公开(公告)号：CN112367262B

公开(公告)日：2022-07-05

申请号：CN202010844839.9

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L45/7453

Abstract: 一种五元组规则匹配的方法，该五元组规则模板预先进行了分类，并为分类后的规则模板设置关联规则有效标志，该方法具体包括：接收数据报文并提取五元组信息；根据提取的五元组信息依次对分类后的规则模板类型进行判断，并进一步确定该五元组信息所匹配的规则模板，记录其命中的规则模板相对应的关联规则有效标志；根据所命中的关联规则有效标志，在所确定的规则模板类型对应的规则Hash表中顺次查找相匹配的规则表项，并输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置及芯片，可以显著提升五元组规则查表效率，解决了规则表资源竞争的问题。

公开(公告)号：CN114328770A

公开(公告)日：2022-04-12

申请号：CN202110958304.9

申请日：2021-08-20

Applicant: 长安通信科技有限责任公司 ,  中共青海省委网络安全和信息化委员会办公室 ,  国家计算机网络与信息安全管理中心

Inventor： 李明哲 ,  白光元 ,  黄亮 ,  李佳 ,  张良 ,  于晶 ,  侯雄斌 ,  李婷 ,  侯爽 ,  高佳威 ,  吕宁 ,  刘伟 ,  郝帅 ,  杨云龙 ,  戴光耀 ,  邱丰

IPC: G06F16/29 ,  G06F16/21 ,  G06F16/22 ,  G06F40/126 ,  G06F21/62

Abstract: 本发明公开了一种地理网格编码方法、系统和装置，该方法包括：构建模型，假定空间离散且不可无限分割，在位区内设立位区网格，得到地理空间模型；分割网格并编码，用二维坐标对位区网格进行编码，得到位区网格编码；将所述位区网格编码进行进制转换，得到压缩态位区网格编码。该系统包括模型构建模块、分割网格及编码模块、进制转换模块。该装置包括数据采集装置、处理器和存储器。采用本本发明的方法、系统和装置能够在一定场景下显著降低编码开销，可以将时间与空间信息融合，紧凑存储时空点，有利于对海量定位和轨迹信息进行快速处理和轻量化存储，且具有一定脱敏效果，有助于增强数据安全，实现对相关工作的技术支持。

公开(公告)号：CN108632280A

公开(公告)日：2018-10-09

申请号：CN201810434119.8

申请日：2018-05-08

Applicant: 国家计算机网络与信息安全管理中心 ,  杭州迪普科技股份有限公司

Inventor： 陈训逊 ,  邹昕 ,  李明轩 ,  严世强 ,  李高超 ,  张家琦 ,  张良

IPC: H04L29/06

Abstract: 本申请提供一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求，该流量处理方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中白名单规则的流量；将所述服务器返回的流量发送给目的路由器。

公开(公告)号：CN105373601A

公开(公告)日：2016-03-02

申请号：CN201510755911.X

申请日：2015-11-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何睿 ,  吴昊 ,  汪立东 ,  何清林 ,  马秀娟 ,  张良 ,  张露晨 ,  李晓倩 ,  孙昊良

IPC: G06F17/30 ,  G06F21/55

CPC classification number: G06F16/245 ,  G06F21/55

Abstract: 本发明提供一种基于关键字词频特征的多模式匹配方法，首先从已知的信息数据库中提取关键字并统计出现频率作为其词频信息，其次采用构造含有关键字词频信息的二叉树完成其中的模式串匹配，在字符匹配过程中若出现字符不相等，则与该不匹配字符所在节点的兄弟节点所含字符进行匹配。其利用信息来源的模式的关键字词频信息构造基于字典树的二叉树完成其中的模式串的匹配，并与AC算法进行了比较。传统的AC算法需要维护三张表，并且在模式匹配过程中会频繁访问这三张表；本发明的一种基于关键字词频特征的多模式匹配方法更多的利用了模式本身的词频信息，并不需要维护过多的信息，这就大大减少了系统的内存消耗。

公开(公告)号：CN105302851A

公开(公告)日：2016-02-03

申请号：CN201510572332.1

申请日：2015-09-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  孙昊良 ,  吴昊 ,  张良 ,  王大伟 ,  汪立东

IPC: G06F17/30

CPC classification number: G06F17/30194

Abstract: 本发明提供一种基于文件序列化的自动机远程分发和初始化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。该方法包括步骤：S1.配置后端服务器，将特征和规则进行初始化生成自动机；S2.在所述后端服务器上将自动机序列化到本地，以文件形式存储；S3.配置分发网络和n台处理机，所述后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；S5.处理机根据新生成自动机进行特征的匹配和检测处理。

公开(公告)号：CN104951712A

公开(公告)日：2015-09-30

申请号：CN201410200586.6

申请日：2014-05-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张良 ,  云晓春 ,  石旭 ,  闫攀 ,  彭义刚

IPC: G06F21/64 ,  G06F21/62 ,  G06F21/53

Abstract: 本发明提供一种Xen虚拟化环境下的数据安全防护方法，包括：对虚拟机进行完整性检查，并对虚拟机的关键部分进行加密及签名；当启动虚拟机时，对虚拟机进行解密并验证签名操作；成功后，主机的通信接口上连接硬件加密卡，对于同一台所述主机上模拟出的n台虚拟机，每一台虚拟机上创建加密卡驱动程序；各台虚拟机通过自身的加密卡驱动程序在硬件层直接访问硬件加密卡，通过硬件加密卡，进行加密业务处理操作，得到加密业务处理结果；当虚拟机完成任务后，将虚拟机还原到经过签名的初始状态，并将加密业务处理结果转换为密文，在经过身份验证后，通过专用通道导出到实际物理环境中存储。全面提高Xen虚拟环境下虚拟机进行数据处理的安全性。

公开(公告)号：CN102594583B

公开(公告)日：2014-09-17

申请号：CN201110376506.9

申请日：2011-11-23

Applicant: 华为技术有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 王勇 ,  李高超 ,  邹昕 ,  鲁松 ,  张良 ,  周立 ,  张飞 ,  雷新 ,  石佳

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明公开了一种流量监测和切换的方法、装置及系统，涉及网络安全领域，为监测电路保护设备发生故障以及当电路保护设备发生故障时切换流量而发明。所述方法包括：接收发送设备通过光路保护设备发送的数据流量；监测电路保护设备上流量输出端口上的平均流量值；将监测到的平均流量值与流量阈值进行比对；当所述平均流量值小于所述流量阈值时，将数据流量切换到所述光路保护设备，通过所述光路保护设备直接将所述数据流量发送给接收设备。本发明主要应用于网络安全领域。

公开(公告)号：CN103916316A

公开(公告)日：2014-07-09

申请号：CN201410145478.3

申请日：2014-04-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张良 ,  黄成 ,  汪立东 ,  李晓倩 ,  谢铭

IPC: H04L12/70 ,  G06F9/38

Abstract: 本发明公开了网络数据包线速捕获方法，具体包括以下步骤：步骤一、在Tilera众核平台下配置Mpipe规则；步骤二、创建n个收包线程，为各个线程绑定一个用于处理数据包的CPU核，n个收包线程并行运行；步骤三、在每个收包线程中，调用Mpipe接口接收网络数据包，当CPU核接收到数据包，把数据包转变为PCAP文件格式，根据数据包的序列号获取数据包保存在PCAP文件内存的首地址，根据首地址存取数据包；步骤四、在每个收包线程中，当CPU核接收到数据包，修改数据包的描述符，然后调用Mpipe接口转发数据包；步骤五、在每个收包线程中，判断是否完成处理（完成处理指不进行后续数据包的处理），均完成后，结束处理，否则，返回步骤三。本发明大大提高了数据包线速捕获的效率。

公开(公告)号：CN111988231B

公开(公告)日：2022-07-22

申请号：CN202010845709.7

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 张良 ,  党向磊 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L45/745 ,  G06F16/901 ,  G06F16/903

Abstract: 一种掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别，将包含识别到的合并位的多条掩码五元组规则合并为一条规则；将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的UserData部分中，并将上述合并位作为索引分别分配给相应的匹配结果；在数据报文五元组信息与该合并的规则匹配后，再基于该合并位索引最终的匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法及装置，可以有效提升了TCAM表项资源所能存储的掩码五元组规则容量，在提高利用率的同时节约了成本。

公开(公告)号：CN111984835B

公开(公告)日：2022-07-05

申请号：CN202010845708.2

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: G06F16/903 ,  G06F16/901 ,  H04L45/745 ,  H04L101/695

Abstract: 一种IPv4掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：压缩该TCAM芯片所存储的掩码五元组规则中的源端口SP字段及目的端口DP字段，删除协议号P字段，压缩后占10字节，并将原始掩码五元组规则中的协议号字P字段与该规则的匹配结果合并存储；接收报文并提取报文中的五元组信息，在TCAM芯片所存储的掩码五元组规则中查询；若查询命中匹配结果，则判断报文中的五元组信息与匹配结果相应的协议号P字段是否一致，若一致则输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置，能够有效解决TCAM资源浪费的问题，使TCAM得到充分的使用。