公开(公告)号：CN114117506B

公开(公告)日：2024-04-05

申请号：CN202010875525.5

申请日：2020-08-27

申请人： 东北大学秦皇岛分校

发明人： 王庆豪 ,  史闻博 ,  鲁宁 ,  韩旭军 ,  徐欣 ,  黄儒霄 ,  刘明曦 ,  张永欣

IPC分类号： G06F21/62 ,  G06F21/53 ,  G06F21/78 ,  G06F12/14

摘要： 本发明提供一种适用于TEE混淆计算的ORAM访问方法，属于信息安全技术领域。该方法包括五个阶段：向ORAM Tree中填充数据块、根据源程序请求从ORAM Tree中读取目标数据块、源程序执行被取出的数据块、对数据块写回路径进行两次元数据扫描、向ORAM Tree写回数据块；该方法充分利用了TEE的安全特性，减少了不必要的访存开销；该方法通过额外的混淆数据访问操作来保护ORAM中敏感数据结构的访问模式，进而抵御TEE中存在的侧信道攻击。

公开(公告)号：CN112422482B

公开(公告)日：2022-05-17

申请号：CN201910782662.1

申请日：2019-08-23

申请人： 东北大学秦皇岛分校

发明人： 鲁宁 ,  白撰彦 ,  史闻博 ,  李子实 ,  刘明曦 ,  韩旭军

IPC分类号： H04L9/40 ,  H04L45/00

摘要： 本发明提供一种面向服务的尾端链路洪泛攻击过滤方法，涉及网络安全技术领域。该面向服务的尾端链路洪泛攻击过滤方法，包括过滤执行器、即数据层，过滤控制器、即AS内控制器层，中央过滤协调器、即AS间控制器层，所述过滤执行器在传统上存储在边界路由器中，自治域中的过滤执行器也在数据层上运行，过滤执行程序需要实现以下功能：1)将可用过滤执行器的数量导出到其过滤控制器中；2)当收到过滤任务时，必须及时设置过滤器，并要求相关主机(其管理员)修复可利用的安全漏洞，以启动此类尾端链路洪泛攻击。通过集中式架构使基于过滤器的防御系统可以逐步部署，而无需额外的效果，并进一步提供了渐进的解决方案。

公开(公告)号：CN113595904A

公开(公告)日：2021-11-02

申请号：CN202110896235.3

申请日：2021-08-05

申请人： 东北大学秦皇岛分校

发明人： 史闻博 ,  陈延春 ,  鲁宁 ,  韩旭军

IPC分类号： H04L12/715 ,  H04L12/721 ,  H04L12/761 ,  H04L12/803

摘要： 本发明提供一种基于流量矩阵的数据流协同采样方法，涉及网络安全技术领域。该方法以自治域为单位，将域内所有路由节点视为一个整体，确定各路由节点的流量目录；结合各路由节点的流量目录，根据每个路由节点的采样能力，基于负载均衡思想，将自治域内总的采样任务合理的划分采样目录，分配给若干个采样点。采用基于解空间树的最优解搜索算法，在自治域控制中得出采集本自治域所有数据流所需要的路由设备以及各自的采样目录；采样点之间以协同的方式依据采样目录执行采样任务。同时，保证每条数据流都会被采集而且不会同时被多个路由节点采集。该方法控制了采样设备的数量，减少了路由设备的资源消耗，使其更好服务于网络数据转发等功能。

公开(公告)号：CN113595904B

公开(公告)日：2023-01-31

申请号：CN202110896235.3

申请日：2021-08-05

申请人： 东北大学秦皇岛分校

发明人： 史闻博 ,  陈延春 ,  鲁宁 ,  韩旭军

IPC分类号： H04L45/00 ,  H04L45/16 ,  H04L47/125

摘要： 本发明提供一种基于流量矩阵的数据流协同采样方法，涉及网络安全技术领域。该方法以自治域为单位，将域内所有路由节点视为一个整体，确定各路由节点的流量目录；结合各路由节点的流量目录，根据每个路由节点的采样能力，基于负载均衡思想，将自治域内总的采样任务合理的划分采样目录，分配给若干个采样点。采用基于解空间树的最优解搜索算法，在自治域控制中得出采集本自治域所有数据流所需要的路由设备以及各自的采样目录；采样点之间以协同的方式依据采样目录执行采样任务。同时，保证每条数据流都会被采集而且不会同时被多个路由节点采集。该方法控制了采样设备的数量，减少了路由设备的资源消耗，使其更好服务于网络数据转发等功能。

公开(公告)号：CN113553617B

公开(公告)日：2022-04-26

申请号：CN202110825024.0

申请日：2021-07-21

申请人： 东北大学秦皇岛分校

发明人： 孙道涵 ,  鲁宁 ,  史闻博 ,  韩旭军 ,  张建磊

IPC分类号： G06F21/62 ,  H04L9/40

摘要： 本发明公开了一种基于区块链的跨域协同溯源系统及方法，涉及网络安全技术领域。本发明引入了区块链技术，通过区块链的优势为溯源系统中各自治域的合作提供了信任基础，将溯源过程中产生的事务通过区块链中的超级节点进行打包和验证并广播至所有节点，由此使得数据信息能够公开、透明地存储在所有节点上，解决了由于竞争而产生的信任问题，使得各个自治域之间能够协同可信，极大地提高了协同溯源的效率。同时设计了一种特殊标签来阻断数据流的聚合，通过将基于标签的高精度溯源策略和区块链融合，提高了溯源效率和溯源精度。同时针对不同的数据类型引入了不同的密码学技术，而非全部使用同一种手段，以此可以灵活、有效地保障数据的隐私安全。

公开(公告)号：CN114124417A

公开(公告)日：2022-03-01

申请号：CN202010875523.6

申请日：2020-08-27

申请人： 东北大学秦皇岛分校

发明人： 鲁宁 ,  黄儒霄 ,  史闻博 ,  韩旭军 ,  王庆豪

IPC分类号： H04L9/40 ,  G06F16/903

摘要： 本发明提供一种大规模网络下可扩展性增强的漏洞评估方法，属于信息安全技术领域。该漏洞评估方法的被动漏洞匹配系统通过用户输入的设备指纹信息、NVD漏洞库中抽取的CPE格式下的设备指纹信息与高精度漏洞匹配算法结合求出相似度的大小，将其保存到临时的相似度数组中；顺序遍历全部NVD中的CPE，针对每个CPE重复匹配计算；取出临时相似度数组中的最大值，得出对应的CPE，通过该CPE去NVD中查找是否存在包含该CPE的CVE；该方法在不提高资源占用率的基础上，使用最长公共子序列算法结合覆盖范围，大大提高了漏洞匹配的精度；通过该漏洞匹配算法，去除了人工筛选的步骤，但匹配的精确已经可以达到人工筛选的精确度。

公开(公告)号：CN114079567A

公开(公告)日：2022-02-22

申请号：CN202010847319.3

申请日：2020-08-21

申请人： 东北大学秦皇岛分校

发明人： 鲁宁 ,  韩旭军 ,  史闻博 ,  常远 ,  张永欣 ,  王庆豪

IPC分类号： H04L9/32 ,  H04L9/40 ,  G06F16/22 ,  G06F16/27 ,  G06F21/62 ,  G06F21/64

摘要： 本发明属于网络安全领域，具体涉及一种基于区块链的通用性IP溯源系统及方法。该系统分为数据采集层、溯源服务层、溯源监督层、溯源协调层，借鉴区块链中现收现付的商业模式，提供一种可信的面向服务的通用性IP溯源系统，以推进溯源系统的大规模部署；溯源监督层包括数据模块、共识模块、验证模块；数据模块简化了区块数据、共识模块提高区块链工作效率和性能并且降低部署成本，验证模块防止恶意节点对事务信息进行篡改，保证数据完整性；所述溯源方法包括追踪痕迹建立阶段和攻击路径重构阶段；其中采用并发回溯机制，提高了溯源效率；该系统还适用于基于数据包的溯源方法，兼容当前绝大多数IP溯源方法，具有通用性。

公开(公告)号：CN114124417B

公开(公告)日：2024-02-13

申请号：CN202010875523.6

申请日：2020-08-27

申请人： 东北大学秦皇岛分校

发明人： 鲁宁 ,  黄儒霄 ,  史闻博 ,  韩旭军 ,  王庆豪

IPC分类号： H04L9/40 ,  G06F16/903

摘要： 本发明提供一种大规模网络下可扩展性增强的漏洞评估方法，属于信息安全技术领域。该漏洞评估方法的被动漏洞匹配系统通过用户输入的设备指纹信息、NVD漏洞库中抽取的CPE格式下的设备指纹信息与高精度漏洞匹配算法结合求出相似度的大小，将其保存到临时的相似度数组中；顺序遍历全部NVD中的CPE，针对每个CPE重复匹配计算；取出临时相似度数组中的最大值，得出对应的CPE，通过该CPE去NVD中查找是否存在包含该CPE的CVE；该方法在不提高资源占用率的基础上，使用最长公共子序列算法结合覆盖范围，大大提高了漏洞匹配的精度；通过该漏洞匹配算法，去除了人工筛选的步骤，但匹配的精确已经可以达到人工筛选的精确度。

公开(公告)号：CN114079567B

公开(公告)日：2024-02-06

申请号：CN202010847319.3

申请日：2020-08-21

申请人： 东北大学秦皇岛分校

发明人： 鲁宁 ,  韩旭军 ,  史闻博 ,  常远 ,  张永欣 ,  王庆豪

IPC分类号： H04L9/32 ,  H04L9/40 ,  G06F16/22 ,  G06F16/27 ,  G06F21/62 ,  G06F21/64

摘要： 本发明属于网络安全领域，具体涉及一种基于区块链的通用性IP溯源系统及方法。该系统分为数据采集层、溯源服务层、溯源监督层、溯源协调层，借鉴区块链中现收现付的商业模式，提供一种可信的面向服务的通用性IP溯源系统，以推进溯源系统的大规模部署；溯源监督层包括数据模块、共识模块、验证模块；数据模块简化了区块数据、共识模块提高区块链工作效率和性能并且降低部署成本，验证模块防止恶意节点对事务信息进行篡改，保证数据完整性；所述溯源方法包括追踪痕迹建立阶段和攻击路径重构阶段；其中采用并发回溯机制，提高了溯源效率；该系统还(56)对比文件易丹.基于区块链技术的BLOCKCHAIN+EDU教育平台应用研究.广州广播电视大学学报.2019,(第06期),全文.Long Cheng ect..FACT: A Framework forAuthentication in Cloud-Based IPTraceback《.IEEE TRANSACTIONS ONINFORMATION FORENSICS AND SECURITY》.2016,全文.lu ning ect..A secure and scalabledata integrity auditing scheme based onhyperledger fabric《.Computers & Security》.2020,全文.鲁宁;王尚广;李峰;史闻博;杨放春.可动态扩展的高效单包溯源方法.软件学报.2018,(第11期),全文.

公开(公告)号：CN114117506A

公开(公告)日：2022-03-01

申请号：CN202010875525.5

申请日：2020-08-27

申请人： 东北大学秦皇岛分校

发明人： 王庆豪 ,  史闻博 ,  鲁宁 ,  韩旭军 ,  徐欣 ,  黄儒霄 ,  刘明曦 ,  张永欣

IPC分类号： G06F21/62 ,  G06F21/53 ,  G06F21/78 ,  G06F12/14

摘要： 本发明提供一种适用于TEE混淆计算的ORAM访问方法，属于信息安全技术领域。该方法包括五个阶段：向ORAM Tree中填充数据块、根据源程序请求从ORAM Tree中读取目标数据块、源程序执行被取出的数据块、对数据块写回路径进行两次元数据扫描、向ORAM Tree写回数据块；该方法充分利用了TEE的安全特性，减少了不必要的访存开销；该方法通过额外的混淆数据访问操作来保护ORAM中敏感数据结构的访问模式，进而抵御TEE中存在的侧信道攻击。