公开(公告)号：CN104954864B

公开(公告)日：2019-03-01

申请号：CN201510342856.1

申请日：2015-06-19

Applicant: 中国人民解放军信息工程大学

Inventor： 李玉峰 ,  张明明 ,  李康士 ,  于松林 ,  王文功 ,  陈博 ,  张传浩 ,  杜飞

IPC: H04N21/442 ,  H04N21/24

Abstract: 本发明涉及一种双向机顶盒入侵检测系统及其检测方法，其入侵检测系统，包含前端子系统和后端子系统，前端子系统，与OLT上游双向链路连接，对出/入OLT上游双向链路的双向流量进行采集和处理；后端子系统，对前端子系统的数据包进行安全检测和数据分析。本发明部署在OLT上游双向链路，对汇聚流量实现实时、智能识别，并实时检测并阻断、清洗恶意攻击流量；保证接入网正常不间断运行，对其串联在链路中可能产生的中断问题加以处理，保证链路的畅通；系统本身无外部可探测到的IP地址，类似于物理层的透明传输装置，类似一段光纤，具有天然的“隐形”特性，可免除攻击者对其进行探测，确保自身网络安全。

公开(公告)号：CN104104603B

公开(公告)日：2017-05-24

申请号：CN201410385129.9

申请日：2014-08-07

Applicant: 中国人民解放军信息工程大学

Inventor： 胡宇翔 ,  陈庶樵 ,  马腾 ,  卜佑军 ,  杜飞 ,  扈红超 ,  李印海 ,  白冰

IPC: H04L12/725

Abstract: 本申请公开了一种数据传输链路的建立方法及系统，方法包括：接收源节点发送的包括路径标识和链路类型的链路建立请求，判断当前节点的资源状况是否满足与链路类型对应的数据流的QoS等级的要求，若满足，则在预设条件下，建立与当前节点的上一节点之间的链路，并判断当前节点是否为链路的最后一个节点，若是则通过链路逐跳向源节点发送响应信息，若不是则向当前节点的下一节点发送链路建立请求，以使下一节点重复所述判断当前节点的资源状况是否满足与所述链路类型对应的数据流的QoS等级的要求及以下的步骤。通过本申请的上述方案，能够为具有相同的QoS等级的数据流建立传输链路，保障了数据的多等级传输以及数据的QoS需求。

公开(公告)号：CN104010004B

公开(公告)日：2017-05-24

申请号：CN201410272569.3

申请日：2014-06-18

Applicant: 中国人民解放军信息工程大学

Inventor： 张震 ,  兰巨龙 ,  陈鸿昶 ,  陶勇 ,  王鹏 ,  杜飞 ,  张传浩

IPC: H04L29/06

Abstract: 本申请公开了一种数据传输网络的建立方法及系统，该方法包括：首先接收用户的建立请求，利用请求中包括的拓扑信息确定数据节点的选择顺序，并将第一位选择的数据节点确定为数据核心节点，然后根据物理网络的拓扑信息，得到物理节点的节能重要度排序，在按照节能重要度排序的物理节点中，找出首个满足数据核心节点要求的物理节点，并把它确定为物理核心节点，以该物理核心节点为基准，逐次确定物理节点作为数据传输网络中数据节点的实体映射，并最终建立数据传输路径。本申请的这种方法，能够在建立数据传输网络时，充分考虑物理节点的节能重要性，所建立的传输路径能够很好的降低能源消耗。

公开(公告)号：CN105208037A

公开(公告)日：2015-12-30

申请号：CN201510652229.8

申请日：2015-10-10

Applicant: 中国人民解放军信息工程大学

Inventor： 扈红超 ,  姜宏 ,  陈庶樵 ,  杜飞 ,  王雨 ,  马海龙 ,  张震 ,  程国振 ,  张明明

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法，克服了现有技术中，入侵检测准确率仍需提高的问题。该发明包括：步骤1.基于时间窗的流量预警；步骤2.异常流量特征处理；步骤3.基于规则匹配的快速攻击检测；步骤4.未知类型攻击的挖掘与检测；步骤5.基于IP列表的攻击过滤。与现有技术相比，本发明通过轻量级入侵检测技术结合特征选择，基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题；通过结合在线增量学习和特征选择，解决了未匹配预建攻击模式的未知类型攻击检测问题。

公开(公告)号：CN105049231B

公开(公告)日：2018-10-09

申请号：CN201510342832.6

申请日：2015-06-19

Applicant: 中国人民解放军信息工程大学

Inventor： 江逸茗 ,  兰巨龙 ,  汪斌强 ,  张少军 ,  申娟 ,  杜飞

IPC: H04L12/24 ,  H04L12/803

Abstract: 本发明属于计算机网络领域，具体涉及一种分层跨域的网络管理控制系统，用于支持在网络的控制平面对网络进行分域管理与控制，以提高网络的可扩展性。所述技术方案包括：将网络交换节点划分为多个域，每个域由一个本地控制节点进行管理，包括网络域的拓扑学习、跨域流的转发规则生成、负载均衡决策等功能；存在一个中心控制节点用于负责各个本地控制节点之间的协调；本地控制节点负责域内的转发规则生成与下发、为跨域通信发起转发规则请求，并实现了负载感知、执行迁移命令、执行主备切换命令等功能。本申请的系统和方法，能够提高网络的可扩展性，并可为各类新型网络架构或技术提供试验平台。

公开(公告)号：CN105208037B

公开(公告)日：2018-05-08

申请号：CN201510652229.8

申请日：2015-10-10

Applicant: 中国人民解放军信息工程大学

Inventor： 扈红超 ,  姜宏 ,  陈庶樵 ,  杜飞 ,  王雨 ,  马海龙 ,  张震 ,  程国振 ,  张明明

IPC: H04L29/06

Abstract: 本发明公开了一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法，克服了现有技术中，入侵检测准确率仍需提高的问题。该发明包括：步骤1.基于时间窗的流量预警；步骤2.异常流量特征处理；步骤3.基于规则匹配的快速攻击检测；步骤4.未知类型攻击的挖掘与检测；步骤5.基于IP列表的攻击过滤。与现有技术相比，本发明通过轻量级入侵检测技术结合特征选择，基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题；通过结合在线增量学习和特征选择，解决了未匹配预建攻击模式的未知类型攻击检测问题。

公开(公告)号：CN105406993A

公开(公告)日：2016-03-16

申请号：CN201510710376.6

申请日：2015-10-28

Applicant: 中国人民解放军信息工程大学

Inventor： 张风雨 ,  白冰 ,  扈红超 ,  张传浩 ,  杜飞 ,  王鹏 ,  程国振 ,  朱珂 ,  王志明

IPC: H04L12/24

CPC classification number: H04L41/28

Abstract: 本发明提出了一种加密流的识别方法及装置，该方法包括：步骤1，基于窗口跃迁在数据流中选择待测数据报文；步骤2，根据待测数据报文计算评估值；步骤3，基于评估值判断所述数据流是否加密。该装置包括：选择模块、计算模块和判断模块。本发明能够快速、准确的识别出各种加密的数据流，解决了现有技术中对各种加密流量识别的普适性问题。

公开(公告)号：CN104869120A

公开(公告)日：2015-08-26

申请号：CN201510264761.2

申请日：2015-05-22

Applicant: 中国人民解放军信息工程大学

Inventor： 胡宇翔 ,  王鹏 ,  李玉峰 ,  刘宗海 ,  杜飞 ,  张风雨 ,  李晨晖 ,  张霞 ,  陈祥

IPC: H04L29/06

CPC classification number: H04L63/0407

Abstract: 本发明涉及一种路由器身份特征信息主动隐藏方法，通过报文解析机制，对到达的探测报文进行解析，区分合法探测报文和非法探测报文；通过随机化伪身份信息调度机制，实现根据非法报文的探测需求调度相应的为身份信息以达到隐藏的目的。本发明通过动态感知学习，生成虚假身份信息池，使得路由器响应给攻击者的身份与周围网络环境中的节点身份具有较高的相似性，增加攻击者识别难度；在需要进行身份特征隐藏时，路由器依据攻击者身份特征采取哈希映射方式从虚假身份信息池中随机选择身份特征进行响应，采取一致策略确保回复给同一攻击者的响应内容一致，诱使攻击者受骗。

公开(公告)号：CN104009923B

公开(公告)日：2017-07-14

申请号：CN201410196343.X

申请日：2014-05-12

Applicant: 中国人民解放军信息工程大学

Inventor： 王雨 ,  李玉峰 ,  黄万伟 ,  卜佑军 ,  姜鲲鹏 ,  张霞 ,  杜飞

IPC: H04L12/741 ,  H04L12/749 ,  H04L29/06

Abstract: 本发明公开了一种基于指针迭代的IPV6报文硬件解析方法，主要包括如下步骤：将输入报文转换为64bit宽的数据，从报文头开始，对报文进行周期计数；根据IPV6基本头的外层信息，解析出IPV6基本头的位置以及基本头中的下个首部所在位置，并存入指针；用报文所在的处理周期以及在周期内的偏移与指针值进行比较，提取出基本头的下个首部类型并判定是否是IPV6扩展头，如否，则扩展头解析结束；如是，则根据首部类型值以及指针值来提取第一个扩展头中的头长度、下个首部类型信息，下个扩展头的位置等信息，并分别存入类型寄存器与位置指针；用类型寄存器与位置指针对下一层报文进行迭代处理，将新计算出的值覆盖旧值，直至扩展头解析结束。本发明的特点是：使用硬件资源少；能够对任意扩展头组合的IPV6报文的解析；能够实现IPv6报文的实时解析。

公开(公告)号：CN104753640A

公开(公告)日：2015-07-01

申请号：CN201510123034.4

申请日：2015-03-20

Applicant: 中国人民解放军信息工程大学

Inventor： 张校辉 ,  伊鹏 ,  虎艳宾 ,  张传浩 ,  杜飞 ,  周锟 ,  申涓 ,  黄万伟 ,  谈满堂

IPC: H04L1/00

Abstract: 本申请提供了一种基于网络传输链路的适配方法及装置，识别从PoS链路上接收到的数据帧的扰码方式，在识别出数据帧的扰码方式的情况下，识别数据帧的帧校验方式，在识别出数据帧的帧校验方式的情况下，识别数据帧的链路层协议类型，使用识别出的扰码方式、帧校验方式及链路层协议类型适配设备的数据传输方式，本申请的发明人在经过多次试验的基础上发现，使用上述依次识别扰码方式、帧校验方式及链路层协议类型的顺序进行识别，与使用其它识别顺序相比，时延最小，因此具有较高的效率，进一步地，能够满足网络传输链路的配置实时性的需求。