公开(公告)号：CN117061352A

公开(公告)日：2023-11-14

申请号：CN202311157892.1

申请日：2023-09-08

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  杨盾 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L41/0895 ,  H04L41/40 ,  H04L41/122

Abstract: 本申请公开了一种多模态虚拟网元的实现方法、装置、设备及介质，涉及互联网通信以及网络虚拟化技术领域。应用于基于虚拟化网络功能部署多模态虚拟网元系统的电子设备，多模态虚拟网元系统包括一个本地控制面、多个数据转发面以及交换单元，该方法包括：基于网卡虚拟化技术根据电子设备安装的物理网卡数量确定系统中不同模态的应用程序各自添加的虚拟网卡数量；通过数据转发面上的自定义功能接口，根据虚拟网卡数量在本地控制面上同步创建与虚拟网卡对应的网络接口；根据当前处理的数据报文的报文类型利用自定义功能接口与网络接口对数据报文进行并发处理。通过本申请的技术方案，可以实现多模态虚拟网元技术，灵活适配业务发展需求。

公开(公告)号：CN116743832A

公开(公告)日：2023-09-12

申请号：CN202310760842.6

申请日：2023-06-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  李宗政 ,  卢珊萍 ,  马海龙

IPC: H04L67/133 ,  H04L41/0803 ,  H04L41/08

Abstract: 本申请公开了一种网元业务接口创建方法，所述网元包括主控单元和执行体，所述方法应用于所述主控单元，包括：创建第一业务接口；生成所述第一业务接口的配置信息；根据所述配置信息生成RPC报文；将所述RPC报文发送至所述执行体，以使所述执行体利用所述RPC报文创建与所述第一业务接口对应的第二业务接口。应用本申请所提供的技术方案，可以实现快速高效的网元业务接口创建，有效降低研发成本。本申请还公开了一种网元业务接口创建装置、电子设备以及计算机可读存储介质，同样具有上述技术效果。

公开(公告)号：CN114745128B

公开(公告)日：2023-07-07

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN114915534B

公开(公告)日：2023-06-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN115987923A

公开(公告)日：2023-04-18

申请号：CN202211548444.X

申请日：2022-12-05

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  钱永娜 ,  李宗政 ,  卢珊萍

IPC: H04L49/354 ,  H04L9/40 ,  H04L69/16

Abstract: 本申请公开了一种开放虚拟网络系统、一种通信方法及设备和存储介质，该系统包括主控制面和执行体组，主控制面包括主执行体、第一开放虚拟交换机数据库协议代理、第二开放虚拟交换机数据库协议代理、数据库裁决器，执行体组包括多个异构的执行体；主执行体和执行体组中的执行体用于对接收到的业务报文进行翻译；数据库裁决器用于通过对比执行体组中多个执行体的翻译结果和主执行体的翻译结果判断主执行体的翻译结果是否异常；若异常，则基于执行体组中多个执行体的翻译结果修正主执行体的翻译结果；第二开放虚拟交换机数据库协议代理用于将主执行体的翻译结果发送至第二传输方。本申请避免了数据翻译错误，进而提高了开放虚拟网络的安全性。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN114915534A

公开(公告)日：2022-08-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN111541617B

公开(公告)日：2021-11-02

申请号：CN202010305885.1

申请日：2020-04-17

Applicant: 网络通信与安全紫金山实验室

Inventor： 张进 ,  杨盾 ,  裴学武 ,  江逸茗 ,  卜佑军 ,  马海龙 ,  伊鹏

IPC: H04L12/743 ,  H04L12/747 ,  H04L12/741

Abstract: 本发明实施例公开了一种用于高速大规模并发数据流的数据流表处理方法及装置，涉及网络通信技术领域，能够避免在高速网络中由于数据流表操作时间的不确定，降低报文处理时延，以及缓减丢包的问题。本发明包括：根据待插入数据流的数据流标识，获取指纹表中的候选桶的地址和数据流指纹；检测指纹表的候选桶是否存在非空单元，若存在非空单元，则选择存在空闲单元的一个候选桶作为目标桶；从目标桶的底部单元向顶部单元依次查询空单元，当查询到目标桶中的空单元时，将待插入数据流的数据流指纹写入查询到的空单元，并将待插入数据流的流记录写入与候选桶对应的记录桶。本发明适用于高速大规模并发数据流的场景。

公开(公告)号：CN113542123A

公开(公告)日：2021-10-22

申请号：CN202110603972.X

申请日：2021-05-31

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  卢珊萍 ,  夏慧莉

IPC: H04L12/725 ,  H04L12/721 ,  H04L12/26

Abstract: 本发明公开了一种转发路径的确定方法及装置，属于通信技术领域，其中，确定方法包括：SR Policy设定网络服务质量参数；SR Policy生成至少一条候选路径；对所有的候选路径进行网络质量检测；将所述网络质量检测的结果与设定的网络服务质量参数进行对比从而确定最优路径；该确定方法在不改变SR Policy架构体系的情况下，通过对SR Policy扩展增加服务质量参数，提升了分段路由场景下转发器对业务需求定制化的能力，解决了当前分段路由PCE方式实现存在的瓶颈，增强了转发器对网络质量的检测和感知能力，减少了对PCE的依赖。

公开(公告)号：CN113132352A

公开(公告)日：2021-07-16

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。