公开(公告)号：CN113949661A

公开(公告)日：2022-01-18

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN113949661B

公开(公告)日：2024-04-02

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN106506449B

公开(公告)日：2019-12-31

申请号：CN201610853837.X

申请日：2016-09-27

Applicant: 国家数字交换系统工程技术研究中心 ,  上海红阵信息科技有限公司

Inventor： 伊鹏 ,  李军飞 ,  张震 ,  韩伟涛 ,  王鹏 ,  张霞 ,  周锟

IPC: H04L29/06

Abstract: 本发明公开了一种未知异常的检测方法、装置及检测设备，方法包括：获取被检测部件的检测数据，通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；判断所述检测数据是否在其对应的预设范围之内，如果不在所述预设范围之内，则确定所述被检测部件处于异常状态，进而可以预测该部件的漏洞和后门被触发，所以当被检测部件处于异常状态时，对该部件或设备采取复位或隔离等措施，防止由于漏洞或后门被触发导致其对网络安全产生的危害，提高网络系统的安全性。

公开(公告)号：CN106506449A

公开(公告)日：2017-03-15

申请号：CN201610853837.X

申请日：2016-09-27

Applicant: 国家数字交换系统工程技术研究中心 ,  上海红阵信息科技有限公司

Inventor： 伊鹏 ,  李军飞 ,  张震 ,  韩伟涛 ,  王鹏 ,  张霞 ,  周锟

IPC: H04L29/06

Abstract: 本发明公开了一种未知异常的检测方法、装置及检测设备，方法包括：获取被检测部件的检测数据，通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；判断所述检测数据是否在其对应的预设范围之内，如果不在所述预设范围之内，则确定所述被检测部件处于异常状态，进而可以预测该部件的漏洞和后门被触发，所以当被检测部件处于异常状态时，对该部件或设备采取复位或隔离等措施，防止由于漏洞或后门被触发导致其对网络安全产生的危害，提高网络系统的安全性。

公开(公告)号：CN106713262B

公开(公告)日：2020-05-15

申请号：CN201611010128.1

申请日：2016-11-17

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 韩伟涛 ,  卜佑军 ,  贺磊 ,  张震 ,  罗伟 ,  杨文慧

IPC: H04L29/06

Abstract: 本发明公开了一种基于可信度的异构执行体动态调度装置及其调度方法，所述动态调度装置包括异构执行体非激活池、异构执行体激活池、动态调度器、异常判决器，通过动态调度器从异构执行体非激活池中激活多个异构执行体并放入异构执行体激活池中，利用异常判决器判断异构执行体激活池中是否存在异常执行体，若存在，强制终止其运行，将其置于异构执行体非激活池中，并调整其可信度。本发明提高了网络设备抵御未知安全威胁的能力，能够抵御大多数的网络安全攻击。

公开(公告)号：CN106713262A

公开(公告)日：2017-05-24

申请号：CN201611010128.1

申请日：2016-11-17

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 韩伟涛 ,  卜佑军 ,  贺磊 ,  张震 ,  罗伟 ,  杨文慧

IPC: H04L29/06

Abstract: 本发明公开了一种基于可信度的异构执行体动态调度装置及其调度方法，所述动态调度装置包括异构执行体非激活池、异构执行体激活池、动态调度器、异常判决器，通过动态调度器从异构执行体非激活池中激活多个异构执行体并放入异构执行体激活池中，利用异常判决器判断异构执行体激活池中是否存在异常执行体，若存在，强制终止其运行，将其置于异构执行体非激活池中，并调整其可信度。本发明提高了网络设备抵御未知安全威胁的能力，能够抵御大多数的网络安全攻击。

公开(公告)号：CN106603497A

公开(公告)日：2017-04-26

申请号：CN201611021385.5

申请日：2016-11-15

Applicant: 国家数字交换系统工程技术研究中心 ,  上海红阵信息科技有限公司

Inventor： 贺磊 ,  伊鹏 ,  程国振 ,  张震 ,  张校辉 ,  陈博 ,  韩伟涛

IPC: H04L29/06 ,  H04L12/24

CPC classification number: H04L63/1408 ,  H04L41/145

Abstract: 本发明涉及一种网络空间攻击流量的多粒度检测方法，首先对网络流量进行流量时间建模，对流量时间序列描述的流量特征等时间窗口划分，对每一粒度进行不同时间间隔时间聚合，形成不同粒度分量，对每一特征分解的多粒度分量，从最大粒度分量开始计算所时间窗口内强度，得到强度序列，并据此得出异常区间，并在相应的掩码矩阵中标出，异常范围映射到相邻的较小粒度上，拆分窗口为多个区间，计算各个区间的强度序列，计算更小长度的异常区间序列，依次循环进行，直到异常出现在最小的粒度分量上。本发明综合利用网络空间的多维度流量特征进行多粒度检测，定位准确，检测效率得到有效提升。

公开(公告)号：CN111935004A

公开(公告)日：2020-11-13

申请号：CN202011083003.8

申请日：2020-10-12

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L12/707 ,  H04L12/721 ,  H04L12/741

Abstract: 本发明提供一种基于SR Policy的自动引流扩展方法、路由器及路由系统，头端设备接收到路由后，判断该路由的扩展团体属性是否进行了扩展，即，判断是否设置了备份保护标识，如果设置了备份保护标识，查看与该路由匹配的本地配置的SR Policy配置中是否存在备份有效候选路径，如果存在备份有效候选路径，则根据SR Policy配置生成路由转发表，如果没有设置备份保护标识，直接根据匹配的SR Policy配置生成路由转发表。本发明提升SR Policy架构下可靠性的精细化定制，对于部分高优先级业务路由使用SR Policy时可以通过设置备份保护标识，对可靠性提出要求。

公开(公告)号：CN113114563B

公开(公告)日：2022-10-21

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/28 ,  H04L45/247 ,  H04L45/24 ,  H04L45/00 ,  H04L45/30 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。

公开(公告)号：CN112565338A

公开(公告)日：2021-03-26

申请号：CN202011244358.0

申请日：2020-11-10

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 张震 ,  程章龙 ,  陈祥 ,  刘迪洋 ,  张进 ,  韩伟涛

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明提供一种以太网报文捕获、过滤、存储、实时解析方法及系统。该方法包括：确定需要捕获报文的以太网接口，建立以太网连接；实时监测用于设置过滤器的触发信号，一旦监测到触发信号，则根据给定的过滤规则实时创建过滤器；采用零拷贝技术实时调整多线程无锁队列容量，捕获以太网报文；将捕获的以太网报文保存为pcap文件后存储至磁盘，并根据捕获以太网报文时的时间戳对pcap文件进行命名和标号；根据时间戳和标号选择需要解析的以太网报文进行解析，将解析结果分类存储至数据库。通过采用设置过滤器信号触发机制，实时监测触发信号，结合引入的libpcap过滤规则库，可以实现过滤器的实时设置，同时大幅提高了过滤规则数目，进而大大提高了捕获效率。