公开(公告)号：CN105938562A

公开(公告)日：2016-09-14

申请号：CN201610230313.5

申请日：2016-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  桑亚飞 ,  常鹏 ,  庹宇鹏

IPC: G06K9/62 ,  G06N3/04

CPC classification number: G06K9/6223 ,  G06N3/0481

Abstract: 本发明提供一种自动化网络应用指纹提取方法，步骤包括：1)接收网络应用数据包，通过语言模型学习输出字节向量；2)对上述网络应用数据包载荷的逐个字节值所对应的字节向量进行连接操作，得到数据包载荷向量；3)根据上述数据包载荷向量，将上述网络应用数据包载荷划分成多个不同的聚簇；4)对每一个聚簇中一系列频繁共现的字节序列串进行提取，获得应用指纹。本发明还提供一种自动化网络应用指纹提取系统，包括：数据预处理模块、字节向量学习模块、数据包载荷向量化表示模块、数据包载荷聚类模块和应用指纹提取模块。

公开(公告)号：CN110493088A

公开(公告)日：2019-11-22

申请号：CN201910905186.8

申请日：2019-09-24

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李超 ,  金鑫 ,  郭承青 ,  石光 ,  葛瑞海 ,  庹宇鹏 ,  周国桥 ,  李娟

IPC: H04L12/26 ,  G06N3/08 ,  G06N3/04 ,  G06F16/955

Abstract: 本发明提供了一种基于URL的移动互联网流量分类方法，该方法建立在深度学习的基础上，通过分别标识URL数据集中所有唯一字母、数字和特殊字符，得到其字符级矩阵表示；标识URL数据集中唯一的单词，得到其单词级矩阵表示；然后基于卷积神经网络，进行同步训练，将各自的输出层合并得到一个完全连接层，最终得到分类模型。与现有技术相比，该发明通过最终训练完成的模型，能够提供自适应的、鲁棒性好的移动互联网流量分类，无需过多人工干预，能够更好地处理大量涌现的新的URL。

公开(公告)号：CN106850740B

公开(公告)日：2019-07-23

申请号：CN201611176110.9

申请日：2016-12-19

Applicant: 中国科学院信息工程研究所

Inventor： 葛瑞海 ,  张永铮 ,  庹宇鹏

IPC: H04L29/08 ,  H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种高吞吐数据流处理方法，通过异步数据接收的方式对数据接收和处理，使用少量的接收线程应对尽可能多的客户端发送请求，充分利用接收线程的cpu时间，提升系统整体吞吐率；对接收的数据通过无锁的任务调度方法尽可能快的将其送入业务处理线程进行处理，减少锁开销，保证数据处理的实时性；另外，由于数据接收是一种IO密集型操作，而数据处理是一种cpu密集型操作，将两层分离，分别运行在不同范围的cpu核上，保证数据的接收和处理过程互不干扰，不会出现数据处理线程长时间占用cpu，数据接收线程得不到系统调度运行的情况，而且，接收线程数和处理线程数比例可根据业务需求配置平衡，充分利用系统的cpu和内存资源。

公开(公告)号：CN105763479A

公开(公告)日：2016-07-13

申请号：CN201610206196.9

申请日：2016-04-05

Applicant: 中国科学院信息工程研究所

Inventor： 常鹏 ,  张永铮 ,  庹宇鹏

IPC: H04L12/851 ,  H04L29/08

CPC classification number: H04L47/2441 ,  H04L67/104

Abstract: 本发明公开了一种高效的P2P应用流量分类方法及系统。本方法为：1)P2P分类服务器从采集的每一数据包中获取四元组信息、协议信息、包长信息对该数据包进行标记并存储在信息结构体中；2)P2P分类服务器从信息结构体中提取每条指定流的N个数据包，并计算每条流的基本统计特征；3)对得到的基本统计特征进行分类，并根据得到的结果计算单位时间窗口内每条流的通信属性；4)根据当前窗口内同一流的通信属性计算该流的卡方统计量；如果超过设定阈值，则去除该流的应用分类标记；如果出现未识别的流，则将该未识别的流标记为当前窗口内具有相同IP和端口PORT的P2P应用流。本发明分类稳定高，可以满足大多数系统在线识别需求。

公开(公告)号：CN104954372A

公开(公告)日：2015-09-30

申请号：CN201510323341.7

申请日：2015-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  杜飞 ,  庹宇鹏 ,  常鹏

IPC: H04L29/06 ,  G06F21/55

CPC classification number: H04L63/14 ,  G06F21/554 ,  H04L63/10

Abstract: 本发明公开了一种钓鱼网站的取证与验证方法及系统。本方法为：1)取证与验证服务器调用浏览器打开待验证的URL地址，然后该浏览器发送HTTP请求消息给该服务器；2)该服务器从HTTP请求中提取URL字符串信息并截图；3)检查URL字符串信息是否存在于黑/白名单中；如果存在，则输出判断信息；4)提取URL字符串中的关键信息和域名关键信息；5)访问第三方可信资源服务器，提取该URL字符串对应WEB站点的关键信息；6)根据该URL访问WEB页面，提取页面关键信息；7)根据步骤4)～6)所提取的信息，计算得到该URL地址的可信值，将其与设定阈值的比较结果输出验证结果。本发明提高了取证的完整性和验证的效率。

公开(公告)号：CN116361720A

公开(公告)日：2023-06-30

申请号：CN202111614387.6

申请日：2021-12-27

Applicant: 中国科学院信息工程研究所

Inventor： 王益静 ,  张永铮 ,  李书豪 ,  庹宇鹏 ,  常鹏 ,  王晗

IPC: G06F18/2413 ,  G06N20/00

Abstract: 本发明公开一种基于资产自身特征的网络异常资产发现方法及装置，包括：使用已知资产的流数据构建入网资产备案库；基于所述入网资产备案库，对网络流数据进行识别，得到未知资产流数据；对未知资产流数据的流数据特征进行分类，得到未知资产类型与未知资产应用类型；对已知资产的流数据特征进行离群点检测，得到异常已知资产；依据未知资产、未知资产类型、未知资产应用类型、异常已知资产，获取异常资产检测结果。本发明可识别未备案入网设备的资产类型与应用类型，将发现的异常资产信息与告警信息相结合，从而有效支撑完善资产备案管理，异常问题的发现更为及时、主动、全面，强化在网资产安全。

公开(公告)号：CN110580251B

公开(公告)日：2023-01-17

申请号：CN201910655594.2

申请日：2019-07-19

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 王博 ,  李超 ,  郭承青 ,  王维光 ,  刘路 ,  陈天然 ,  庹宇鹏

IPC: G06F16/22 ,  G06F16/215

Abstract: 本发明涉及一种大数据环境下的群体轨迹伴随模式在线分析方法和系统。该方法包括：设置群体轨迹伴随模式的阈值参数；对群体轨迹流数据进行切片，获得当前时间片的群体位置信息集合；构建基于spark的分布式高维索引树KD‑Tree；进行位置点的密度聚类，形成当前时间片的群体位置聚类快照簇集合Scs；根据当前群体轨迹伴随候选集SetAc是否为空，将Scs中的位置聚类快照簇加入SetAc中存在的伴随候选组或者新生成的轨迹伴随候选组；判断当前每个轨迹伴随候选组是否合格，如果合格则输出合格的群体轨迹伴随模式详情。本发明具有高吞吐量、实时性高、准确性高、扩展性好、高可配置性等优点。

公开(公告)号：CN105791408B

公开(公告)日：2019-04-02

申请号：CN201610184905.8

申请日：2016-03-29

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  尹涛 ,  庹宇鹏 ,  常鹏

IPC: H04L29/08

Abstract: 本发明公开了一种P2P网络的构建方法及系统。该方法包括：对所有的网络节点进行编号；构建一条经过所有网络节点的回路，且回路中相连的两个网络节点位于不同的域；遍历所有的网络节点，并随机选择目标网络节点：若当前遍历的网络节点与目标网络节点位于不同的域，则在当前网络节点与目标网络节点之间添加一条有向边。通过本发明构建的P2P网络具有较强的连通性、跨区域特性以及鲁棒性。

公开(公告)号：CN107291522A

公开(公告)日：2017-10-24

申请号：CN201610220675.6

申请日：2016-04-11

Applicant: 中国科学院信息工程研究所

Inventor： 庹宇鹏 ,  张永铮 ,  葛瑞海

IPC: G06F9/45

Abstract: 本发明公开了一种面向自定义规则文件的编译优化方法及系统，它将所有组合字段统一放到文法中进行处理，使用一个文本字段来存储字段的结果值，这样只需要在编译时进行类型判断，并对不同的类型实现不同的要求即可，一方面节省了物理存储，一方面这样不需要修改代码，在搭建好相应的文法框架后，通过修改用户输入就可以控制编译过程，极大地提高了系统的可扩展性。由于使用可扩展的文法，能够灵活的组建成规则，解决了代码生成规则进行灵活配置的需求。同时，由于文法结构的灵活和自定义通用性，在文本层次上进行部分预处理优化，也能大大的提高编译效率。

公开(公告)号：CN106850740A

公开(公告)日：2017-06-13

申请号：CN201611176110.9

申请日：2016-12-19

Applicant: 中国科学院信息工程研究所

Inventor： 葛瑞海 ,  张永铮 ,  庹宇鹏

IPC: H04L29/08 ,  H04L29/06 ,  H04L12/26

CPC classification number: H04L67/32 ,  H04L43/106 ,  H04L67/28 ,  H04L69/162

Abstract: 本发明公开了一种高吞吐数据流处理方法，通过异步数据接收的方式对数据接收和处理，使用少量的接收线程应对尽可能多的客户端发送请求，充分利用接收线程的cpu时间，提升系统整体吞吐率；对接收的数据通过无锁的任务调度方法尽可能快的将其送入业务处理线程进行处理，减少锁开销，保证数据处理的实时性；另外，由于数据接收是一种IO密集型操作，而数据处理是一种cpu密集型操作，将两层分离，分别运行在不同范围的cpu核上，保证数据的接收和处理过程互不干扰，不会出现数据处理线程长时间占用cpu，数据接收线程得不到系统调度运行的情况，而且，接收线程数和处理线程数比例可根据业务需求配置平衡，充分利用系统的cpu和内存资源。