-
公开(公告)号:CN102073530B
公开(公告)日:2015-04-29
申请号:CN201010611580.X
申请日:2010-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 曙光信息产业(北京)有限公司
IPC: G06F9/45
Abstract: 本发明提供了一种多条正则表达式的增量分组方法,在不降低实时性的同时,同样的硬件空间大小,可增加了硬件处理正则式的数量,从而改善了系统工作的硬件处理能力。根据硬件的并行空间的大小,自动进行分组编译,已帮助FPGA实现并行匹配的功能。
-
公开(公告)号:CN102073530A
公开(公告)日:2011-05-25
申请号:CN201010611580.X
申请日:2010-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 曙光信息产业(北京)有限公司
IPC: G06F9/45
Abstract: 本发明提供了一种多条正则表达式的增量分组方法,在不降低实时性的同时,同样的硬件空间大小,可增加了硬件处理正则式的数量,从而改善了系统工作的硬件处理能力。根据硬件的并行空间的大小,自动进行分组编译,已帮助FPGA实现并行匹配的功能。
-
公开(公告)号:CN102938769A
公开(公告)日:2013-02-20
申请号:CN201210475596.1
申请日:2012-11-22
Applicant: 国家计算机网络与信息安全管理中心 , 北京大学
Inventor: 袁春阳 , 杜跃进 , 孙波 , 许俊峰 , 王明华 , 李青山 , 徐小琳 , 何跃鹰 , 严寒冰 , 王营康 , 郑礼雄 , 张胜利 , 李洪生 , 轩志朋 , 王永建 , 林绅文 , 杨鹏 , 王进 , 张伟 , 郭承青
IPC: H04L29/06
Abstract: 本发明所述的一种Domain flux僵尸网络域名检测方法,是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题,提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下:接收并解析DNS响应报文,按固定时间间隔记录域名的IP解析内容;按照二级域名及解析ip对域名进行分组,得到多个域名集合,每集合包含一到多个域名;针对每个集合,计算集合内各域名从最初出现到最后出现的时间间隔,作为域名解析有效持续时间;计算集合内,各持续时间所占总域名的最大比重;根据预先定义阈值,输出使用domain-flux技术的域名列表。
-
公开(公告)号:CN101924754A
公开(公告)日:2010-12-22
申请号:CN201010227324.0
申请日:2010-07-15
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L29/06
Abstract: 本发明公开了一种恶意代码控制端主动发现方法,包括:主机信息扫描步骤,用于在需要扫描的IP地址范围内,找出处于在线状态,操作系统为Windows,且具有开放端口的主机并确定其至少一个开放端口;控制端信息扫描步骤,与所述主机的开放端口建立网络连接,模拟已知的恶意代码控制端类型对应的被控端主机的网络行为,向所述主机发送数据,并对接收到的返回数据进行分析,若符合所述已知恶意代码控制端类型的特征,则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端,适用于对因特网中的主机进行大规模扫描,对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。
-
Patent Agency Ranking
公开(公告)号:CN102111405A
公开(公告)日:2011-06-29
申请号:CN201010611550.9
申请日:2010-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 曙光信息产业(北京)有限公司
Abstract: 本发明提供了一种均衡分两组编译正则表达式的方法,充分了利用片外资源,使FPGA能够两路进行匹配,采用最大割的方法来进行分组,使n条正则式生成两组状态数较为均匀的DFA,降低其空间复杂度,这样,在不降低实时性的同时,硬件空间不变,尽可能多的增加了硬件处理正则式的数量。
-
公开(公告)号:CN102073547A
公开(公告)日:2011-05-25
申请号:CN201010611827.8
申请日:2010-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 曙光信息产业(北京)有限公司
IPC: G06F9/50
Abstract: 本发明提供了一种多路服务器多缓冲区并行收包的性能优化方法。驱动软件负责分配接收报文使用的缓冲区,需要在内核中为每一个线程申请一个报文缓冲区,因为在内核中申请,所以申请内存时,可以通过参数指定内存的相连的CPU号为线程编号,也就是说,为线程0申请0号CPU上的本地内存,为线程1申请1号CPU上的本地内存。接口库软件在每个线程第一次调用接收报文的API接口时,把线程绑定到与线程号相对应的CPU上。有效避免了CPU访问远地内存和线程在多个CPU上调度的开销,提高了多线程收包的效率。
-
公开(公告)号:CN103368972A
公开(公告)日:2013-10-23
申请号:CN201310316474.2
申请日:2013-07-26
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明提供了一种网络攻击检测分析方法和系统,包括在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备;部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上,并与网络数据包转发设备和网络攻击监测发现设备相连接;通过网络攻击监测发现设备对原始网络数据进行监测,利用网络攻击数据包特征匹配技术,监测发现网络攻击行为;网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备,同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备;网络攻击诱导分析设备模拟被攻击的主机和网络环境条件,对攻击数据包进行持续响应,使得攻击行为能够继续,通过网络攻击诱导分析设备上部署的主机和网络资源监控系统分析网络攻击的行为步骤路线和最终目的。
-
公开(公告)号:CN102073547B
公开(公告)日:2013-08-28
申请号:CN201010611827.8
申请日:2010-12-17
Applicant: 国家计算机网络与信息安全管理中心 , 曙光信息产业(北京)有限公司
IPC: G06F9/50
Abstract: 本发明提供了一种多路服务器多缓冲区并行收包的性能优化方法。驱动软件负责分配接收报文使用的缓冲区,需要在内核中为每一个线程申请一个报文缓冲区,因为在内核中申请,所以申请内存时,可以通过参数指定内存的相连的CPU号为线程编号,也就是说,为线程0申请0号CPU上的本地内存,为线程1申请1号CPU上的本地内存。接口库软件在每个线程第一次调用接收报文的API接口时,把线程绑定到与线程号相对应的CPU上。有效避免了CPU访问远地内存和线程在多个CPU上调度的开销,提高了多线程收包的效率。
-
公开(公告)号:CN101924754B
公开(公告)日:2013-07-31
申请号:CN201010227324.0
申请日:2010-07-15
Applicant: 国家计算机网络与信息安全管理中心
IPC: H04L29/06
Abstract: 本发明公开了一种恶意代码控制端主动发现方法,包括:主机信息扫描步骤,用于在需要扫描的IP地址范围内,找出处于在线状态,操作系统为Windows,且具有开放端口的主机并确定其至少一个开放端口;控制端信息扫描步骤,与所述主机的开放端口建立网络连接,模拟已知的恶意代码控制端类型对应的被控端主机的网络行为,向所述主机发送数据,并对接收到的返回数据进行分析,若符合所述已知恶意代码控制端类型的特征,则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端,适用于对因特网中的主机进行大规模扫描,对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.041 seconds)
