公开(公告)号：CN105072101A

公开(公告)日：2015-11-18

申请号：CN201510455076.8

申请日：2015-07-29

Applicant: 中国科学院信息工程研究所

Inventor： 黄亮 ,  姜帆 ,  荀浩 ,  马多贺 ,  王利明 ,  徐震

IPC: H04L29/06

CPC classification number: H04L63/0281 ,  H04L63/1425

Abstract: 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。

公开(公告)号：CN104378363A

公开(公告)日：2015-02-25

申请号：CN201410599147.7

申请日：2014-10-30

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  陈凯 ,  吕双双 ,  杨倩 ,  姜帆

IPC: H04L29/06 ,  H04L29/12 ,  H04L9/08

CPC classification number: H04L61/25 ,  H04L63/02 ,  H04L63/1433

Abstract: 本发明涉及一种动态应用地址转换方法及其网关系统，实现一种新的Web应用攻击防御方法；通过动态转换URL地址，转换应用系统的攻击面，隐藏Web应用的脆弱性，增加攻击者的攻击难度，大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁，提高了Web应用系统的安全性。

公开(公告)号：CN103561011A

公开(公告)日：2014-02-05

申请号：CN201310516638.6

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  杨婧 ,  李乃山

IPC: H04L29/06

Abstract: 本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统，系统包括：SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块；所述SDN控制器资源池监控器，用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机；所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测，当检测到针对控制器的盲DDoS攻击流时，所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量，有效防护针对控制器的盲DDoS攻击，保障SDN网络的可用性。

公开(公告)号：CN103067409A

公开(公告)日：2013-04-24

申请号：CN201310021832.7

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  宋晨 ,  杨婧 ,  徐震 ,  吕双双 ,  黄亮

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/66

Abstract: 本发明涉及一种WEB盗链防护方法及其网关系统，系统包括：网关配置模块、盗链防护标识生成分发模块和盗链防护标识提取验证模块，1）在客户端与WEB服务器间建立一前置网关，前置网关为其代理的WEB服务器配置盗链防护的文件类型，配置生效后启动盗链防护功能；2）前置网关根据所述客户端的请求类型判断资源请求是否在盗链防护文件类型中；3）对盗链防护标识进行提取验证，将满足设定条件的资源请求从所述前置网关转发到该WEB服务器。本发明能够及时确定盗链攻击并对资源访问进行拒绝，屏蔽了网站的Web服务器和操作系统的多样性和差异性，无需更改服务器上软件配置，对WEB服务也透明，不影响原有管理模式。