公开(公告)号：CN105471764A

公开(公告)日：2016-04-06

申请号：CN201510783079.4

申请日：2015-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 王鹏 ,  刘延伟 ,  陈鑫 ,  徐震

IPC: H04L12/851

CPC classification number: H04L47/24

Abstract: 本发明公开了一种SDN网络中端到端QoS保障的方法。本方法为：1)对于每一到达SDN网络的新数据流，SDN网络控制器周期性的采集网络状态信息；2)SDN网络控制器根据采集到的网络状态信息计算传输该新数据流的所有备选路径的代价，确定出一最佳传输路径；3)SDN网络控制器将该最佳传输路径信息封装成流表项下发给该SDN网络的交换机节点，交换机节点根据流表项对收到的数据包进行转发。本发明设计了OpenFlow交换机的队列机制，并通过控制器对交换机的队列状态实时监控。当新的数据流到达时，根据路径上链路的传输时延和交换机节点队列的排队时延，结合当前链路的拥塞情况，选出一条代价最小的路径进行数据流的传输。

公开(公告)号：CN103268438B

公开(公告)日：2016-01-06

申请号：CN201310043799.8

申请日：2013-02-04

Applicant: 华为技术有限公司 ,  中国科学院信息工程研究所

Inventor： 汪丹 ,  张妍 ,  徐震 ,  于爱民 ,  吴晓昕 ,  周启慧

IPC: G06F21/45

Abstract: 本发明涉及基于调用链的Android权限管理方法及系统，系统包括：调用链构建模块，策略定制模块，策略判定模块、策略实施模块，方法为：1）应用组件对终端系统资源请求，调用系统API组件进行资源访问，构建应用组件调用链并设置属性,制定系统资源访问策略；2）调用系统API组件时定位应用组件所属调用链，根据该调用链属性进行策略判定与实施；3）若判定调用链属性满足所述策略，允许应用组件调用系统API组件访问系统资源成功，否则拒绝访问。本发明所采用的调用链构建方式避免了为每个组件构建调用链所引起的冗余，减轻了系统负担，其策略元素的多元化考虑了调用链上下文环境、调用链所有组件的权限要求，避免权限提升攻击。

公开(公告)号：CN105100802A

公开(公告)日：2015-11-25

申请号：CN201510504865.6

申请日：2015-08-17

Applicant: 中国科学院信息工程研究所

Inventor： 刘延伟 ,  要瑞宵 ,  周旭 ,  徐震

IPC: H04N19/30 ,  H04N19/37 ,  H04N19/597 ,  H04N19/146 ,  H04N21/262 ,  H04N21/2662

CPC classification number: H04N21/2662 ,  H04N21/26216

Abstract: 本发明公开了一种基于软件定义网络能耗感知的3D视频传输方法。本方法为：1)信源编码端采用可伸缩3D视频编码对待传输的3D视频进行编码，产生码率可伸缩的码流，包括深度数据码流和2D视频码流；2)控制器根据网络可用带宽确定要传输的2D视频码流数和深度数据码流数；其中2D视频码流数和深度数据码流数之和为np；然后控制器根据步骤1)编码得到的码流的带宽从网络中选取满足带宽需求的可用传输路径，然后从该可用传输路径中为每一码流选取一能耗最优的传输路径，得到一组传输路径；3)根据该组传输路径将待传输的码流传输到目的端。本发明可以减少3D视频传输过程中的能量消耗，降低运营成本，提高3D视频传输性能。

公开(公告)号：CN105072101A

公开(公告)日：2015-11-18

申请号：CN201510455076.8

申请日：2015-07-29

Applicant: 中国科学院信息工程研究所

Inventor： 黄亮 ,  姜帆 ,  荀浩 ,  马多贺 ,  王利明 ,  徐震

IPC: H04L29/06

CPC classification number: H04L63/0281 ,  H04L63/1425

Abstract: 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。

公开(公告)号：CN104601556A

公开(公告)日：2015-05-06

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/02

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN104378363A

公开(公告)日：2015-02-25

申请号：CN201410599147.7

申请日：2014-10-30

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  陈凯 ,  吕双双 ,  杨倩 ,  姜帆

IPC: H04L29/06 ,  H04L29/12 ,  H04L9/08

CPC classification number: H04L61/25 ,  H04L63/02 ,  H04L63/1433

Abstract: 本发明涉及一种动态应用地址转换方法及其网关系统，实现一种新的Web应用攻击防御方法；通过动态转换URL地址，转换应用系统的攻击面，隐藏Web应用的脆弱性，增加攻击者的攻击难度，大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁，提高了Web应用系统的安全性。

公开(公告)号：CN103561011A

公开(公告)日：2014-02-05

申请号：CN201310516638.6

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  杨婧 ,  李乃山

IPC: H04L29/06

Abstract: 本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统，系统包括：SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块；所述SDN控制器资源池监控器，用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机；所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测，当检测到针对控制器的盲DDoS攻击流时，所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量，有效防护针对控制器的盲DDoS攻击，保障SDN网络的可用性。

公开(公告)号：CN103268438A

公开(公告)日：2013-08-28

申请号：CN201310043799.8

申请日：2013-02-04

Applicant: 中国科学院信息工程研究所 ,  华为技术有限公司

Inventor： 汪丹 ,  张妍 ,  徐震 ,  于爱民 ,  吴晓昕 ,  周启慧

IPC: G06F21/45

Abstract: 本发明涉及基于调用链的Android权限管理方法及系统，系统包括：调用链构建模块，策略定制模块，策略判定模块、策略实施模块，方法为：1）应用组件对终端系统资源请求，调用系统API组件进行资源访问，构建应用组件调用链并设置属性,制定系统资源访问策略；2）调用系统API组件时定位应用组件所属调用链，根据该调用链属性进行策略判定与实施；3）若判定调用链属性满足所述策略，允许应用组件调用系统API组件访问系统资源成功，否则拒绝访问。本发明所采用的调用链构建方式避免了为每个组件构建调用链所引起的冗余，减轻了系统负担，其策略元素的多元化考虑了调用链上下文环境、调用链所有组件的权限要求，避免权限提升攻击。

公开(公告)号：CN103179115A

公开(公告)日：2013-06-26

申请号：CN201310086122.2

申请日：2013-03-18

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  王瑜 ,  徐震 ,  林东岱

IPC: H04L29/06

Abstract: 本发明公开了一种面向云电视终端跨云应用的云服务访问控制方。本方法为：1)云电视终端通过云服务商的云服务App客户端向统一身份认证中心系统申请一身份断言凭证；2)App客户端将该凭证发送给该云服务商的IdP中心；3)IdP中心为该云电视终端创建一账号，然后对该凭证和账号绑定并创建一云访问控制令牌返回给App客户端；4)App客户端对令牌进行本地存储；5)该云电视终端访问该云服务商提供的云服务时，App客户端监测本地是否存在该令牌，若不存在则拒绝该访问；若存在则将该令牌发送给IdP中心进行验证确定是否允许该访问。本发明保证了多系统的互联互通，简化了用户登录过程，用户体验效果好、业务耦合性低。

公开(公告)号：CN103067409A

公开(公告)日：2013-04-24

申请号：CN201310021832.7

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  宋晨 ,  杨婧 ,  徐震 ,  吕双双 ,  黄亮

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/66

Abstract: 本发明涉及一种WEB盗链防护方法及其网关系统，系统包括：网关配置模块、盗链防护标识生成分发模块和盗链防护标识提取验证模块，1）在客户端与WEB服务器间建立一前置网关，前置网关为其代理的WEB服务器配置盗链防护的文件类型，配置生效后启动盗链防护功能；2）前置网关根据所述客户端的请求类型判断资源请求是否在盗链防护文件类型中；3）对盗链防护标识进行提取验证，将满足设定条件的资源请求从所述前置网关转发到该WEB服务器。本发明能够及时确定盗链攻击并对资源访问进行拒绝，屏蔽了网站的Web服务器和操作系统的多样性和差异性，无需更改服务器上软件配置，对WEB服务也透明，不影响原有管理模式。