公开(公告)号：CN113542123B

公开(公告)日：2022-11-29

申请号：CN202110603972.X

申请日：2021-05-31

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  卢珊萍 ,  夏慧莉

IPC: H04L45/302 ,  H04L45/30 ,  H04L45/12 ,  H04L43/08

Abstract: 本发明公开了一种转发路径的确定方法及装置，属于通信技术领域，其中，确定方法包括：SR Policy设定网络服务质量参数；SR Policy生成至少一条候选路径；对所有的候选路径进行网络质量检测；将所述网络质量检测的结果与设定的网络服务质量参数进行对比从而确定最优路径；该确定方法在不改变SR Policy架构体系的情况下，通过对SR Policy扩展增加服务质量参数，提升了分段路由场景下转发器对业务需求定制化的能力，解决了当前分段路由PCE方式实现存在的瓶颈，增强了转发器对网络质量的检测和感知能力，减少了对PCE的依赖。

公开(公告)号：CN113132351A

公开(公告)日：2021-07-16

申请号：CN202110285051.3

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  王月 ,  江逸茗 ,  尹梓诺 ,  张鹏 ,  李锦玲 ,  周锟 ,  杨盾

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络空间安全技术领域，特别涉及一种基于图卷积网络的拟态路由器系统内部状态异常检测方法及系统，该方法包含：收集拟态路由器系统执行体的多源内部状态数据，该多源内部状态数据包含：系统状态数据和活跃进程数据，并进行数据预处理；用邻接矩阵和特征矩阵表示的图来表征执行体内部多源状态数据，并利用已训练的图卷积神经网络提取状态数据的关系特征；利用已训练的分类器进行分类，分类过程中结合拟态防御比对裁决思想来判定拟态路由器系统执行体内部的异常行为。本发明通过图表征执行体内部状态多源数据，并利用拟态防御的比对裁决思想判断异常，提升检测效率和准确度，具有较好的应用前景。

公开(公告)号：CN111431946B

公开(公告)日：2020-09-04

申请号：CN202010523054.1

申请日：2020-06-10

Applicant: 网络通信与安全紫金山实验室

Inventor： 夏慧莉 ,  张进 ,  江逸茗 ,  马海龙 ,  伊鹏 ,  朱绪全

IPC: H04L29/06

Abstract: 本发明公开一种拟态路由器执行体调度方法和拟态路由器，属于网络通信技术领域。针对现有技术中存在的基于执行体可信度的调度策略只考虑单个执行体的可信度，并没有考虑整个系统的可信度和执行体之间相关性的问题，本发明在现有的调度策略方法的基础上，增加执行体群体的可靠性以及执行体间的相关性两个决定因素，先获取执行体的状态与数据信息，计算各个执行体的可信度，根据执行体的可信度计算所有可信度值大于临界值的执行体随机组合的执行体群体可信度，同时计算执行体间的相关性，综合上述的计算方法生成调度策略方法，最终决策执行体的上下线情况，提高系统监测异常信息的准确度，提高系统的安全性。

公开(公告)号：CN111541617A

公开(公告)日：2020-08-14

申请号：CN202010305885.1

申请日：2020-04-17

Applicant: 网络通信与安全紫金山实验室

Inventor： 张进 ,  杨盾 ,  裴学武 ,  江逸茗 ,  卜佑军 ,  马海龙 ,  伊鹏

IPC: H04L12/743 ,  H04L12/747 ,  H04L12/741

Abstract: 本发明实施例公开了一种用于高速大规模并发数据流的数据流表处理方法及装置，涉及网络通信技术领域，能够避免在高速网络中由于数据流表操作时间的不确定，降低报文处理时延，以及缓减丢包的问题。本发明包括：根据待插入数据流的数据流标识，获取指纹表中的候选桶的地址和数据流指纹；检测指纹表的候选桶是否存在非空单元，若存在非空单元，则选择存在空闲单元的一个候选桶作为目标桶；从目标桶的底部单元向顶部单元依次查询空单元，当查询到目标桶中的空单元时，将待插入数据流的数据流指纹写入查询到的空单元，并将待插入数据流的流记录写入与候选桶对应的记录桶。本发明适用于高速大规模并发数据流的场景。

公开(公告)号：CN117319477A

公开(公告)日：2023-12-29

申请号：CN202311264807.1

申请日：2023-09-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 卢珊萍 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L67/141 ,  H04L67/133 ,  H04L67/56 ,  H04L61/25

Abstract: 本申请公开了一种拟态控制器与外部设备的通信方法、装置、设备及介质，涉及互联网通信技术领域，应用于拟态控制器中的协议代理，包括：通过目标侦听端口获取目标控制器执行体发送的连接建立请求并建立第一通信连接；确定与目标侦听端口匹配的目标外部设备端口地址；若为主控制器执行体，则与端口地址对应的目标外部设备建立第二通信连接，以实现主控制器执行体与目标外部设备通信；若为从控制器执行体且第二通信连接已建立，则通过第一通信连接和第二通信连接实现从控制器执行体与目标外部设备通信；若第二通信连接未建立，则继续等待第二通信连接建立完成。通过协议代理实现控制器执行体与外部设备的交互。

公开(公告)号：CN117061484A

公开(公告)日：2023-11-14

申请号：CN202311171200.9

申请日：2023-09-11

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L61/5014 ,  H04L9/40

Abstract: 本申请公开了DHCP处理方法、装置、攻击防御方法、设备及介质，DHCP处理方法能够针对外部设备发送的第一DHCP报文和拟态设备内部执行体发送的第二DHCP报文分别处理，处理时结合了拟态设备类型、报文类型、接口信息、缓存信息以及主、从执行体等信息，确保了拟态设备及外部设备之间的DHCP数据交互的有效性。动态主机配置协议攻击防御方法，基于上述DHCP处理方法，使得各个执行体输入相同的来自外部设备的DHCP报文，将各个执行体的输出结果进行拟态裁决，根据裁决结果发现并防御DHCP攻击。这样，基于DHCP协议的拟态设备能够在正常提供DHCP服务的情况下，有效预防DHCP攻击。

公开(公告)号：CN116743454A

公开(公告)日：2023-09-12

申请号：CN202310690290.6

申请日：2023-06-09

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张鹏

IPC: H04L9/40 ,  H04L69/22 ,  H04L69/163

Abstract: 本发明公开了一种PCEP协议代理方法、装置、设备及可读存储介质，应用于通信技术领域，包括：获取原始PCEP协议报文；根据报文属性对原始PCEP协议报文中的目标报文进行处理，得到目标存储PCEP协议报文；根据建链拆链信息对原始PCEP协议报文中的建链拆链报文进行处理，得到链路报文信息；将目标存储PCEP协议报文和所述链路报文信息复制分发到各异构执行体。和当前利用PCEP协议进行通信代理时，根据已知风险进行防范相比，本发明对原始PCEP协议报文进行处理，进而复制分发到各异构执行体上，由于异构执行体可以通过异构化的执行过程保证系统在遭受未知威胁攻击时，可以应对未知威胁，故提高了PCEP拟态代理的安全性。

公开(公告)号：CN116032610A

公开(公告)日：2023-04-28

申请号：CN202211704450.X

申请日：2022-12-29

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  杨盾 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L9/40 ,  H04L45/74

Abstract: 本申请公开了一种路由攻击安全防护方法、装置、设备及存储介质，应用于路由节点，包括：对流入自身节点的用于对等体间路由信息交换的目标报文进行字段解析，得到所述目标报文的目标字段特征；将所述目标字段特征与规则库中基于可传递路由属性特性构造的攻击特征进行匹配，如果匹配成功，则判定所述目标报文为基于可传递路由属性特性构造的路由攻击报文；控制自身节点对所述目标报文进行丢包处理，使得自身节点不对所述目标字段特征进行存储及转移。本申请能够对路由攻击进行有效防护，从而保障网络安全性和稳定性。

公开(公告)号：CN113114563B

公开(公告)日：2022-10-21

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/28 ,  H04L45/247 ,  H04L45/24 ,  H04L45/00 ,  H04L45/30 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。

公开(公告)号：CN114745128A

公开(公告)日：2022-07-12

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。