公开(公告)号：CN104580001A

公开(公告)日：2015-04-29

申请号：CN201410849362.8

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所

Inventor： 张鹏 ,  丁嘉宁 ,  刘庆云 ,  杨嵘 ,  郑超 ,  孙永

IPC: H04L12/803 ,  H04L29/08

Abstract: 本发明公开了一种网络数据包处理动态负载均衡方法。本方法为：1)将网络中的数据处理节点分为若干分区，每个分区设置一分区均衡控制器；2)所述分区均衡控制器定期采集并更新所在分区中数据处理节点的状态，维护一所在分区内所有数据处理节点的状态信息表；3)主控制器向每个所述分区均衡控制器查询当前分区的状态，更新分区状态表，并根据每个分区的状态将数据包发送给状态为空闲或者正常的分区进行处理；其中，当数据包到达状态为正常的分区时，根据公式确定该分区中每个数据处理节点可分配的数据包；本发明可以在大量数据包未被处理时就对其做出整体的分配，无需等到数据包处理过程中观察系统状态再做出调整。

公开(公告)号：CN103632048A

公开(公告)日：2014-03-12

申请号：CN201310589762.5

申请日：2013-11-20

Applicant: 中国科学院信息工程研究所

Inventor： 孙永 ,  柳厅文 ,  刘洋 ,  杨威 ,  刘庆云 ,  郑超 ,  杨嵘 ,  周舟

IPC: G06F19/00

Abstract: 本发明涉及一种度量正则表达式状态复杂度的方法及装置。度量正则表达式状态复杂度的方法包括：步骤一，判断给定非确定型有限自动机M中任意两状态p、q间的卷曲关系，该卷曲关系为如下五种关系之一：互斥关系、等价关系、包含于关系、包含关系、独立关系，M=(Q,Σ,δ,q0,F)，其中，Q是一个有穷集，Q的每个元素称为一个状态,Σ是一个有穷字母表，Σ的每一个元素称为一个输入字符,δ是状态转移函数,q0∈Q,q0是唯一的一个开始状态,F是终止状态集；步骤二，根据步骤一的判断结果估计正则表达式的状态复杂度，该状态复杂度即对M确定化得到的确定型有限自动机M′的状态数目|Q′|，M′=(Q′,Σ,δ′,q0′,F′)。本发明的度量正则表达式状态复杂度的方法及装置，能够快速地得到一个合理的估计值，提高度量效率。

公开(公告)号：CN114489949A

公开(公告)日：2022-05-13

申请号：CN202210096529.2

申请日：2022-01-26

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  郑超 ,  王宇翔 ,  高海华 ,  王建凯 ,  邓启晴

IPC: G06F9/455 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于深度强化学习的安全性容器放置方法及系统，其方法包括：S1：接收待分配容器的分配请求序列，初始化待分配容器的放置策略；S2：将当前数据中心的状态输入策略神经网络，输出当前放置策略，执行动作action，将请求序列中的一个容器放置在一个工作节点后，更新数据中心状态；S3：重复S2，依次放置分配请求序列中的下一个容器，待分配请求序列中所有容器放置完毕后，计算容器同驻率、用户负载均衡指标值以及奖励；将奖励作为反馈指导下一轮训练并更新网络参数；S4：按照预设轮次重复S1～S3，获取各轮次中奖励最高的动作序列作为放置策略。本发明提供的方法可在保证用户负载均衡的同时减小不同用户间容器同驻的概率，缓解容器间安全威胁。

公开(公告)号：CN109672701A

公开(公告)日：2019-04-23

申请号：CN201710958184.6

申请日：2017-10-16

Applicant: 中国科学院信息工程研究所

Inventor： 李佳 ,  刘庆云 ,  郑超 ,  杨威

IPC: H04L29/08 ,  H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种差异化TCP链接管理方法及设备。本方法为：对当前TCP链接中的数据包，根据其四元组信息在TCP流表中查找匹配的四元组；如果没有匹配的四元组，则根据该四元组信息在TCP流表中新建一TCP流管理结构，根据数据包的特征识别TCP链接的协议类别并设置TCP链接的最大乱序数阈值；如果存在匹配的四元组，则根据数据包的序号SEQ大于该TCP链接期待到达的数据包序号EXP_SEQ，则判定数据包为对应TCP链接的乱序包，如果乱序包数量未超过对应的最大乱序数阈值，则缓存该乱序包并将乱序数计数加1；否则增大对应TCP链接的最大乱序数阈值，清空该TCP链接的乱序包计数并将对应数据交付上层应用处理。

公开(公告)号：CN103632048B

公开(公告)日：2017-02-08

申请号：CN201310589762.5

申请日：2013-11-20

Applicant: 中国科学院信息工程研究所

Inventor： 孙永 ,  柳厅文 ,  刘洋 ,  杨威 ,  刘庆云 ,  郑超 ,  杨嵘 ,  周舟

IPC: G06F19/00

Abstract: 本发明涉及一种度量正则表达式状态复杂度的方法及装置。度量正则表达式状态复杂度的方法包括：步骤一，判断给定非确定型有限自动机M中任意两状态p、q间的卷曲关系，该卷曲关系为如下五种关系之一：互斥关系、等价关系、包含于关系、包含关系、独立关系，M=(Q,Σ,δ,q0,F)，其中，Q是一个有穷集，Q的每个元素称为一个状态,Σ是一个有穷字母表，Σ的每一个元素称为一个输入字符,δ是状态转移函数,q0∈Q,q0是唯一的一个开始状态, F是终止状态集；步骤二，根据步骤一的判断结果估计正则表达式的状态复杂度，该状态复杂度即对M确定化得到的确定型有限自动机M′的状态数目|Q′|，M′=(Q′,Σ,δ′,q0′,F′)。本发明的度量正则表达式状态复杂度的方法及装置，能够快速地得到一个合理的估计值，提高度量效率。

公开(公告)号：CN105897923A

公开(公告)日：2016-08-24

申请号：CN201610373851.X

申请日：2016-05-31

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 徐杰 ,  张成伟 ,  包秀国 ,  刘庆云 ,  云晓春 ,  郑超 ,  李舒 ,  李佳

IPC: H04L29/08 ,  G06F9/45

CPC classification number: H04L67/02 ,  G06F8/41

Abstract: 本发明公开了一种APP安装包网络流量识别方法。本方法为：1)将从网络流量中获取的APP安装包发送给在线识别引擎和离线解析引擎；2)离线解析引擎对收到的APP安装包进行解析，得到每一APP安装包信息；如果APP安装包信息符合设定条件，则将该APP安装包信息及其哈希特征保存到映射库中；3)在线识别引擎实时对接收到的APP安装包进行哈希计算，得到其哈希值hseg，然后根据该哈希值hseg查找所述映射库，如果存在对应的记录，则判断该APP安装包为该条记录标记的网络流量。本方法可以大大提高APP安装包识别效率。

公开(公告)号：CN104978006A

公开(公告)日：2015-10-14

申请号：CN201510256511.4

申请日：2015-05-19

Applicant: 中国科学院信息工程研究所

Inventor： 郑超 ,  郭欢 ,  刘庆云 ,  李佳 ,  杨嵘 ,  李舒 ,  郭莉

IPC: G06F1/32

Abstract: 本发明提供一种多线程模式下的低功耗空闲等待方法，包括以下步骤：1)当系统的多个线程需要进入等待状态时，创建一独立计时线程，用于针对调用系统提供的一条件等待函数；2)当所述多个线程中的一空闲线程需要usleep时，判断调用条件：3)所述独立计时线程进行计时一个周期后，判断所述多个线程中是否存在等待唤醒的线程，如存在，则唤醒前述空闲线程；4)进程退出时，关闭计时线程。本发明使同样的程序在系统中运行时，增加一个独立计时线程，但是，由于采用条件等待函数代替usleep函数实现空闲线程进入条件等待状态，而无需使系统的所有线程都处于usleep状态，从而大幅度地降低CPU的使用率。

公开(公告)号：CN103532764A

公开(公告)日：2014-01-22

申请号：CN201310507458.1

申请日：2013-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 杨嵘 ,  陈晨 ,  郑超 ,  刘洋 ,  孙永 ,  秦鹏 ,  周舟 ,  李佳

IPC: H04L12/24 ,  H04L1/22

Abstract: 本发明涉及一种多机热备份方法及系统。多机热备份方法包括：将热备份主机划分为多个层级；在同级的每组热备份主机组中通过同级协商确定本组唯一的一个活动态主机，所述活动态指激活状态，活动态主机用于对本层级主机的下级热备份主机进行控制；上级热备份主机通过本层级的活动态主机对下级热备份主机进行控制，上级热备份主机与下级热备份主机处于相邻的层级且上级热备份主机所在的层级高于下级热备份主机的层级。本发明的多机热备份方法及系统可以正确进行活动态主机的协商，并能够保证同级同组内有且只有一台主机处于活动态。本发明能够确保在高层应用的开发中，可以充分利用下层的热备份状态，因此提高了整个热备份系统的可扩展性。

公开(公告)号：CN112350986A

公开(公告)日：2021-02-09

申请号：CN202010987152.0

申请日：2020-09-18

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李扬曦 ,  张冬明 ,  郑超 ,  李舒 ,  张成伟 ,  杜梅婕 ,  张中一 ,  李钊

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851

Abstract: 本发明涉及一种音视频网络传输碎片化的整形方法及系统。该方法的步骤包括：在实时网络流量中，识别音视频碎片化传输的数据流和信息流；将识别的音视频碎片传输的信息流存储在高性能消息队列中；在高性能消息队列中获取音视频碎片传输的信息流，对信息流进行分析处理；利用识别的音视频碎片传输的数据流与分析处理后的信息流，进行音视频碎片数据的关联，实现碎片化传输的音视频的整形。本发明高度概括了音视频碎片化传输的描述模型，能够涵盖目前已知的音视频碎片化传输的所有表现形式，音视频网络传输碎片化的整形具有通用性、灵活性，能够应对不同音视频服务提供商碎片化传输方式的差异性和动态变化。

公开(公告)号：CN112019500A

公开(公告)日：2020-12-01

申请号：CN202010680117.4

申请日：2020-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 郑超 ,  石逢钊 ,  崔一鸣 ,  刘庆云

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种基于深度学习的加密流量识别方法及电子装置，包括：收集网络中的若干TLS流，获取每一TLS流中的ClientHello报文整数序列、ServerHello报文整数序列、end-entity certificate整数序列及前n个TLS应用数据报文组成的序列；提取ClientHello报文特征、ServerHello报文特征、end-entity certificate特征及序列特征，计算若干TLS流的时间相关性，得到流特征；将流特征输入一加密流量分类器进行分类，根据加密流量分类器输出的各数据来源预测概率值，获取产生若干TLS流的数据来源。本发明从原始的流量中提取特征，无需人工进行特征分析；结合了报文层次和流层次的特征，使得分类效果较好；使用浅层的网络结构，减小了分类时间，使得分类器适用于实时分类。