公开(公告)号：CN113422755A

公开(公告)日：2021-09-21

申请号：CN202110480987.1

申请日：2021-04-30

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 杨云龙 ,  罗赟骞 ,  云晓春 ,  李佳 ,  黄亮 ,  张良 ,  候爽 ,  李婷 ,  刘伟 ,  徐剑 ,  李晔 ,  王晨 ,  郝帅 ,  党向磊 ,  胡燕林 ,  李鑫淼

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于聚类和关联情报的DGA域名检测分析方法和系统，方法包括：获取DNS的统计数据，并在统计数据范围内获取疑似DGA域名，抽取疑似DGA域名的行为和文本特征，并生成疑似DGA域名的聚类标签，并基于所述聚类标签划分疑似DGA域名的DGA家族，并使用解析IP数量过滤删减所述DGA家族，以获得所述DGA家族中保留下来的DGA域名；从而在DGA家族中保留下来的DGA域名范围内，使用域名创建时间和威胁情报信息过滤疑似DGA域名。这样，该方法和系统能够准确对DGA域名进行检测和研判，通过聚类分析和情报检测，可以检测出活跃且价值较高的DGA域名，实现对DGA域名的有效检测和研判，具有较高的检测准确性。

公开(公告)号：CN109672669B

公开(公告)日：2021-07-30

申请号：CN201811467163.5

申请日：2018-12-03

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司

Inventor： 党向磊 ,  张良 ,  李高超 ,  陈训逊 ,  李建强 ,  孙中豪 ,  马欢 ,  吴昊 ,  常雪侠

IPC: H04L29/06 ,  H04L12/741 ,  H04L12/743 ,  H04L12/801 ,  H04L12/823

Abstract: 本发明公开了一种流量报文的过滤方法及装置，该流量报文的过滤方法包括：解析提取网络流量报文中的关键字段信息，并将关键字段信息组装成第一规则查找信息；根据第一规则查找信息，查询预设的第一规则表；若第一规则查找信息在第一规则表中没有匹配的信息，则对网络流量报文执行丢弃处理；若第一规则查找信息在第一规则表中有匹配的信息，则根据第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息，对网络流量报文执行相应的处理。本发明在网络分析设备中不需要在报文第一次接收时就进行一系列深层次组合规则的报文解析，从而大幅度的提升硬件资源的访问速度和效率。

公开(公告)号：CN112367262A

公开(公告)日：2021-02-12

申请号：CN202010844839.9

申请日：2020-08-20

Applicant: 国家计算机网络与信息安全管理中心 ,  长安通信科技有限责任公司 ,  北京百卓网络技术有限公司

Inventor： 党向磊 ,  张良 ,  胡燕林 ,  李佳 ,  陈训逊 ,  云晓春 ,  黄亮 ,  刘伟 ,  郭三川 ,  杨云龙 ,  王鼎华 ,  戴光耀 ,  吴昊 ,  李瑞轩 ,  郑展伟 ,  房超 ,  冀晓凯

IPC: H04L12/743

Abstract: 一种五元组规则匹配的方法，该五元组规则模板预先进行了分类，并为分类后的规则模板设置关联规则有效标志，该方法具体包括：接收数据报文并提取五元组信息；根据提取的五元组信息依次对分类后的规则模板类型进行判断，并进一步确定该五元组信息所匹配的规则模板，记录其命中的规则模板相对应的关联规则有效标志；根据所命中的关联规则有效标志，在所确定的规则模板类型对应的规则Hash表中顺次查找相匹配的规则表项，并输出匹配结果。此外本发明实施例还提供了一种规则匹配装置。通过本发明实施例提供的方法、装置及芯片，可以显著提升五元组规则查表效率，解决了规则表资源竞争的问题。

公开(公告)号：CN104951712B

公开(公告)日：2019-07-26

申请号：CN201410200586.6

申请日：2014-05-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 张良 ,  云晓春 ,  石旭 ,  闫攀 ,  彭义刚

IPC: G06F21/64 ,  G06F21/62 ,  G06F21/53

Abstract: 本发明提供一种Xen虚拟化环境下的数据安全防护方法，包括：对虚拟机进行完整性检查，并对虚拟机的关键部分进行加密及签名；当启动虚拟机时，对虚拟机进行解密并验证签名操作；成功后，主机的通信接口上连接硬件加密卡，对于同一台所述主机上模拟出的n台虚拟机，每一台虚拟机上创建加密卡驱动程序；各台虚拟机通过自身的加密卡驱动程序在硬件层直接访问硬件加密卡，通过硬件加密卡，进行加密业务处理操作，得到加密业务处理结果；当虚拟机完成任务后，将虚拟机还原到经过签名的初始状态，并将加密业务处理结果转换为密文，在经过身份验证后，通过专用通道导出到实际物理环境中存储。全面提高Xen虚拟环境下虚拟机进行数据处理的安全性。

公开(公告)号：CN104951688B

公开(公告)日：2019-04-12

申请号：CN201410201062.9

申请日：2014-05-13

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 彭义刚 ,  石旭 ,  鲁松 ,  张良 ,  姜杨

IPC: G06F21/34

Abstract: 本发明提供一种适用于Xen虚拟化环境下的专用数据加密方法及加密卡，加密卡包括：权限管理单元、数据分配单元、队列加工单元和业务处理单元；数据分配单元用于将数据加密卡的硬件映射为多个独立的缓冲资源池，并且，每一个缓冲资源池的一端唯一对应一个虚拟机；队列加工单元用于建立与每一个缓冲资源池唯一对应的一组输入队列和输出队列；输入队列用于接收到的来自与其唯一对应的缓冲资源池的加密业务请求；然后将各加密业务请求依次发送到业务处理单元；输出队列用于将接收到的来自业务处理单元的加密业务响应依次返回给与其唯一对应的缓冲资源池。多台虚拟机共享一个加密卡硬件，提高了加密卡硬件的使用效率；还具有数据安全性高的优点。

公开(公告)号：CN105183858B

公开(公告)日：2018-12-21

申请号：CN201510572334.0

申请日：2015-09-10

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 王大伟 ,  孙昊良 ,  何清林 ,  马秀娟 ,  张良 ,  吴昊 ,  汪立东

IPC: G06F17/30

Abstract: 本发明公开一种基于消息队列的分布式数据实时去重方法，根据消息网络接口，配置若干台数据从服务器，并加入消息网络；为每一种需去重的数据配置添加原始数据信息、去重数据信息、去重服务信息；根据原始数据信息，去重数据信息及去重服务信息确定从服务器；原始数据产生者查询重服务信息，并将原始数据发送至相应的原始数据队列；数据从去重服务器查询去重服务信息，从相应的原始数据队列中消费数据，并输入至数据去重引擎，之后将去重后的数据输入到相应的去重数据队列；去重数据消费者查询去重服务信息，并从相应的去重数据队列中消费数据；主服务器根据从服务器信息更新从服务器信息。

公开(公告)号：CN104702600B

公开(公告)日：2017-11-24

申请号：CN201510092218.9

申请日：2015-03-02

Applicant: 国家计算机网络与信息安全管理中心 ,  北京恒光信息技术股份有限公司

Inventor： 张良 ,  汪锐 ,  鲁松 ,  周立 ,  孙昊良 ,  周志雄 ,  彭义刚 ,  王子厚 ,  李晓倩 ,  张露晨

IPC: H04L29/06

Abstract: 本发明实施例提供了一种可配置的逐层报文解析方法和装置，其中，该方法包括：根据开放式系统互联七层结构由低到高的顺序，依次对网络数据报文的头部字段中与每一层对应协议的数据包头执行以下解析步骤：根据预设关键信息表项从当前层对应协议的数据包头中获取当前层对应协议的关键信息；根据预设协议信息项从当前层对应协议的数据包头中获取上一层对应协议的协议类型；根据预设结束位置信息项计算得到当前层对应协议的数据包头在所述网络数据报文的头部字段中的结束位置。该方案可以提高网络数据报文解析方法的通用性，同时提高数据报文解析的便捷度。

公开(公告)号：CN105207946A

公开(公告)日：2015-12-30

申请号：CN201510535316.5

申请日：2015-08-27

Applicant: 国家计算机网络与信息安全管理中心 ,  北京赛思信安技术股份有限公司

Inventor： 张良 ,  云晓春 ,  汪立东 ,  李晓倩 ,  谢铭 ,  黄成 ,  王子厚 ,  孙昊良 ,  张露晨 ,  何清林 ,  吴昊 ,  马秀娟 ,  张家琦 ,  黄文廷

IPC: H04L12/801 ,  G06F9/50

Abstract: 本发明一种网络数据包负载均衡和预解析方法，属于众核服务器的网络结构领域。包括以下步骤：一、在众核服务器下配置交换芯片；二、数据包经过外接接口进入交换芯片后，平均分给2个MPIPE；三、每个MPIPE将数据包转发到对应的TILERA CPU上，并进行预解析；四、在每个TILERA CPU上调用库函数创建数据包处理线程；五、为每个数据包处理线程分别绑定一个TILERA CPU核；六、将预解析结果分发到对应的数据包处理线程；七、各个处理线程分别通过库函数接收数据包并且得到预解析结果，保存源IP和目的IP。优点在于：使用交换芯片和MPIPE进行各个TILERA CPU之间的负载均衡，对于处理线程不需要再解析数据包，只对关注的数据包域进行处理；操作更加简便，提高数据包的处理能力。

公开(公告)号：CN102957579B

公开(公告)日：2015-09-16

申请号：CN201210380541.2

申请日：2012-09-29

Applicant: 北京邮电大学 ,  国家计算机网络与信息安全管理中心

Inventor： 鲁松 ,  邹昕 ,  周立 ,  张良 ,  关建峰 ,  许长桥 ,  张能 ,  张宏科

IPC: H04L12/26 ,  H04L12/801

Abstract: 本发明公开了一种网络异常流量监测方法，属于信息安全技术领域。所述方法包括：捕获流经的网络数据流；根据网络数据流的产生时间，选择与当前时间最接近的n条网络数据流数据；所述n根据系统的计算能力确定；将捕获的n条网络数据流数据作为相关向量机的输入进行训练，建立数据模型；根据所述数据模型对当前的网络流量数据进行监测。本发明能提高分类监测的精度，使异常流量监测能更快速有效，保证较低误检率和错检率。

公开(公告)号：CN102970277B

公开(公告)日：2015-07-15

申请号：CN201210376750.X

申请日：2012-09-29

Applicant: 国家计算机网络与信息安全管理中心 ,  北京邮电大学

Inventor： 周立 ,  邹昕 ,  鲁松 ,  张良 ,  关建峰 ,  许长桥 ,  张能 ,  张宏科

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种多源安全关联建立方法，属于信息安全技术领域。所述方法包括：在IKEv2通信中，IKE_AUTH消息协商过程中，网关在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i；终端在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr。本发明通过对现有的IPsec进行功能拓展，增加了身份载荷和流量选择载荷以建立多个备份IKE SA，通信一端发送计数状态来解决切换间产生一定程度的丢包问题，保证了加密数据流的实时无缝切换，进一步增强了IPsec的安全性能。