公开(公告)号：CN115499253A

公开(公告)日：2022-12-20

申请号：CN202211442908.9

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 伊鹏 ,  卜佑军 ,  马海龙 ,  邬江兴 ,  张进 ,  胡先君 ,  陈韵 ,  江逸茗 ,  周锟 ,  张鹏 ,  陈博 ,  陈祥 ,  陈垚 ,  刘慧 ,  王涵 ,  蔡翰智

IPC: H04L9/40 ,  H04L41/044 ,  H04L41/0895 ,  H04L43/0876

Abstract: 本发明提供一种用于测试防御技术的试验场平台和防御技术的测试方法，应用于网络安全技术领域，该试验场平台包括：基础互联层，用于基于试验场的基础设施，构建试验场的基础环境，并为所要搭建的目标场景提供互联功能；虚实网元层，用于提供多类网元设备，网元设备包括搭建目标场景所需要的设备；场景构建层，用于基于基础环境和互联功能，采用网元设备构建目标场景，并将目标场景中的网元设备和链路资源，映射为实际网元设备和实际链路资源；测试评估层，用于基于实际网元设备和实际链路资源，对目标场景进行测试，得到目标防御技术的评估结果。本发明可以实现为拟态防御技术的测试提供安全稳定环境的试验场平台的目的。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN115296839A

公开(公告)日：2022-11-04

申请号：CN202210728335.X

申请日：2022-06-24

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 卢珊萍 ,  唐寅 ,  江逸茗 ,  张进 ,  张鹏

IPC: H04L9/40 ,  H04L45/02

Abstract: 本发明实施例公开了一种基于BGP‑LS裁决的拟态路由方法、装置及存储介质，涉及互联网通信技术领域，能够提高拓扑信息的完整性与正确性。本发明包括：在拟态路由器中，通过BGP‑LS裁决器从各个路由执行体获取BGP‑LS数据，其中，所述拟态路由器包括输入/输出代理、所述BGP‑LS裁决器、调度器和至少3个路由执行体，所述拟态路由器与SDN控制器之间建立BGP‑LS连接；将具有相同的键值组合的BGP‑LS数据放入同一个裁决队列并进行裁决判定，并记录异常数据；根据所记录的异常数据生成异常信息并发送给所述调度器，并触发所述调度器对拥有异常数据的路由执行体进行处理。

公开(公告)号：CN114915534A

公开(公告)日：2022-08-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN114866473A

公开(公告)日：2022-08-05

申请号：CN202210178025.5

申请日：2022-02-25

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  张进 ,  江逸茗 ,  张鹏 ,  马海龙

IPC: H04L47/10 ,  H04L43/0894

Abstract: 本发明提供了一种转发装置及流量输出接口调节方法，本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表，此索引表中包含索引表类型Type、Key以及0~1023个Index值，且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率，一旦发现有成员接口出现超带宽的情况，就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口，将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题，有效的保护业务不受影响。

公开(公告)号：CN114531270A

公开(公告)日：2022-05-24

申请号：CN202111671863.8

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 荆文韬 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L9/40 ,  H04L45/00

Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置，其中防御方法包括：集中式认证服务器验证网络中的所有接入设备的身份；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变；本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，可以提高目标网络的安全性，减少了网络被破坏的可能。

公开(公告)号：CN114430376A

公开(公告)日：2022-05-03

申请号：CN202111665410.4

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙

IPC: H04L41/0896 ,  H04L41/12 ,  H04L45/00 ,  H04L47/215 ,  H04L47/25

Abstract: 本发明公开了一种带宽限制方法及装置，应用于SR Policy场景下，带宽限制方法包括：PCE设备接收网络拓扑结构、LSP信息以及带宽需求；PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽；PCE设备将路径及端口的剩余带宽发送给Headend设备；Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速；本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽，Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速，有效的保护SR Policy业务不受影响。

公开(公告)号：CN111541617B

公开(公告)日：2021-11-02

申请号：CN202010305885.1

申请日：2020-04-17

Applicant: 网络通信与安全紫金山实验室

Inventor： 张进 ,  杨盾 ,  裴学武 ,  江逸茗 ,  卜佑军 ,  马海龙 ,  伊鹏

IPC: H04L12/743 ,  H04L12/747 ,  H04L12/741

Abstract: 本发明实施例公开了一种用于高速大规模并发数据流的数据流表处理方法及装置，涉及网络通信技术领域，能够避免在高速网络中由于数据流表操作时间的不确定，降低报文处理时延，以及缓减丢包的问题。本发明包括：根据待插入数据流的数据流标识，获取指纹表中的候选桶的地址和数据流指纹；检测指纹表的候选桶是否存在非空单元，若存在非空单元，则选择存在空闲单元的一个候选桶作为目标桶；从目标桶的底部单元向顶部单元依次查询空单元，当查询到目标桶中的空单元时，将待插入数据流的数据流指纹写入查询到的空单元，并将待插入数据流的流记录写入与候选桶对应的记录桶。本发明适用于高速大规模并发数据流的场景。

公开(公告)号：CN113542123A

公开(公告)日：2021-10-22

申请号：CN202110603972.X

申请日：2021-05-31

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  卢珊萍 ,  夏慧莉

IPC: H04L12/725 ,  H04L12/721 ,  H04L12/26

Abstract: 本发明公开了一种转发路径的确定方法及装置，属于通信技术领域，其中，确定方法包括：SR Policy设定网络服务质量参数；SR Policy生成至少一条候选路径；对所有的候选路径进行网络质量检测；将所述网络质量检测的结果与设定的网络服务质量参数进行对比从而确定最优路径；该确定方法在不改变SR Policy架构体系的情况下，通过对SR Policy扩展增加服务质量参数，提升了分段路由场景下转发器对业务需求定制化的能力，解决了当前分段路由PCE方式实现存在的瓶颈，增强了转发器对网络质量的检测和感知能力，减少了对PCE的依赖。

公开(公告)号：CN113132352A

公开(公告)日：2021-07-16

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。