CN102349277A - 虚拟二层服务的入侵检测 - Google Patents
虚拟二层服务的入侵检测 Download PDFInfo
- Publication number
- CN102349277A CN102349277A CN2010800113762A CN201080011376A CN102349277A CN 102349277 A CN102349277 A CN 102349277A CN 2010800113762 A CN2010800113762 A CN 2010800113762A CN 201080011376 A CN201080011376 A CN 201080011376A CN 102349277 A CN102349277 A CN 102349277A
- Authority
- CN
- China
- Prior art keywords
- service
- information
- edge router
- interface port
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title description 3
- 238000012544 monitoring process Methods 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 13
- 230000000295 complement effect Effects 0.000 abstract 1
- 101001072237 Homo sapiens Protocadherin-16 Proteins 0.000 description 9
- 102100029526 rRNA 2'-O-methyltransferase fibrillarin Human genes 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 101000602015 Homo sapiens Protocadherin gamma-B4 Proteins 0.000 description 4
- 102100037554 Protocadherin gamma-B4 Human genes 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明针对检测入侵者系统试图参与在分组交换网络上提供的虚拟二层服务。本发明的实施例监控PE路由器的接口端口的运行状态,其中CE路由器可通信地连接到所述接口端口以用于提供虚拟二层服务,在所述状态发生变化后,确定应当与CE路由器有关的信息是否已经变化;从而在肯定的情况下,解释所述变化以表明入侵者系统已经试图参与虚拟二层服务。有利地,该能力是对诸如MAC过滤和反电子欺骗过滤的其它安全措施的补充,这些其它安全措施依赖于在CE和PE路由器之间交换的数据分组的内容,而不是依赖于它们之间的通信连接的运行状态。
Description
技术领域
本发明针对分组交换通信网络,特别涉及对诸如虚拟租用线路(VLL)服务和虚拟专用LAN业务(VPLS)服务的虚拟开放系统互联(OSI)二层(Layer-2)服务提供入侵检测。
背景技术
虚拟租用线路(VLL)是用于在因特网协议(IP)和多协议标签交换(MPLS)网络(IP/MPLS)上提供基于以太网的点对点通信的服务。该技术也称为虚拟专用线路服务(VPWS)或基于MPLS的以太网(EoMPLS)。VPWS服务提供两个用户边缘(CE)路由器之间的点对点连接。这通过将两个接入电路(Attachment Circuit,简称AC)捆绑成连接两个提供商边缘(PE)路由器的伪线来实现,其中每个PE路由器通过一个接入电路连接到一个CE路由器。VLL通常使用伪线封装以通过IP/MPLS骨干网上的MPLS隧道传送以太网业务。有关伪线的更多信息可以在“Pseudo Wire Emulation Edge-to-Edge(PWE3)Architecture(边缘到边缘伪线仿真(PWE3)体系结构)”(RFC3985,IETF,2005年3月,S.Bryant和P.Pate)中找到。
虚拟专用LAN业务(VPLS)是通过VPLS实例化来有效实现封闭用户组的以太网服务。为了实现用户组之间的完全隔离,VPLS将网络路由器上的单独转发信息库(FIB)专用于每个VPLS实例。
每个VPLS实例还要求在作为VPLS的一部分的PE路由器之间提供专用的伪线隧道网格。
VLL服务和VPLS服务都使用服务访问点(SAP)以将在PE路由器端口处的隧道端点绑定到各自的服务。例如,在VPLS服务的情况下,SAP将指定对应端口的物理标识符(例如,节点、架、卡、端口)和VPLS的标识符(例如,VLAN5)。
在某些情况下,CE路由器位于远端位置或其它在网络安全方面易受攻击的位置。在这些情况下,期望在适当的位置具有能够响应入侵者系统参与或试图参与诸如VLL或VPLS服务的由CE路由器提供的虚拟二层服务的安全措施。这种入侵者系统包括任何未经授权而参与虚拟二层服务的系统。
发明内容
本发明旨在检测入侵者系统试图参与在分组交换网络上提供的虚拟二层服务。
本发明的一些实施例监控PE路由器的接口端口的运行状态,其中CE路由器可通信地连接到该接口端口以用于提供虚拟二层服务,在所述状态发生变化后,确定应当与CE路由器有关的信息是否已经改变;并从而在肯定的情况下,解释所述变化以表明入侵者系统已经试图参与虚拟二层服务。
在本发明的一些实施例中,存储被选择用于安全监控的接口端口的标识符,并确定该接口端口的运行状态。根据接口端口的表明该接口端口处于运行状态中的运行状态,记录与可通信地连接到接口端口以用于提供虚拟二层服务的CE路由器有关的信息的初始版本。然后,监控接口端口的运行状态的状态变化。当检测到状态变化后,获得该信息的当前版本并与该信息的初始版本进行比较。在检测到信息的版本之间的差异后,生成表明入侵者系统已经试图参与虚拟二层服务的警报。
在本发明的一些实施例中,特定信息包括在接口端口所处的PE路由器的转发信息库(FIB)中存储的一个或多个媒体访问控制(MAC)地址或IP地址。
在本发明的一些实施例中,特定信息包括CE路由器的一个或多个MAC地址或IP地址。此外或可选择地,在一些实施例中,特定信息包括能够通过向CE路由器发布的命令行界面(CLI)命令获得的与CE路由器有关的其它信息。
在本发明的一些实施例中,CE路由器和PE路由器可通过向分组交换网络的网络管理系统发布的CLI命令被访问,接口端口的运行状态可通过由网络管理系统发布的事件通知来被监控。
本发明的实施例能够检测用于提供虚拟二层服务的CE路由器与PE路由器之间的通信连接何时断开,当入侵者系统代替CE路由器连接到PE路由器以试图参与虚拟二层服务时,发生这种情况。有利地,该能力是对诸如MAC过滤和反电子欺骗过滤的其它安全措施的补充,这些安全措施依赖于CE路由器与PE路由器之间交换的数据分组的内容,而不依赖于它们之间的通信连接的运行状态。
附图说明
根据以下对如附图所示的优选实施例的更详细的描述,本发明的上述和其它方面、特征和优点将更加明显,其中:
图1表示根据本发明的一个实施例的用于检测入侵者系统试图参与二层服务的网络配置;
图2表示根据本发明的一个实施例的用于检测入侵者系统试图参与虚拟二层服务的方法。
在附图中,相同的特征用相同的标记表示。
具体实施方式
参照图1,用于在MPLS网络12上提供VPLS服务的网络配置10包括在第一提供商边缘路由器PE1和第二提供商边缘路由器PE2之间通过MPLS网络路由的伪线隧道T1。伪线隧道T1具有两个端点,其中第一端点位于第一提供商边缘路由器PE1,第二端点位于第二提供商边缘路由器PE2。VPLS服务的服务实例SVC在每个提供商边缘路由器PE1、PE2处被实例化,并将伪线隧道T1与VPLS服务相关联。因此,与VPLS服务相关联的数据分组经由第一与第二提供商边缘路由器PE1、PE2之间的伪线隧道T1通过MPLS网络10传送。
通常会有多个伪线隧道连接多个提供商边缘路由器。在某些情况下,这些隧道形成相互连接提供商边缘路由器的全连接网格。在任何情况下,当对于在提供商边缘路由器上终止的指定服务有多个伪线隧道时,转发信息库在该路由器处用于确定数据分组应当通过哪个隧道转发以到达其目的地。该确定是基于数据分组的目的地MAC或IP地址而进行的。MAC地址是48比特地址,它通常是唯一的并专用于数据通信系统的指定网络接口卡或适配器。MAC地址也称为硬件地址。IP地址是32比特(IPV4)或128比特(IPV6)地址,它通常对于网络接口或系统是唯一的,但在软件中是可分配的。
第一用户边缘路由器CE1通过第一接入电路AC1连接到第一提供商边缘路由器PE1的第一接口端口P1。第一用户边缘路由器CE1具有第一MAC地址X。同样,第二用户边缘路由器CE2通过第二接入电路AC2连接到第二提供商边缘路由器PE2的第二接口端口P2。第二用户边缘路由器CE2具有第二MAC地址Y。
第一提供商边缘路由器PE1包括与服务实例SVC相关联的第一转发信息库FIB1。第一转发信息库FIB1包括用于伪线隧道T1的第一条目E1。第一条目E1将第一MAC地址X与第二MAC地址Y相关联,以用于在第一与第二用户边缘路由器CE1、CE2之间传送数据分组。同样,第二提供商边缘路由器PE2包括与服务实例SVC相关联的第二转发信息库FIB2。第二转发信息库FIB2包括用于伪线隧道T1的第二条目E12。第二条目E2将第一MAC地址X与第二MAC地址Y相关联,以用于在第一与第二用户边缘路由器CE1、CE2之间传送数据分组。
位于第一提供商边缘路由器PE1处的第一服务访问点将第一接口端口P1与服务实例SVC相关联,以致在第一接口端口P1处从第一接入电路AC1接收的与VPLS服务相关联的数据分组根据第一转发信息库FIB1中的信息在伪线隧道上转发。这种信息包括第一转发信息库FIB1中的第一条目E1,其在这种情况下使具有源MAC地址是第一MAC地址X的数据分组在它们的目的地MAC地址是第二MAC地址Y时通过伪线隧道T1转发。同样,由第一提供商边缘路由器PE1从伪线隧道T1接收的与VPLS服务相关联的数据分组根据第一服务访问点和第一转发信息库FIB1中的信息转发到第一接口端口P1。
位于第二提供商边缘路由器PE2处的第二服务访问点将第二接口端口P2与服务实例SVC相关联,以致在第二接口端口P2处从第二接入电路AC2接收的与VPLS服务相关联的数据分组根据第二转发信息库FIB2中的信息在伪线隧道上转发。这种信息包括第二转发信息库FIB2中的第二条目E2,其在这种情况下使具有源MAC地址是第二MAC地址Y的数据分组在它们的目的地MAC地址是第一MAC地址X时通过伪线隧道T1转发。同样,由第二提供商边缘路由器PE2从伪线隧道T1接收的与VPLS服务相关联的数据分组根据第二服务访问点和第一转发信息库FIB1中的信息转发到第二接口端口P2。
根据前述内容应当清楚,与VPLS服务相关联的数据分组可在第一与第二用户边缘路由器CE1、CE2之间通过各自的接入电路AC1、AC2、第一和第二提供商边缘路由器PE1、PE2以及伪线隧道T1传送。然而,如前面所述的,在某些情况下,CE路由器位于远端位置或在网络安全方面易受攻击的位置。在这些情况下,期望在适当的位置具有能够响应入侵者系统参与或试图参与诸如VLL或VPLS服务的由CE路由器提供的虚拟二层服务的安全措施。这种入侵者系统包括任何未经授权而参与虚拟二层服务的系统。
仍然参照图1,网络配置10包括管理实体14,其通过控制连接16和MPLS网络12可通信地连接到提供商边缘路由器PE1、PE2。管理实体14通常是网络管理系统,其能够对MPLS网络12中的网络单元,诸如提供商边缘路由器PE1、PE2,执行操作、管理和维护(OAM)类型功能。管理实体14的该功能包括能够从MPLS网络12的网络单元接收设备、服务的报告并提供相关的事件,包括来自第一和第二提供商边缘路由器PE1、PE2的关于它们各自的接口端口P1、P2的运行状态的事件报告。
网络配置10还包括服务平台18,其通过开放操作系统(OS)接口20可通信地连接到管理实体14。使用开放OS接口20,服务平台18可访问事件通知22,其包括与来自网络单元的事件报告有关的事件通知。使用开放OS接口20,服务平台18还可向管理实体14发布控制命令24,包括在提供商边缘路由器PE1、PE2处实现提供变化的命令。服务平台18通常是膝上型或台式计算机或工作站。开放OS接口是JAVA消息服务(JMS)接口;尽管也可以使用其它类型的消息接口。
服务平台18执行服务应用26,其与服务平台18上的服务数据库28通信,尽管服务数据库28还可位于管理实体14上,服务平台18可通过开放OS接口20访问它。服务应用26是软件程序,其体现根据本发明的实施例的用于检测入侵者系统试图参与虚拟二层服务的方法。
根据该方法,服务应用26监控通过开放OS接口20接收的事件通知22。服务应用26检查事件通知22以确定其中任何一个是否与被选择用于安全监控的接口端口的运行状态有关。这样选择的每个端口的标识符被存储在服务数据库28的第一记录R1中。对于任何一个这样的端口,在与经由该端口提供的VPLS服务对应的FIB的FIB条目中包含的信息应当已经从相关的PE路由器中获取并存储在服务数据库28中。例如,在第一接口端口P1的情况下,来自第一转发信息库FIB1中的第一条目E1的信息被存储在服务数据库28的第二记录R2中。第二记录R2包括第一端口P1的标识符,尽管它可通过其它方式与第一端口P1相关联。此外或可选择地,其它与通过接入电路可通信地连接到端口的CE路由器有关的信息可从该CE路由器中获取并存储在服务数据库28中。例如,第一用户边缘路由器CE1的配置数据也存储在服务数据库28的第二记录R2中。优选地,在第二记录R2中包含的信息由服务平台18使用通过OS接口20向管理实体14发布的控制命令来获取,尽管其它方式也可以。这种信息可在端口被选择用于安全监控时或者在端口上的安全监控重新初始化并且端口处于运行状态时获得。
应当理解,有许多方式存储在第一和第二记录R1、R2中包含的所有或某些信息。然而,如果这些方式能够识别将被执行安全监控的端口并在这种安全监控被激活且该端口处于运行状态时提供与可通信地连接到该端口的CE路由器有关的信息,则这些方式都满足。例如,如果第二记录R2包含第一端口P1的标识并以表明第二记录R2包含与将被执行安全监控的端口有关的信息的方式存储,则第一记录R1可以被忽略。例如,这种方式可以是将第二记录R2存储在服务数据库28的特殊部分中或者存储在类似记录的组中。
仍然参照图1,示出了第一用户边缘路由器CE1位于远端局中,诸如长期没有分组交换网络的支持人员访问的较小建筑或无人居住的小屋。这种位置是在网络安全方面易受攻击的位置的例子。当试图参与VPLS服务时,入侵者系统30通过断开在第一用户边缘路由器处的第一接入电路AC1并将第一接入电路AC1重新连接到入侵者系统30来可通信地连接到第一端口P1。然而,断开和重新连接第一接入电路AC1使得第一接口端口P1从运行状态转换到非运行状态并再次回到运行状态。此外,在第一提供商边缘路由器PE1上运行的地址解析协议将根据由入侵者系统30通过第一接入电路AC1发送的数据分组知道入侵者系统30的第三MAC地址Z。第一提供商边缘路由器PE1将在第一转发信息库FIB1中包含的信息更新为当前版本。例如,第一条目E1将被更新到第一条目的当前版本E1′。
服务应用26监控事件通知22,根据该事件通知22,它可检测接口端口的运行状态的转换,诸如从运行状态到非运行状态,反之亦然。在检测到接口端口的运行状态中的变化时,服务应用26访问服务数据库28中的信息,诸如第一记录R1,以确定受影响的端口是否是已被选择用于安全监控的端口。在肯定的情况下,服务应用26获取在与经由该端口提供的VPLS服务对应的FIB的FIB条目中包含的当前信息。服务应用26从受影响的端口所属的PE路由器中获取该信息。相关的FIB通过在将受影响的端口与服务实例相关联的SAP中包含的信息来识别,因为对于VPLS服务的每个实例,在PE路由器中存在专用的FIB。例如,在检测到第一接口端口P1的运行状态中的变化时,服务应用26向管理实体14发布控制命令24以获取第一转发信息库FIB1中第一条目的当前版本E1′。
然后,服务应用26访问服务数据库28以获取与第一用户边缘路由器CE1有关的信息的初始版本。该信息被称为初始的,因为它是在受影响的端口上的安全监控被启动或重新初始化时从PE路由器获取的,以及可选择地或另外地从CE路由器获取的。例如,服务平台26获取在第二记录R2中包含的信息。信息的初始版本与信息的当前版本进行比较,并在检测到在应当匹配的当前和初始版本中包含的任何信息之间不匹配后,服务应用26将该不匹配解释为表明入侵者系统已经试图参与虚拟二层服务。例如,服务应用26将已在第二记录R2中存储的可通信地连接到第一接入电路AC1的CE路由器的MAC地址与在第一条目的当前版本E1′中存储的CE路由器的MAC地址进行比较。在这种情况下,存在不匹配,因为第二记录R2包含第一MAC地址X,而第一条目的当前版本E1′包含第三MAC地址Z。此外或可选择地,以同样的方式,与可通信地连接到受影响的端口的CE路由器或系统有关的其它信息的初始版本和当前版本可被比较不匹配。例如,诸如可从CE路由器获取的配置数据的任何数据和不可能或很难被入侵者系统复制的数据可用于该比较。
在确定入侵者系统已试图通过被选择用于安全监控的接口端口参与虚拟二层服务后,服务应用26禁用受影响的接口端口,并向运营者发布警报,诸如生成网络警报或者向运营者或其它负责虚拟二层服务的安全运行的实体发送电子邮件或其它类型的电子消息。服务应用26通过向管理实体14发布控制命令来禁用受影响的接口端口,以便使受影响的接口端口进入非运行状态。例如,服务应用26通过OS接口20向管理实体14发布控制命令24,以使第一接口端口P1转换到非运行状态。
参照图2,用于检测入侵者系统试图参与虚拟二层服务的方法200将结合图1进行说明。方法200包括监控202所选择的接口端口的事件通知。优选地,接口端口的选择使用服务应用26执行,但也可以通过在服务平台18或管理实体14上运行的另一个应用执行。优选地,这些选择的记录被存储在服务平台18处,例如在服务数据库28中,但它们也可以被存储在管理实体14处,或者在这两个位置处。对于执行方法200,将被安全监控的接口端口的标识可用于诸如服务应用26的自动而无需人工干预地执行方法200的实体就足够了。这种标识包括每个将被安全监控的这种端口的标识符。事件通知通过经由开放OS接口20从管理实体14接收事件通知22来被监控。
确定204所选择的接口端口的事件通知是否表明该接口端口的运行状态已变化。如果受影响的端口的运行状态从运行状态变化到非运行状态,则该方法等待再一次变化到运行状态发生。在检测到206受影响的端口的运行状态从非运行状态转换到运行状态时,服务应用获取208与可通信地连接到受影响的端口的系统有关的当前信息。优选地,该信息是系统的MAC地址,但也可以是诸如不可能驻留在入侵者系统上的配置数据的任何其它信息。
确定210所获取的当前信息是否不匹配先前获取的与可通信地连接到受影响的接口端口的CE路由器有关的信息。在检测到不匹配后,禁用212受影响的接口端口,并生成214警报。然后,方法200返回到监控202事件通知22。
在不脱离本发明的范围的情况下,可以对上述本发明的实施例进行各种改变、变形和修改,其中本发明的范围由权利要求限定。
Claims (10)
1.一种用于检测入侵者系统试图参与分组交换网络中的虚拟二层服务的方法,包括:
监控提供商边缘路由器的接口端口的运行状态,其中用户边缘路由器可通信地连接到所述接口端口以用于提供所述虚拟二层服务;
检测到在所述运行状态中已发生变化;
获取与所述用户边缘路由器有关的信息的当前版本;
将所述信息的当前版本与所述信息的初始版本进行比较;以及
解释所述变化以表明入侵者系统已经试图参与所述虚拟二层服务。
2.如权利要求1所述的方法,其中,所述方法还包括:
记录所述接口端口的标识符,从而表明所述接口端口已被选择用于安全监控;
当所述接口端口的安全监控被启动并且所述接口端口处于运行状态中时,存储所述信息的初始版本。
3.如权利要求1所述的方法,其中,所述信息包括在所述提供商边缘路由器的转发信息库中存储的一个或多个媒体访问控制(MAC)地址或因特网协议(IP)地址。
4.如权利要求3所述的方法,其中,所述信息另外或可选地包括能够经由管理实体从所述用户边缘路由器获得的与所述用户边缘路由器有关的其它信息。
5.如权利要求1所述的方法,其中,所述监控步骤还包括:
监控由网络管理实体通过操作系统接口报告的事件通知。
6.一种用于检测入侵者系统试图参与分组交换网络中的虚拟二层服务的系统,包括:
服务平台,用于执行在其上存储的服务应用,所述服务平台包括:
用于经由操作系统接口可通信地连接到所述分组交换网络的网络管理实体的装置;以及
服务数据库,用于存储与用户边缘路由器有关的信息的初始版本,其中所述用户边缘路由器可通信地连接到提供商边缘路由器的接口端口以用于提供所述虚拟二层服务;
其中,所述服务应用包括在计算机可读媒体上记录的将要由所述服务平台执行的指令,用于:
监控由所述网络管理实体通过所述操作系统接口报告的与所述接口端口的运行状态有关的事件通知;
检测到在所述运行状态中已经发生变化;
获取与所述用户边缘路由器有关的信息的当前版本;
将所述信息的当前版本与所述信息的初始版本进行比较;以及
解释所述变化以表明入侵者系统已经试图参与所述虚拟二层服务。
7.如权利要求6所述的系统,其中,所述服务应用程序还包括以下指令,用于:
记录所述接口端口的标识符,从而表明所述接口端口已经被选择用于安全监控;以及
当所述接口端口的安全监控被启动并且所述接口端口处于运行状态中时,存储所述信息的初始版本。
8.如权利要求6所述的系统,其中,所述信息包括在所述提供商边缘路由器的转发信息库中存储的一个或多个媒体访问控制(MAC)地址或因特网协议(IP)地址。
9.如权利要求8所述的系统,其中,所述信息另外或可选地包括能够经由管理实体从所述用户边缘路由器获得的与所述用户边缘路由器有关的其它信息。
10.如权利要求9所述的系统,其中,所述虚拟二层服务是虚拟专用局域网服务或虚拟租用线路服务。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/404,023 US20100235914A1 (en) | 2009-03-13 | 2009-03-13 | Intrusion detection for virtual layer-2 services |
US12/404,023 | 2009-03-13 | ||
PCT/IB2010/001115 WO2010103407A2 (en) | 2009-03-13 | 2010-03-11 | Intrusion detection for virtual layer-2 services |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102349277A true CN102349277A (zh) | 2012-02-08 |
CN102349277B CN102349277B (zh) | 2015-08-05 |
Family
ID=42470734
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080011376.2A Expired - Fee Related CN102349277B (zh) | 2009-03-13 | 2010-03-11 | 虚拟二层服务的入侵检测 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20100235914A1 (zh) |
EP (1) | EP2406932B1 (zh) |
JP (1) | JP5460746B2 (zh) |
KR (1) | KR101266592B1 (zh) |
CN (1) | CN102349277B (zh) |
WO (1) | WO2010103407A2 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100561978C (zh) * | 2006-04-26 | 2009-11-18 | 华为技术有限公司 | 一种策略路由装置和方法 |
US8326962B2 (en) * | 2009-07-01 | 2012-12-04 | Siemens Corporation | Method, system and apparatus for providing automation management services |
US8640221B2 (en) | 2009-12-11 | 2014-01-28 | Juniper Networks, Inc. | Media access control address translation in virtualized environments |
US20120030759A1 (en) * | 2010-07-28 | 2012-02-02 | Alcatel-Lucent Usa Inc. | Security protocol for detection of fraudulent activity executed via malware-infected computer system |
WO2013157256A1 (ja) * | 2012-04-18 | 2013-10-24 | 日本電気株式会社 | インターワーク装置、方法、及びプログラムを格納した非一時的なコンピュータ可読媒体 |
US9825759B2 (en) * | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
US20160036843A1 (en) * | 2014-08-01 | 2016-02-04 | Honeywell International Inc. | Connected home system with cyber security monitoring |
US9769059B2 (en) * | 2015-06-25 | 2017-09-19 | Ciena Corporation | Fast interlayer forwarding |
CN107517114B (zh) * | 2016-06-16 | 2022-08-02 | 中兴通讯股份有限公司 | 一种通信端口的链接状态更新方法及装置 |
JP6977507B2 (ja) * | 2017-11-24 | 2021-12-08 | オムロン株式会社 | 制御装置および制御システム |
US11128618B2 (en) * | 2019-10-15 | 2021-09-21 | Dell Products, L.P. | Edge data center security system that autonomously disables physical communication ports on detection of potential security threat |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
CN1738296A (zh) * | 2005-09-12 | 2006-02-22 | 中兴通讯股份有限公司 | 一种在不同类型网络间实现虚交换的方法 |
US20060187856A1 (en) * | 2005-02-19 | 2006-08-24 | Cisco Technology, Inc. | Techniques for using first sign of life at edge nodes for a virtual private network |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
US6907470B2 (en) * | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US8001594B2 (en) * | 2001-07-30 | 2011-08-16 | Ipass, Inc. | Monitoring computer network security enforcement |
US7463639B1 (en) * | 2001-09-26 | 2008-12-09 | Junpier Networks, Inc. | Edge devices for providing a transparent LAN segment service and configuring such edge devices |
US20030105881A1 (en) * | 2001-12-03 | 2003-06-05 | Symons Julie Anna | Method for detecting and preventing intrusion in a virtually-wired switching fabric |
FR2837337B1 (fr) * | 2002-03-15 | 2004-06-18 | Cit Alcatel | Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel |
US7813345B2 (en) * | 2003-06-05 | 2010-10-12 | At&T Intellectual Property I, L.P. | MAC learning using VC-LSP dedicated for broadcast and unknown frames |
JP2005051548A (ja) * | 2003-07-29 | 2005-02-24 | Furukawa Electric Co Ltd:The | データ中継方法、データ中継装置およびその装置を用いたデータ中継システム |
US7698455B2 (en) * | 2003-08-01 | 2010-04-13 | Foundry Networks, Inc. | Method for providing scalable multicast service in a virtual private LAN service |
US7373660B1 (en) * | 2003-08-26 | 2008-05-13 | Cisco Technology, Inc. | Methods and apparatus to distribute policy information |
JP2005340942A (ja) * | 2004-05-24 | 2005-12-08 | Mitsubishi Electric Corp | 通信ネットワークシステム、システム管理装置および情報転送装置 |
US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
US20060250966A1 (en) * | 2005-05-03 | 2006-11-09 | Yuan-Chi Su | Method for local area network security |
US8010994B2 (en) * | 2005-05-16 | 2011-08-30 | Alcatel Lucent | Apparatus, and associated method, for providing communication access to a communication device at a network access port |
US8238352B2 (en) * | 2005-09-02 | 2012-08-07 | Cisco Technology, Inc. | System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility |
US7797382B2 (en) * | 2005-12-02 | 2010-09-14 | Alcatel Lucent | Virtual private network publish-subscribe multicast service |
JP2007267139A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | 認証vlan管理装置 |
JP2008042735A (ja) * | 2006-08-09 | 2008-02-21 | Fujitsu Access Ltd | Macアドレス学習機能の管理方法及びネットワーク機器 |
US7802296B2 (en) * | 2006-08-23 | 2010-09-21 | Cisco Technology, Inc. | Method and system for identifying and processing secure data frames |
KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
US7885294B2 (en) * | 2007-08-23 | 2011-02-08 | Cisco Technology, Inc. | Signaling compression information using routing protocols |
US8181229B2 (en) * | 2008-03-25 | 2012-05-15 | Commscope, Inc. Of North Carolina | Methods, systems and computer program products for operating a communications network with enhanced security |
-
2009
- 2009-03-13 US US12/404,023 patent/US20100235914A1/en not_active Abandoned
-
2010
- 2010-03-11 JP JP2011553555A patent/JP5460746B2/ja not_active Expired - Fee Related
- 2010-03-11 WO PCT/IB2010/001115 patent/WO2010103407A2/en active Application Filing
- 2010-03-11 KR KR1020117021205A patent/KR101266592B1/ko active IP Right Grant
- 2010-03-11 CN CN201080011376.2A patent/CN102349277B/zh not_active Expired - Fee Related
- 2010-03-11 EP EP10725274.4A patent/EP2406932B1/en not_active Not-in-force
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
US20060187856A1 (en) * | 2005-02-19 | 2006-08-24 | Cisco Technology, Inc. | Techniques for using first sign of life at edge nodes for a virtual private network |
CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
CN1738296A (zh) * | 2005-09-12 | 2006-02-22 | 中兴通讯股份有限公司 | 一种在不同类型网络间实现虚交换的方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2012520596A (ja) | 2012-09-06 |
KR101266592B1 (ko) | 2013-05-22 |
US20100235914A1 (en) | 2010-09-16 |
EP2406932A2 (en) | 2012-01-18 |
KR20110115170A (ko) | 2011-10-20 |
JP5460746B2 (ja) | 2014-04-02 |
WO2010103407A2 (en) | 2010-09-16 |
WO2010103407A3 (en) | 2010-11-04 |
CN102349277B (zh) | 2015-08-05 |
EP2406932B1 (en) | 2015-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102349277A (zh) | 虚拟二层服务的入侵检测 | |
CN101051995B (zh) | 基于无连接网络的保护倒换方法 | |
KR101451174B1 (ko) | 분산 브릿지에서의 mac 어드레스 학습 | |
CN101953120B (zh) | 对第二层网络中的拓扑改变的管理 | |
US8713185B2 (en) | Methods of establishing virtual circuits and of providing a virtual private network service through a shared network, and provider edge device for such network | |
JP4598462B2 (ja) | L2−vpnサービスを提供するプロバイダ網、及びエッジルータ | |
ES2368343T3 (es) | Método y aparatos para transmitir mensajes. | |
CN106487675A (zh) | 用于evpn中具有链路故障时的bum流量的出口保护 | |
US20070268817A1 (en) | Method and system for protecting a sub-domain within a broadcast domain | |
CN101286922B (zh) | 一种信令控制的方法、系统及设备 | |
CN101924654B (zh) | 一种基于点到多点业务的路径切换方法及系统 | |
JP2014090468A (ja) | Pbtネットワークの中間ノードにおけるイーサネットoam | |
CN102333028A (zh) | 一种分层式二层虚拟专用网发送报文的方法及通信设备 | |
CN107547340B (zh) | 一种报文转发方法和装置 | |
CN107070789A (zh) | 主动‑主动pbb‑evpn冗余的流量黑洞避免和快速融合 | |
ES2731882T3 (es) | Gestión de fallos de conectividad en una red de comunicaciones | |
CN109120492B (zh) | 一种存储单元、源交换机、报文转发方法及镜像系统 | |
CN111064659B (zh) | 多宿主节点故障的bum流量的节点保护 | |
EP1944918B1 (en) | A method and system for realizing the consistency of the virtual circuit status | |
CN108718275B (zh) | 报文转发方法及装置 | |
CN108462637A (zh) | 一种路由回切方法、控制器及系统 | |
US20120269056A1 (en) | Method, device, and system for protecting semi-ring network | |
US20110116384A1 (en) | Network connectivity management | |
CN102404180A (zh) | 一种基于pbn网络实现oam的方法及系统 | |
CN102916845B (zh) | 一种多路径的环回检测方法及交换机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190603 Address after: American New York Patentee after: Origin Asset Group Co.,Ltd. Address before: Paris France Patentee before: ALCATEL LUCENT |
|
TR01 | Transfer of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150805 |
|
CF01 | Termination of patent right due to non-payment of annual fee |