公开(公告)号：CN118300845A

公开(公告)日：2024-07-05

申请号：CN202410400402.4

申请日：2024-04-03

Applicant: 中国科学院信息工程研究所

Inventor： 李佟 ,  陈思宇 ,  李亮雄 ,  鄂跃鹏

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开一种云原生访问控制规则生成方法及系统，属于云原生技术领域。所述方法包括：基于第三方服务的服务拓扑信息，生成访问控制规则图；基于访问控制规则拓扑图生成L3、L4层访问控制规则和L7层访问控制规则；将L3、L4层访问控制规则与L7层访问控制规则整合成云原生访问控制策略。本发明的云原生访问控制规则基于最小权限原则，具有高性能，细粒度，动态更新等特点，并且可以满足不同粒度的访问控制规则生成要求。

公开(公告)号：CN112187510A

公开(公告)日：2021-01-05

申请号：CN202010871432.5

申请日：2020-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 李亮雄 ,  韩春静 ,  李佟

IPC: H04L12/24 ,  G06N3/12

Abstract: 本发明提供一种基于遗传算法的虚拟网络功能放置方法及电子装置，包括：采集服务功能链的系统信息，获取若干种虚拟网络功能放置方案，并将虚拟网络功能放置方案集合作为初种群；根据各物理节点的最小化总带宽消耗，构造适应度函数；根据适应度函数对每一代中各个体的基因组成进行变异，获取种群的进化方向，得到该服务功能链的最优虚拟网络功能放置方案。本发明采取选举策略快速提高个体质量，优化初始化种群的产生，减少了系统的平均总带宽消耗，提高用户的请求成功率；使用自适应变异算子，自适应地动态调整变异概率，加快收敛速度，防止收敛时间过长。

公开(公告)号：CN112187510B

公开(公告)日：2021-09-14

申请号：CN202010871432.5

申请日：2020-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 李亮雄 ,  韩春静 ,  李佟

IPC: H04L12/24 ,  G06N3/12

Abstract: 本发明提供一种基于遗传算法的虚拟网络功能放置方法及电子装置，包括：采集服务功能链的系统信息，获取若干种虚拟网络功能放置方案，并将虚拟网络功能放置方案集合作为初种群；根据各物理节点的最小化总带宽消耗，构造适应度函数；根据适应度函数对每一代中各个体的基因组成进行变异，获取种群的进化方向，得到该服务功能链的最优虚拟网络功能放置方案。本发明采取选举策略快速提高个体质量，优化初始化种群的产生，减少了系统的平均总带宽消耗，提高用户的请求成功率；使用自适应变异算子，自适应地动态调整变异概率，加快收敛速度，防止收敛时间过长。

公开(公告)号：CN105721627A

公开(公告)日：2016-06-29

申请号：CN201610104441.5

申请日：2016-02-25

Applicant: 中国科学院信息工程研究所

Inventor： 韩春静 ,  葛敬国 ,  李亮雄 ,  李强 ,  吕红蕾 ,  郑宏波

IPC: H04L29/12

CPC classification number: H04L61/2539

Abstract: 本发明公开了一种IP网络流数据在线匿名化方法。本方法为：1)初始化一匿名化流表；2)对于获取的每一网络数据包，解析出该网络数据包的源IP地址和目的IP地址：根据IP地址查找该匿名化流表，如果存在则用查找结果进行替换；否则采用匿名化算法对该IP地址进行匿名化后进行替换，并以该IP地址作为关键字key、匿名化后的IP地址作为键值value，组成流表项插入该匿名化流表中；检测该网络数据包的类型，如果是IPv4类型的数据包，则重新计算匿名化后的该网络数据包的校验和；输出匿名化后的该网络数据包；检测该匿名化流表的使用率，如果使用率到达或者超过设定阈值时，则删除当前的匿名化流表，并重新建立新的匿名化流表。

公开(公告)号：CN118540108A

公开(公告)日：2024-08-23

申请号：CN202410568794.5

申请日：2024-05-09

Applicant: 中国科学院信息工程研究所

Inventor： 李亮雄 ,  谢传熙 ,  游军玲 ,  吴炳臻

IPC: H04L9/40

Abstract: 本发明涉及一种基于威胁矩阵的云原生网络策略生成方法及装置。该方法包括：利用CNI插件API从云原生Kubernetes环境中收集数据；使用MITRE ATT&CK威胁矩阵作为指导，根据不同攻击面对收集的数据进行安全评估；基于安全评估的结果，自动生成相应的网络策略。所述网络策略分为L3层策略、L4层策略和L7层策略；L3层策略包括IP地址和子网的访问控制规则；L4层策略涉及传输层的端口和协议的限制；L7层策略针对应用层的特定HTTP请求和方法进行细粒度的控制。本发明提高了运行中的云原生微服务组件的安全性，并避免了复杂地手动配置微服务有关的网络策略可能带来的错误。

公开(公告)号：CN105721627B

公开(公告)日：2018-12-11

申请号：CN201610104441.5

申请日：2016-02-25

Applicant: 中国科学院信息工程研究所

Inventor： 韩春静 ,  葛敬国 ,  李亮雄 ,  李强 ,  吕红蕾 ,  郑宏波

IPC: H04L29/12

Abstract: 本发明公开了一种IP网络流数据在线匿名化方法。本方法为：1)初始化一匿名化流表；2)对于获取的每一网络数据包，解析出该网络数据包的源IP地址和目的IP地址：根据IP地址查找该匿名化流表，如果存在则用查找结果进行替换；否则采用匿名化算法对该IP地址进行匿名化后进行替换，并以该IP地址作为关键字key、匿名化后的IP地址作为键值value，组成流表项插入该匿名化流表中；检测该网络数据包的类型，如果是IPv4类型的数据包，则重新计算匿名化后的该网络数据包的校验和；输出匿名化后的该网络数据包；检测该匿名化流表的使用率，如果使用率到达或者超过设定阈值时，则删除当前的匿名化流表，并重新建立新的匿名化流表。