公开(公告)号：CN104734977B

公开(公告)日：2018-03-02

申请号：CN201510103689.5

申请日：2015-03-10

Applicant: 中国人民解放军信息工程大学

Inventor： 李玉峰 ,  张建辉 ,  田乐 ,  张明明 ,  李康士 ,  马海龙 ,  张传浩 ,  张鹏 ,  周锟 ,  罗伟

IPC: H04L12/771 ,  H04L29/06

Abstract: 本发明公开了一种影子路由器，克服了现有技术中，路由器的安全性能仍需提高的问题。该发明串行接入在真实路由器的输入、输出链路中间，影子路由器包括真实路由器、数据平面和控制平面三层结构，底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面；外部链路的数据首先输入影子路由器，通过影子路由器安全检验的数据可送往真实路由器完成相应处理，处理完毕后的数据再经影子路由器处理并输出到链路上；影子路由器和真实路由器的配置比为1：N。本发明既可免除恶意探测，又能完全真实模拟所连接真实路由器的处理功能和性能。能有效应对新时期网络安全威胁，实现对真实路由器的圆罩式防护。

公开(公告)号：CN104753931B

公开(公告)日：2018-02-06

申请号：CN201510118353.6

申请日：2015-03-18

Applicant: 中国人民解放军信息工程大学

Inventor： 董永吉 ,  陈庶樵 ,  李康士 ,  李玉峰 ,  曹建业 ,  袁征 ,  陈博

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种基于正则表达式的深度报文检测方法，通过硬件实现高速网络的正则表达式匹配，提高了对报文检测的速度和灵活性，适用于10G以上高速网络的报文检测；包括:协议检测模块、流表项维护模块、格式封装模块、数据发送模块、正则表达式匹配模块、数据接收模块、格式解封装模块、流量整形模块、接口配置模块、结果输出模块、外部存储器模块。本发明提出了在FPGA实现正则表达式匹配的方法，基于可编程门阵列（Field Programmable Gate Array，FPGA）的正则表达式匹配即能够满足高速流量的要求又能够不断的跟新，而且实现的代价也相对较小，采用FPGA实现正则表达式匹配引擎设计，以并行流水线方式检测入侵数据，提高了数据的检测效率，实现了系统的检测性能的整体提升。

公开(公告)号：CN103095595B

公开(公告)日：2017-07-18

申请号：CN201210593571.1

申请日：2012-12-30

Applicant: 大连环宇移动科技有限公司 ,  中国人民解放军信息工程大学

Inventor： 张建辉 ,  叶荻秋 ,  卜佑军 ,  李玉峰 ,  马海龙 ,  奚东志

IPC: H04L12/801 ,  H04L12/883

Abstract: 本发明公开了一种基于单向并行多链表的网络数据管理方法，具有如下步骤：S100.接收分光设备复制的链路流量，逐包进行解析，提取每个包的五元组；记录每个包到达的时间；S200.将所述每个五元组哈希成流ID；判断当前五元组对应的包是否为SYN包；S300.从SD Ram和Block Ram中读出当前包的表项数据；与所述与该包对应的五元组比较：五元组对应的包是否与表项匹配。本发明提供的一种基于单向并行多链表的网络数据管理方法和系统，通过一种简单的算法，完成了在流管理中的逐包处理，有效的对不活动超时流进行管控，算法效率高，耗时时间短。而且采用了FPGA为处理核心，成本低廉，十分便于推广和使用。

公开(公告)号：CN104869044A

公开(公告)日：2015-08-26

申请号：CN201510344602.3

申请日：2015-06-19

Applicant: 中国人民解放军信息工程大学

Inventor： 江逸茗 ,  王志明 ,  兰巨龙 ,  李玉峰 ,  王晶 ,  胡宇翔 ,  傅敏

IPC: H04L12/46 ,  H04L12/24

Abstract: 本发明提供一种虚拟网映射方法及装置，包括：对虚拟网共享的底层网络中各个物理节点进行安全容量评估，得到安全容量矩阵；基于所述安全容量矩阵，确定所述虚拟网中的每个虚拟节点对应的物理节点；将所述虚拟网中每个虚拟节点的虚拟链路映射到各自对应的物理节点的多条无环物理链路；从所述物理节点的多条无环物理链路中随机选取一条无环物理链路，所选取的无环物理链路用于传输虚拟网请求，即本发明提供的方案在进行虚拟网请求传输时可以随机选取一条无环物理链路来传输虚拟网请求，这种随机选取物理链路的方式提高链路传输的不可预测性，从而提高数据传输的安全性。

公开(公告)号：CN104008205A

公开(公告)日：2014-08-27

申请号：CN201410272574.4

申请日：2014-06-18

Applicant: 中国人民解放军信息工程大学

Inventor： 胡宇翔 ,  申涓 ,  杜传震 ,  伊鹏 ,  李玉峰 ,  张传浩 ,  王鹏

IPC: G06F17/30

CPC classification number: G06F17/30949 ,  H04L45/745

Abstract: 本申请公开了一种内容路由的查询方法及系统，该方法包括：获取待测内容网络名字；将所述待测内容网络名字进行分解，得到若干个由字符串组成的名字元素；分别对每个名字元素进行哈希处理，得到对应的待测哈希值序列；查询预先建立的存储阵列，存储阵列中以哈希值的形式存储有路由列表中所有的信息。本申请通过预先将路由列表中的内容网络名字经过哈希处理，以哈希值的形式存储在阵列中，然后对待测的内容网络名字同样进行哈希处理，然后进行哈希值的匹配工作，完成查询过程，相比于传统的查询方式，其路由压缩率更高、搜索效率也更高。

公开(公告)号：CN102164049A

公开(公告)日：2011-08-24

申请号：CN201110110074.7

申请日：2011-04-28

Applicant: 中国人民解放军信息工程大学

Inventor： 李玉峰 ,  赵博 ,  姜鲲鹏 ,  黄惠群 ,  董永吉

IPC: H04L12/24 ,  H04L12/56 ,  H04L1/00

Abstract: 本发明涉及一种加密流量的普适识别方法；加密流量的普适识别方法的步骤如下：步骤1.获取网络数据，并提取网络层数据；步骤2.根据源IP地址、目的IP地址、源端口、目的端口和协议汇聚数据流：将一系列具有相同的源地址、相同的目的地址、相同的源端口、相同的目的端口和相同的协议的IP协议报文组成一个数据流；步骤3从数据流中提取有效数据；步骤4.对有效数据进行频数检测；步骤5.根据频数检测结果，判定数据流是否为加密数据流；本发明可以在不需要具体加密协议细节的条件下，实现加密流量的普适识别。

公开(公告)号：CN107172107A

公开(公告)日：2017-09-15

申请号：CN201710606385.X

申请日：2017-07-24

Applicant: 中国人民解放军信息工程大学

Inventor： 李玉峰 ,  魏鹏 ,  陈博 ,  江逸茗 ,  张风雨 ,  申涓 ,  张校辉 ,  王鹏

IPC: H04L29/06 ,  H04L12/851

CPC classification number: H04L63/302 ,  H04L47/2441 ,  H04L47/2483 ,  H04L63/0236 ,  H04L63/0245 ,  H04L63/0263 ,  H04L63/30

Abstract: 本发明涉及通信技术领域，公开了一种区分业务流早期回传的透明管控方法，包括首先将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理；对流数据包进行深度解析和管控规则匹配；根据深度解析和管控规则匹配结果，对流数据包进行相应的管控处理；本发明还公开了一种区分业务流早期回传的透明管控设备，包括浅层解析模块、早期黑名单匹配模块、早期复制回传模块、深度解析模块、管控规则匹配模块和管控处理模块。本发明的方法和设备能够使在线音视频数据包的回传、深度解析、规则匹配等的处理不影响用户的网络体验，具有良好的管控效果。

公开(公告)号：CN106961445A

公开(公告)日：2017-07-18

申请号：CN201710297097.0

申请日：2017-04-28

Applicant: 中国人民解放军信息工程大学

Inventor： 董永吉 ,  李玉峰 ,  于松林 ,  黄万伟 ,  王文功 ,  袁征 ,  张霞

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/863

Abstract: 本发明涉及一种基于FPGA硬件并行流水线的报文解析方法及其装置，该方法包含：测量网络接口下实时数据流的流量参数；并将数据报文分配到并行FIFO队列中等待处理；根据流量参数动态选取解析时钟频率；并提取前端五元组信息；根据选取的解析时钟频率进行多级流水线报文解析，若协议报文解析正常，则通过依次轮询各个流水线进行协议报文输出，否则，将未能识别的协议报文进行异常分析，并调整调度后进行协议报文输出。本发明以高速并行流水线结构为基础，提高报文解析处理的速率，以流量检测来动态改变工作频率，大大降低系统功耗开销，打破传统网络固化封闭的模式，提升链路资源的利用率，降低基础网络建设成本。

公开(公告)号：CN104009923B

公开(公告)日：2017-07-14

申请号：CN201410196343.X

申请日：2014-05-12

Applicant: 中国人民解放军信息工程大学

Inventor： 王雨 ,  李玉峰 ,  黄万伟 ,  卜佑军 ,  姜鲲鹏 ,  张霞 ,  杜飞

IPC: H04L12/741 ,  H04L12/749 ,  H04L29/06

Abstract: 本发明公开了一种基于指针迭代的IPV6报文硬件解析方法，主要包括如下步骤：将输入报文转换为64bit宽的数据，从报文头开始，对报文进行周期计数；根据IPV6基本头的外层信息，解析出IPV6基本头的位置以及基本头中的下个首部所在位置，并存入指针；用报文所在的处理周期以及在周期内的偏移与指针值进行比较，提取出基本头的下个首部类型并判定是否是IPV6扩展头，如否，则扩展头解析结束；如是，则根据首部类型值以及指针值来提取第一个扩展头中的头长度、下个首部类型信息，下个扩展头的位置等信息，并分别存入类型寄存器与位置指针；用类型寄存器与位置指针对下一层报文进行迭代处理，将新计算出的值覆盖旧值，直至扩展头解析结束。本发明的特点是：使用硬件资源少；能够对任意扩展头组合的IPV6报文的解析；能够实现IPv6报文的实时解析。

公开(公告)号：CN104125146B

公开(公告)日：2017-06-16

申请号：CN201410385325.6

申请日：2014-08-07

Applicant: 中国人民解放军信息工程大学

Inventor： 胡宇翔 ,  王志明 ,  张建辉 ,  李玉峰 ,  王晶 ,  张震 ,  张传浩 ,  李印海 ,  江逸茗

IPC: H04L12/701

Abstract: 本发明公开了一种业务处理方法及装置，路由节点从预设的模块数据库中，选择与业务处理步骤对应的模块作为候选模块。因为不同业务类型的业务处理步骤中有些步骤是相同的，所以对业务处理步骤可做模块化的处理，即相同功能的模块可以在多种业务类型的处理过程中重复利用。可见，路由节点对业务的处理步骤具有模块化的特性，处理步骤中的每个步骤都有对应的模块来完成。对于新业务类型，路由节点只要从预设的模块数据库中，选择与新业务类型的业务处理步骤对应的模块作为候选模块，由选出的候选模块组成的路径即可完成对新业务类型的处理。可见，本发明能够解决路由节点处理更多的业务类型的问题。