公开(公告)号：CN116743832A

公开(公告)日：2023-09-12

申请号：CN202310760842.6

申请日：2023-06-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  李宗政 ,  卢珊萍 ,  马海龙

IPC: H04L67/133 ,  H04L41/0803 ,  H04L41/08

Abstract: 本申请公开了一种网元业务接口创建方法，所述网元包括主控单元和执行体，所述方法应用于所述主控单元，包括：创建第一业务接口；生成所述第一业务接口的配置信息；根据所述配置信息生成RPC报文；将所述RPC报文发送至所述执行体，以使所述执行体利用所述RPC报文创建与所述第一业务接口对应的第二业务接口。应用本申请所提供的技术方案，可以实现快速高效的网元业务接口创建，有效降低研发成本。本申请还公开了一种网元业务接口创建装置、电子设备以及计算机可读存储介质，同样具有上述技术效果。

公开(公告)号：CN114745128B

公开(公告)日：2023-07-07

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN114915534B

公开(公告)日：2023-06-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN112187865B

公开(公告)日：2022-11-01

申请号：CN202010910866.1

申请日：2020-09-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  朱绪全 ,  张震 ,  申涓 ,  罗伟 ,  韩伟涛

IPC: H04L67/56 ,  H04L9/40 ,  H04L45/30 ,  H04L69/22 ,  H04L67/01

Abstract: 本发明涉及互联网通信技术领域，特别涉及一种开放式最短路径优先报文处理方法及拟态设备，通过在拟态设备中设置OSPF协议代理模块实现外部设备与拟态设备中各执行体之间协议报文的交互认证处理，包含：针对来自外设备的OSPF协议报文，缓存邻居相关信息，该相关信息中每个邻居的键值由外部设备IP地址、外部设备RouterID、外部设备区域ID、拟态设备IP地址、拟态设备RouterID组成，并依据报文类型确定是否转发给拟态设备中各执行体；针对来自拟态设备中各执行体的OSPF协议报文，依据报文类型确定是否将该OSPF协议报文转发给外部设备。本发明通过在拟态设备中引入依据报文类型进行相应处理的OSPF代理模块，能够保证OSPF路由数据的多元化，便于网络防御中拟态方案的有效实施。

公开(公告)号：CN114915534A

公开(公告)日：2022-08-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN111541617B

公开(公告)日：2021-11-02

申请号：CN202010305885.1

申请日：2020-04-17

Applicant: 网络通信与安全紫金山实验室

Inventor： 张进 ,  杨盾 ,  裴学武 ,  江逸茗 ,  卜佑军 ,  马海龙 ,  伊鹏

IPC: H04L12/743 ,  H04L12/747 ,  H04L12/741

Abstract: 本发明实施例公开了一种用于高速大规模并发数据流的数据流表处理方法及装置，涉及网络通信技术领域，能够避免在高速网络中由于数据流表操作时间的不确定，降低报文处理时延，以及缓减丢包的问题。本发明包括：根据待插入数据流的数据流标识，获取指纹表中的候选桶的地址和数据流指纹；检测指纹表的候选桶是否存在非空单元，若存在非空单元，则选择存在空闲单元的一个候选桶作为目标桶；从目标桶的底部单元向顶部单元依次查询空单元，当查询到目标桶中的空单元时，将待插入数据流的数据流指纹写入查询到的空单元，并将待插入数据流的流记录写入与候选桶对应的记录桶。本发明适用于高速大规模并发数据流的场景。

公开(公告)号：CN113542123A

公开(公告)日：2021-10-22

申请号：CN202110603972.X

申请日：2021-05-31

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  卢珊萍 ,  夏慧莉

IPC: H04L12/725 ,  H04L12/721 ,  H04L12/26

Abstract: 本发明公开了一种转发路径的确定方法及装置，属于通信技术领域，其中，确定方法包括：SR Policy设定网络服务质量参数；SR Policy生成至少一条候选路径；对所有的候选路径进行网络质量检测；将所述网络质量检测的结果与设定的网络服务质量参数进行对比从而确定最优路径；该确定方法在不改变SR Policy架构体系的情况下，通过对SR Policy扩展增加服务质量参数，提升了分段路由场景下转发器对业务需求定制化的能力，解决了当前分段路由PCE方式实现存在的瓶颈，增强了转发器对网络质量的检测和感知能力，减少了对PCE的依赖。

公开(公告)号：CN113132352A

公开(公告)日：2021-07-16

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。

公开(公告)号：CN113114563A

公开(公告)日：2021-07-13

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L12/703 ,  H04L12/707 ,  H04L12/721 ,  H04L12/725 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。