公开(公告)号：CN113127149A

公开(公告)日：2021-07-16

申请号：CN202110265368.0

申请日：2021-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 屈天恒 ,  郝志宇 ,  丁振全 ,  程丰 ,  陈宇 ,  李大辉

IPC: G06F9/455 ,  G06F11/30 ,  G06F21/56

Abstract: 本发明涉及一种基于自省技术的虚拟机安全监控方法及系统。该方法包括：建立虚拟机行为的插件库，根据监控指令从插件库中选择所要监控的插件，读取插件库中的API函数名称以及API函数的相对偏移地址，计算出API函数的虚拟地址；读取插件库中API函数的虚拟地址，保存其存储的机器码，然后将该虚拟地址存储的机器码修改为中断指令的机器码；虚拟机访问修改后的该虚拟地址并触发中断后，对虚拟机进行语义解析；语义解析完成后将该虚拟地址中存储的原机器码写回该虚拟地址中，设置虚拟机为单步执行后恢复虚拟机执行。本发明动态接收用户对主机行为的检测需求，调用相应行为插件库，能够对虚拟机进行高性能、高精准、高覆盖的行为监控。

公开(公告)号：CN112804081A

公开(公告)日：2021-05-14

申请号：CN202011559182.8

申请日：2020-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 李玉博 ,  郝志宇 ,  费海强 ,  崔磊 ,  陈宇

IPC: H04L12/24 ,  H04L12/46 ,  H04L12/751

Abstract: 本发明公开了一种虚拟网络拓扑构建及动态变更的方法，其步骤包括：1)使用图结构G＝＜V,E>描述虚拟网络拓扑结构；采用类的数据结构存储图结构G属性信息，包括：网络拓扑唯一编号、网络拓扑名称、图结构信息、顶点列表、顶点个数和边的个数；2)根据虚拟网络拓扑结构描述信息创建虚拟基础网桥和结点对应的虚拟化设备，并确定每一顶点所对应的全部网卡信息，并将虚拟化设备中的各虚拟网卡连接至虚拟基础网桥；3)启动虚拟化设备，根据边属性设置虚拟化设备的网卡信息；4)根据虚拟网络拓扑结构描述信息中的边属性，得出各边的始点及终点的网卡名称并将其依次添加到OpenFlow流表；5)网络拓扑变更包括网络结点变更和网络连接关系变更。

公开(公告)号：CN112737815A

公开(公告)日：2021-04-30

申请号：CN202011469878.1

申请日：2020-12-15

Applicant: 中国科学院信息工程研究所

Inventor： 李伦 ,  郝志宇 ,  刘明宇 ,  李大辉 ,  高锦 ,  武庆臣 ,  邵齐

IPC: H04L12/24

Abstract: 本发明提出了一种动态配置网络模拟器事件队列的方法及系统。动态配置网络模拟器事件队列的方法，包括：步骤一、构建虚拟网络拓扑，并初始化网络模拟器的事件队列；步骤二、创建父进程；步骤三、控制父进程创建子进程；步骤四、控制当前子进程执行当前事件队列的调度任务，父进程实时监听用户的动态配置信号；步骤五、判断父进程是否监听到动态配置信号，若是，结束当前子进程，父进程向事件队列添加动态配置的事件，返回步骤三，否则，返回步骤四。采用本发明，在网络模拟器运行之后可以根据用户需求继续向事件队列中添加事件，并通过创建父子进程，可以清晰的管理网络模拟器，使得网络模拟器在特定时间点继续调度事件队列中后续的事件。

公开(公告)号：CN106921758B

公开(公告)日：2020-01-07

申请号：CN201710078352.2

申请日：2017-02-14

Applicant: 中国科学院信息工程研究所

Inventor： 孙振喜 ,  郝志宇 ,  费海强 ,  李伦 ,  邓鑫

IPC: H04L29/12 ,  H04L12/24

Abstract: 本发明提供一种面向分布式网络仿真平台的子网识别方法，步骤包括：1.预处理阶段：根据输入文件中所含的每块网卡的对端节点的nodeid找到对端网卡的interfaceid，并将该interfaceid写入该文件中；2.子网识别阶段：2‑1.读取经上述步骤处理的输入文件，获取所有节点的网络类型及网卡信息；2‑2.从节点的网络类型及网卡信息中获取每条链路的两端节点的网络类型，识别两端网卡所属的子网。本发明能够提高IP地址利用率和IP地址分配效率，确保IP地址分配在支持节点网络类型和节点连接关系方面灵活可扩展，解决分布式网络仿真平台中IP地址合理且高效分配的问题。

公开(公告)号：CN106843756B

公开(公告)日：2019-12-31

申请号：CN201710024148.2

申请日：2017-01-13

Applicant: 中国科学院信息工程研究所

Inventor： 郝志宇 ,  徐晶 ,  崔磊 ,  彭亚琼

IPC: G06F3/06 ,  G06F12/02

Abstract: 本发明提供一种基于页面分类的内存页面回收方法及系统，该方法步骤为：定时循环扫描主机中所有内存页面所对应的“struct page”结构，根据该“struct page”结构分析内存页面在主机中的页面类型；当内存页面在主机中的页面类型为匿名页面时根据主机内核提供的逆向映射关系判断内存页面是否属于客户机进程，求出属于客户机进程的内存页面在客户机中的“struct page”结构，根据该“struct page”结构分析内存页面在客户机中的页面类型；根据上述页面分类信息将所有页面链接到相应类型链表上；读取每种类型页面的数量，按照客户机页面分类回收顺序模型确定当前时刻的回收策略，根据该回收策略回收内存页面。

公开(公告)号：CN106843806B

公开(公告)日：2019-04-26

申请号：CN201611186222.2

申请日：2016-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 彭亚琼 ,  郝志宇 ,  刘永继 ,  李大辉 ,  崔磊

IPC: G06F9/30 ,  G06F9/52

Abstract: 本发明公开了一种多核环境下基于数组结构的无等待栈操作方法。本方法为：1)主程序初始化代表栈的全局数组，即分配一个包含N个数组元素的段；2)启动m个线程，每个线程维护一存储自己运行状态的变量hi；该变量hi包含指针next、入栈伙伴指针和出栈伙伴指针；3)利用变量hi中的next指针，将该m个线程的运行状态链接为环状；4)该主程序等待接收线程对栈进行操作的请求；如果线程的操作请求为入栈请求，则执行无等待入栈操作；如果为出栈请求，则执行无等待出栈操作；如果销毁请求，则该主程序首先销毁栈，然后包括主程序在内的所有线程结束执行。本发明具有高并行度、低复杂度，为线程的操作提供无等待的进度保障。

公开(公告)号：CN108512811A

公开(公告)日：2018-09-07

申请号：CN201710107443.4

申请日：2017-02-27

Applicant: 中国科学院信息工程研究所

Inventor： 邓鑫 ,  郝志宇 ,  丁振全 ,  费海强 ,  刘永继 ,  李大辉

IPC: H04L29/06 ,  H04L12/46 ,  H04L12/24

Abstract: 本发明公开了一种基于SDN的虚拟网络隔离方法及SDN控制器，能够在多租户的数据中心网络中隔离各个租户的虚拟网络，使得每个租户都拥有完整得地址空间，保证服务质量的同时增加了虚拟网络的安全性。具有如下优点：1.通过覆盖网络技术实现网络之间隔离，无需对现有网络基础设施进行配置，减少人为干预，实现自动化隔离配置；2.支持租户网络数量大幅度增加；3.可以提供给用户整个ipv4地址空间，并且用户可以在自己租用的虚拟网络内部建立vlan；4.对于用户租用网络的带宽资源可以进行限制；5.给虚拟网络用户提供部分应用的服务质量保障功能，如音频视频等；6.提供管理员接口，管理员可以随时查看各个租户的网络状态。

公开(公告)号：CN106817231A

公开(公告)日：2017-06-09

申请号：CN201510890303.X

申请日：2015-12-07

Applicant: 中国科学院信息工程研究所

Inventor： 崔磊 ,  郝志宇 ,  李伦 ,  费海强

IPC: H04L12/18 ,  H04L12/761 ,  H04L29/08 ,  G06F9/455 ,  G06F12/08

CPC classification number: H04L67/1097 ,  G06F9/45504 ,  G06F12/08 ,  H04L12/185 ,  H04L45/16

Abstract: 本发明公开了一种基于组播技术的虚拟集群回滚方法及系统。本方法为：1)存储集群从快照文件中识别出数据相同的虚拟机页面，然后根据虚拟机与物理机的对应关系确定出需要组播或单播的虚拟机页面，对虚拟机页面进行数据包封装；2)存储集群判断当前待发送的数据包是否为组播数据包，如果为组播数据包，则通知该组播数据包待发往的物理机加入到一组播组中，然后将该组播数据包发送到该组播组中；物理机对收到的组播数据包进行解析，将组播数据包中的虚拟机页面恢复到相应的地址；如果为单播数据包以单播形式发送到对应物理机，物理机将该数据包中的虚拟机页面恢复到相应的地址。本发明能够对虚拟集群进行快速的回滚，并减少传输数据量。

公开(公告)号：CN103428199B

公开(公告)日：2017-02-08

申请号：CN201310195276.5

申请日：2013-05-23

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  常鹏 ,  郝志宇

IPC: H04L29/06

Abstract: 本发明涉及适用于IPv6的信息防泄漏方法及系统，包括以下步骤：获取待处理的网络数据包，解析网络数据包得到数据报文；对数据报文进行负载均衡处理得到负载内容；判断负载内容是否为满足IPSec的协商报文，如果是，对负载内容按照协商阶段处理，得到协商信息，否则进行解密处理；对解密后的解密信息进行特定信息匹配，根据匹配结果，对解密信息进行数据处理；根据协商信息或处理结果，判断协商阶段处理或数据处理是否完成，在协商阶段处理和数据处理完成后，转入步骤2继续处理下一报文；在所有报文处理完成后，结束处理。本发明能够应对IPv6及过渡环境的信息进行防泄漏分析处理；采用用户态的安全联盟处理方法，不依赖系统环境，扩展性强，处理性能好。

公开(公告)号：CN105515899A

公开(公告)日：2016-04-20

申请号：CN201510886081.4

申请日：2015-12-04

Applicant: 中国科学院信息工程研究所

Inventor： 李伦 ,  郝志宇 ,  孙振喜 ,  李大辉

IPC: H04L12/26

CPC classification number: H04L43/026 ,  H04L43/04

Abstract: 本发明涉及一种网络模拟路由器Netflow数据生成系统及方法。该系统包括网络模拟器主模块、Netflow配置模块、Netflow提取模块、Netflow缓存模块和Netflow输出模块。网络模拟器主模块异步调用Netflow处理程序，提取Netflow所需数据；Neflow配置模块配置生成Netflow所需的参数，Netflow提取模块在路由器上提取Netflow信息，并由Netflow缓存模块存入相应的缓存位置，Netflow输出模块在达到缓存输出条件时将Netflow信息输出至输出目标中。本发明可生成通用的Netflow数据，弥补网络模拟路由器缺少Netflow数据的缺陷。