公开(公告)号：CN112350986A

公开(公告)日：2021-02-09

申请号：CN202010987152.0

申请日：2020-09-18

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李扬曦 ,  张冬明 ,  郑超 ,  李舒 ,  张成伟 ,  杜梅婕 ,  张中一 ,  李钊

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851

Abstract: 本发明涉及一种音视频网络传输碎片化的整形方法及系统。该方法的步骤包括：在实时网络流量中，识别音视频碎片化传输的数据流和信息流；将识别的音视频碎片传输的信息流存储在高性能消息队列中；在高性能消息队列中获取音视频碎片传输的信息流，对信息流进行分析处理；利用识别的音视频碎片传输的数据流与分析处理后的信息流，进行音视频碎片数据的关联，实现碎片化传输的音视频的整形。本发明高度概括了音视频碎片化传输的描述模型，能够涵盖目前已知的音视频碎片化传输的所有表现形式，音视频网络传输碎片化的整形具有通用性、灵活性，能够应对不同音视频服务提供商碎片化传输方式的差异性和动态变化。

公开(公告)号：CN105897923B

公开(公告)日：2019-04-30

申请号：CN201610373851.X

申请日：2016-05-31

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 徐杰 ,  张成伟 ,  包秀国 ,  刘庆云 ,  云晓春 ,  郑超 ,  李舒 ,  李佳

IPC: H04L29/08 ,  G06F8/53

Abstract: 本发明公开了一种APP安装包网络流量识别方法。本方法为：1)将从网络流量中获取的APP安装包发送给在线识别引擎和离线解析引擎；2)离线解析引擎对收到的APP安装包进行解析，得到每一APP安装包信息；如果APP安装包信息符合设定条件，则将该APP安装包信息及其哈希特征保存到映射库中；3)在线识别引擎实时对接收到的APP安装包进行哈希计算，得到其哈希值hseg，然后根据该哈希值hseg查找所述映射库，如果存在对应的记录，则判断该APP安装包为该条记录标记的网络流量。本方法可以大大提高APP安装包识别效率。

公开(公告)号：CN105897923A

公开(公告)日：2016-08-24

申请号：CN201610373851.X

申请日：2016-05-31

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 徐杰 ,  张成伟 ,  包秀国 ,  刘庆云 ,  云晓春 ,  郑超 ,  李舒 ,  李佳

IPC: H04L29/08 ,  G06F9/45

CPC classification number: H04L67/02 ,  G06F8/41

Abstract: 本发明公开了一种APP安装包网络流量识别方法。本方法为：1)将从网络流量中获取的APP安装包发送给在线识别引擎和离线解析引擎；2)离线解析引擎对收到的APP安装包进行解析，得到每一APP安装包信息；如果APP安装包信息符合设定条件，则将该APP安装包信息及其哈希特征保存到映射库中；3)在线识别引擎实时对接收到的APP安装包进行哈希计算，得到其哈希值hseg，然后根据该哈希值hseg查找所述映射库，如果存在对应的记录，则判断该APP安装包为该条记录标记的网络流量。本方法可以大大提高APP安装包识别效率。

公开(公告)号：CN112350986B

公开(公告)日：2023-06-23

申请号：CN202010987152.0

申请日：2020-09-18

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李扬曦 ,  张冬明 ,  郑超 ,  李舒 ,  张成伟 ,  杜梅婕 ,  张中一 ,  李钊

IPC: H04L65/60 ,  H04L47/2483 ,  H04L67/02 ,  H04L69/18 ,  H04L67/06

Abstract: 本发明涉及一种音视频网络传输碎片化的整形方法及系统。该方法的步骤包括：在实时网络流量中，识别音视频碎片化传输的数据流和信息流；将识别的音视频碎片传输的信息流存储在高性能消息队列中；在高性能消息队列中获取音视频碎片传输的信息流，对信息流进行分析处理；利用识别的音视频碎片传输的数据流与分析处理后的信息流，进行音视频碎片数据的关联，实现碎片化传输的音视频的整形。本发明高度概括了音视频碎片化传输的描述模型，能够涵盖目前已知的音视频碎片化传输的所有表现形式，音视频网络传输碎片化的整形具有通用性、灵活性，能够应对不同音视频服务提供商碎片化传输方式的差异性和动态变化。

公开(公告)号：CN110784460A

公开(公告)日：2020-02-11

申请号：CN201911011321.0

申请日：2019-10-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  张震 ,  杜梅婕 ,  金鑫 ,  郑超 ,  刘洋

IPC: H04L29/06 ,  H04M7/00

Abstract: 本发明公开了一种通话攻击检测方法、装置及可读存储介质，属于通信技术领域，获取发往各个终端的请求数量，并根据所述请求数量确定异常请求的统一资源标识符URI；从所述异常请求的URI提取高呼叫频率建立会话请求的URI以判定攻击者。本发明方法通过根据请求数量确定异常请求的统一资源标识符URI；从异常请求的URI提取高呼叫频率建立会话请求的URI以判定攻击者，由此解决了现有的存在的误报、漏报、检测率低的问题，取得了积极的技术效果。

公开(公告)号：CN110798461A

公开(公告)日：2020-02-14

申请号：CN201911011338.6

申请日：2019-10-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  杜梅婕 ,  王中华 ,  郑超 ,  张震 ,  刘洋

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/26

Abstract: 本发明公开了一种非对称路由网络下VoIP关联方法、装置及可读存储介质，所述方法包括如下步骤：采集非对称路由网络环境下的原始流量，并提取所述原始流量中的VoIP协议特征；分别提取与所述VoIP协议特征中的控制流和数据流相关联的key；整合控制流关联key和数据流关联key以生成完整的VoIP通话信息。本发明针对当前单一使用深度包检测技术无法实现VoIP业务的完整描述问题，实现了在非对称路由网络环境下，对VoIP控制流的识别及单向流关联，实现了在非对称路由网络环境下VoIP业务完整描述。

公开(公告)号：CN108733384A

公开(公告)日：2018-11-02

申请号：CN201810293818.5

申请日：2018-03-30

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何慧虹 ,  王勇 ,  吕雁飞 ,  赵丽 ,  史亮 ,  杨宇霆 ,  刘博 ,  郑超 ,  何路

IPC: G06F8/61 ,  G06F9/4401

CPC classification number: G06F8/63 ,  G06F9/4416

Abstract: 本发明提供了一种操作系统远程批量部署方法和系统，包括：通过服务端服务器配置操作系统部署任务，并将操作系统部署任务下发给多个代理端服务器；将任一代理端服务器设为第一缓存服务器，并为第一缓存服务器配置动态主机配置协议；由第一缓存服务器基于操作系统部署任务为剩余代理端服务器部署操作系统；将任一剩余代理端服务器设为第二缓存服务器同时配置动态主机配置协议，由第二缓存服务器为第一代理端服务器部署操作系统。该方法和系统能够大规模、跨地域的灵活部署操作系统，克服了现有技术在每个机房内都部署一套安装软件然后通过远程调用方式启动，造成了重复部署浪费和多套软件配置、维护困难的缺点，节省了部署和管理成本。

公开(公告)号：CN110798461B

公开(公告)日：2022-04-05

申请号：CN201911011338.6

申请日：2019-10-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  杜梅婕 ,  王中华 ,  郑超 ,  张震 ,  刘洋

IPC: H04L65/1066 ,  H04L65/1045 ,  H04L65/1104 ,  H04L61/2521 ,  H04L61/256 ,  H04L43/028

Abstract: 本发明公开了一种非对称路由网络下VoIP关联方法、装置及可读存储介质，所述方法包括如下步骤：采集非对称路由网络环境下的原始流量，并提取所述原始流量中的VoIP协议特征；分别提取与所述VoIP协议特征中的控制流和数据流相关联的key；整合控制流关联key和数据流关联key以生成完整的VoIP通话信息。本发明针对当前单一使用深度包检测技术无法实现VoIP业务的完整描述问题，实现了在非对称路由网络环境下，对VoIP控制流的识别及单向流关联，实现了在非对称路由网络环境下VoIP业务完整描述。

公开(公告)号：CN114265775B

公开(公告)日：2024-05-24

申请号：CN202111576319.5

申请日：2021-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王鹤 ,  郑超 ,  任军帅 ,  杨倩 ,  王建凯 ,  陶小结

IPC: G06F11/36

Abstract: 本发明涉及一种硬件辅助虚拟化环境核心检测方法及系统，其方法包括：S1：当检测程序拥有普通权限对VMCALL操作时，基于VMCALL虚拟化扩展指令主动地进行VMExit，向Hypervisor中Hypercall处理函数发送调用，根据默认返回值，从而判断虚拟化环境是否存在；S2：当检测程序拥有特权权限对VMCALL操作时，调用VMCALL并通过通用寄存器传递参数，可以获得不同的返回值，根据返回值，从而判断虚拟化环境是否存在；S3：当检测程序拥有特权权限对CR0操作时，通过改变CR0寄存器的CD位来检查对系统性能的影响，从而判断虚拟化环境是否存在；S4：当检测程序拥有特权权限对L2C操作时，通过驱逐特定的L2C的Cache组，根据Cache组的驱逐情况，从而判断虚拟化环境是否存在。

公开(公告)号：CN114265775A

公开(公告)日：2022-04-01

申请号：CN202111576319.5

申请日：2021-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王鹤 ,  郑超 ,  任军帅 ,  杨倩 ,  王建凯 ,  陶小结

IPC: G06F11/36

Abstract: 本发明涉及一种硬件辅助虚拟化环境核心检测方法及系统，其方法包括：S1：当检测程序拥有普通权限对VMCALL操作时，基于VMCALL虚拟化扩展指令主动地进行VMExit，向Hypervisor中Hypercall处理函数发送调用，根据默认返回值，从而判断虚拟化环境是否存在；S2：当检测程序拥有特权权限对VMCALL操作时，调用VMCALL并通过通用寄存器传递参数，可以获得不同的返回值，根据返回值，从而判断虚拟化环境是否存在；S3：当检测程序拥有特权权限对CR0操作时，通过改变CR0寄存器的CD位来检查对系统性能的影响，从而判断虚拟化环境是否存在；S4：当检测程序拥有特权权限对L2C操作时，通过驱逐特定的L2C的Cache组，根据Cache组的驱逐情况，从而判断虚拟化环境是否存在。