公开(公告)号：CN117061352A

公开(公告)日：2023-11-14

申请号：CN202311157892.1

申请日：2023-09-08

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  杨盾 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L41/0895 ,  H04L41/40 ,  H04L41/122

Abstract: 本申请公开了一种多模态虚拟网元的实现方法、装置、设备及介质，涉及互联网通信以及网络虚拟化技术领域。应用于基于虚拟化网络功能部署多模态虚拟网元系统的电子设备，多模态虚拟网元系统包括一个本地控制面、多个数据转发面以及交换单元，该方法包括：基于网卡虚拟化技术根据电子设备安装的物理网卡数量确定系统中不同模态的应用程序各自添加的虚拟网卡数量；通过数据转发面上的自定义功能接口，根据虚拟网卡数量在本地控制面上同步创建与虚拟网卡对应的网络接口；根据当前处理的数据报文的报文类型利用自定义功能接口与网络接口对数据报文进行并发处理。通过本申请的技术方案，可以实现多模态虚拟网元技术，灵活适配业务发展需求。

公开(公告)号：CN116743832A

公开(公告)日：2023-09-12

申请号：CN202310760842.6

申请日：2023-06-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  李宗政 ,  卢珊萍 ,  马海龙

IPC: H04L67/133 ,  H04L41/0803 ,  H04L41/08

Abstract: 本申请公开了一种网元业务接口创建方法，所述网元包括主控单元和执行体，所述方法应用于所述主控单元，包括：创建第一业务接口；生成所述第一业务接口的配置信息；根据所述配置信息生成RPC报文；将所述RPC报文发送至所述执行体，以使所述执行体利用所述RPC报文创建与所述第一业务接口对应的第二业务接口。应用本申请所提供的技术方案，可以实现快速高效的网元业务接口创建，有效降低研发成本。本申请还公开了一种网元业务接口创建装置、电子设备以及计算机可读存储介质，同样具有上述技术效果。

公开(公告)号：CN114745128B

公开(公告)日：2023-07-07

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN114915534B

公开(公告)日：2023-06-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN111865661B

公开(公告)日：2022-11-11

申请号：CN202010545823.8

申请日：2020-06-16

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  张风雨 ,  马海龙 ,  裴学武 ,  张进 ,  伊鹏 ,  张鹏 ,  丁瑞浩 ,  李艳捷

IPC: H04L41/02 ,  H04L41/0213 ,  H04L9/40

Abstract: 本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

公开(公告)号：CN112187865B

公开(公告)日：2022-11-01

申请号：CN202010910866.1

申请日：2020-09-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  朱绪全 ,  张震 ,  申涓 ,  罗伟 ,  韩伟涛

IPC: H04L67/56 ,  H04L9/40 ,  H04L45/30 ,  H04L69/22 ,  H04L67/01

Abstract: 本发明涉及互联网通信技术领域，特别涉及一种开放式最短路径优先报文处理方法及拟态设备，通过在拟态设备中设置OSPF协议代理模块实现外部设备与拟态设备中各执行体之间协议报文的交互认证处理，包含：针对来自外设备的OSPF协议报文，缓存邻居相关信息，该相关信息中每个邻居的键值由外部设备IP地址、外部设备RouterID、外部设备区域ID、拟态设备IP地址、拟态设备RouterID组成，并依据报文类型确定是否转发给拟态设备中各执行体；针对来自拟态设备中各执行体的OSPF协议报文，依据报文类型确定是否将该OSPF协议报文转发给外部设备。本发明通过在拟态设备中引入依据报文类型进行相应处理的OSPF代理模块，能够保证OSPF路由数据的多元化，便于网络防御中拟态方案的有效实施。

公开(公告)号：CN114915534A

公开(公告)日：2022-08-16

申请号：CN202210428982.9

申请日：2022-04-22

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  张鹏 ,  王亮 ,  江逸茗 ,  陈祥 ,  李艳捷 ,  张进 ,  祖铄迪 ,  杨杰

IPC: H04L41/04 ,  H04L41/12 ,  H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

公开(公告)号：CN113132352A

公开(公告)日：2021-07-16

申请号：CN202110286007.4

申请日：2021-03-17

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  伊鹏 ,  于婧 ,  李鑫 ,  江逸茗 ,  王月 ,  张鹏 ,  丁瑞浩 ,  卜佑军 ,  张进

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。

公开(公告)号：CN112187865A

公开(公告)日：2021-01-05

申请号：CN202010910866.1

申请日：2020-09-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 马海龙 ,  朱绪全 ,  张震 ,  申涓 ,  罗伟 ,  韩伟涛

IPC: H04L29/08 ,  H04L29/06 ,  H04L12/725

Abstract: 本发明涉及互联网通信技术领域，特别涉及一种开放式最短路径优先报文处理方法及拟态设备，通过在拟态设备中设置OSPF协议代理模块实现外部设备与拟态设备中各执行体之间协议报文的交互认证处理，包含：针对来自外设备的OSPF协议报文，缓存邻居相关信息，该相关信息中每个邻居的键值由外部设备IP地址、外部设备RouterID、外部设备区域ID、拟态设备IP地址、拟态设备RouterID组成，并依据报文类型确定是否转发给拟态设备中各执行体；针对来自拟态设备中各执行体的OSPF协议报文，依据报文类型确定是否将该OSPF协议报文转发给外部设备。本发明通过在拟态设备中引入依据报文类型进行相应处理的OSPF代理模块，能够保证OSPF路由数据的多元化，便于网络防御中拟态方案的有效实施。

公开(公告)号：CN110650065A

公开(公告)日：2020-01-03

申请号：CN201910904769.9

申请日：2019-09-24

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 陈博 ,  卜佑军 ,  白冰 ,  周锟 ,  袁征 ,  伊鹏 ,  马海龙 ,  胡宇翔 ,  胡静萍 ,  张桥

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04L12/46

Abstract: 本发明涉及网络安全技术领域，特别涉及一种面向互联网的网络设备众测系统及测试方法，该系统包括：用户管理模块，用于对用户进行身份认证；资源分配模块，用于向用户分配众测设备资源；安全防护模块，用于向众测设备模块提供安全防护和访问控制；以及众测设备模块，作为众测目标供用户测试。本发明通过用户管理模块将用户与众测系统建立联系，通过安全防护模块对众测系统进行安全保护，为网络设备厂商提供了一个安全、可靠、具有公信力的安全测试平台。