公开(公告)号：CN114024746A

公开(公告)日：2022-02-08

申请号：CN202111301079.8

申请日：2021-11-04

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L9/40

Abstract: 本申请公开了一种网络报文的处理方法、虚拟交换机及处理系统，该方法包括：获取数据报文以及数据报文的报文信息；基于报文信息，在虚拟的安全资源池中确定与数据报文相对应的安全服务链，其中，安全资源池中包括至少一个安全服务链，安全服务链中包括至少一个虚拟的安全网元；向数据报文中添加标志信息，其中标志信息与安全网元相对应，用于指示安全网元对数据报文进行处理；基于标志信息，利用确定的安全服务链中的安全网元对数据报文进行处理。该处理方法，能够即保证对数据报文的有序检测，而不会引起检测步骤上的混乱；还能够在安全的情况下减少对数据报文的检测动作，有效提高数据报文的转发效率，提高用户的使用体验。

公开(公告)号：CN114070637B

公开(公告)日：2024-01-23

申请号：CN202111394831.8

申请日：2021-11-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L9/40 ,  H04L67/141 ,  G06F21/60

Abstract: 本申请实施例提供一种基于属性标签的访问控制方法、系统、电子设备及存储介质，涉及网络安全技术领域。该方法包括：获取第一容器计算节点发送的与第二容器计算节点建立连接请求的数据包信息，所述数据包信息包括与所述第一容器计算节点的pod对应的第一属性标签；通过NFQ重定向规则将所述数据包信息发送至对应的代理端；根据所述数据包信息提取所述第一属性标签；通过所述第一属性标签匹配所述第二容器计算节点的入站策略；根据所述入站策略建立所述第一容器计算节点的pod与所述第二容器计算节点的pod之间的访问连接。该方法可以实现任何两个pod之间引入端到端的身份识别，简化访问控制配置流程，提高用户配置访问控制的效率。

公开(公告)号：CN114157500A

公开(公告)日：2022-03-08

申请号：CN202111484919.9

申请日：2021-12-07

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王君

IPC: H04L9/40 ,  H04L43/0829

Abstract: 本申请提供一种数据包处理方法及电子设备、计算机可读存储介质，方法包括：在获取目标数据包之后，多个安全检测协程对所述目标数据包进行检测，确定与所述目标数据包对应的转发信息；其中，每一安全检测协程分别对应一个CPU核心；依据所述转发信息对所述目标数据包进行处理。本申请方案，通过协程机制替代线程机制，可以减少线程创建、切换的开销，从而提升数据包处理的整体性能；此外，为每一协程绑定一个CPU核心，可以充分利用多核架构，提高多核平台的使用效率。

公开(公告)号：CN104506548B

公开(公告)日：2018-05-04

申请号：CN201410851599.X

申请日：2014-12-31

Applicant: 北京天融信科技有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  贾兴旺 ,  余小军

IPC: H04L29/06 ,  H04L12/721

Abstract: 本发明公开了一种数据包重定向装置、虚拟机安全保护方法及系统。该方法包括：监听虚拟机监控器内核网络栈，将数据包发送到加速单元；计算数据包特征，查询数据包快速转发表，在不存在对应于所述数据包特征的转发规则的情况下，将数据包提交给重定向单元；重定向单元判断数据包是否来自虚拟化安全网关，当来自所述虚拟化安全网关时，查询数据包重定向表，当存在所述数据包的基本信息时，将数据包返回所述虚拟机监控器网络协议栈，当不来自所述虚拟化安全网关时，将数据包的基本信息记录至所述数据包重定向表，并将数据包发送给所述虚拟化安全网关。本发明能够灵活实现数据重定向，避免手动配置虚拟交换机的麻烦，加快数据包重定向的处理过程。

公开(公告)号：CN107920022A

公开(公告)日：2018-04-17

申请号：CN201711434343.9

申请日：2017-12-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  粟兴旺 ,  张献宾

IPC: H04L12/721 ,  H04L29/06

CPC classification number: H04L63/02 ,  H04L45/38

Abstract: 本发明提出了一种虚拟机安全通信系统，包括：流量交换单元，用于当任一虚拟机向其他虚拟机发送流量信息时，获取所述流量信息，并基于预置的流量转发配置表将所述流量信息发送至防火墙单元；所述防火墙单元，用于基于预置的安全策略配置表，判断所述流量信息是否合法；若判定所述流量信息为合法，则将所述流量信息发送至所述流量交换单元；否则将所述流量信息进行隔离；所述流量交换单元，还用于基于所述流量转发配置表，将接收到的所述防火墙单元发送的所述流量信息发送至所述其他虚拟机。本发明还公开了一种虚拟机安全通信方法，通过实施上述方案，有效提高了虚拟机安全通信系统的通用性；有效减少流量处理的负荷。

公开(公告)号：CN104506548A

公开(公告)日：2015-04-08

申请号：CN201410851599.X

申请日：2014-12-31

Applicant: 北京天融信科技有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  贾兴旺 ,  余小军

IPC: H04L29/06 ,  H04L12/721

CPC classification number: H04L67/2814 ,  H04L45/00

Abstract: 本发明公开了一种数据包重定向装置、虚拟机安全保护方法及系统。该方法包括：监听虚拟机监控器内核网络栈，将数据包发送到加速单元；计算数据包特征，查询数据包快速转发表，在不存在对应于所述数据包特征的转发规则的情况下，将数据包提交给重定向单元；重定向单元判断数据包是否来自虚拟化安全网关，当来自所述虚拟化安全网关时，查询数据包重定向表，当存在所述数据包的基本信息时，将数据包返回所述虚拟机监控器网络协议栈，当不来自所述虚拟化安全网关时，将数据包的基本信息记录至所述数据包重定向表，并将数据包发送给所述虚拟化安全网关。本发明能够灵活实现数据重定向，避免手动配置虚拟交换机的麻烦，加快数据包重定向的处理过程。

公开(公告)号：CN114070639B

公开(公告)日：2024-04-23

申请号：CN202111401807.2

申请日：2021-11-19

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘佃村 ,  李玮

IPC: H04L9/40 ,  H04L12/02 ,  H04L67/146

Abstract: 本申请提供一种报文安全转发方法、装置及网络安全设备。该方法包括：当FPGA加速网卡接收到第一流量报文后，将第一流量报文发送至处理器；处理器调用DPDK驱动程序，根据预设的OVS网桥配置，将第一流量报文传输至安全服务链中进行测试；当第一流量报文在安全服务链的所有网元中均测试通过后，将第一流量报文发送至FPGA加速网卡，以使FPGA加速网卡将第一流量报文发送至与第一流量报文所对应的终端设备。与现有技术中通过内核态实现的方式相比，能够节约处理流程，提高转发效率，同时该方式也能够提高处理器与FPGA加速网卡的之间的报文转发速率，进而提高网络设备整体性能。

公开(公告)号：CN117828596A

公开(公告)日：2024-04-05

申请号：CN202311799458.3

申请日：2023-12-25

Applicant: 北京天融信网络安全技术有限公司

Inventor： 袁子昕 ,  李硕 ,  严飞 ,  李玮

IPC: G06F21/56 ,  G06F21/57 ,  G06F9/455

Abstract: 本申请提供一种容器逃逸检测方法及装置，该方法包括：根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的eBPF程序；通过eBPF程序在预设观测点处进行信息采集，得到关键信息；根据关键信息和预设的异常检测规则进行容器逃逸检测，得到检测结果；根据检测结果判断是否存在容器逃逸行为；如果是，根据检测结果执行异常进程中断操作，并将进程信息传递给用户空间程序，以使用户空间程序将进程信息写入日志。可见，该方法及装置能够对容器逃逸行为进行准确高效、多维度的检测，并做到实时性阻断，以保护容器运行时的安全性与可靠性。

公开(公告)号：CN114070639A

公开(公告)日：2022-02-18

申请号：CN202111401807.2

申请日：2021-11-19

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘佃村 ,  李玮

IPC: H04L9/40 ,  H04L12/02 ,  H04L67/146

Abstract: 本申请提供一种报文安全转发方法、装置及网络安全设备。该方法包括：当FPGA加速网卡接收到第一流量报文后，将第一流量报文发送至处理器；处理器调用DPDK驱动程序，根据预设的OVS网桥配置，将第一流量报文传输至安全服务链中进行测试；当第一流量报文在安全服务链的所有网元中均测试通过后，将第一流量报文发送至FPGA加速网卡，以使FPGA加速网卡将第一流量报文发送至与第一流量报文所对应的终端设备。与现有技术中通过内核态实现的方式相比，能够节约处理流程，提高转发效率，同时该方式也能够提高处理器与FPGA加速网卡的之间的报文转发速率，进而提高网络设备整体性能。

公开(公告)号：CN107920022B

公开(公告)日：2021-08-24

申请号：CN201711434343.9

申请日：2017-12-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  粟兴旺 ,  张献宾

IPC: H04L12/721 ,  H04L29/06

Abstract: 本发明提出了一种虚拟机安全通信系统，包括：流量交换单元，用于当任一虚拟机向其他虚拟机发送流量信息时，获取所述流量信息，并基于预置的流量转发配置表将所述流量信息发送至防火墙单元；所述防火墙单元，用于基于预置的安全策略配置表，判断所述流量信息是否合法；若判定所述流量信息为合法，则将所述流量信息发送至所述流量交换单元；否则将所述流量信息进行隔离；所述流量交换单元，还用于基于所述流量转发配置表，将接收到的所述防火墙单元发送的所述流量信息发送至所述其他虚拟机。本发明还公开了一种虚拟机安全通信方法，通过实施上述方案，有效提高了虚拟机安全通信系统的通用性；有效减少流量处理的负荷。