公开(公告)号：CN105553689B

公开(公告)日：2018-12-28

申请号：CN201510882758.7

申请日：2015-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC: H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN105391690B

公开(公告)日：2018-11-13

申请号：CN201510679633.4

申请日：2015-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L29/06

Abstract: 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN103561011B

公开(公告)日：2016-09-07

申请号：CN201310516638.6

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  杨婧 ,  李乃山

IPC: H04L29/06

Abstract: 本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统，系统包括：SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块；所述SDN控制器资源池监控器，用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机；所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测，当检测到针对控制器的盲DDoS攻击流时，所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量，有效防护针对控制器的盲DDoS攻击，保障SDN网络的可用性。

公开(公告)号：CN103095530B

公开(公告)日：2016-09-07

申请号：CN201310022141.9

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  马多贺 ,  徐震 ,  杨婧 ,  黄亮

IPC: H04L12/26 ,  H04L12/66 ,  H04L29/06

Abstract: 本发明涉及基于前置网关的敏感信息检测及防泄露方法及系统，系统包括配置模块、非信任列表生成模块和敏感信息防泄漏模块，其步骤为：1）在Web网站服务器的数据流链路中设置一前置网关，前置网关代理客户端向网站服务器发送和/或接受请求；2）前置网关配置该代理网站需要监测的敏感信息，配置成功后开始监测敏感信息；3）前置网关将包含敏感信息的URL作为网站的非信任URL并建立非信任列表，当客户端请求该URL内容时，前置网关代替网站响应该请求，防止敏感信息泄露。本发明不依赖于网站的构建系统，不干扰网站的管理方式，能够不间断对Web网站包含敏感信息的情况进行监测，同时通过前置网关代理响应的方式确保敏感信息不泄露。

公开(公告)号：CN105553689A

公开(公告)日：2016-05-04

申请号：CN201510882758.7

申请日：2015-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC: H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

CPC classification number: H04L41/14 ,  H04L41/0631 ,  H04L47/10 ,  H04L61/6018 ,  H04L67/2828

Abstract: 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN103095530A

公开(公告)日：2013-05-08

申请号：CN201310022141.9

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  马多贺 ,  徐震 ,  杨婧 ,  黄亮

IPC: H04L12/26 ,  H04L12/66 ,  H04L29/06

Abstract: 本发明涉及基于前置网关的敏感信息检测及防泄露方法及系统，系统包括配置模块、非信任列表生成模块和敏感信息防泄漏模块，其步骤为：1）在Web网站服务器的数据流链路中设置一前置网关，前置网关代理客户端向网站服务器发送和/或接受请求；2）前置网关配置该代理网站需要监测的敏感信息，配置成功后开始监测敏感信息；3）前置网关将包含敏感信息的URL作为网站的非信任URL并建立非信任列表，当客户端请求该URL内容时，前置网关代替网站响应该请求，防止敏感信息泄露。本发明不依赖于网站的构建系统，不干扰网站的管理方式，能够不间断对Web网站包含敏感信息的情况进行监测，同时通过前置网关代理响应的方式确保敏感信息不泄露。