公开(公告)号：CN112187865A

公开(公告)日：2021-01-05

申请号：CN202010910866.1

申请日：2020-09-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  朱绪全 ,  张震 ,  申涓 ,  罗伟 ,  韩伟涛

IPC: H04L29/08 ,  H04L29/06 ,  H04L12/725

Abstract: 本发明涉及互联网通信技术领域，特别涉及一种开放式最短路径优先报文处理方法及拟态设备，通过在拟态设备中设置OSPF协议代理模块实现外部设备与拟态设备中各执行体之间协议报文的交互认证处理，包含：针对来自外设备的OSPF协议报文，缓存邻居相关信息，该相关信息中每个邻居的键值由外部设备IP地址、外部设备RouterID、外部设备区域ID、拟态设备IP地址、拟态设备RouterID组成，并依据报文类型确定是否转发给拟态设备中各执行体；针对来自拟态设备中各执行体的OSPF协议报文，依据报文类型确定是否将该OSPF协议报文转发给外部设备。本发明通过在拟态设备中引入依据报文类型进行相应处理的OSPF代理模块，能够保证OSPF路由数据的多元化，便于网络防御中拟态方案的有效实施。

公开(公告)号：CN111935004B

公开(公告)日：2020-12-22

申请号：CN202011083003.8

申请日：2020-10-12

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L12/707 ,  H04L12/721 ,  H04L12/741

Abstract: 本发明提供一种基于SR Policy的自动引流扩展方法、路由器及路由系统，头端设备接收到路由后，判断该路由的扩展团体属性是否进行了扩展，即，判断是否设置了备份保护标识，如果设置了备份保护标识，查看与该路由匹配的本地配置的SR Policy配置中是否存在备份有效候选路径，如果存在备份有效候选路径，则根据SR Policy配置生成路由转发表，如果没有设置备份保护标识，直接根据匹配的SR Policy配置生成路由转发表。本发明提升SR Policy架构下可靠性的精细化定制，对于部分高优先级业务路由使用SR Policy时可以通过设置备份保护标识，对可靠性提出要求。

公开(公告)号：CN110868329A

公开(公告)日：2020-03-06

申请号：CN202010020240.3

申请日：2020-01-09

Applicant: 网络通信与安全紫金山实验室

Inventor： 裴学武 ,  张进 ,  伊鹏 ,  马海龙 ,  江逸茗 ,  朱绪全 ,  钱永娜

IPC: H04L12/24

Abstract: 本发明公开一种路由器接口类型的动态调整方法和系统，其中调整方法在路由器的配置层执行以下步骤，建立包含多种接口类型的基础接口数据模型，为多种接口类型设置过滤条件；每个路由器根据各自需求，通过对基础接口数据模型中相应接口类型的过滤条件进行裁剪，使得路由器增加或删除对相应接口类型的支持。本发明将路由器对各种接口类型的限制放在配置管理层，无需控制面程序为支持的接口类型做特殊处理。

公开(公告)号：CN110650065A

公开(公告)日：2020-01-03

申请号：CN201910904769.9

申请日：2019-09-24

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 陈博 ,  卜佑军 ,  白冰 ,  周锟 ,  袁征 ,  伊鹏 ,  马海龙 ,  胡宇翔 ,  胡静萍 ,  张桥

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04L12/46

Abstract: 本发明涉及网络安全技术领域，特别涉及一种面向互联网的网络设备众测系统及测试方法，该系统包括：用户管理模块，用于对用户进行身份认证；资源分配模块，用于向用户分配众测设备资源；安全防护模块，用于向众测设备模块提供安全防护和访问控制；以及众测设备模块，作为众测目标供用户测试。本发明通过用户管理模块将用户与众测系统建立联系，通过安全防护模块对众测系统进行安全保护，为网络设备厂商提供了一个安全、可靠、具有公信力的安全测试平台。

公开(公告)号：CN117061484A

公开(公告)日：2023-11-14

申请号：CN202311171200.9

申请日：2023-09-11

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L61/5014 ,  H04L9/40

Abstract: 本申请公开了DHCP处理方法、装置、攻击防御方法、设备及介质，DHCP处理方法能够针对外部设备发送的第一DHCP报文和拟态设备内部执行体发送的第二DHCP报文分别处理，处理时结合了拟态设备类型、报文类型、接口信息、缓存信息以及主、从执行体等信息，确保了拟态设备及外部设备之间的DHCP数据交互的有效性。动态主机配置协议攻击防御方法，基于上述DHCP处理方法，使得各个执行体输入相同的来自外部设备的DHCP报文，将各个执行体的输出结果进行拟态裁决，根据裁决结果发现并防御DHCP攻击。这样，基于DHCP协议的拟态设备能够在正常提供DHCP服务的情况下，有效预防DHCP攻击。

公开(公告)号：CN116743454A

公开(公告)日：2023-09-12

申请号：CN202310690290.6

申请日：2023-06-09

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张鹏

IPC: H04L9/40 ,  H04L69/22 ,  H04L69/163

Abstract: 本发明公开了一种PCEP协议代理方法、装置、设备及可读存储介质，应用于通信技术领域，包括：获取原始PCEP协议报文；根据报文属性对原始PCEP协议报文中的目标报文进行处理，得到目标存储PCEP协议报文；根据建链拆链信息对原始PCEP协议报文中的建链拆链报文进行处理，得到链路报文信息；将目标存储PCEP协议报文和所述链路报文信息复制分发到各异构执行体。和当前利用PCEP协议进行通信代理时，根据已知风险进行防范相比，本发明对原始PCEP协议报文进行处理，进而复制分发到各异构执行体上，由于异构执行体可以通过异构化的执行过程保证系统在遭受未知威胁攻击时，可以应对未知威胁，故提高了PCEP拟态代理的安全性。

公开(公告)号：CN116032610A

公开(公告)日：2023-04-28

申请号：CN202211704450.X

申请日：2022-12-29

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  杨盾 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L9/40 ,  H04L45/74

Abstract: 本申请公开了一种路由攻击安全防护方法、装置、设备及存储介质，应用于路由节点，包括：对流入自身节点的用于对等体间路由信息交换的目标报文进行字段解析，得到所述目标报文的目标字段特征；将所述目标字段特征与规则库中基于可传递路由属性特性构造的攻击特征进行匹配，如果匹配成功，则判定所述目标报文为基于可传递路由属性特性构造的路由攻击报文；控制自身节点对所述目标报文进行丢包处理，使得自身节点不对所述目标字段特征进行存储及转移。本申请能够对路由攻击进行有效防护，从而保障网络安全性和稳定性。

公开(公告)号：CN115563532A

公开(公告)日：2023-01-03

申请号：CN202211123213.4

申请日：2022-09-15

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 卜佑军 ,  孙重鑫 ,  陈博 ,  马海龙 ,  周锟 ,  张德升 ,  乔伟 ,  王克跃 ,  蒋笑笑 ,  王亮

IPC: G06F18/241 ,  G06F18/2415 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/088 ,  G06N3/08

Abstract: 本发明提供一种基于联邦半监督学习的流量分类方法及系统。该方法包括：构建无标签流量数据集和有标签流量数据集；中心服务器将全局模型分解为有监督学习参数与无监督学习参数并进行初始化；将参数和辅助代理发送至各客户端；客户端基于有监督学习参数、无监督学习参数和辅助代理利用本地的无标签流量数据集进行无监督训练，将无监督学习参数差异上传至中心服务器；中心服务器聚合更新各无监督学习参数；利用本地的有标签流量数据集进行有监督训练，将有监督学习参数差异、无监督学习参数差异发送至各客户端；基于最近邻搜索得到新的辅助代理，并在满足设定发送条件时，向各客户端发送新的辅助代理；迭代执行前述的2个步骤，直至满足停止条件。

公开(公告)号：CN113114563B

公开(公告)日：2022-10-21

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/28 ,  H04L45/247 ,  H04L45/24 ,  H04L45/00 ,  H04L45/30 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。

公开(公告)号：CN114745128A

公开(公告)日：2022-07-12

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。