公开(公告)号：CN106851440A

公开(公告)日：2017-06-13

申请号：CN201611126591.2

申请日：2016-12-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李焱余 ,  舒敏 ,  唐积强 ,  邹潇湘 ,  王维晟 ,  何清林

IPC: H04Q11/00 ,  H04L12/46 ,  H04L12/931 ,  H04L29/08

CPC classification number: H04Q11/0062 ,  H04L12/4641 ,  H04L49/70 ,  H04L67/10 ,  H04Q11/0005 ,  H04Q2011/0058 ,  H04Q2011/0086

Abstract: 本发明公开了一种面向光矩阵网络的资源任务调度方法，该方法包括的步骤有：将云计算体系中的网络设备与光矩阵设备进行组网；依据用户需求生成虚拟请求网络；将虚拟请求网络映射到光矩阵网络中，以完成虚拟请求网络所代表的资源任务调度，从而获得与虚拟请求网络逻辑同构的物理子网，最后将物理子网反馈给用户；在资源任务调度中包括有设备映射与链路映射两个阶段，运用贪婪策略优先映射非占用端口多的虚拟设备，并依赖光矩阵的属性优势，快速匹配虚拟设备之间的链路，从而找到满足用户需求的物理子网络。本发明方法能够更快捷地实现资源的自动化调度，且保证了正确率，以节省光矩阵的端口的利用率为出发点，优先选择在同一个光矩阵内部可匹配的物理设备。

公开(公告)号：CN106203117A

公开(公告)日：2016-12-07

申请号：CN201610547624.4

申请日：2016-07-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  张家琦 ,  王子厚 ,  王大伟 ,  朱佳伟 ,  刘培朋 ,  李海灵

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/566 ,  G06K9/6269

Abstract: 本发明公开了一种基于机器学习的恶意移动应用程序判定方法,通过对该应用程序的联网通讯行为是否为恶意行为进行自动学习和判定，进而判断该应用程序是否是恶意的方法；该方法涉及移动到应用程序检测等领域，可以用来开发类似检测功能的应用程序，单独安装在智能手机上使用，也可以支撑第三方检测机构开发专门的应用程序恶意检测工具包等。

公开(公告)号：CN105373601A

公开(公告)日：2016-03-02

申请号：CN201510755911.X

申请日：2015-11-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何睿 ,  吴昊 ,  汪立东 ,  何清林 ,  马秀娟 ,  张良 ,  张露晨 ,  李晓倩 ,  孙昊良

IPC: G06F17/30 ,  G06F21/55

CPC classification number: G06F16/245 ,  G06F21/55

Abstract: 本发明提供一种基于关键字词频特征的多模式匹配方法，首先从已知的信息数据库中提取关键字并统计出现频率作为其词频信息，其次采用构造含有关键字词频信息的二叉树完成其中的模式串匹配，在字符匹配过程中若出现字符不相等，则与该不匹配字符所在节点的兄弟节点所含字符进行匹配。其利用信息来源的模式的关键字词频信息构造基于字典树的二叉树完成其中的模式串的匹配，并与AC算法进行了比较。传统的AC算法需要维护三张表，并且在模式匹配过程中会频繁访问这三张表；本发明的一种基于关键字词频特征的多模式匹配方法更多的利用了模式本身的词频信息，并不需要维护过多的信息，这就大大减少了系统的内存消耗。

公开(公告)号：CN105302851A

公开(公告)日：2016-02-03

申请号：CN201510572332.1

申请日：2015-09-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  孙昊良 ,  吴昊 ,  张良 ,  王大伟 ,  汪立东

IPC: G06F17/30

CPC classification number: G06F17/30194

Abstract: 本发明提供一种基于文件序列化的自动机远程分发和初始化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。该方法包括步骤：S1.配置后端服务器，将特征和规则进行初始化生成自动机；S2.在所述后端服务器上将自动机序列化到本地，以文件形式存储；S3.配置分发网络和n台处理机，所述后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；S5.处理机根据新生成自动机进行特征的匹配和检测处理。

公开(公告)号：CN115442084A

公开(公告)日：2022-12-06

申请号：CN202210966921.8

申请日：2022-08-11

Applicant: 西北工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 崔琳 ,  杨黎斌 ,  王星 ,  何清林 ,  蔡晓妍 ,  戴航 ,  胡金灿 ,  王梦涵

IPC: H04L9/40 ,  G06N3/04

Abstract: 本发明公开了一种基于神经网络的僵尸网络态势预测方法和预测系统：S1、获得基础僵尸感染流量数据，划分为训练集、验证集和测试集；S2、构建僵尸网络感染预测框架；S3、使用训练集对僵尸网络感染预测框架进行训练，得到预训练的僵尸网络感染预测框架；S4、使用验证集进行迭代验证，得到僵尸网络感染预测框架；S5、使用测试集进行测试，若不符合则返回执行步骤S3，输出符合要求的僵尸网络感染预测框架；S6、使用符合预测要求的僵尸网络感染预测框对僵尸网络规模作出预测。本发明解决了现有僵尸网络感染过程中传播和演进特征的全面建模和僵尸网络规模预测框架构建问题，在僵尸网络未来态势规模的预测方面有较高的准确率。

公开(公告)号：CN115237977A

公开(公告)日：2022-10-25

申请号：CN202210796509.6

申请日：2022-07-06

Applicant: 西北工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  杨黎斌 ,  王梦涵 ,  蔡晓妍 ,  胡金灿 ,  崔琳

IPC: G06F16/2458 ,  G06F16/26 ,  G06K9/62 ,  G06Q10/06

Abstract: 本发明公开了一种网络威胁情报综合质量动态评估方法及系统，包括：步骤1、对网络威胁情报进行结构化定义：步骤2、情报源质量评估：利用情报源质量评估迭代算法对情报源的内容权威度authority和链接权威度hub进行评估；步骤3、情报内容质量评估：针对IP值相同或域名相同的两条情报，基于情报源、时间戳、威胁类别和描述标签这四个特征，计算其相似度；步骤4、情报质量综合动态评估。本发明提供的网络威胁情报综合质量动态评估方法综合考虑了情报源和情报内容等多个指标，多维度评估情报质量。

公开(公告)号：CN112235264B

公开(公告)日：2022-10-14

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L9/40 ,  H04L47/2483 ,  H04L47/2441 ,  H04L67/141 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。

公开(公告)号：CN111597109B

公开(公告)日：2022-03-11

申请号：CN202010335247.4

申请日：2020-04-24

Applicant: 清华大学 ,  国家计算机网络与信息安全管理中心

Inventor： 高健 ,  许怡文 ,  姜宇 ,  罗冰 ,  何跃鹰 ,  张晓明 ,  张嘉玮 ,  孙中豪 ,  曹可建 ,  李建强 ,  何清林 ,  王庆 ,  邢燕祯

IPC: G06F11/36 ,  G06F11/22 ,  G06F11/26

Abstract: 本发明实施例提供一种跨架构固件堆内存的缺陷检测方法及系统。该方法包括：获取仿真器和固件中的应用程序，在仿真器中基于二进制翻译技术对应用程序进行解析，使得应用程序与预设测试环境系统架构进行适配；通过遍历执行注册堆内存读写钩子函数和堆内存分配钩子函数，映射生成影子内存，基于影子内存执行预设内存缺陷检测算法，得到堆内存缺陷检测结果。本发明实施例通过仿真执行模块的跨平台特性，免于将检测工具部署到固件所在设备中，极大克服了传统内存检测工具需要部署到设备中的不切实际需求，提高对固件测试的效率，解决IoT设备存储空间有限的问题，同时内存缺陷检测模块也为在跨架构固件场景下检测多种堆内存缺陷提供有效解决方案。

公开(公告)号：CN108256115B

公开(公告)日：2022-02-25

申请号：CN201810142899.9

申请日：2018-02-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 马秉楠 ,  吕雁飞 ,  张鸿 ,  何清林 ,  惠榛

IPC: G06F16/182 ,  G06F16/172 ,  G06F16/14

公开(公告)号：CN112235264A

公开(公告)日：2021-01-15

申请号：CN202011042795.4

申请日：2020-09-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王进 ,  王丽宏 ,  陈训逊 ,  呼啸 ,  肖佃艳 ,  何跃鹰 ,  李政 ,  陈少鹏 ,  俞宙 ,  何清林 ,  孙中豪 ,  谷杰铭

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851 ,  G06N20/00

Abstract: 本发明实施例提供了一种基于深度迁移学习的网络流量识别方法及装置，涉及网络安全技术领域，可以识别新型网络流量。本发明实施例的技术方案包括：从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息。然后计算待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息。在计算的距离中的最短距离小于预设距离时，获得最短距离对应的类簇的目标类别。再将报文信息对应的报文二维数据矩阵和行为信息对应的行为二维数据矩阵输入目标类别的网络流量识别模型，确定待识别网络流量是否为恶意流量。