公开(公告)号：CN105049365B

公开(公告)日：2019-05-31

申请号：CN201510330662.X

申请日：2015-06-15

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李晓倩 ,  陆秋文 ,  周舟 ,  刘庆云 ,  张良 ,  张家琦 ,  王子厚 ,  孙昊良 ,  张露晨

IPC: H04L12/801 ,  H04L12/861 ,  H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明提供一种多核多线程入侵检测设备的自适应调频节能方法，主要适用于支持运行时变频的网络设备(或计算机系统)中。包括以下步骤：1)由当前的流量情况预测未来一段时间内的流量变化情况；2)枚举未来一段时间内所有可能的频率操作序列，取得当前处理器的状态数据，如设备运行的频率、当前网络数据包缓冲区长度、当前网络数据包缓冲区占用情况等；3)将处理器的状态数据及未来一段时间内的流量变化情况和频率操作序列送入一内部模型，内部模型对每一种频率操作序列进行仿真，选取最优的频率操作序列；4)将最优的频率操作序列应用于真实处理器。

公开(公告)号：CN108632280A

公开(公告)日：2018-10-09

申请号：CN201810434119.8

申请日：2018-05-08

Applicant: 国家计算机网络与信息安全管理中心 ,  杭州迪普科技股份有限公司

Inventor： 陈训逊 ,  邹昕 ,  李明轩 ,  严世强 ,  李高超 ,  张家琦 ,  张良

IPC: H04L29/06

Abstract: 本申请提供一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求，该流量处理方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中白名单规则的流量；将所述服务器返回的流量发送给目的路由器。

公开(公告)号：CN105373601A

公开(公告)日：2016-03-02

申请号：CN201510755911.X

申请日：2015-11-09

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何睿 ,  吴昊 ,  汪立东 ,  何清林 ,  马秀娟 ,  张良 ,  张露晨 ,  李晓倩 ,  孙昊良

IPC: G06F17/30 ,  G06F21/55

CPC classification number: G06F16/245 ,  G06F21/55

Abstract: 本发明提供一种基于关键字词频特征的多模式匹配方法，首先从已知的信息数据库中提取关键字并统计出现频率作为其词频信息，其次采用构造含有关键字词频信息的二叉树完成其中的模式串匹配，在字符匹配过程中若出现字符不相等，则与该不匹配字符所在节点的兄弟节点所含字符进行匹配。其利用信息来源的模式的关键字词频信息构造基于字典树的二叉树完成其中的模式串的匹配，并与AC算法进行了比较。传统的AC算法需要维护三张表，并且在模式匹配过程中会频繁访问这三张表；本发明的一种基于关键字词频特征的多模式匹配方法更多的利用了模式本身的词频信息，并不需要维护过多的信息，这就大大减少了系统的内存消耗。

公开(公告)号：CN105302851A

公开(公告)日：2016-02-03

申请号：CN201510572332.1

申请日：2015-09-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何清林 ,  马秀娟 ,  孙昊良 ,  吴昊 ,  张良 ,  王大伟 ,  汪立东

IPC: G06F17/30

CPC classification number: G06F17/30194

Abstract: 本发明提供一种基于文件序列化的自动机远程分发和初始化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。该方法包括步骤：S1.配置后端服务器，将特征和规则进行初始化生成自动机；S2.在所述后端服务器上将自动机序列化到本地，以文件形式存储；S3.配置分发网络和n台处理机，所述后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；S5.处理机根据新生成自动机进行特征的匹配和检测处理。

公开(公告)号：CN104951712A

公开(公告)日：2015-09-30

申请号：CN201410200586.6

申请日：2014-05-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张良 ,  云晓春 ,  石旭 ,  闫攀 ,  彭义刚

IPC: G06F21/64 ,  G06F21/62 ,  G06F21/53

Abstract: 本发明提供一种Xen虚拟化环境下的数据安全防护方法，包括：对虚拟机进行完整性检查，并对虚拟机的关键部分进行加密及签名；当启动虚拟机时，对虚拟机进行解密并验证签名操作；成功后，主机的通信接口上连接硬件加密卡，对于同一台所述主机上模拟出的n台虚拟机，每一台虚拟机上创建加密卡驱动程序；各台虚拟机通过自身的加密卡驱动程序在硬件层直接访问硬件加密卡，通过硬件加密卡，进行加密业务处理操作，得到加密业务处理结果；当虚拟机完成任务后，将虚拟机还原到经过签名的初始状态，并将加密业务处理结果转换为密文，在经过身份验证后，通过专用通道导出到实际物理环境中存储。全面提高Xen虚拟环境下虚拟机进行数据处理的安全性。

公开(公告)号：CN102594583B

公开(公告)日：2014-09-17

申请号：CN201110376506.9

申请日：2011-11-23

Applicant: 华为技术有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 王勇 ,  李高超 ,  邹昕 ,  鲁松 ,  张良 ,  周立 ,  张飞 ,  雷新 ,  石佳

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明公开了一种流量监测和切换的方法、装置及系统，涉及网络安全领域，为监测电路保护设备发生故障以及当电路保护设备发生故障时切换流量而发明。所述方法包括：接收发送设备通过光路保护设备发送的数据流量；监测电路保护设备上流量输出端口上的平均流量值；将监测到的平均流量值与流量阈值进行比对；当所述平均流量值小于所述流量阈值时，将数据流量切换到所述光路保护设备，通过所述光路保护设备直接将所述数据流量发送给接收设备。本发明主要应用于网络安全领域。

公开(公告)号：CN103916316A

公开(公告)日：2014-07-09

申请号：CN201410145478.3

申请日：2014-04-11

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张良 ,  黄成 ,  汪立东 ,  李晓倩 ,  谢铭

IPC: H04L12/70 ,  G06F9/38

Abstract: 本发明公开了网络数据包线速捕获方法，具体包括以下步骤：步骤一、在Tilera众核平台下配置Mpipe规则；步骤二、创建n个收包线程，为各个线程绑定一个用于处理数据包的CPU核，n个收包线程并行运行；步骤三、在每个收包线程中，调用Mpipe接口接收网络数据包，当CPU核接收到数据包，把数据包转变为PCAP文件格式，根据数据包的序列号获取数据包保存在PCAP文件内存的首地址，根据首地址存取数据包；步骤四、在每个收包线程中，当CPU核接收到数据包，修改数据包的描述符，然后调用Mpipe接口转发数据包；步骤五、在每个收包线程中，判断是否完成处理（完成处理指不进行后续数据包的处理），均完成后，结束处理，否则，返回步骤三。本发明大大提高了数据包线速捕获的效率。

公开(公告)号：CN111988231B

公开(公告)日：2022-07-22

申请号：CN202010845709.7

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 张良 ,  党向磊 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L45/745 ,  G06F16/901 ,  G06F16/903

Abstract: 一种掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别，将包含识别到的合并位的多条掩码五元组规则合并为一条规则；将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的UserData部分中，并将上述合并位作为索引分别分配给相应的匹配结果；在数据报文五元组信息与该合并的规则匹配后，再基于该合并位索引最终的匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法及装置，可以有效提升了TCAM表项资源所能存储的掩码五元组规则容量，在提高利用率的同时节约了成本。

公开(公告)号：CN111984835B

公开(公告)日：2022-07-05

申请号：CN202010845708.2

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: G06F16/903 ,  G06F16/901 ,  H04L45/745 ,  H04L101/695

Abstract: 一种IPv4掩码五元组规则匹配的方法，应用于三态内容寻址存储器TCAM芯片，包括：压缩该TCAM芯片所存储的掩码五元组规则中的源端口SP字段及目的端口DP字段，删除协议号P字段，压缩后占10字节，并将原始掩码五元组规则中的协议号字P字段与该规则的匹配结果合并存储；接收报文并提取报文中的五元组信息，在TCAM芯片所存储的掩码五元组规则中查询；若查询命中匹配结果，则判断报文中的五元组信息与匹配结果相应的协议号P字段是否一致，若一致则输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置，能够有效解决TCAM资源浪费的问题，使TCAM得到充分的使用。

公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。