公开(公告)号：CN113254147B

公开(公告)日：2024-01-16

申请号：CN202110473606.7

申请日：2021-04-29

Applicant: 中国科学院信息工程研究所

Inventor： 屈天恒 ,  郝志宇 ,  丁振全 ,  程丰 ,  李大辉 ,  陈宇

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明公开了一种基于物理地址陷入的虚拟机行为监控方法及系统。本方法为：1)GPA寻址模块获取所要监控API对应的客户机物理地址GPA；2)如果GPA对应的GFN已被标记过，则将该GAP与API对应关系写入到函数查找哈希表中，否则将该GPA所对应的GFN设置为不可访问状态，然后将该GAP与API对应关系写入到函数查找哈希表中；3)当虚拟机调用一所要监控的API时，保存当前CPU寄存器值，组成一个事件放入事件缓冲区中等待处理；4)根据事件中的GPA字段找到对应API，对API参数还原并存入数据库中；5)从数据库中读取一进程的函数调用数据生成该进程的调用序列，将其与高危序列匹配，确定虚拟机安全状态。

公开(公告)号：CN106888115B

公开(公告)日：2019-08-02

申请号：CN201710070950.5

申请日：2017-02-09

Applicant: 中国科学院信息工程研究所

Inventor： 李大辉 ,  郝志宇 ,  刘永继 ,  李伦

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种网络拓扑构建方法与系统。本方法为：1)从用户配置的网络拓扑信息中解析出关于网络行为的必要信息，生成中间配置信息；2)按照节点信息、链路信息、路由信息对中间配置信息进行分类；3)将分类后的信息作为基础信息建立事件处理模型；4)该事件处理模型将事先预计发生的网络行为动作抽象成网络事件存入事件队列中；5)对于事件队列中的每一事件，通过查询该事件的节点信息、链路信息以及路由信息确定该事件的下一步网络行为动作的链路信息、节点信息、以及事件动作并生成新的网络事件插入到事件队列中，完成网络拓扑的构建。本发明突破了大估摸网络模拟的搭建瓶颈，提高了网络中信息的传递效率。

公开(公告)号：CN109582437A

公开(公告)日：2019-04-05

申请号：CN201811267347.7

申请日：2018-10-29

Applicant: 中国科学院信息工程研究所 ,  公安部第三研究所

Inventor： 崔磊 ,  郝志宇 ,  李大辉 ,  陈宇 ,  宋铮

IPC: G06F9/455 ,  G06F21/56

CPC classification number: G06F9/45558 ,  G06F21/56 ,  G06F2009/45587 ,  G06F2009/45591 ,  G06F2009/45595

Abstract: 本发明涉及一种基于内存类型感知的恶意进程检测方法和系统。该方法包括以下步骤：1)采用虚拟机自省技术，在虚拟机监控器层识别虚拟机的内存页面的类型；2)基于识别出的内存页面类型，建立内存页面与用户进程的关联关系，得到进程列表视图；将客户机中应用程序获取的进程列表视图以及步骤2)得到的进程列表视图进行对比，识别出隐藏的恶意进程。本发明利用内存类型识别对内存进行分类，通过只对关键内存进行逆向映射，减小了检测时需扫描的虚拟机内核数据结构，从而可以减小系统带来的性能损失；通过对分类后的内存逆向映射，建立内存与用户进程的关联，可以检测隐藏到用户空间及内核空间的进程，实现更为全面的恶意程序检测。

公开(公告)号：CN109586953B

公开(公告)日：2020-12-15

申请号：CN201811331673.X

申请日：2018-11-09

Applicant: 中国科学院信息工程研究所

Inventor： 李大辉 ,  郝志宇 ,  李伦 ,  陈宇

IPC: H04L12/24

Abstract: 本发明涉及一种基于数学模型虚拟网络的数据通信交互方法与系统。该方法对获取的外界网络的数据报文进行解析，将其转化为数学模型虚拟网络的数据信息；对数学模型虚拟网络中节点之间的数据信息进行仿真，生成能够与外界网络交互的数据报文。该方法通过大规模并行处理模式进行所述解析和所述仿真，实现在大规模网络事件模拟中能够实时地与外界网络进行数据交互。本发明针对基于数学模型的虚拟网络技术提供了可以与外界网络进行实时信息交互的解决方案，能够使基于数学模型的虚拟网络进行跨网络的网络仿真模拟任务，并且支持外界网络与基于数学模型的虚拟网络中的每一个节点进行通信，真正地做到了全覆盖数学模型虚拟网络。

公开(公告)号：CN105515899B

公开(公告)日：2018-12-28

申请号：CN201510886081.4

申请日：2015-12-04

Applicant: 中国科学院信息工程研究所

Inventor： 李伦 ,  郝志宇 ,  孙振喜 ,  李大辉

IPC: H04L12/26

Abstract: 本发明涉及一种网络模拟路由器Netflow数据生成系统及方法。该系统包括网络模拟器主模块、Netflow配置模块、Netflow提取模块、Netflow缓存模块和Netflow输出模块。网络模拟器主模块异步调用Netflow处理程序，提取Netflow所需数据；Neflow配置模块配置生成Netflow所需的参数，Netflow提取模块在路由器上提取Netflow信息，并由Netflow缓存模块存入相应的缓存位置，Netflow输出模块在达到缓存输出条件时将Netflow信息输出至输出目标中。本发明可生成通用的Netflow数据，弥补网络模拟路由器缺少Netflow数据的缺陷。

公开(公告)号：CN112737815B

公开(公告)日：2022-05-20

申请号：CN202011469878.1

申请日：2020-12-15

Applicant: 中国科学院信息工程研究所

Inventor： 李伦 ,  郝志宇 ,  刘明宇 ,  李大辉 ,  高锦 ,  武庆臣 ,  邵齐

IPC: H04L41/14 ,  H04L41/0894

Abstract: 本发明提出了一种动态配置网络模拟器事件队列的方法及系统。动态配置网络模拟器事件队列的方法，包括：步骤一、构建虚拟网络拓扑，并初始化网络模拟器的事件队列；步骤二、创建父进程；步骤三、控制父进程创建子进程；步骤四、控制当前子进程执行当前事件队列的调度任务，父进程实时监听用户的动态配置信号；步骤五、判断父进程是否监听到动态配置信号，若是，结束当前子进程，父进程向事件队列添加动态配置的事件，返回步骤三，否则，返回步骤四。采用本发明，在网络模拟器运行之后可以根据用户需求继续向事件队列中添加事件，并通过创建父子进程，可以清晰的管理网络模拟器，使得网络模拟器在特定时间点继续调度事件队列中后续的事件。

公开(公告)号：CN113254147A

公开(公告)日：2021-08-13

申请号：CN202110473606.7

申请日：2021-04-29

Applicant: 中国科学院信息工程研究所

Inventor： 屈天恒 ,  郝志宇 ,  丁振全 ,  程丰 ,  李大辉 ,  陈宇

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明公开了一种基于物理地址陷入的虚拟机行为监控方法及系统。本方法为：1)GPA寻址模块获取所要监控API对应的客户机物理地址GPA；2)如果GPA对应的GFN已被标记过，则将该GAP与API对应关系写入到函数查找哈希表中，否则将该GPA所对应的GFN设置为不可访问状态，然后将该GAP与API对应关系写入到函数查找哈希表中；3)当虚拟机调用一所要监控的API时，保存当前CPU寄存器值，组成一个事件放入事件缓冲区中等待处理；4)根据事件中的GPA字段找到对应API，对API参数还原并存入数据库中；5)从数据库中读取一进程的函数调用数据生成该进程的调用序列，将其与高危序列匹配，确定虚拟机安全状态。

公开(公告)号：CN110995561B

公开(公告)日：2021-05-07

申请号：CN201911241576.6

申请日：2019-12-06

Applicant: 中国科学院信息工程研究所

Inventor： 李大辉 ,  高锦 ,  李伦 ,  陈宇 ,  郝志宇

IPC: H04L12/46 ,  H04L12/741 ,  H04L12/751 ,  H04L29/12 ,  G06F9/455

Abstract: 本发明涉及一种基于容器技术的虚拟网络数据通信交互方法与系统。该方法对虚拟网络的docker节点创建网络命名空间，虚拟出docker节点的网卡并配置IP，以实现docker节点间的网络通信；通过对虚拟网络的边界网卡进行处理，将边界节点与主机网卡进行绑定，实现不同主机的docker节点间以及不同类型的节点间的数据连通性。本发明提高了docker节点构建虚拟网络的效率，实现了docker节点间以及docker节点虚拟网络与其他节点类型网络拓扑间的连通性和网络实时交互功能，增加了docker节点仿真虚拟网络实现各类网络行为的可用性，扩大了docker节点虚拟网络的应用领域。

公开(公告)号：CN108512678B

公开(公告)日：2020-12-25

申请号：CN201710107442.X

申请日：2017-02-27

Applicant: 中国科学院信息工程研究所

Inventor： 邓鑫 ,  郝志宇 ,  费海强 ,  李大辉 ,  刘永继

IPC: H04L12/24 ,  H04L12/46

Abstract: 本发明公开了一种基于overlay技术的实物设备接入虚拟网络的方法及系统，首先得出虚拟网络中实物设备接入点与相应的vxlan_id的对应关系，将vxlan_id分配的结果与br_in网桥相关联，在br_in网桥上添加端口与虚拟网络之间进行映射，然后将实物接入设备与br_out网桥中的vlan做映射，br_out为实物设备接入点的内部映射，通过vlan_id将实物设备接入点的端口映射到br_out上的虚拟端口，最终通过br_out和br_in上的流表控制vlan_id与vxlan_id的映射关系，使得虚拟网络的实物接入点映射到实物接入设备的端口上，从而将实物设备接入虚拟网络。

公开(公告)号：CN109586953A

公开(公告)日：2019-04-05

申请号：CN201811331673.X

申请日：2018-11-09

Applicant: 中国科学院信息工程研究所

Inventor： 李大辉 ,  郝志宇 ,  李伦 ,  陈宇

IPC: H04L12/24

Abstract: 本发明涉及一种基于数学模型虚拟网络的数据通信交互方法与系统。该方法对获取的外界网络的数据报文进行解析，将其转化为数学模型虚拟网络的数据信息；对数学模型虚拟网络中节点之间的数据信息进行仿真，生成能够与外界网络交互的数据报文。该方法通过大规模并行处理模式进行所述解析和所述仿真，实现在大规模网络事件模拟中能够实时地与外界网络进行数据交互。本发明针对基于数学模型的虚拟网络技术提供了可以与外界网络进行实时信息交互的解决方案，能够使基于数学模型的虚拟网络进行跨网络的网络仿真模拟任务，并且支持外界网络与基于数学模型的虚拟网络中的每一个节点进行通信，真正地做到了全覆盖数学模型虚拟网络。