。本发明能够充分挖掘网络消息报文中潜在的协议语义信息，对多种网络协议进行有效的协议识别。

公开(公告)号：CN103716313A

公开(公告)日：2014-04-09

申请号：CN201310722437.1

申请日：2013-12-24

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  李书豪 ,  云晓春 ,  周宇 ,  常鹏

IPC: H04L29/06

Abstract: 本发明涉及一种用户隐私信息保护方法，包括以下步骤：步骤1：钩取模块接收接口调用操作，获取基本接口信息，采用重定向过滤方法，对可能访问敏感信息操作进行过滤分析；步骤2：解析模块接收终端设备发送的运行日志数据信息，并调用接口调用数据库中的信息，记录敏感操作的操作日志；步骤3：检测模块对可疑行为操作数据库中的信息进行处理，基于黑名单数据库中的信息，筛选出窃密操作，并将所述窃密操作行为信息存储到黑名单数据库中；步骤4：根据黑名单数据库中的窃密操作行为信息处理窃密操作。本发明能够监控窃密行为，发现潜在的窃密威胁，并阻断其操作；监测敏感信息流转；能够全面监控、保护用户隐私数据。

公开(公告)号：CN103226520A

公开(公告)日：2013-07-31

申请号：CN201310113105.3

申请日：2013-04-02

Applicant: 中国科学院信息工程研究所

Inventor： 王勇 ,  王树鹏 ,  张永铮 ,  吴广君 ,  李斌斌 ,  安丰春 ,  王曦

IPC: G06F12/08

Abstract: 本发明涉及一种集群内存自适应管理方法、服务器集群。其中，集群内存自适应管理方法包括：对于数据服务器集群中的每个数据服务器，在使用前对该数据服务器按照变步长加性增长方式进行内存预分配，将内存分割为设定数目的片组，每个片组的总容量相等，每个片组包含容量相等的多个分片。本发明的集群内存自适应调管理方法，采用优化模式的内存预先分配的策略，保证了内存的合理分片，从而提高了内存的存取效率，也减少了内存碎片的产生。此外，本发明的集群内存自适应调管理方法能够进行内存自适应调整，大大提高了内存的自治能力和稳定性。

公开(公告)号：CN105357322B

公开(公告)日：2019-04-26

申请号：CN201510918865.0

申请日：2015-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  郝志宇 ,  孙振喜 ,  张永铮 ,  李伦 ,  费海强 ,  丁振全

IPC: H04L29/08 ,  G06F9/455

Abstract: 本发明涉及一种基于拓扑划分的虚拟机分配方法。该方法据拓扑结构构建无向图模型，然后通过图的遍历分割实现拓扑划分，然后计算子图资源，并匹配物理服务器承载能力。本发明在分批创建虚拟机的情形中，通过构建图模型，综合考虑虚拟机资源请求信息和虚拟网络与物流网络之间的特点，更合理地分配虚拟机节点到物理服务器，不仅在保证虚拟机性能的前提下提高了物理服务器的资源利用率，而且能够降低网络带宽的占用率，从而保证虚拟机之间网络通信的高效。