公开(公告)号：CN111865661A

公开(公告)日：2020-10-30

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN116566736A

公开(公告)日：2023-08-08

申请号：CN202310763924.6

申请日：2023-06-27

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 裴学武 ,  江逸茗 ,  张进

IPC: H04L9/40 ,  H04L67/56 ,  H04L9/08

Abstract: 本申请公开了一种通信代理方法、装置、设备及存储介质，涉及拟态防御技术领域，应用于协议代理服务器，包括：获取客户端利用预设会话密钥加密后的密文信息；根据预设可信异构执行体信息表将密文信息分别发送至异构执行体，以便异构执行体生成经过所述预设会话密钥加密后的返回信息；接收若干个返回信息，并判断是否均一致；若是，则将返回信息发送至客户端；若否，则筛选出不一致的可疑返回信息，并断开与可疑返回信息对应的异构执行体之间的连接，然后将与可疑返回信息对应的异构执行体从预设可信异构执行体信息表中删除，同时将其余返回信息发送至客户端。这样一来，本申请中协议代理服务器不需要对密文进行加解密，可以提高传输效率。

公开(公告)号：CN113037730B

公开(公告)日：2023-06-20

申请号：CN202110221394.3

申请日：2021-02-27

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 卜佑军 ,  张稣荣 ,  陈博 ,  张桥 ,  袁征 ,  伊鹏 ,  马海龙 ,  胡宇翔 ,  王方玉 ,  孙嘉 ,  路祥雨 ,  王继 ,  张进

IPC: H04L9/40 ,  G06N3/049 ,  H04L41/14 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于多特征学习的网络加密流量分类方法及系统，包含：通过对原始流量数据集进行预处理来获取用于作为深度学习模型输入的流量数据包向量；将流量数据包向量分别输入到已训练的多通道CNN模型和LSTM模型中进行并行学习，通过多通道CNN模型提取数据包空间特征，通过LSTM模型提取流量时序特征；将数据包空间特征和流量时序特征进行向量拼接，得到全方位流量特征向量；将全方位流量特征向量输入到神经网络全连接层，通过流量类型概率来获取加密流量分类类型。本发明能够从空间特征和时间特征的角度全方位自动提取和利用流量特征，提升加密流量的分类能力，具有较好的应用价值。

公开(公告)号：CN112565338B

公开(公告)日：2023-06-20

申请号：CN202011244358.0

申请日：2020-11-10

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 张震 ,  程章龙 ,  陈祥 ,  刘迪洋 ,  张进 ,  韩伟涛

IPC: H04L67/141 ,  H04L69/22

Abstract: 本发明提供一种以太网报文捕获、过滤、存储、实时解析方法及系统。该方法包括：确定需要捕获报文的以太网接口，建立以太网连接；实时监测用于设置过滤器的触发信号，一旦监测到触发信号，则根据给定的过滤规则实时创建过滤器；采用零拷贝技术实时调整多线程无锁队列容量，捕获以太网报文；将捕获的以太网报文保存为pcap文件后存储至磁盘，并根据捕获以太网报文时的时间戳对pcap文件进行命名和标号；根据时间戳和标号选择需要解析的以太网报文进行解析，将解析结果分类存储至数据库。通过采用设置过滤器信号触发机制，实时监测触发信号，结合引入的libpcap过滤规则库，可以实现过滤器的实时设置，同时大幅提高了过滤规则数目，进而大大提高了捕获效率。

公开(公告)号：CN115801429A

公开(公告)日：2023-03-14

申请号：CN202211509195.3

申请日：2022-11-29

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  包婉宁 ,  张思绮 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L9/40 ,  H04L43/0811 ,  H04L45/12

Abstract: 本申请公开了一种双LSA攻击防御方法、装置、设备及存储介质，涉及网络安全技术领域，包括：当在预设的时间范围内先后获取到第一LSA报文和第二LSA报文时，依次判断两个LSA报文是否是自身发送的；若是自身发送的，则依次判断两个LSA报文是否为新报文；若为旧报文，则依次判断两个LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同；若否则判定该网络通信设备节点受到了双LSA攻击，并依次生成一个比LSA报文的链路状态序列号大的新LSA实例，再将新LSA实例封装成报文发送到网络中。本申请能够有效防御双LSA报文攻击带来的持久性危害，增强网络设备的安全性和可靠性，并纠正网络中被攻击网络设备的错误LSA数据。

公开(公告)号：CN113132352B

公开(公告)日：2023-02-10

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L9/40 ,  G06F18/23213

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。

公开(公告)号：CN113037731A

公开(公告)日：2021-06-25

申请号：CN202110221397.7

申请日：2021-02-27

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 伊鹏 ,  路祥雨 ,  卜佑军 ,  陈博 ,  王方玉 ,  张桥 ,  张鹏 ,  周锟 ,  马海龙 ,  胡宇翔 ,  李锦玲 ,  张稣荣 ,  孙嘉 ,  王继 ,  张进

IPC: H04L29/06

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于SDN架构和蜜网的网络流量控制方法及系统，包含：设置于控制层的SDN控制器、及与控制器连接的蜜网；所述SDN控制器设置于蜜网上层，通过SDN控制器所在的控制层维护蜜网中各服务，并针对恶意流量选取最合适蜜罐来转发；所述控制层还包含：用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块。本发明能够对异常攻击流量进行精确控制和丢弃，进而对攻击者恶意行为进行更加全面的记录，具有较好的应用前景。

公开(公告)号：CN113037729A

公开(公告)日：2021-06-25

申请号：CN202110221392.4

申请日：2021-02-27

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 陈博 ,  张桥 ,  卜佑军 ,  周锟 ,  王方玉 ,  伊鹏 ,  马海龙 ,  胡宇翔 ,  张稣荣 ,  路祥雨 ,  王继 ,  张进

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，特别涉及一种基于深度学习的钓鱼网页层次化检测方法及系统，包含：利用黑名单对待测URL进行匹配，拦截已知钓鱼网页；基于敏感词对待测URL分词，并通过词嵌入矩阵将分词后的URL转化为特征向量矩阵；利用已训练的卷积神经网络CNN提取特征向量矩阵中的局部特征，并结合双向长短记忆网络Bi‑LSTM提取特征向量中的长距离依赖特征；针对长距离依赖特征，利用网络全连接层来获取待测URL属于钓鱼网页的概率并判定待测URL类型。本发明结合黑名单和深度学习的优点，通过拦截并自动提取特征检测未知的钓鱼网页，检测模型提取更为充分的特征，提升对钓鱼网页的检测能力，检测速度快、准确率高，具有较好的应用前景。

公开(公告)号：CN111884996A

公开(公告)日：2020-11-03

申请号：CN202010535480.7

申请日：2020-06-12

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 谢记超 ,  张震 ,  伊鹏 ,  马海龙 ,  陈祥 ,  张进 ,  程章龙 ,  丁瑞浩

IPC: H04L29/06 ,  H04L12/931 ,  G06F17/16

Abstract: 本发明属于网络安全技术领域，公开一种基于可信度量的拟态交换机裁决系统，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块；本发明还公开一种基于可信度量的拟态交换机裁决方法，包括：拟态交换机裁决元素设定；输入信息分发；输出信息收集；基于可信度量的拟态裁决；裁决结果下发以及交换机威胁态势感知和执行体调度；基于可信度量的拟态裁决包括：建立执行体可信指标树；收集与更新执行体可信指标数据；计算各执行体输出结果可信权重；各输出结果可信性计算。本发明能有效降低未知漏洞和潜在后门的影响，提升局域网安全防护水平。

公开(公告)号：CN118200397A

公开(公告)日：2024-06-14

申请号：CN202410439731.X

申请日：2024-04-11

Applicant: 紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  李宗政 ,  卢珊萍 ,  马海龙

IPC: H04L67/565 ,  H04L69/22

Abstract: 本申请公开了一种数据传输方法、系统、设备、计算机存储介质及产品，涉及网络安全技术领域，应用于拟态防御体系中的协议代理，获取服务端发送的与主请求报文对应的主响应报文，主请求报文中包括主执行体生成的主随机数；解析出主响应报文中携带的主随机数；基于预先构建的随机数主从映射表，确定主随机数对应的各个从随机数，随机数主从映射表用于记录协议内容一致的主随机数和从执行体的随机数间的映射关系；将主响应报文发送给主执行体；对于每个从随机数，将主响应报文中的主随机数替换为从随机数得到从响应报文，并将从响应报文发送给从随机数对应的从执行体。协议代理可以应用随机数提高拟态防御体系的通信能力。