公开(公告)号：CN112217604B

公开(公告)日：2022-09-20

申请号：CN202010519102.X

申请日：2020-06-09

Applicant: 国家数字交换系统工程技术研究中心 ,  网络通信与安全紫金山实验室

Inventor： 贺磊 ,  邬江兴 ,  刘勤让 ,  宋克 ,  魏帅 ,  沈建良 ,  谭立波 ,  李彧 ,  任权 ,  周俊 ,  傅敏 ,  张伟丽 ,  丁瑞浩 ,  郭义伟

IPC: H04L1/00 ,  H04L9/40

Abstract: 本申请提供了应用于网络安全防御系统的输入输出系统，对结构编码单元和纠错译码单元进行划分，结构编码单元被划分为输入分路模块和输入代理模块，纠错译码单元被划分为输出选路模块、输出代理模块、裁决分路模块、裁决代理模块和表决模块。输入分路模块用于报文的复制和分发，裁决分路模块用于数据的复制和分发，表决模块用于表决，输出选路模块用于依据表决模块的表决结果，从输出代理模块的处理结果中选择输出结果。被划分出的输出选路模块、裁决分路模块和表决模块的功能简单，被验证无后门。因为上述模块和单元具备记忆消除功能，且输入代理、输出代理模块和裁决代理模块可以使用动态异构冗余机制设置，所以输入端和输出端具备较高的安全性。

公开(公告)号：CN112217604A

公开(公告)日：2021-01-12

申请号：CN202010519102.X

申请日：2020-06-09

Applicant: 国家数字交换系统工程技术研究中心 ,  网络通信与安全紫金山实验室

Inventor： 贺磊 ,  邬江兴 ,  刘勤让 ,  宋克 ,  魏帅 ,  沈建良 ,  谭立波 ,  李彧 ,  任权 ,  周俊 ,  傅敏 ,  张伟丽 ,  丁瑞浩 ,  郭义伟

IPC: H04L1/00 ,  H04L29/06

Abstract: 本申请提供了应用于网络安全防御系统的输入输出系统，对结构编码单元和纠错译码单元进行划分，结构编码单元被划分为输入分路模块和输入代理模块，纠错译码单元被划分为输出选路模块、输出代理模块、裁决分路模块、裁决代理模块和表决模块。输入分路模块用于报文的复制和分发，裁决分路模块用于数据的复制和分发，表决模块用于表决，输出选路模块用于依据表决模块的表决结果，从输出代理模块的处理结果中选择输出结果。被划分出的输出选路模块、裁决分路模块和表决模块的功能简单，被验证无后门。因为上述模块和单元具备记忆消除功能，且输入代理、输出代理模块和裁决代理模块可以使用动态异构冗余机制设置，所以输入端和输出端具备较高的安全性。

公开(公告)号：CN111769903A

公开(公告)日：2020-10-13

申请号：CN202010526523.5

申请日：2020-06-09

Applicant: 国家数字交换系统工程技术研究中心 ,  珠海高凌信息科技有限公司

Inventor： 贺磊 ,  邬江兴 ,  刘勤让 ,  宋克 ,  任权 ,  周俊 ,  傅敏 ,  张伟丽 ,  丁瑞浩 ,  郭义伟

IPC: H04L1/00 ,  H04L29/06

Abstract: 本申请提供的技术方案，在网络安全防御系统中使用无记忆技术，无记忆技术包括：不受广义扰动影响的技术。使用冗余和替换机制，消除网络安全防御系统对随机扰动影响的记忆，通过对网络安全防御系统中运行的程序和/或网络安全防御系统中的数据进行记忆消除。因为，无记忆技术用于网络安全防御系统不受广义扰动影响，冗余和替换机制用于消除随机扰动对网络安全防御系统影响的记忆，记忆消除用于消除网络安全防御系统对非随机扰动影响的记忆，所以，本方案能够阻断网络安全防御系统对于广义扰动，包括非随机扰动和随机扰动，导致的错误的记忆，实现提高网络安全防御系统的安全性的目的。

公开(公告)号：CN112217778A

公开(公告)日：2021-01-12

申请号：CN202010519108.7

申请日：2020-06-09

Applicant: 国家数字交换系统工程技术研究中心 ,  珠海高凌信息科技有限公司

Inventor： 邬江兴 ,  贺磊 ,  任权 ,  周俊 ,  傅敏 ,  张伟丽 ,  丁瑞浩 ,  郭义伟 ,  周金锁

IPC: H04L29/06 ,  H04L1/22

Abstract: 本申请所述的技术方案，使用包括编码、译码和记忆消除策略的第一策略消除广义扰动对第二策略的影响，并通过将第二策略作用于数据，实现对数据的正确计算、存储和通信，因为广义扰动作为外因，能够激活第二策略的故障这一内因，产生错误和失效，因此，能够通过第一策略纠正被激活故障所导致的错误和失效，并且，又因为第一策略通过被处理后数据的译码结果触发的反馈控制策略调整得到，所以，步骤之间构成闭环，而无需借助外在的软硬件解决内生安全问题，综上所述，本申请提供的技术方案，能够通过内生性的安全机制解决内生安全问题。

公开(公告)号：CN107395414B

公开(公告)日：2020-07-28

申请号：CN201710590045.2

申请日：2017-07-19

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 邬江兴 ,  贺磊 ,  张帆 ,  伊鹏 ,  程国振 ,  董永吉 ,  李沛杰 ,  李军飞 ,  李锦玲 ,  陈艇 ,  丁瑞浩 ,  任权 ,  高洁

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本申请实公开了一种基于输出裁决的负反馈控制方法及系统，所述方法包括：输出裁决器接收至少两个异构功能等价体的输出响应，根据所述输出响应将所述至少两个异构功能等价体所对应的编号划分为至少一个集合；所述输出裁决器根据所述输出响应确定每个所述集合的可信度，并将所述至少一个集合和每个所述集合所对应的可信度通过裁决信息发送给反馈控制器；反馈控制器根据裁决信息生成第一调度策略和/或第二调度策略，反馈控制器将所述第一调度策略发送给输入代理器，和/或将变化指令发送给所述第二调度策略所指示的异构功能等价体。本方法能够提前预防可能发生故障的异构功能等价体，并对其进行处理，从而提高了软硬件装置的可靠性和安全性。

公开(公告)号：CN107395414A

公开(公告)日：2017-11-24

申请号：CN201710590045.2

申请日：2017-07-19

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 邬江兴 ,  贺磊 ,  张帆 ,  伊鹏 ,  程国振 ,  董永吉 ,  李沛杰 ,  李军飞 ,  李锦玲 ,  陈艇 ,  丁瑞浩 ,  任权 ,  高洁

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本申请实公开了一种基于输出裁决的负反馈控制方法及系统，所述方法包括：输出裁决器接收至少两个异构功能等价体的输出响应，根据所述输出响应将所述至少两个异构功能等价体所对应的编号划分为至少一个集合；所述输出裁决器根据所述输出响应确定每个所述集合的可信度，并将所述至少一个集合和每个所述集合所对应的可信度通过裁决信息发送给反馈控制器；反馈控制器根据裁决信息生成第一调度策略和/或第二调度策略，反馈控制器将所述第一调度策略发送给输入代理器，和/或将变化指令发送给所述第二调度策略所指示的异构功能等价体。本方法能够提前预防可能发生故障的异构功能等价体，并对其进行处理，从而提高了软硬件装置的可靠性和安全性。

公开(公告)号：CN111865661A

公开(公告)日：2020-10-30

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN114745128B

公开(公告)日：2023-07-07

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN113132352A

公开(公告)日：2021-07-16

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。