公开(公告)号：CN102833240B

公开(公告)日：2016-02-03

申请号：CN201210294945.X

申请日：2012-08-17

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  李书豪 ,  张永铮 ,  臧天宁 ,  王一鹏

IPC: H04L29/06 ,  G06F21/55

Abstract: 本发明涉及一种恶意代码捕获方法及系统。恶意代码捕获方法包括：从多种电子邮件数据源中获取邮件数据；解析所述邮件数据，将所述邮件数据中根据设定的漏报率无法排除的文件记录为可疑文件，并将该可疑文件保存到可疑文件数据库中；利用恶意代码特征数据库和人工检测对所述可疑文件进行检测，将检测结果为异常的可疑文件保存到所述恶意代码样本数据库。本发明的恶意代码捕获方法及系统可以应用于相关的蜜罐与蜜网系统中，能够增加捕获对象的覆盖范围，提升恶意代码的捕获能力。

公开(公告)号：CN103516555A

公开(公告)日：2014-01-15

申请号：CN201310503387.8

申请日：2013-10-23

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  王曦 ,  常鹏 ,  王勇 ,  臧天宁 ,  李高超 ,  薛晨 ,  吴震

IPC: H04L12/24

Abstract: 本发明涉及一种网络设备监控方法及系统。网络设备监控方法包括：按照网络设备的类型为网络设备创建设备模型文件，设备模型文件中指明网络设备对各监控项目所承载的协议，协议包括SNMP协议和/或Telnet协议，若为SNMP协议，则设备模型文件中还指明该监控项目对应的对象标识符OID，若为Telnet协议，则设备模型文件中还指明该监控项目对应的命令语句和结果解析语法；添加被监控网络设备，并为被监控网络设备选择监控项目；读取被监控网络设备的设备模型文件，获取为该被监控网络设备所选择的监控项目所承载的协议及该协议对应的相关信息；根据选择的监控项目及其所承载的协议对被监控网络设备进行监控。本发明的网络设备监控方法及系统具有高扩展性和高兼容性。

公开(公告)号：CN103516550A

公开(公告)日：2014-01-15

申请号：CN201310455753.7

申请日：2013-09-29

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 云晓春 ,  陈训逊 ,  王东安 ,  张晓明 ,  张永铮 ,  王曦 ,  杜飞 ,  王勇 ,  臧天宁

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种面向大规模包分类规则集的规则冲突检测方法及系统，所述方法包括：步骤1，接收并解析规则；步骤2，将解析后的规则划分为全前缀规则、非全前缀规则和无前缀规则；步骤3，采用源IP-目的IP双层哈希表HSIP-DIP或目的IP哈希表H*-DIP组织全前缀规则集，并对应在HSIP-DIP或H*-DIP中进行规则的增加、删除或查询；步骤4，采用源IP-目的IP双维Tire树TSIP-TDIP组织非全前缀规则集，并在TSIP-TDIP中进行规则的增加、删除或查询；步骤5，采用链表L*-*组织无前缀规则集，并在L*-*中进行规则的增加、删除或查询；步骤6，遍历HSIP-DIP、H*-DIP、TSIP-TDIP和L*-*中的每一个规则作为被检规则，检测与被检规则冲突的所有规则。本发明解决了现在技术中规则冲突算法存在的不足。

公开(公告)号：CN103516550B

公开(公告)日：2016-05-11

申请号：CN201310455753.7

申请日：2013-09-29

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 云晓春 ,  陈训逊 ,  王东安 ,  张晓明 ,  张永铮 ,  王曦 ,  杜飞 ,  王勇 ,  臧天宁

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种面向大规模包分类规则集的规则冲突检测方法及系统，所述方法包括：步骤1，接收并解析规则；步骤2，将解析后的规则划分为全前缀规则、非全前缀规则和无前缀规则；步骤3，采用源IP-目的IP双层哈希表HSIP-DIP或目的IP哈希表H*-DIP组织全前缀规则集，并对应在HSIP-DIP或H*-DIP中进行规则的增加、删除或查询；步骤4，采用源IP-目的IP双维Tire树TSIP-TDIP组织非全前缀规则集，并在TSIP-TDIP中进行规则的增加、删除或查询；步骤5，采用链表L*-*组织无前缀规则集，并在L*-*中进行规则的增加、删除或查询；步骤6，遍历HSIP-DIP、H*-DIP、TSIP-TDIP和L*-*中的每一个规则作为被检规则，检测与被检规则冲突的所有规则。本发明解决了现在技术中规则冲突算法存在的不足。

公开(公告)号：CN102833240A

公开(公告)日：2012-12-19

申请号：CN201210294945.X

申请日：2012-08-17

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  李书豪 ,  张永铮 ,  臧天宁 ,  王一鹏

IPC: H04L29/06 ,  G06F21/00

Abstract: 本发明涉及一种恶意代码捕获方法及系统。恶意代码捕获方法包括：从多种电子邮件数据源中获取邮件数据；解析所述邮件数据，将所述邮件数据中根据设定的漏报率无法排除的文件记录为可疑文件，并将该可疑文件保存到可疑文件数据库中；利用恶意代码特征数据库和人工检测对所述可疑文件进行检测，将检测结果为异常的可疑文件保存到所述恶意代码样本数据库。本发明的恶意代码捕获方法及系统可以应用于相关的蜜罐与蜜网系统中，能够增加捕获对象的覆盖范围，提升恶意代码的捕获能力。