-
公开(公告)号:CN108270782A
公开(公告)日:2018-07-10
申请号:CN201810034028.5
申请日:2018-01-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于安全标签的访问控制方法及系统,对信息访问主体标记安全许可,对信息标记安全标签,并依据安全要求生成安全策略;当信息处于流通过程中,在信息访问主体中启动访问控制机制解析信息中的安全标签,依据安全策略匹配安全许可和安全标签,根据匹配结果决定信息流向,从而达到控制信息知悉范围的目的,提高了安全性。
-
公开(公告)号:CN108183915A
公开(公告)日:2018-06-19
申请号:CN201810033991.1
申请日:2018-01-15
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种面向高安全等级业务与应用需求的安全标签实现框架,包括:标准化层、处理接口层和业务处理层;所述标准化层包括:安全标签单元和安全标签协议单元:所述处理接口层包括安全标签处理模块和安全标签管理模块两部分;所述业务处理层包括客户端应用处理单元、业务服务处理单元和管理单元;本发明通过安全标签实施框架的建设,能够面向高安全等级业务与应用需求,实现业务系统的安全增强,对于业务与应用具有较好的适应性。
-
公开(公告)号:CN106790219A
公开(公告)日:2017-05-31
申请号:CN201710018099.1
申请日:2017-01-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用;北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;其中,管理员类别允许读写数据平面中的设备数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据;用户类别允许读写数据平面中的转发数据;所述北向应用将用户分类在对应用的安全级别中;以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用;该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限,进行访问控制。本发明提高了SDN网络中网络信息的机密性。
-
Patent Agency Ranking
公开(公告)号:CN106713307A
公开(公告)日:2017-05-24
申请号:CN201611186120.0
申请日:2016-12-20
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种检测SDN中流表一致性的方法和系统,可根据基于流表篡改的监听攻击的特征定制需要检测的字段,只要是防护已知流表篡改类型的监听攻击就能实现百分之百的检测率;同时,由于该方法只需要交换机返回指定字段的计数内容,因而占用网络传输带宽小,占用控制器、交换机端处理时间也更少。因而,本发明提出了一种针对性更强、检测率更高、检测效率更快的方法和系统,以较低的网络传输负荷、较高检测率对流表的一致性进行检测,弥补了SDN分层结构缺乏对流表规则一致性检测措施的不足,是对SDN流表一致性检测防护方面的补充和改进,提高SDN网络控制的可靠性,为SDN网络数据传输提供安全保证。
-
公开(公告)号:CN106375345A
公开(公告)日:2017-02-01
申请号:CN201610966292.3
申请日:2016-10-28
Applicant: 中国科学院信息工程研究所 , 中兴通讯股份有限公司
CPC classification number: H04L63/1441 , H04L61/1511 , H04L63/145
Abstract: 本发明提出一种基于周期性检测的恶意软件域名检测方法,包含以下步骤:1)对输入数据进行过滤,得到一个稀少域名集合;2)从稀少域名集合中提取出 的请求时间序列,对其进行周期性检测,得到周期性域名集合;3)获取周期性域名集合中每一个周期性域名的特征向量;4)将周期性域名集合中周期性域名进行人工标记,根据特征向量,使用标注好的合法域名和恶意域名对分类器进行训练;5)将新的未标注域名作为步骤4)训练后的分类器的输入进行检测,输出结果为恶意软件域名。能够在隐蔽通信中发现具有周期性的恶意软件域名。同时提出基于上述方法的系统。
-
公开(公告)号:CN106341418A
公开(公告)日:2017-01-18
申请号:CN201610877753.X
申请日:2016-10-08
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
CPC classification number: H04L63/1458 , H04L63/1408
Abstract: 本发明公开了一种DNS分布式反射型拒绝服务攻击检测、防御方法与系统。本方法为:1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数,计算同一交换机中相同IP地址的上下行流量差异值P,若P大于阈值,则生成对较小流量进行采样标记的流表规则并下发到交换机;2)各交换机根据该流表规则对数据包进行采样;3)分析模块根据采样信息将数据包的源、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器;4)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID和入口端口,将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较,若不匹配,则检测为攻击流量,对其进行隔离。
-
公开(公告)号:CN105959144A
公开(公告)日:2016-09-21
申请号:CN201610387832.2
申请日:2016-06-02
Applicant: 中国科学院信息工程研究所
CPC classification number: H04L41/0853 , H04L41/0869 , H04L43/024
Abstract: 本发明公开了一种面向工业控制网络的安全数据采集与异常检测方法与系统,该方法包括安全数据采集与异常检测两部分。安全数据采集基于弹性采集策略采集工业控制网络中多层次、多种类的安全数据,并形成统一格式的安全报文。异常检测对安全报文进行分析,通过配置基线检测发现工业控制网络中资产配置异常,通过控制操作一致性检测发现工业控制网络中的操作行为异常。本发明面向工业控制网络,能够在保障工业控制网络可用性和可靠性的基础上,提升工业控制网络抵抗APT攻击的能力。
-
公开(公告)号:CN105072101A
公开(公告)日:2015-11-18
申请号:CN201510455076.8
申请日:2015-07-29
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
CPC classification number: H04L63/0281 , H04L63/1425
Abstract: 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理;所述前置代理位于SDN控制器群组和交换机之间,负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器,并提取各个SDN控制器发出的Openflow应答消息中的流规则,对提取的流规则进行比对,如果比对结果满足预设的入侵容忍策略,则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性,为SDN网络提供安全保证。
-
-
-
-
-
-
-
Search Results
98
records
(took 0.035 seconds)
