公开(公告)号：CN111416865A

公开(公告)日：2020-07-14

申请号：CN202010213921.1

申请日：2020-03-24

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 徐虹 ,  白果 ,  吕青松 ,  郭义伟 ,  冯志峰 ,  于天

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明提出一种基于拟态防御的协议代理处理方法，包括：协议收报端口发送协议报文至输入代理和SDK；SDK获取与协议收报端口相关的第二报文信息，从所述协议报文中提取第一报文信息，将第一报文信息与第二报文信息一一对应存储，并创建第一报文信息查询接口；输入代理将协议报文复制并分发至多个异构执行体；每个异构执行体根据所述协议报文里的第一报文信息从SDK中获取第二报文信息，并根据第一报文信息和第二报文信息对协议报文进行处理；每个异构执行体根据调度模块发布的主执行体信息判断是否为主执行体，若为主执行体，则向前端接口发送协议报文处理结果。本发明还提供一种基于拟态防御的协议代理处理系统。

公开(公告)号：CN110247928A

公开(公告)日：2019-09-17

申请号：CN201910580675.0

申请日：2019-06-29

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 宋帅康 ,  吕青松 ,  郭义伟 ,  徐虹 ,  魏亚祥 ,  邵文超 ,  冯志峰 ,  党凯剑

IPC: H04L29/06 ,  H04L12/931 ,  H04L12/935 ,  H04L12/937 ,  H04L12/46 ,  H04L12/801 ,  H04L12/833

Abstract: 本发明提出了一种拟态交换机安全流量控制装置及方法，其中，装置包括安全态势感知模块、引流模块和数据中转模块，使用该装置进行安全流量控制方法，包括以下步骤：步骤1：安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略；步骤2：引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征，根据报文特征制定动态引流策略；步骤3：数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。本发明提供的拟态交换机安全流量控制方法解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节开发难度较大以及效率过低的问题，还极大增加了攻击者的攻击难度。

公开(公告)号：CN114553799B

公开(公告)日：2023-11-03

申请号：CN202210035797.3

申请日：2022-01-10

Applicant: 珠海高凌信息科技股份有限公司 ,  河南信大网御科技有限公司

Inventor： 唐剀飞 ,  贾铁振 ,  冯志峰 ,  郭义伟 ,  吕青松 ,  张建军

IPC: H04L49/201

Abstract: 本申请提供一种基于可编程数据平面的组播转发方法、装置、设备及介质，属于通信技术领域。该方法包括：交换机接收控制器发送的P4文件，P4文件携带转发指导信息，转发指导信息包括报文类型信息、执行策略和组播位信息；交换机对P4文件进行编译，得到报文类型信息、执行策略和组播位信息；交换机通过对组播位信息进行初始化，得到组播端口信息；交换机在接收到与报文类型信息相匹配的目标报文时，基于执行策略将目标报文转发至与组播端口信息对应的组播端口。本申请利用具有与协议无关且设备独立特性的可编程数据平面，能够解决传统组播对于报文协议的限制，优化了组播传输中对于丢包、错包的容错机制。

公开(公告)号：CN114338203B

公开(公告)日：2023-10-03

申请号：CN202111664728.0

申请日：2021-12-31

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 吕青松 ,  贺喜卓 ,  郭义伟 ,  冯志峰 ,  张建军

IPC: H04L9/40

Abstract: 本发明提出了一种基于拟态蜜罐的内网检测系统及方法，系统包括：蜜罐池，包含多个以操作系统为基准进行分类的蜜罐；蜜网，由多个蜜罐组网构成，接入到内网交换机中，以将内网的渗透攻击引入到蜜网中；裁决模块，与蜜网中的蜜罐连接，用于对蜜罐的操作系统的状态进行裁决检测，并将裁决结果发送到调度模块；调度模块，与蜜罐池及蜜网中的蜜罐和裁决模块连接，用于定时从蜜罐池中调度蜜罐到蜜网中，还用于当检测到威胁时，根据裁决信息调度蜜网中蜜罐。方法包括以下步骤：当内网或者外网发起渗透攻击，渗透攻击被引入到蜜网中；蜜网中蜜罐的操作系统环境属性发生变化，当裁决模块检测到变化的蜜罐，通知调度模块对变化的蜜罐进行调度。

公开(公告)号：CN111859391B

公开(公告)日：2023-08-04

申请号：CN202010657032.4

申请日：2020-07-09

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 吕青松 ,  贾铁振 ,  冯志峰 ,  胡海洋 ,  翟英博 ,  杨泽彭 ,  郭义伟 ,  陈国仁

IPC: G06F21/57

Abstract: 本发明提供了一种可信执行体、拟态逃逸快速识别方法及拟态防御架构，所述方法包括以下步骤：设置可信执行体；可信执行体和异构执行体分别独立运行输入代理发送的处理请求；可信执行体基于处理请求生成可信执行结果；可信执行体读取裁决器输出的裁决结果，并将可信执行结果与裁决结果进行比较：其中，所述裁决结果为裁决器接收不同异构执行体输出的执行结果，并根据预置规则输出的数据；若所述可信执行结果与所述裁决结果不一致，则判定拟态界发生拟态逃逸事件；若所述可信执行结果与所述裁决结果一致，则判定拟态界未发生拟态逃逸事件。本发明通过引入可信执行体来识别拟态逃逸，在一定程度上降低了拟态逃逸发生的概率。

公开(公告)号：CN114363048B

公开(公告)日：2023-07-07

申请号：CN202111664726.1

申请日：2021-12-31

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 吕青松 ,  冯志峰 ,  张建军 ,  郭义伟 ,  李松泽 ,  山海源

IPC: H04L9/40

Abstract: 本发明提出了一种拟态未知威胁发现系统，包括：流量存储器，采用时间分段的方式，将分发代理与外部用户的交互数据作为流量记录进行镜像存储；执行体快照池，定时存储在线执行体的快照，当裁决器检测到异常执行体后，还由调度模块将异常执行体保留一份现场快照；现场快照包括异常执行体的操作系统状态和应用程序状态；分析中心，接收到裁决器发送的异常执行体信息后，从流量存储器中调取流量记录，同时从执行体快照池取出异常执行体的现场快照；基于异常执行体的现场快照，确定执行体出现问题的地方；基于执行体出现问题的地方和流量记录，进行攻击溯源；调度器，在接收到裁决器发送的异常执行体信息后，将异常的执行体进行重启后继续上线。

公开(公告)号：CN111858166B

公开(公告)日：2023-07-07

申请号：CN202010641124.3

申请日：2020-07-06

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 吕青松 ,  冯志峰 ,  贾铁振 ,  李松泽 ,  王明政 ,  郭义伟

IPC: G06F11/14 ,  G06F9/54

Abstract: 本发明提供了一种可纠错快速拟态裁决方法、裁决器、系统及介质，所述方法包括：在接收到首个待裁决数据时，触发选择输出模块；选择输出模块获取所述首个待裁决数据，并将所述首个待裁决数据作为裁决结果进行输出；数据裁决模块获取所有待裁决数据，并基于预置裁决规则对所述选择输出模块输出的裁决结果进行校验；在检测到所述首个待裁决数据异常时，启动回滚操作模块；回滚操作模块生成回滚操作请求，对选择输出模块输出的裁决结果进行回滚操作。本发明通过“先进先出、后项验证、适时回退”的方式，大大提高了裁决器的效率，缩短了拟态构造设备对外服务的响应时间。

公开(公告)号：CN111858039B

公开(公告)日：2023-07-07

申请号：CN202010642264.2

申请日：2020-07-06

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 吕青松 ,  魏亚祥 ,  冯志峰 ,  程军雷 ,  王明政 ,  郭义伟

IPC: G06F9/50 ,  G06F9/54

Abstract: 本发明提供了一种基于分时式的拟态快速裁决方法、裁决器、架构及介质，所述方法包括：在当前待裁决数据总数达到预设值M时，启动前置裁决模块；若前置裁决模块判决前M个待裁决数据所包含的执行结果不一致，则不输出预先裁决结果，并将执行结果不一致状态传输至反馈控制器；若前置裁决模块判决前M个待裁决数据所包含的执行结果一致，则将执行结果作为预先裁决结果进行输出；在前置裁决模块输出预先裁决结果时，启动后置裁决模块；后置裁决模块获取未裁决数据，并基于未裁决数据对前置裁决模块输出的预先裁决结果进行校验。本发明通过“分时判决，快速回滚”的方式，大大提高了裁决器的效率，缩短了拟态构造设备对外服务的响应时间。

公开(公告)号：CN112367288B

公开(公告)日：2023-06-20

申请号：CN202010449899.0

申请日：2020-05-25

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 郭义伟 ,  宋延坡 ,  冯志峰 ,  吕青松 ,  鲍尚策 ,  孙统帅

IPC: H04L9/40

Abstract: 本发明提出一种单拟态括号装置、方法、可读存储介质和拟态防御架构，其中，单拟态括号装置包括：I/O接口模块，支持流量输入和输出；分流模块，与所述I/O接口模块连接，用于实现输入流的复制分发；N个异构执行体，分别与所述分流模块连接，接收及处理所述分流模块复制分发出来的输入流，并计算各个异构执行体的输出流的输出矢量；流控模块，与所述N个异构执行体连接，接收所述输出矢量，根据所述输出矢量以及预置的流控选择策略，输出流控指令；合流模块，与所述N个异构执行体、所述I/O接口模块及所述流控模块连接，接收所述N个异构执行体的输出流及所述流控指令，根据所述流控指令选择一条输出流转发到所述I/O接口模块。

公开(公告)号：CN112134850B

公开(公告)日：2022-12-13

申请号：CN202010884419.3

申请日：2020-08-28

Applicant: 河南信大网御科技有限公司 ,  珠海高凌信息科技股份有限公司

Inventor： 吕青松 ,  冯志峰 ,  贾铁振 ,  王明政 ,  郭义伟 ,  唐凯飞 ,  张建军

IPC: H04L9/40 ,  H04L67/56

Abstract: 本发明提供了一种拟态执行体命令行状态恢复方法，包括：命令行分级模式记录步骤，命令行代理模块接收外部用户的输入，解析出用户输入的命令行后，分别发送至各在线执行体，同时将命令行存储至输入命令记录器；命令行分级模式恢复步骤，当有新执行体上线时，新执行体从输入命令记录器中获取历史命令行记录后，进入到对应的命令行分级模式，实现与其它在线执行体命令行模式的同步。本发明解决了网络设备针对命令行拟态化改造的过程中，出现的新上线执行体命令行与其它在线执行体无法同步的问题。