公开(公告)号：CN116743454A

公开(公告)日：2023-09-12

申请号：CN202310690290.6

申请日：2023-06-09

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张鹏

IPC: H04L9/40 ,  H04L69/22 ,  H04L69/163

Abstract: 本发明公开了一种PCEP协议代理方法、装置、设备及可读存储介质，应用于通信技术领域，包括：获取原始PCEP协议报文；根据报文属性对原始PCEP协议报文中的目标报文进行处理，得到目标存储PCEP协议报文；根据建链拆链信息对原始PCEP协议报文中的建链拆链报文进行处理，得到链路报文信息；将目标存储PCEP协议报文和所述链路报文信息复制分发到各异构执行体。和当前利用PCEP协议进行通信代理时，根据已知风险进行防范相比，本发明对原始PCEP协议报文进行处理，进而复制分发到各异构执行体上，由于异构执行体可以通过异构化的执行过程保证系统在遭受未知威胁攻击时，可以应对未知威胁，故提高了PCEP拟态代理的安全性。

公开(公告)号：CN115499253B

公开(公告)日：2023-04-14

申请号：CN202211442908.9

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 伊鹏 ,  卜佑军 ,  马海龙 ,  邬江兴 ,  张进 ,  胡先君 ,  陈韵 ,  江逸茗 ,  周锟 ,  张鹏 ,  陈博 ,  陈祥 ,  陈垚 ,  刘慧 ,  王涵 ,  蔡翰智

IPC: H04L9/40 ,  H04L41/044 ,  H04L41/0895 ,  H04L43/0876

Abstract: 本发明提供一种用于测试防御技术的试验场平台和防御技术的测试方法，应用于网络安全技术领域，该试验场平台包括：基础互联模块，用于基于试验场的基础设施，构建试验场的基础环境，并为所要搭建的目标场景提供互联功能；虚实网元模块，用于提供多类网元设备，网元设备包括搭建目标场景所需要的设备；场景构建模块，用于基于基础环境和互联功能，采用网元设备构建目标场景，并将目标场景中的网元设备和链路资源，映射为实际网元设备和实际链路资源；测试评估模块，用于基于实际网元设备和实际链路资源，对目标场景进行测试，得到目标防御技术的评估结果。本发明可以实现为拟态防御技术的测试提供安全稳定环境的试验场平台的目的。

公开(公告)号：CN113114563B

公开(公告)日：2022-10-21

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/28 ,  H04L45/247 ,  H04L45/24 ,  H04L45/00 ,  H04L45/30 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。

公开(公告)号：CN114866473B

公开(公告)日：2024-04-12

申请号：CN202210178025.5

申请日：2022-02-25

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  张进 ,  江逸茗 ,  张鹏 ,  马海龙

IPC: H04L47/10 ,  H04L43/0894

Abstract: 本发明提供了一种转发装置及流量输出接口调节方法，本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表，此索引表中包含索引表类型Type、Key以及0~1023个Index值，且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率，一旦发现有成员接口出现超带宽的情况，就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口，将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题，有效的保护业务不受影响。

公开(公告)号：CN114915534B

公开(公告)日：2023-06-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN115499322B

公开(公告)日：2023-03-24

申请号：CN202211417485.5

申请日：2022-11-14

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 马海龙 ,  伊鹏 ,  卜佑军 ,  邬江兴 ,  张进 ,  陈韵 ,  陈垚 ,  陈博 ,  张鹏 ,  江逸茗 ,  周锟 ,  陈祥 ,  刘慧 ,  胡先君 ,  王涵 ,  蔡翰智

IPC: H04L41/14 ,  H04L41/04 ,  H04L41/069

Abstract: 本发明提供一种拟态设备集群的管理系统、方法和电子设备，涉及拟态设备管理技术领域，解决了如何对拟态设备集群进行统一管理的问题。该管理系统包括综合管理子系统和拟态设备管理子系统；其中，综合管理子系统，用于接收输入的操作指令；其中，操作指令包括待操作的目标拟态设备的类型和标识，操作指令包括接入操作指令、更改操作指令或者删除操作指令中的至少一种；并查找类型是否属于拟态设备集群对应的预设拟态设备类型；以及根据查找结果，触发拟态设备管理子系统根据操作指令，对目标拟态设备执行相应的操作，以对拟态设备集群中的拟态设备进行管理。这样通过综合管理子系统和拟态设备管理子系统，实现对拟态设备集群的统一管理。

公开(公告)号：CN115499323A

公开(公告)日：2022-12-20

申请号：CN202211431107.2

申请日：2022-11-16

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 卜佑军 ,  马海龙 ,  伊鹏 ,  邬江兴 ,  张进 ,  刘慧 ,  余蕾蕾 ,  张鹏 ,  陈博 ,  陈祥 ,  江逸茗 ,  周锟 ,  胡先君 ,  陈韵 ,  陈垚 ,  蔡翰智 ,  王涵

IPC: H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种目标虚拟场景的构建方法、装置和电子设备，涉及虚拟场景构建技术领域，解决了现有技术中无法灵活地构建虚拟场景的问题。该方法包括：在构建目标虚拟场景时，可以先接收输入的场景构建指示，场景构建指示中包括待构建的目标虚拟场景所需的目标设备的设备类型和用于指示目标设备的设备选型的第一字段，目标设备的设备选型包括拟态设备选型、非拟态设备选型或者自定义拟态设备选型；并根据目标设备的设备类型和设备选型，从预设的场景构建库中确定目标设备；再基于目标设备构建目标虚拟场景，这样可以根据用户的构建需求，灵活地构建不同的虚拟场景，从而有效地提高了虚拟场景构建的灵活度。

公开(公告)号：CN115499322A

公开(公告)日：2022-12-20

申请号：CN202211417485.5

申请日：2022-11-14

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 马海龙 ,  伊鹏 ,  卜佑军 ,  邬江兴 ,  张进 ,  陈韵 ,  陈垚 ,  陈博 ,  张鹏 ,  江逸茗 ,  周锟 ,  陈祥 ,  刘慧 ,  胡先君 ,  王涵 ,  蔡翰智

IPC: H04L41/14 ,  H04L41/04 ,  H04L41/069

Abstract: 本发明提供一种拟态设备集群的管理系统、方法和电子设备，涉及拟态设备管理技术领域，解决了如何对拟态设备集群进行统一管理的问题。该管理系统包括综合管理子系统和拟态设备管理子系统；其中，综合管理子系统，用于接收输入的操作指令；其中，操作指令包括待操作的目标拟态设备的类型和标识，操作指令包括接入操作指令、更改操作指令或者删除操作指令中的至少一种；并查找类型是否属于拟态设备集群对应的预设拟态设备类型；以及根据查找结果，触发拟态设备管理子系统根据操作指令，对目标拟态设备执行相应的操作，以对拟态设备集群中的拟态设备进行管理。这样通过综合管理子系统和拟态设备管理子系统，实现对拟态设备集群的统一管理。

公开(公告)号：CN115499253A

公开(公告)日：2022-12-20

申请号：CN202211442908.9

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 伊鹏 ,  卜佑军 ,  马海龙 ,  邬江兴 ,  张进 ,  胡先君 ,  陈韵 ,  江逸茗 ,  周锟 ,  张鹏 ,  陈博 ,  陈祥 ,  陈垚 ,  刘慧 ,  王涵 ,  蔡翰智

IPC: H04L9/40 ,  H04L41/044 ,  H04L41/0895 ,  H04L43/0876

Abstract: 本发明提供一种用于测试防御技术的试验场平台和防御技术的测试方法，应用于网络安全技术领域，该试验场平台包括：基础互联层，用于基于试验场的基础设施，构建试验场的基础环境，并为所要搭建的目标场景提供互联功能；虚实网元层，用于提供多类网元设备，网元设备包括搭建目标场景所需要的设备；场景构建层，用于基于基础环境和互联功能，采用网元设备构建目标场景，并将目标场景中的网元设备和链路资源，映射为实际网元设备和实际链路资源；测试评估层，用于基于实际网元设备和实际链路资源，对目标场景进行测试，得到目标防御技术的评估结果。本发明可以实现为拟态防御技术的测试提供安全稳定环境的试验场平台的目的。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。