公开(公告)号：CN117938537A

公开(公告)日：2024-04-26

申请号：CN202410211753.0

申请日：2024-02-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 李宗政 ,  江逸茗 ,  唐寅 ,  张进 ,  马海龙 ,  张鹏

IPC: H04L9/40 ,  H04L69/22

Abstract: 本申请公开了一种裁决方法、装置、设备及介质，包括：从各个在线异构执行体发送的报文中识别待裁决的OpenFlow协议报文；将待裁决的OpenFlow协议报文存储至各个所述在线异构执行体各自对应的存储对象中；当满足预设裁决触发条件，则依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决。这样，能够避免在流表正确的情况下，OpenFlow协议栈本身存在漏洞而受到攻击，导致裁决不准确，无法检测出攻击的问题，从而提升攻击的检出率。

公开(公告)号：CN117118936A

公开(公告)日：2023-11-24

申请号：CN202310813240.2

申请日：2023-07-04

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 卢珊萍 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L49/60 ,  H04L49/111 ,  H04L49/253

Abstract: 本申请公开了计算机技术领域内的一种报文处理方法、装置、设备及可读存储介质。本申请在控制器中设置了OpenFlow协议代理端，该OpenFlow协议代理端对外连接至少一个交换机，对内连接至少一个执行体，能够将任意一个执行体发送的请求报文中的执行体通信标识替换为所请求交换机的通信标识后，将请求报文发出；在接收到请求报文的响应报文时，能将响应报文中的目的通信标识替换为执行体通信标识后，将响应报文传输至发请求的执行体。由此在报文转发过程中对执行体通信标识或交换机的通信标识进行替换和管理，便于对多交换机、多执行体间的多通信连接进行管理，降低报文传输错误、数据不一致等问题出现的概率。

公开(公告)号：CN111865661A

公开(公告)日：2020-10-30

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN117319477A

公开(公告)日：2023-12-29

申请号：CN202311264807.1

申请日：2023-09-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 卢珊萍 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L67/141 ,  H04L67/133 ,  H04L67/56 ,  H04L61/25

Abstract: 本申请公开了一种拟态控制器与外部设备的通信方法、装置、设备及介质，涉及互联网通信技术领域，应用于拟态控制器中的协议代理，包括：通过目标侦听端口获取目标控制器执行体发送的连接建立请求并建立第一通信连接；确定与目标侦听端口匹配的目标外部设备端口地址；若为主控制器执行体，则与端口地址对应的目标外部设备建立第二通信连接，以实现主控制器执行体与目标外部设备通信；若为从控制器执行体且第二通信连接已建立，则通过第一通信连接和第二通信连接实现从控制器执行体与目标外部设备通信；若第二通信连接未建立，则继续等待第二通信连接建立完成。通过协议代理实现控制器执行体与外部设备的交互。

公开(公告)号：CN117061484A

公开(公告)日：2023-11-14

申请号：CN202311171200.9

申请日：2023-09-11

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L61/5014 ,  H04L9/40

Abstract: 本申请公开了DHCP处理方法、装置、攻击防御方法、设备及介质，DHCP处理方法能够针对外部设备发送的第一DHCP报文和拟态设备内部执行体发送的第二DHCP报文分别处理，处理时结合了拟态设备类型、报文类型、接口信息、缓存信息以及主、从执行体等信息，确保了拟态设备及外部设备之间的DHCP数据交互的有效性。动态主机配置协议攻击防御方法，基于上述DHCP处理方法，使得各个执行体输入相同的来自外部设备的DHCP报文，将各个执行体的输出结果进行拟态裁决，根据裁决结果发现并防御DHCP攻击。这样，基于DHCP协议的拟态设备能够在正常提供DHCP服务的情况下，有效预防DHCP攻击。

公开(公告)号：CN116743454A

公开(公告)日：2023-09-12

申请号：CN202310690290.6

申请日：2023-06-09

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张鹏

IPC: H04L9/40 ,  H04L69/22 ,  H04L69/163

Abstract: 本发明公开了一种PCEP协议代理方法、装置、设备及可读存储介质，应用于通信技术领域，包括：获取原始PCEP协议报文；根据报文属性对原始PCEP协议报文中的目标报文进行处理，得到目标存储PCEP协议报文；根据建链拆链信息对原始PCEP协议报文中的建链拆链报文进行处理，得到链路报文信息；将目标存储PCEP协议报文和所述链路报文信息复制分发到各异构执行体。和当前利用PCEP协议进行通信代理时，根据已知风险进行防范相比，本发明对原始PCEP协议报文进行处理，进而复制分发到各异构执行体上，由于异构执行体可以通过异构化的执行过程保证系统在遭受未知威胁攻击时，可以应对未知威胁，故提高了PCEP拟态代理的安全性。

公开(公告)号：CN116032610A

公开(公告)日：2023-04-28

申请号：CN202211704450.X

申请日：2022-12-29

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  杨盾 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L9/40 ,  H04L45/74

Abstract: 本申请公开了一种路由攻击安全防护方法、装置、设备及存储介质，应用于路由节点，包括：对流入自身节点的用于对等体间路由信息交换的目标报文进行字段解析，得到所述目标报文的目标字段特征；将所述目标字段特征与规则库中基于可传递路由属性特性构造的攻击特征进行匹配，如果匹配成功，则判定所述目标报文为基于可传递路由属性特性构造的路由攻击报文；控制自身节点对所述目标报文进行丢包处理，使得自身节点不对所述目标字段特征进行存储及转移。本申请能够对路由攻击进行有效防护，从而保障网络安全性和稳定性。

公开(公告)号：CN114745128A

公开(公告)日：2022-07-12

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN116566736A

公开(公告)日：2023-08-08

申请号：CN202310763924.6

申请日：2023-06-27

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 裴学武 ,  江逸茗 ,  张进

IPC: H04L9/40 ,  H04L67/56 ,  H04L9/08

Abstract: 本申请公开了一种通信代理方法、装置、设备及存储介质，涉及拟态防御技术领域，应用于协议代理服务器，包括：获取客户端利用预设会话密钥加密后的密文信息；根据预设可信异构执行体信息表将密文信息分别发送至异构执行体，以便异构执行体生成经过所述预设会话密钥加密后的返回信息；接收若干个返回信息，并判断是否均一致；若是，则将返回信息发送至客户端；若否，则筛选出不一致的可疑返回信息，并断开与可疑返回信息对应的异构执行体之间的连接，然后将与可疑返回信息对应的异构执行体从预设可信异构执行体信息表中删除，同时将其余返回信息发送至客户端。这样一来，本申请中协议代理服务器不需要对密文进行加解密，可以提高传输效率。

公开(公告)号：CN115801429A

公开(公告)日：2023-03-14

申请号：CN202211509195.3

申请日：2022-11-29

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  包婉宁 ,  张思绮 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L9/40 ,  H04L43/0811 ,  H04L45/12

Abstract: 本申请公开了一种双LSA攻击防御方法、装置、设备及存储介质，涉及网络安全技术领域，包括：当在预设的时间范围内先后获取到第一LSA报文和第二LSA报文时，依次判断两个LSA报文是否是自身发送的；若是自身发送的，则依次判断两个LSA报文是否为新报文；若为旧报文，则依次判断两个LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同；若否则判定该网络通信设备节点受到了双LSA攻击，并依次生成一个比LSA报文的链路状态序列号大的新LSA实例，再将新LSA实例封装成报文发送到网络中。本申请能够有效防御双LSA报文攻击带来的持久性危害，增强网络设备的安全性和可靠性，并纠正网络中被攻击网络设备的错误LSA数据。