CN103250392B - 计算机系统、控制器和网络监视方法 - Google Patents
计算机系统、控制器和网络监视方法 Download PDFInfo
- Publication number
- CN103250392B CN103250392B CN201180058912.9A CN201180058912A CN103250392B CN 103250392 B CN103250392 B CN 103250392B CN 201180058912 A CN201180058912 A CN 201180058912A CN 103250392 B CN103250392 B CN 103250392B
- Authority
- CN
- China
- Prior art keywords
- address
- packet
- reception
- switch
- transmission sources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/44—Star or tree networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明本发明的目的是提高对使用欺诈的地址的未授权访问或者中断进行防范的安全强度。根据本发明的计算机系统提供有:控制器;交换机,其关于与控制器设置的流条目相符的接收的分组来执行已经在流条目处定义的转发操作;以及主机终端,其与交换机相连接。交换机向控制器通知与已经为交换机设置的流条目不相符的接收的分组的传输源地址信息。如果主机终端的地址信息和传输源地址信息不匹配,则控制器评估已经被欺诈的接收的分组的传输源地址。
Description
技术领域
本发明涉及一种计算机系统、控制器、监视方法和网络监视程序并且更具体地涉及一种使用开放流(openflow)技术的计算机系统和用于阻止地址欺诈的分组。
背景技术
在2层网络中,使用MAC(介质访问控制)地址以便唯一地标识配置网络的网络设备(包括计算机和虚拟机)。然而,存在MAC地址可能容易被欺诈的问题。另一方面,在与计算机的物理传送或者虚拟机的传送关联地改变在2层网络中流动的分组的路由时,广泛已知无偿ARP(地址解析协议)有利(参见非专利文献1)。无偿ARP是如下ARP请求分组,在该ARP请求分组中,它自己的IP(网际协议)地址被设置成目标IP地址并且提供两个效果。一个效果是发现是否除了自身之外的某物使用相同IP地址。如果使用ARP请求分组中设置的目标IP地址的不同网络设备发送回ARP答复,则可以判断IP地址重复。另一效果在于如下事实:配置2层网络的交换机参考无偿ARP分组的传输源MAC地址更新它自己的ARP表和MAC表,因而可以跟随计算机和/或虚拟计算机的传送以改变分组的传送路由。然而通过使用这一性质,可能在网络中引起麻烦。例如在非法第三方传输其中欺诈传输源MAC地址或者目标IP地址的无偿ARP请求分组时,重写配置2层网络的交换机的ARP表或者MAC表。因而,合法用户的TCP/IP通信容易中断。另外,将向合法用户发送的分组可能被截获,因为分组被改变成向非法人员发送。
例如在JP 2005-210451A中描述一种用于使用前述ARP分组来监视和防止非法访问和中断的技术(参见专利文献1)。在专利文献1中描述的一种系统包括用于监视ARP请求分组的监视主机和如下数据库,在该数据库中预先注册网络以内的合法主机的IP地址和物理地址。监视主机在检测到用于在数据库中未注册的IP地址或者物理地址的ARP请求分组时,向ARP分组的请求目的地节点传输其请求源是上述监视主机自身的ARP请求分组并且更新节点的ARP表。因而,对非法访问的答复分组被传输到监视器服务器而不被发送到非法第三方。
以这一方式,在专利文献1中描述的系统可以防止对网络的非法访问,因为检测到非法ARP分组的监视器服务器控制节点中的分组的传送目的地。
另一方面,开放流协会(OpenFlow Consortium)提出一种其中相应交换机中的传送操作等由计算机网络(开放流)中的外部控制器统一控制的技术(参见非专利文献2)。与上述技术对应的网络交换机(下文称为开放流交换机(OFS))在流表中保持具体信息,比如协议类型、端口编号等,并且可以控制流并且获取统计信息。网络以内的OFS的流表由开放流控制器(OFC)统一设置和管理。
参照图1,描述使用开放流协议的计算机系统的配置和操作。参照图1,基于与本发明有关的技术的计算机系统包括:开放流控制器100(下文称为OFC 100);包括多个开放交换机102-1至102-n(下文称为OFS 102-1至102-n)的交换机组200;以及包括多个主机计算机103-1至103-i(下文称为主机103-1至103-i)的主机300。然而n和i中的每个数为2或者更大的自然数。在下文说明中,在OFS 102-1至102-n未相互区分时,它们统称为OFS 102。此外,在主机103-1至103-i未相互区分时,它们统称为主机103。
OFC 100设置主机103之间的通信路由并且向该路由上的OFS102设置传送操作(中继操作)等。这时,OFC 100在由OFS 102保持的流表中设置如下流条目,在该流条目中,用于指定一个流(分组数据)的规则与用于定义针对该流的操作的动作相关。通信路由上的OFS 102根据OFC 100设置的流条目确定接收的分组数据的传送目的地并且执行传送过程。因而主机103可以通过使用OFC 100设置的通信路由来向不同主机103传输和从不同主机103接收分组数据。也就是说,在使用开放流的计算机系统中,用于设置通信路由的OFC 100和用于执行传送过程的OFS 102被分离,这使整个系统中的通信能够被统一控制和管理。
参照图1,在从主机103-1至主机103-i传输分组时,OFS 102-1参考从主机103-1接收的分组中的传输目的地信息(头部信息:例如目的地MAC地址和目的地IP地址)并且从保持在OFS 102-1以内的流表搜索与头部信息一致的条目。流表中设置的条目的内容例如在非专利文献2中定义。
如果在流表中未描述关于接收的分组数据的条目,则OFS102-1向OFC 100传送分组数据(下文称为第一分组)或者第一分组的头部信息。从OFS 102-1接收第一分组的OFC 100基于分组中包括的信息(比如传输源主机和传输目的地主机)确定路由400。
OFC 100指示路由400上的所有OFS 102来设置用于定义分组的传送目的地的流条目(发出流表更新指令)。路由400上的OFS 102基于流表更新由指令更新自身管理的流表。此后,OFS 102根据更新的流表开始传送分组。因而,分组通过由OFS 100确定的路由400而到达目的地的主机103-i。
引用列表
专利文献
[PTL 1]JP 2005-210451A
非专利文献
[NPL 1]RFC 5227(Updates:826)IPv4 Address ConflictDetection
[NPL 2]OpenFlow Switch Specification Version 1.0.0(WireProtocol 0x01)December 31,2009
发明内容
如上文描述的那样,在通过使用用于每个交换机的ARP表来确定传送目的地的网络中,如专利文献1中所示,提出用于通过使用欺诈的IP地址的技术。然而在开放流协议环境中的网络系统中,尚未建立这样的非法访问监视技术。
此外,存在如下可能性:如果使用专利文献1中描述的技术,则非法访问从当交换机答复ARP请求时到当监视服务器重写ARP表时的时间内发生。另外,存在如下问题:如果监视服务器在交换机更新ARP表之前更新ARP表,则不能防止非法访问。
因此,本发明的一个目的是能够监视对开放流协议环境中的网络的非法访问。
此外,本发明的另一目的是阻止对开放流协议环境中的网络的通信中断。
另外,本发明的另一目的是提高对使用欺诈的地址的非法访问和中断进行防范的安全强度。
根据本发明的一种计算机系统包括:控制器;交换机,被配置用于对与控制器设置的流条目相符的接收的分组执行由流条目调节的中继操作;以及主机终端,被配置用于连接到交换机。交换机将与向被设置到自身的流条目不相符的接收的分组的传输源地址信息向控制器通知。控制器在合法主机终端的地址信息与传输源地址信息不一致时判断接收的分组的传输源地址被欺诈。
另外,根据本发明的一种控制器包括:流控制部;以及地址欺诈检测部。流控制部将流条目设置到交换机。交换机对与设置的流条目相符的接收的分组执行流条目调节的中继操作,并且将与设置到自身的流条目不相符的接收的分组的传输源地址信息向流控制部通知。地址欺诈检测部在被通知给流控制部的传输源地址信息与合法主机终端的地址信息不一致时判断接收的分组的传输源地址被欺诈。
根据本发明的控制器的功能由存储设备中存储的并且由计算机执行的程序实现。
根据本发明的一种网络监视方法是一种由计算机系统执行的网络监视方法,该计算机系统包括交换机,该交换机被配置用于对与控制器设置的流条目相符的接收的分组执行流条目调节的中继操作。根据本发明的监视方法包括:交换机将与被设置到自身的流条目不相符的接收的分组的传输源地址信息向控制器通知;并且控制器在合法主机终端的地址信息与传输源地址信息不一致时判断接收的分组的传输源地址被欺诈。
根据本发明,可以实现监视对开放流协议环境中的网络的非法访问。
此外,可以实现阻止对开放流协议环境中的网络的通信中断。
另外,可以实现对使用欺诈的地址的非法访问和阻塞进行防范的安全强度的改善。
附图说明
本发明的上述和其它目的、效果和特征将从结合以下附图进行的对某些优选示例性实施例的下文描述中更为清楚:
图1是示出使用开放流协议的计算机系统的配置的示例的视图;
图2是示出根据本发明的第一示例性实施例中的计算机系统的配置的视图;
图3是示出第一示例性实施例中的地址欺诈验证中使用的虚拟服务器数据的结构的示例的视图;
图4是示出第一和第二示例性实施例中的地址欺诈验证中使用的虚拟机数据(VM数据)的结构的示例的视图;
图5A是示出第一示例性实施例中的地址欺诈验证中使用的验证信息的结构的示例的视图;
图5B是示出第一示例性实施例中的地址欺诈验证中使用的验证信息的结构的另一示例的视图;
图6是示出第一和第二示例性实施例中的地址欺诈验证中的、开放流控制器从主机OS获得的传输源信息的结构的示例的视图;
图7是示出第一示例性实施例中的网络监视操作的示例的序列图;
图8是示出用于描述第一示例性实施例中的计算机系统的配置和操作的特定示例的视图;
图9是示出根据本发明的第二示例性实施例中的计算机系统的配置的视图;
图10是示出第二示例性实施例中的地址欺诈验证中使用的虚拟服务器数据的结构的示例的视图;
图11是示出第二示例性实施例中的网络监视操作的示例的序列图;
图12是示出用于描述第二示例性实施例中的计算机系统的配置和操作的具体示例的视图;
图13是示出根据本发明的第三示例性实施例中的计算机系统的配置的视图;
图14是示出第三示例性实施例中的地址欺诈验证中使用的设备数据的结构的示例的视图;
图15是示出第三示例性实施例中的网络监视操作的示例的序列图;以及
图16是示出用于描述第三示例性实施例中的计算机系统的配置和操作的具体示例的视图。
具体实施方式
下文将参照附图描述本发明的示例性实施例。在附图上,相同或者相似标号指示相同、相似或者等效配置要素。
1.第一示例性实施例
(计算机系统的配置)
与图1中所示系统相似,根据本发明的计算机系统通过使用开放流技术来建立通信路由并且执行分组数据的传送控制。第一示例性实施例中的计算机系统基于从在虚拟服务器3上工作的开放流虚拟交换机33向开放流控制器2传输的第一分组,监视是否存在ARP请求分组或者IP分组的地址欺诈。
图2示出根据本发明的第一示例性实施例中的计算机系统的配置的视图。参照图2,将描述根据本发明的第一示例性实施例中的计算机系统的配置。
参照图2,第一示例性实施例中的计算机系统包括输入设备1、开放流控制器2(下文称为OFC 2)、虚拟服务器3、开放流交换机(下文称为OFS 4)和输出设备5。
第一示例性实施例中的输入设备1包括如下存储设备,该存储设备记录用来验证访问欺诈的虚拟服务器数据11和虚拟机数据12(VM数据12)。虚拟服务器数据11是为了OFC 2访问虚拟服务器3而需要的数据。
图3是示出用于第一示例性实施例中的地址欺诈验证的虚拟服务器数据11的结构的一个示例。参照图3,虚拟服务器数据11包括:向被允许连接到系统的合法虚拟服务器3分配的IP地址111;虚拟服务器3的物理网络接口被连接到的开放流虚拟交换机33的DPID 112(数据路径ID);以及用于访问虚拟服务器3的登录信息113。IP地址111、DPID 112和登录信息113中的每一个与每个虚拟服务器3相关,并且在输入设备1中被记录为虚拟服务器数据11。这里,DPID 112是为了唯一标识OFS 4和开放流虚拟交换机33(下文称为OFVS 33)而向OFS 4和OFVS 33中的每一个分配的编号。登录信息113也包括用于访问(登录)虚拟服务器3的ID和口令信息。
图4是示出用于第一示例性实施例中的地址欺诈验证的VM数据12的结构的一个示例的视图。VM数据12是用于指定在开放流控制器2管理的网络上存在的虚拟机31的信息。参照图4,VM数据12包括用于唯一标识虚拟机31的VM名称120和用于唯一指定虚拟机31拥有的网络接口的接口信息121。VM名称120和接口信息121与每个虚拟机11相关并且在输入设备1中被记录为VM数据12。这里,作为VM名称120,例如向虚拟机31设置的UUID(通用唯一标识符)是优选的。接口信息121还包括向虚拟机31的物理网络接口分配的MAC地址122和IP地址123。
在输入设备1中记录的虚拟服务器数据11和VM数据12可以由用户预先设置或者更新,或者可以基于由OFC 2获得的数据来设置或者更新。
OFC 2基于开放流技术控制用于系统中的分组传送和分组传送过程的通信路由的建立。这里,开放流技术指示用于根据路由策略(流条目:流+动作)向通信路由上的OFS 4和OFVS 33设置用于每个流的多层和路由信息并且执行路由控制和节点控制的技术(关于具体信息,参见非专利文献1)。因而路由控制功能与路由器和交换机分离。因此最优路由和业务管理可以由控制器的集中式控制实现。开放流技术被应用于的OFS 4和OFVS 33将通信视为端到端(END2END)的流而未视为用于每个分组或者帧(比如常规路由器和交换机)的流。
参照图2,将具体描述第一示例性实施例中的OFC 2的配置。优选OFC 2由包括CPU和存储设备的计算机实现。在OFC 2中,由于CPU(未示出)执行存储设备中存储的程序,所以如图2中所示实现地址欺诈检测部21和流控制部22的相应功能。地址欺诈检测功能21将输入设备1供应的虚拟服务器数据11和VM数据12中的每项数据转换成可以容易检索的格式并且在地址欺诈验证数据库20中记录为虚拟服务器数据库23和VM数据库24。
流控制部22基于开放流协议向或者从交换机(这里为OFS 4或者OFVS 33)设置或者删除流条目(规则+动作)。因而OFS 4或者OFVS 33基于接收的分组的头部信息执行与规则对应的动作(例如分组数据的中继或者丢弃)。
向流条目设置的规则例如对如下进行定义:TCP/IP的分组数据中的头部信息中所包括的OSI(开放系统互连)参考模型的从层1至层4的地址和标识符的组合。例如,层1的物理端口、层2的MAC地址、层3的IP地址、层4的端口编号和VLAN标签(VLAN id)的相应组合被设置为该规则。附带提一点,可以向VLAN标签分配优先级顺序(VLAN优先级)。
这里,可以在预定范围内设置流控制部22设置为规则的地址和标识符、比如端口编号等。而且,目的地地址、传输源地址等被优选区分并且设置为规则。例如,设置MAC目的地地址的范围、用于指定连接目的地应用的目的地端口编号的范围和用于指定连接源应用的传输源端口编号的范围。另外,用于指定数据传送协议的标识符可以被设置为规则。
对于在流条目中所设置的动作,例如,定义一种处理TCP/IP的分组数据的方法。例如,对用于指示接收的分组数据是否被中继的信息以及当接收的分组数据被中继时对它的传输目的地进行设置。而且,作为动作,可以对给予复制或者丢弃分组数据的指令的信息进行设置。
流控制部22从OFS 4或者OFVS 33接收第一分组的通知时向地址欺诈检测部21查询分组传送是否可允许,并且根据查询结果设置流条目或者丢弃第一分组。
具体而言,流控制部22首先经由来自OFS 4或者OFVS 33的第一分组(下文称为分组输入(PacketIN))的通知获得图5A或者5B中所示验证信息6。验证信息6包括第一分组的传输源地址信息60、通知源交换机的标识符(例如DPID 63)和通知源交换机的端口名称(接收端口编号64)。参照图5A,在通知的第一分组是无偿ARP分组时,传输源地址信息60包括传输源MAC地址61和目标IP地址62。或者参照图5B,在通知的第一分组是IP地址时,传输源地址信息60包括传输源MAC地址61和传输源IP地址65。
流控制部22向地址欺诈检测部21传输验证信息6并且查询分组传送是否是可允许的。作为这一查询的结果,如果分组传送被判断为是可允许的,则流控制部22根据第一分组的头部信息确定通信路由。然后,流控制部22向通信路由上的OFS 4和OFVS 33设置一个流条目,其被用于向通信路由传送具有与头部信息一致的分组。另一方面,如果在地址欺检测部21中判断分组传送是不可允许的,则查询目标的第一分组被丢弃。这时,优选流控制部22向第一分组的通知源交换机设置一个流条目,其被用于丢弃与第一分组的头部信息一致的分组。
流控制部22也分析由OFS 4或者OFVS 33通知的第一分组。然后,仅当该分组是ARP分组时,流控制部22才执行地址欺诈检测部21的上述查询,并且关于除了ARP分组之外的分组输入的查询可以被省略。在这一情况下,OFC 2仅监视ARP。然而,向地址欺诈检测部进行的查询数目和地址欺诈检测过程的负荷得以减少。
附带提一点,根据在非专利文献中1描述的开放流协议执行流控制部22中的通信路由设置以及流条目的设置和管理。因此这里省略它们的具体说明。
地址欺诈检测部21使用流控制部22传输的验证信息6和在验证数据库20中记录的信息并且执行地址欺诈验证。
具体而言,地址欺诈检测部21将验证信息与异步生成的事件一起从流控制部22获得。地址欺诈检测部21使用接收的传输源地址信息60(MAC地址与IP地址的组合)作为检索关键词、检索VM数据库24、然后获得与检索关键词(MAC地址·IP地址验证)一致的接口信息121相对应的VM名称120(虚拟机31的UUID)。因而,地址欺诈检测部21指定与接收的传输源地址信息60对应的虚拟机31。如果地址欺诈检测部21不能指定与接收的传输源地址信息60对应的虚拟机31作为VM数据库24的检索结果,即如果与传输源MAC地址61与目标IP地址62的组合(传输源IP地址65)一致的接口信息(MAC地址122和IP地址123)不存在于VM数据库24中,则将地址判断为被欺诈。判断地址被欺诈的地址欺诈检测部21指示流控制部22丢弃与被判断为地址欺诈的第一分组的头部信息一致的分组,而不允许分组传送。
地址欺诈检测部21也使用接收的通知源交换机的DPID 63作为检索关键词、检索虚拟服务器数据库23、然后获得与检索关键词一致的DPID 112对应的IP地址111和登录信息113(例如口令信息)。因而地址欺诈检测部21可以指定与接收的DPID 63对应的主机OS 32并且还获得用于访问(登录)主机OS 32的信息。
地址欺诈检测部21通过使用从虚拟服务器数据库23获得的IP地址111和登录信息113来访问虚拟服务器3中的主机OS 32,然后获得关于与从VM数据库24获得的VM名称120一致的虚拟机31的信息(下文称为传输源信息7)。例如,地址欺诈检测部21获得图6中所示的传输源信息7。
参照图6,传输源信息7包括:用于标识由地址欺诈检测部21指定的虚拟机31的VM名称71(例如UUID)的列表;虚拟机31使用的接口的MAC地址72;以及接口被连接到的OFVS 33的端口名称73(端口编号)的列表。
地址欺诈检测部21验证与从流控制部22接收的传输源MAC地址61一致的MAC地址是否存在于从虚拟服务器3获得的虚拟机器31的MAC地址72中(MAC地址验证)。地址欺诈检测部21基于MAC地址验证的结果确定与通知的第一分组的头部信息一致的分组的传送是否是可允许的,并且通知流控制部22。例如,如果在传输源信息7中未包括与传输源MAC地址61一致的MAC地址,则地址欺诈检测部21判断所通知的第一分组作为其地址被欺诈的非法访问。在这一情况下,地址欺诈检测部21不允许传送与第一分组的头部信息一致的分组,并且指示丢弃分组。另一方面,如果有与传输源MAC地址61一致的MAC地址72,则地址欺诈检测部21判断无地址欺诈,并且指示流控制部22设置一个流条目,用于传送与所通知的第一分组的头部信息一致的分组。
如果地址欺诈检测部21不能从在VM数据库24的检索中指定的虚拟机31获得由虚拟机31使用的接口的MAC地址72,则地址欺诈检测部21也判断该地址被欺诈。地址欺诈检测部21不允许传送与被判断为地址欺诈的第一分组的头部信息一致的分组,并且指示流控制部22丢弃分组。
输出设备5被示例为监视器或者打印机,并且可视地输出信息(例如执行欺诈的VM的VM名称、MAC地址或者IP地址)以指定欺诈MAC地址或者IP地址的虚拟机。另外,在地址欺诈检测部21获得执行欺诈的虚拟机的端口名称73时,优选输出设备5可视地输出端口名称73。因而有可能指定具有欺诈的IP地址和/或MAC地址的非法分组已经从哪个交换机的哪个端口入侵。
虚拟服务器3是包括未示出的CPU和RAM的计算机装置(物理服务器)并且通过执行未示出的存储设备中存储的程序来实现至少一个虚拟机31和OFVS 33。虚拟机31和OFVS 33例如由在主机操作系统32(主机OS 32)上模拟的客户操作系统((GOS)未示出)或者在GOS上操作的软件实现。虚拟机31由在主机OS 32上操作的虚拟机监视器(VMM)管理。这在虚拟机31被主机OS 32管理这样的假设之下进行描述。
虚拟机31作为通过OFVS 33与不同主机终端(例如不同虚拟服务器3中的虚拟机31或者未示出的网络设备)执行通信的主机终端来工作。OFVS 33根据开放流协议来操作并且根据OFC 2设置(更新)的流条目确定从虚拟机31接收的分组的处理方法(动作)。作为针对接收的分组的动作,例如有向OFS 4传送接收的分组和丢弃接收的分组。这里,OFVS 33作为用于首先接收从虚拟机31传输的分组的交换机来服务。也就是说,关于用作主机终端的虚拟机31,OFVS 33与这一系统的入口相对应。
在图2中,在系统中提供仅一个虚拟机服务器3。然而虚拟服务器3的数目不限于1并且提供多个虚拟服务器。而且,在虚拟服务器3中可以提供多个虚拟机31和OFVS 33。在系统中提供的多个虚拟服务器3(OFVS 33)通过根据开放流协议操作的OFS 4而被连接。
OFS 4根据OFC 2设置(更新)的流条目确定接收的分组的处理方法(动作)。作为针对接收的分组的动作,例如有向不同OFS 4或者OFVS 33传送接收的分组和丢弃接收的分组。
如上文提到的那样根据来自OFC 2的流-mod请求执行为OFVS 33或者OFS 4设置流条目。OFVS 33或者OFS 4在接收具有与向自身设置的流条目的规则不相符(或者不一致)的头部信息的分组时将该分组作为第一分组(分组输入)来向OFC 2通知。这时,OFVS 33或者OFS 44将用于标识接收分组的端口编号或者自身的标识符(例如,DPID)与第一分组或者第一分组的头部信息一起向OFC2传输。因而OFVS 33或者OFS 4向OFC 2传输验证信息6。
利用上述配置,在第一示例性实施例中的计算机系统中,OFC2验证如下非法访问,在该非法访问中传输源的MAC地址和/或IP地址被欺诈,并且在检测到错误证据时,向交换机设置其中不允许(或者丢弃)传送分组的流条目。因此,有可能防止执行非法访问。
(网络监视操作)
参照图7,下文将具体描述第一示例性实施例中的网络监视操作。
图7是示出第一示例性实施例中的网络监视操作的一个示例的序列图。这里将描述在从虚拟机31向系统传送分组时的网络监视操作。
参照图7,首先在激活计算机系统时,从输入设备1向OFC 2中的地址欺诈验证数据库20预先记录虚拟服务器数据11和VM数据12(步骤S1至S4)。具体而言,向地址欺诈检测部21供应并且在虚拟服务器数据23中存储由输入设备1给予的虚拟服务器数据11(步骤S1和S2)。因此基于最新虚拟服务器数据11更新虚拟服务器数据库23。而且,向地址欺诈检测部21供应并且在VM数据库24中存储由VM数据12给予的VM数据12(步骤S3和S4)。因而基于最新VM数据12来更新VM数据库24。这里,地址欺诈检测部21可以总是被虚拟服务器数据库23和VM数据库24来检索。也可以在系统的操作期间更新虚拟服务器数据库23和VM数据库24。更新顺序不限于图7中所示顺序。
接着描述在从虚拟机31向系统传送分组时的网络监视操作。虚拟机31传输无偿ARP分组或者IP分组(步骤S5)。这时通过OFVS 33向虚拟服务器3以外传送来自虚拟机31的分组。也就是说,OFVS 33作为用于分组的网络入口来服务。
OFVS 33判断从虚拟机31被连接到的虚拟端口接收的无偿ARP分组或者IP分组的头部信息是否与向自身设置的流条目的规则相符(一致)。如果有相符规则,则根据与规则对应的动作(例如向OFS 4传送或者丢弃)(未示出)来处理接收的分组。另一方面,如果未设置与接收的分组的头部信息相符(一致)的流条目(中的规则),则OFVS 33将接收的分组作为第一分组向OFC 2中的流控制部22进行通知(步骤S6)。
例如当在虚拟服务器3上激活虚拟机31时或者当从不同虚拟服务器(未示出)向虚拟服务器3上移动虚拟机31时,向虚拟机31被连接到的物理网络接口分配的MAC地址和IP地址变成新的。出于这一原因,在OFVS 33中判断虚拟机器31在激活(移动)之后先传输的无偿ARP分组和IP分组作为第一分组,并且向流控制部22完成无偿ARP分组和IP分组的分组输入。
响应于分组输入,OFVS 33将第一分组或者第一分组的头部信息与OFVS 33的DPID 63一起向流控制部22传输。
向其完成分组输入的流控制部22将验证信息6与异步事件一起从OFVS 33传输的信息提取并且向地址欺诈检测部21输出(步骤S7)。
地址欺诈检测部21从与异步事件一起接收的验证信息6提取传输源地址信息60并且通过使用VM数据库24来验证第一分组的传输源地址(步骤S8:MAC地址·IP地址验证)。具体而言,地址欺诈检测部21与传输源地址信息60(传输源MAC地址61、目标IP地址62或者传输源IP地址65)一致的验证接口信息121(MAC地址122和IP地址123)是否存在于VM数据库24中(MAC地址·IP地址验证)。这里,如果与传输源地址信息60一致的接口信息121在VM数据库24中不存在,则地址欺诈检测部21判断MAC地址和IP地址中的一个或者两个地址被欺诈并且通知流控制部22丢弃分组(步骤S13)。
另一方面,在步骤S8,如果与传输源地址信息60一致的接口信息121存在于VM数据库24中,则地址欺诈检测部21获得与接口信息121对应的VM名称120(UUID)。在指定VM名称120(UUID)时,地址欺诈检测部21使用与异步事件一起接收的OFVS 33的DPID63作为检索关键词,并且从虚拟服务器数据库23检索IP地址111和登录信息113(步骤S9)。这里如果没有与DPID 63一致的DPID112,则地址欺诈检测部21判断MAC地址和IP地址中的一个或者两个地址被欺诈并且指示流控制部22丢弃分组(步骤S13)。
另一方面,在步骤S9,如果获得与DPID 63对应的IP地址111和登录信息113,则地址欺诈检测部21通过使用获得的登录信息113来登录获得的IP地址111指定的主机OS 32。接着,地址欺诈检测部21获得与在步骤S8获得的VM名称120(UUID)对应的虚拟机31的信息作为传输源信息7(步骤S10)。这里如果未获得与指定的VM名称120对应的传输源信息7,则地址欺诈检测部21判断第一分组的MAC地址和IP地址中的一个或者两个被欺诈并且指示流控制部22丢弃分组(步骤S13)。
另一方面,如果在步骤S10成功获得传输源信息7,则地址欺诈检测部21先检索传输源信息7是否包括与第一分组的传输源MAC地址61一致的MAC地址(步骤S11:MAC地址验证)。这里,如果在传输源信息7中没有与传输源MAC地址61一致的MAC地址72,则地址欺诈检测部21判断第一分组的MAC地址被欺诈并且指示流控制部22丢弃分组(步骤S13)。
另一方面,在步骤S11,如果在传输源信息7中有与传输源MAC地址61一致的MAC地址72,则地址欺诈检测部21验证与MAC地址72相关的端口名称73是否与第一分组的接收端口编号64一致(步骤S12:接收端口验证)。这里如果没有与在步骤S11检索的MAC地址72对应并且、与接收端口编号64一致的端口名称73,则地址欺诈检测部21判断第一分组的MAC地址和IP地址中的一个或者两个被欺诈并且指示流控制部22丢弃分组(步骤S13)。
另一方面,如果有与在步骤S11检索的MAC地址72对应并且与接收端口编号64一致的端口名称73,则地址欺诈检测部21判断没有关于第一分组的地址欺诈并且指示流控制部22设置用于传送分组的流条目(步骤S13)。
在步骤S13,被指示丢弃分组的流控制部22丢弃分组输入的第一分组,并且向OFVS 33设置如下的流条目,在该流条目中使用分组的头部信息的部分或者全部作为规则并且使用分组丢弃作为动作(步骤S14)。例如,流控制部22向第一分组的通知源的OFVS 33设置如下流条目,在该流条目中使用第一分组的接收端口编号和传输源MAC地址作为规则并且使用丢弃与规则一致的接收的分组作为动作。因而此后在OFVS 33中,在接收到被OFC 2判断为欺诈的分组时,该分组被丢弃而无向OFC 22的任何通知,并且可以在网络的入口阻止非法分组入侵网络。
另一方面,在步骤S13,被指示传送分组的流控制部22向通信路由上的交换机(OFVS 33或者OFS 4)设置如下流条目,在该流条目中使用分组输入的第一分组的头部信息的部分或者全部作为规则并且使用分组传送作为动作(步骤S14)。
在步骤S8、S9、S10和S11判断地址被欺诈的地址欺诈检测部21也向输出设备5输出在步骤S7与异步事件一起从流控制部22接收的传输源地址信息60(步骤S15)。在这一情况下,输出设备5可视地输出传输源地址信息60(传输源MAC地址61和目标IP地址62或者传输源IP地址65)作为欺诈的地址。另外,地址欺诈检测部21在判断地址被欺诈时可以向输出设备5输出接收端口编号64。在这一情况下,输出设备5可视地输出接收端口编号64。
参照图8,下文将描述第一示例性实施例中的网络监视操作的特定示例。图8是示出用于描述第一示例性实施例中的计算机系统的配置和操作的特定示例的视图。参照图8,虚拟服务器数据库23注册IP地址111:“192.168.10.10”、DPID 112:“vSwitchA(DPID 01)”、“vSwitchB(DPID 02)”和登录信息113:“口令-1”作为虚拟服务器数据11。VM数据库24也注册VM名称120:“VM-B(UUID-B)”和接口信息121:“IF-c:MAC-c,IP-c”作为VM数据12。虚拟服务器3也包括:两个虚拟机31:“VM-A”和“VM-B”;以及两个OFVS 33:“vSwitchA”和“vSwitchB”。虚拟机31“VM-A”具有两个接口“IF-a”和“IF-b”,并且虚拟机31“VM-B”具有一个接口“IF-c”。OFVS33“vSwitchA”连接到端口“Port-A”,并且OFVS 33“vSwitchB”连接到两个端口“Port-B”和“Port-C”。
将描述前述计算机系统中的网络监视操作。在从不同虚拟服务器传送虚拟机31“VM-B”并且该虚拟机31“VM-B”传输无偿ARP分组时,OFVS 33“vSwitchB”通过端口“Port-C”接收分组。OFVS33“vSwitchB”将接收的分组的分组输入作为去往流控制部22的第一分组。
流控制部22响应于分组输入将通知验证信息6与异步事件一起向地址欺诈检测部21通知。这里,传输源MAC地址61:“MAC-c”、目标IP地址62:“IP-c”、DPID 63:“DPID 02”和接收端口编号64:“Port-C”被为验证信息6进行通知。
地址欺诈检测部21通过使用通知的传输源MAC地址61“MAC-c”和目标IP地址62“IP-c”来执行MAC地址·IP地址验证。与传输源MAC地址61“MAC-c”和目标IP地址62“IP-c”一致的接口信息121“MAC-c”和“IP-c”存在于VM数据库24中。因此在MAC地址·IP地址验证中判断不存在欺诈的地址。而且,地址欺诈检测部21提取与接口信息121对应的VM名称“VM-B(UUID-B)”。
接着,地址欺诈检测部21获得虚拟服务器数据库23以内的与由分组输入所接收的DPID 63“DPID 02”一致的DPID 112对应的IP地址111:“192.168.10.10”和登录信息113:“口令-1”,并且通过使用它们来访问(登录)主机OS 32。因而,地址欺诈检测部21从访问目的地的主机OS 32获得关于从VM数据库24提取的VM名称“VM-B(UUID-B)”的虚拟机31的信息作为传输源信息7。这里,地址欺诈检测部21获得VM名称71:“VM-B(UUID-B)”、接口名称:“IP-c”、MAC地址72:“MAC-c”和端口名称73:“Port-C”。
接着,地址欺诈检测部21执行MAC地址验证。这里在获得的传输源信息7中有与分组输入接收的传输源MAC地址61“MAC-c”一致的MAC地址72“MAC-c”。因此在MAC地址验证中判断不存在欺诈的地址。而且,地址欺诈检测部21在接收端口验证中判断不存在欺诈的地址,因为与MAC地址72“MAC-c”对应的端口名称“Port-C”与传输源MAC地址61对应的接收端口编号“Port-C”一致。
地址欺诈检测部21由于判断没有欺诈作为所有地址欺诈验证的结果,而判断被作为第一分组来通知的无偿ARP分组使用合法传输源MAC地址和目标IP地址、然后指示流控制部22传送分组。
响应于来自地址欺诈检测部21的分组传送指令,流控制部22例如向OFVS 33“vSwitchA”设置如下流条目,该流条目定义传输源MAC地址:“MAC-c”和目标IP地址:“IP-c”的规则以及“向OFS 4传送”的动作。因而OFVS 33“vSwitchA”在接收与设置的规则相符的ARP分组时向OFS 4传送分组。
另一方面,如果即使在前述地址欺诈验证之一中判断有欺诈的地址,则流控制部22仍然例如响应于来自地址欺诈检测部21的分组丢弃指令向OFVS 33“vSwitchA”设置如下流条目,该流条目限制传输源MAC地址:“MAC-c”和目标IP地址:“IP-c”的规则以及“丢弃分组”的动作。因而OFVS 33“vSwitchA”在接收与设置的规则相符的ARP分组时丢弃分组。
而且,如果即使在前述地址欺诈验证之一中判断存在欺诈的地址,则与同步事件一起向地址欺诈检测部21供应的验证信息6被输出设备5可视地示出。
利用上述操作,根据本发明的系统可以检测:无偿ARP分组,其中传输源MAC地址或者目标IP地址被欺诈;以及,IP分组,其中传输源MAC地址或者传输源IP地址被欺诈,并且可视地输出它们。也有可能基于分组输入从OFVS 33获得的验证信息6指定检测到的地址欺诈分组的传输源的MAC地址和IP地址。而且,完成分组输入的OFVS 33的DPID和接收端口编号可以被指定,这可以指定从其进行尝试非法访问的物理位置。
根据本发明的系统使用开放流协议。因此在如下交换机(在上述示例中为OFVS 33)中有可能验证在传输源MAC地址与目标IP地址(或者传输源IP地址)之间的组合的合法性,该交换机在地址欺诈分组进入2层网络时是入口。因此,可以在交换机中丢弃判断为地址欺诈的分组。出于这一原因,在非法ARP分组或者IP分组入侵网络时这可以被阻止。作为这一结果,根据本发明,有可能避免其中目标IP地址被欺诈的无偿ARP中断合法用户,并且防止分组被截获。
在专利文献1中描述的系统中,每当接收到地址被欺诈的ARP分组时,监视服务器基于接收的分组对ARP表的改写操作和对ARP表的更新操作会被执行。因此不能抑制非法访问引擎的通信中断。另一方面,在根据本发明的系统中,通过使用开放流协议,OFC 2可以发现在交换机中接收的分组入侵2层网络的位置。出于这一原因,通过比较ARP分组的传输源MAC地址与在上述位置存在的虚拟机的MAC地址,可以在试图从不同位置入侵网络的非法ARP分组进入网络之前阻止它。作为这一结果,根据本发明,有可能避免欺诈传输源MAC地址的ARP(具体为无偿ARP)中断合法用户。
另外,根据本发明的系统基于传输源MAC地址、传输源IP地址和交换机的接收端口的组合验证不允许的局外者传输的ARP分组或者IP分组并且执行控制使得它不入侵网络。出于这一原因,根据本发明,可以阻止不允许的局外者非法使用未用的IP地址并且访问网络。
另外,根据本发明的系统可以在欺诈MAC地址或者IP地址的过量业务(尤其是广播业务)入侵2层网络之前阻止它。因此可以减少网络中的过量业务。
2.第二示例性实施例
(计算机系统的配置)
关于包括使用开放流协议的OFVS 33的示例性实施例描述第一示例性实施例。然而,本发明不限于此。即使虚拟交换机不使用开放流协议,本发明仍然可以应用于如下情况,其中根据开放流协议操作在服务器之间连接的交换机。第二示例性实施例中的计算机系统基于从用于连接虚拟服务器3’和不同主机终端的开放流交换机4向开放流控制器2传输的第一分组,来监视ARP请求分组或者IP分组的地址欺诈是否存在。下文将具体描述与第一示例性实施例的配置和操作不同的配置和操作,并且省略相似配置和操作的描述。
图9是示出根据本发明的计算机系统的第二示例性实施例中的配置的视图。参照图9,第二示例性实施例中的虚拟服务器3’包括未基于开放流协议的2层虚拟交换机34,而不是第一示例性实施例中的开放流虚拟交换机33。出于这一原因,从OFS 4向流控制部22完成从虚拟机31传输的无偿ARP分组的分组输入。也就是说,第二示例性实施例中的OFS 4关于用作主机终端的虚拟机器31与这一系统的入口相对应。第二示例性实施例中的输入设备1也向OFC 2输入图10中所示虚拟服务器数据11’。除了那些配置之外的配置与第一示例性实施例相似。
图10是示出第二示例性实施例中的地址欺诈验证中使用的虚拟服务器数据11’的结构的一个示例的视图。参照图10,虚拟服务器数据11’包括:向虚拟服务器3’分配的IP地址111、虚拟服务器3’的物理网络接口所连接到的OFS 4的DPID 112、用于访问虚拟服务器3’的登录信息和OFS 4所连接到的端口名称114。IP地址111、DPID 112、登录信息113和端口名称114中的每一个与每个虚拟服务器3’相关并且在输入设备1中被记录为虚拟服务器数据11’。
(网络监视操作)
参照图11,将具体描述第二示例性实施例中的网络监视操作。
参照图11,首先在激活计算机系统时,从输入设备1向OFC 2中的地址欺诈验证数据库20预先记录虚拟服务器数据11’和VM数据12(步骤S21至S24)。具体操作与图7中所示步骤S1至S4的具体操作相似。
接着,描述在从虚拟机31向系统传送分组时的网络监视操作。虚拟机31传输无偿ARP分组或者IP分组(步骤S25)。这时,通过虚拟交换机34向虚拟服务器3’以外的OFS 4传送来自虚拟机31的分组。
OFS 4判断从连接到虚拟服务器3’的端口接收的无偿ARP分组或者IP分组的头部信息是否与为自身设置的流条目的规则相符(一致)。如果有相符的规则,则根据与规则对应的动作(例如向不同OFS 4传送或者丢弃)(未示出)处理接收的分组。另一方面,如果未设置与接收的分组的头部信息相符(一致)的流条目(中的规则),则OFS 4将接收的分组作为第一分组向OFC 2中的流控制部22通知(步骤S26)。这里,OFS 4基于分组输入将第一分组或者第一分组的头部信息与OFS 4的DPID 63一起向流控制部22传输。
流控制部22(对该流控制部22已完成分组输入)从传输自OFS 4的信息提取验证信息6连同异步事件,并且输出到地址欺诈检测部21(步骤S27)。
与图7中所示步骤相似,地址欺诈检测部21通过使用虚拟服务器DB 23来验证第一分组的传输源地址(步骤S28:MAC地址·IP地址验证)。这里如果与DPID 63一致的DPID 112不存在,则地址欺诈检测部21判断第一分组的MAC地址和IP地址中的一个或者两个被欺诈并且指示流控制部22丢弃分组(步骤S33)。
另一方面,在步骤S28,如果与传输源地址信息60一致的接口信息121存在于VM数据库中,则地址欺诈检测部21获得与接口信息121对应的VM名称120(UUID)。在指定VM名称120(UUID)时,地址欺诈检测部21使用与异步事件一起接收的OFS 4的DPID 63作为检索关键词并且从虚拟服务器数据库23检索IP地址111、登录信息113和端口名称114(步骤S29)。这里如果没有与DPID 63一致的DPID 112,则地址欺诈检测部21判断MAC地址和IP地址中的一个或者两个被欺诈并且指示流控制部22丢弃分组(步骤S33)。
在步骤S29,如果获得与DPID 63对应的IP地址111、登录信息113和端口名称114,则地址欺诈检测部21比较从虚拟服务器数据库23获得的端口名称114与从流控制部22接收的接收端口编号64(步骤S30:接收端口验证)。在步骤S30,如果端口编号114与接收端口编号64不一致,则地址欺诈检测部21判断接收端口名称被欺诈并且指示流控制部22丢弃分组(步骤S33)。
另一方面,在步骤S30,如果端口名称114与接收端口编号64一致,则地址欺诈检测部21通过使用获得的登录信息113来登录基于在步骤S29获得的IP地址111指定的主机OS 32。接着,地址欺诈检测部21获得与在步骤S28获得的VM名称120(UUID)对应的虚拟机31的信息作为传输源信息7(步骤S31)。这里如果未获得与指定的VM名称120对应的传输源信息7,则地址欺诈检测部21判断第一分组的MAC地址和IP地址中的一个或者两个被欺诈并且指示流控制部22丢弃分组(步骤S33)。附带提一点,在第二示例性实施例中获得的传输源信息可以不包括端口名称73。
另一方面,如果在步骤S31成功获得传输源信息7,则地址欺诈检测部21检索传输源信息7是否包括与第一分组的传输源MAC地址61一致的MAC地址(步骤S32:MAC地址验证)。这里如果在传输源信息7中没有与传输源MAC地址61一致的MAC地址72,则地址欺诈检测部21判断第一分组的MAC地址被欺诈并且指示流控制部22丢弃分组(步骤S33)。
另一方面,如果在传输与信息7中有与传输源MAC地址61一致的MAC地址72,则地址欺诈检测部21判断没有关于第一分组的地址欺诈并且通知流控制部22设置用于传送分组的流条目(步骤S33)。
在步骤S33,被指示丢弃分组的流控制部22丢弃分组输入的第一分组,并且向OFS 4设置如下流条目,在该流条目中使用分组的头部信息的部分或者全部作为规则并且使用分组丢弃作为动作(步骤S34)。因而,如果OFS 4接收到一个分组,其中该分组被判断一次是否为被欺诈,则丢弃该分组而不向OFC 2作出任何通知,并且可以在网络的入口阻止非法分组向网络的入侵。
另一方面,在步骤S33,被指示传送分组的流控制部22向通信路由上的OFS 4设置如下流条目,在该流条目中使用分组输入的第一分组的头部信息的部分或者全部作为规则并且使用分组传送作为动作(步骤S34)。
而且,地址欺诈检测部21,其在步骤S28、S29、S30、S31和S32判断地址被欺诈,向输出设备5输出在步骤S27与异步事件一起从流控制部22接收的传输源地址信息60(步骤S35)。在这一情况下,输出设备5可视地输出传输源地址信息60(传输源MAC地址61和目标IP地址62或者传输源IP地址65)作为欺诈的地址。另外,地址欺诈检测部21在判断欺诈地址时可以向输出设备5输出接收端口编号64。在这一情况下,输出设备5可视地输出接收端口编号64。
参照图12,下文将描述第二示例性实施例中的网络监视操作的特定示例。图12是示出用于描述第二示例性实施例中的计算机系统的配置和操作的特定示例的视图。参照图12,虚拟服务器数据库23将如下项作为虚拟服务器数据11’注册:IP地址111:“192.168.10.10”、DPID 112:“vSwitchA(DPID 01)”、登录信息113:“口令-1”和端口名称114:“Port-X”。VM数据库24也将如下项作为VM数据12注册:VM名称120:“VM-A(UUID-A)”和接口信息121:“IF-a:MAC-a,IP-a”、“IF-b:MAC-b,IP-b”。而且,虚拟服务器3’包括:两个虚拟机31:“VM-A”和“VM-B”;以及一个虚拟交换机34:“vSwitch”。虚拟机31“VM-A”具有两个接口“IF-a”和“IF-b”,并且虚拟机31“VM-B”具有一个接口“IF-c”。虚拟交换机34“vSwitch”连接到端口“Port-A、Port-B和Port-C”。另外,OFS 4“开放流交换机A”通过端口“Port-X”连接到虚拟交换机34“vSwitch”。
将描述前述计算机系统中的网络监视操作。在从不同虚拟服务器传送虚拟机31“VM-A”并且该虚拟机传输无偿ARP分组时,从虚拟交换机34“vSwitchA”通过端口“Port-X”向OFS 4“开放流交换机A”传输分组。OFS 4“开放流交换机A”将接收的分组的分组输入作为去往流控制部22的第一分组。
流控制部22响应于分组输入,将验证信息6与异步事件一起向地址欺诈检测部21通知。这里,将传输源MAC地址61:“MAC-a”、目标IP地址62:“IP-a”、DPID 63:“DPID 01”和接收端口编号64:“Port-X”作为验证信息6进行通知。
地址欺诈检测部21通过使用通知的传输源MAC地址61“MAC-a”和目标IP地址62“IP-a”来执行MAC地址·IP地址验证。与传输源MAC地址61“MAC-a”和目标IP地址62“IP-a”一致的接口信息121“MAC-a”和“IP-a”存在于VM数据库24中。因此在MAC地址·IP地址验证中判断不存在欺诈的地址。而且,地址欺诈检测部21提取与接口信息121对应的VM名称“VM-A(UUID-A)”。
接着,地址欺诈检测部21执行接收端口验证。这里,由分组输入接收的接收端口编号64:“Port-X”与在虚拟服务器数据库23中注册的端口名称114“Port-X”一致。因此,在接收端口验证中判断不存在欺诈的地址。
接着,地址欺诈检测部21获得虚拟服务器数据库23以内的与分组输入接收的DPID 63“DPID 01”一致的DPID 112对应的IP地址111:“192.168.10.10”和登录信息113:“口令-1”并且通过使用它们来访问(登录)主机OS 32。因而地址欺诈检测部21从访问目的地的主机OS 32获得关于从VM数据库24提取的VM名称“VM-A(UUID-A)”的虚拟机31的信息。这里,地址欺诈检测部21获得与VM名称71:“VM-A(UUID-A)”相关的接口名称:“IF-a”、MAC地址72:“MAC-a”、接口名称:“IF-b”和MAC地址72:“MAC-b”。
接着,地址欺诈检测部21执行MAC地址验证。这里,在获得的传输源信息7以内有与分组输入接收的传输源MAC地址61“MAC-a”一致的MAC地址72“MAC-a”。因此,在MAC地址验证中判断没有欺诈的地址。
地址欺诈检测部21由于判断没有欺诈作为所有地址欺诈验证的结果,而判断作为第一分组所通知的无偿ARP分组使用合法传输源MAC地址和目标IP地址、然后指示流控制部22传送分组。
响应于来自地址欺诈检测部21的分组传送指令,流控制部22例如向OFS 4“开放流交换机A”设置如下流条目,该流条目定义传输源MAC地址:“MAC-a”和目标IP地址:“IP-a”的规则以及“向不同OFS 4传送”的动作。因而,OFS 4“开放流交换机A”在接收与设置的规则相符的ARP分组时向指定的不同OFS 4传送分组。
另一方面,如果即使在前述地址欺诈验证之一中判断有欺诈的地址,则流控制部22仍然例如响应于来自地址欺诈检测部21的分组丢弃命令向OFS 4“开放流交换机A”设置如下流条目,该流条目定义传输源MAC地址“MAC-a”和目标IP地址“IP-a”的规则以及“丢弃分组”的动作。因而OFS 4“开放流交换机A”在接收到与设置的规则相符的ARP分组时丢弃该分组。
而且,即使判断在前述地址欺诈验证之一中有欺诈的地址,则输出设备5也可视地向输出与异步事件一起向地址欺诈检测部21供应的验证信息6。
如上文提到的那样,根据第二示例性实施例中的计算机系统,即使虚拟交换机未使用开放流协议,但是通过根据开放流协议操作用作2层网络的入口的交换机,仍然有可能阻止交换机中的地址欺诈分组。在第一示例性实施例中,从主机OS获得虚拟交换机所连接到的端口编号(接收端口编号),并且欺诈得以验证。然而在第二示例性实施例中,由于第一分组的通知源是物理交换机,所以可以通过使用预注册的端口名称来验证接收端口的欺诈。而且,根据第二示例性实施例的计算机系统的其它效果与第一示例性实施例的其它效果相似。
3.第三示例性实施例
(计算机系统的配置)
关于用于监视在虚拟服务器之间的通信的系统描述第一和第二示例性实施例。然而本发明不限于此。本发明可以应用于在通过开放流交换机相互连接的网络设备之间的通信监视。第三示例性实施例中的计算机系统基于从在网络设备30之间连接的开放流交换机4向开放流控制器2传输的第一分组,监视ARP请求分组或者IP分组的地址欺诈是否存在。下文将具体描述与第一示例性实施例的配置和操作不同的配置和操作,并且省略相似配置和操作的描述。
图13是示出根据本发明的计算机系统的第三示例性实施例中的配置的视图。参照图13,第三示例性实施例中的计算机系统包括网络设备30而不是第一示例性实施例中的虚拟服务器3。也就是说,作为一个示例,使用虚拟服务器作为配置网络的主机终端来描述第一示例性和第二示例性实施例。在本示例性实施例中,将描述其中使用网络设备作为主机终端的计算机系统。这里,网络设备30是指执行TCP/IP通信的任何终端,比如计算机、网络打印机等。在第三示例性实施例中的系统中,从OFS 4向流控制部22完成从网络设备30传输的无偿ARP分组和IP分组的分组输入。这里,OFS 4是先接收传输自网络设备30的分组的交换机。也就是说,OFS 4关于被用作主机终端的网络设备30与这一系统的入口相对应。第三示例性实施例中的输入设备1’也向OFC 2’输入图14中所示的设备数据13。另外,第三示例性实施例中的OFC 2’包括设备数据库25,而不是第一示例性实施例中的虚拟服务器数据库23和VM数据库24。除了那些配置之外的配置与第一示例性实施例的配置相似。
图14是示出第三示例性实施例中的地址欺诈验证中使用的设备数据13的结构的一个示例的视图。参照图14,设备数据13包括:被分配该允许连接到系统的合法网络设备30的MAC地址131和IP地址132(在统一称呼两个MAC地址时,其被称为设备地址信息130);OFS 4的DPID 133,与网络设备30的物理网络接口相连接;以及OFS 4的端口名称134。MAC地址131、IP地址132、DPID 133和端口名称134中的每一个都与每个网络设备30相关并且在输入设备1’中被记录为设备数据13。
(网络监视操作)
参照图15,将具体第三示例性实施例中的网络监视操作。
参照图15,首先在激活计算机系统时,从输入设备1’向OFC 2’中的设备数据库预先记录设备数据13(步骤S41和S42)。具体而言,由输入设备1’给予的设备数据13被供应给地址欺诈检测部21并且被存储到设备数据库25中(步骤S41和S42)。因而,基于最新设备数据13,更新设备数据库25。这里,设备数据库25总是可以被地址欺诈检测部21检索。也可以在系统的操作期间更新设备数据库25。
接着描述在从网络设备30向系统传送分组时的网络监视操作。网络设备30传输无偿ARP分组或者IP分组(步骤S43)。这时,来自网络设备30的分组被传送到OFS 4。
OFS 4判断从连接到网络设备30的端口接收的无偿ARP分组或者IP分组的头部信息是否与为自身设置的流条目的规则相符(一致)。如果有相符规则,则根据与规则对应的动作(例如向不同OFS4传送或者丢弃)(未示出)处理接收的分组。另一方面,如果未设置与接收的分组的头部信息相符(一致)的流条目(中的规则),则OFS 4向OFC 2’中的流控制部22通知接收的分组作为第一分组(步骤S44)。这里,OFS 4基于分组输入将第一分组或者第一分组的头部信息与OFS 4的DPID 63一起向流控制部22传输。
向其完成分组输入的流控制部22从OFS 4传输的信息提取验证信息6连同异步事件,并且输出到地址欺诈检测部21(步骤S45)。
地址欺诈检测部21从与异步事件一起接收的验证信息6提取传输源地址信息60并且通过使用设备数据库25来验证第一分组的传输源地址(步骤S46:MAC地址·IP地址验证)。具体而言,地址欺诈检测部21验证与传输源地址信息60(传输源MAC地址61、目标IP地址62或者传输源IP地址65)一致的设备地址信息130(MAC地址131和IP地址132)是否存在于设备数据库25中(MAC地址·IP地址验证)。这里如果与传输源地址信息60一致的设备地址信息130不存在于设备数据库25中,则地址欺诈检测部21判断MAC地址和IP地址中的一个或者多个被欺诈并且指示流控制部22丢弃分组(步骤S48)。
另一方面,在步骤S46,如果与传输源地址信息60一致的设备地址信息130存在于设备数据库25中,则将对应于设备地址信息130的端口名称134与由分组输入获得的接收端口编号64进行比较(步骤S47:接收端口验证)。在步骤S47,如果端口名称134与接收端口编号64不一致,则地址欺诈检测部21判断接收端口名称被欺诈并且指示流控制部22丢弃分组(步骤S48)。
另一方面,在步骤S47,如果端口名称114与接收端口名称64一致,则地址欺诈检测部21判断没有关于第一分组的地址欺诈并且通知流控制部22设置用于传送分组的流条目(步骤S48)。
附带提一点,在步骤S46的MAC地址·IP地址验证和在步骤S47的接收端口验证的执行序列不限于图15中所示的执行序列。因此可以在相反顺序或者在相同时间执行这些验证。在MAC地址·IP地址验证或者接收端口验证时也可以验证在设备数据库25中的DPID 133与由分组输入所通知的DPID 63之间的一致性。
在步骤S48,被指示丢弃分组的流控制部22丢弃分组输入的第一分组并且向OFS 4设置如下流条目,在该流条目中分组的头部信息的部分或者全部被用作规则并且分组丢弃被用作动作(步骤S49)。因而,如果OFS 4接收被判断一次它是否被欺诈的分组,则丢弃分组而没有向OFC 2’的任何通知,并且可以在网络的入口处阻止非法分组向网络的入侵。
另一方面,在步骤S48,被指示传送分组的流控制部22向通信路由上的OFS 4设置如下流条目,在该流条目中分组输入的第一分组的头部信息的部分或者全部被用作规则并且分组传送被用作动作(步骤S49)。
在步骤S46和S48判断欺诈地址的地址欺诈检测部21也向输出设备5输出在步骤S45连同异步事件而从流控制部22接收的传输源地址信息60(步骤S50)。在这一情况下,输出设备5可视地输出传输源地址信息60(传输源MAC地址61和目标IP地址62或者传输源IP地址65)作为欺诈的地址。另外,地址欺诈检测部21在判断地址被欺诈时,可以向输出设备5输出接收端口编号64。在这一情况下,输出设备5可视地输出接收端口编号64。
参照图16,下文将描述第三示例性实施例中的网络监视操作的特定示例。图16是示出用于描述第三示例性实施例中的计算机系统的配置和操作的特定示例的视图。参照图16,设备数据库25将如下项作为设备数据13注册:设备地址信息130:MAC地址131:“MAC-d”和IP地址132:“IP-d”、DPID 133:“SwitchA(DPID 01)”和端口名称134:“Port-X”。网络设备30也具有一个接口“IF-d”。OFS4“开放流交换机A”通过端口“Port-X”连接到网络设备30。
将描述前述计算机系统中的网络监视操作。在网络设备30传输无偿ARP分组时,通过端口“Port-X”向OFS 4“开放流交换机A”传送分组。OFS 4“开放流交换机A”完成接收的分组的分组输入作为去往流控制部22的第一分组。
接着,流控制部22响应于分组输入,将验证信息6与异步事件一起向地址欺诈检测部21通知。这里,将传输源MAC地址61:“MAC-d”、目标IP地址62:“IP-d”、DPID 63:“DPID 01”和接收端口编号64:“Port-X”作为通知信息6进行通知。
地址欺诈检测部21通过使用通知的传输源MAC地址61“MAC-d”和目标IP地址62“IP-d”来执行MAC地址·IP地址验证。与传输源MAC地址61“MAC-d”和目标IP地址62“IP-d”一致的设备地址信息130“MAC-d”和“IP-d”存在于设备数据库25中。因此在MAC地址·IP地址验证中判断没有欺诈的地址。地址欺诈检测部21也提取与设备地址信息130对应的端口名称134“Port-X”。
接着,地址欺诈检测部21执行接收端口验证。这里,分组输入接收的接收端口编号64:“Port-X”与从设备数据库25提取的端口名称134“Port-X”一致。因此,在接收端口验证中,判断不存在欺诈的地址。这时,可以验证在设备数据库25中的DPID 133与分组输入接收的DPID 133之间的一致。这里,DPID 133“DPID 01”与DPID133“DPID 01”一致。这里,判断不存在欺诈的地址。
地址欺诈检测部21由于判断没有欺诈作为所有地址欺诈验证的结果,而判断作为第一分组而被通知的无偿ARP分组使用合法传输源MAC地址和目标IP地址、然后指示流控制部22传送分组。
响应于来自地址欺诈检测部21的分组传送命令,流控制部22例如向OFS 4“开放流交换机A”设置如下的流条目,该流条目定义传输源MAC地址:“MAC-d”和目标IP地址:“IP-d”的规则以及“向不同OFS 4传送”的动作。因而OFS 4“开放流交换机A”在接收与设置的规则相符的ARP分组时向指定的不同OFS 4传送分组。
另一方面,即使判断在前述地址欺诈验证之一中有欺诈的地址,则流控制部22仍然例如响应于来自地址欺诈检测部21的分组丢弃指令向OFS 4“开放流交换机A”设置如下流条目,该流条目定义传输源MAC地址:“MAC-d”和目标IP地址:“IP-a”的规则以及“丢弃分组”的动作。因而,OFS 4“开放流交换机A”在接收到与设置的规则相符的ARP分组时丢弃分组。
即使在前述地址欺诈验证之一中判断有欺诈的地址,则输出设备5也可视地输出与异常事件一起被供应到地址欺诈检测部21的验证信息6。
如上文提到的那样,根据第三示例性实施例中的计算机系统,有可能监视在使用开放流协议的网络设备之间的地址欺诈分组并且阻止对网络的入侵。在第一示例性实施例中,通过从主机OS获得虚拟交换机被连接到的端口编号(接收端口编号)来验证接收端口的欺诈。然而在第三示例性实施例中,由于第一分组的通知源是物理交换机,所以可以通过使用预注册的端口名称来验证接收端口的欺诈。根据第三示例性实施例的计算机系统的其它效果也与第一示例性实施例的其它效果相似。
如上文提到的那样,已经具体描述本发明的示例性实施例。然而具体配置不限于上文提到的示例性实施例。在本发明中包括未脱离本发明的范围和精神实质的修改。也可以在该范围中组合第一、第二和第三示例性实施例而无任何技术冲突。例如本发明可以应用于其中安装了虚拟服务器3和3’以及网络设备30中的任何一个的计算机系统。
在上文提到的示例性实施例中,OFC 2和2’也以分组输入作为触发来获得虚拟机的信息(传输源信息7)。然而这不限于此。可以保持系统中的虚拟机的信息作为数据库。OFC 2和2’也可以瞬态保持利用分组输入作为触发而获得的虚拟机的信息(传输源信息7)。此后可以在从OFVS 33或者OFS 4报告的用于第一分组的地址欺诈验证中使用它。
可以根据常规开放流协议(例如开放流交换机规范版本1.0定义的协议)操作根据本发明的计算机系统中使用的OFS和OFVS。通过如在上文提到的示例性实施例中描述的那样仅改变OFC的功能,有可能实现对网络的监视和对非法访问的防范。也就是说,根据本发明,通过仅改变现有开放流系统中的OFC的功能,有可能如上文提到的那样实现对网络的监视和对非法访问的防范。出于这一原因,用于监视网络的功能等可以被低成本地和容易地加入现有系统。
本申请基于第2010-275002号日本专利申请,并且第2010-275002号日本专利申请的公开内容通过整体引用而结合于此。
Claims (22)
1.一种计算机系统,包括:
控制器;
交换机,被配置用于对与由所述控制器设置的流条目相符的接收的分组执行由所述流条目调节的中继操作;以及
虚拟服务器,被配置用于与所述交换机相连接,
其中所述控制器包括虚拟服务器数据库,在所述虚拟服务器数据库中,合法虚拟服务器的IP(网际协议)地址与DPID(数据路径ID)被相关并且被记录,
其中所述交换机将与被设置到自身的流条目不相符的接收的分组与其DPID一起通知给所述控制器,
其中所述控制器通过使用从所述交换机通知的DPID作为检索关键词而从所述虚拟服务器数据库获得IP地址,并且从通过使用所述IP地址而访问的虚拟服务器获得被分配给由被安装在所述虚拟服务器中的虚拟机使用的接口的MAC地址,并且
在获得的所述MAC地址与所述接收的分组的传输源MAC地址不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
2.根据权利要求1所述的计算机系统,其中在所述控制器判断所述接收的分组的传输源地址被欺诈时,所述控制器将流条目设置到所述交换机,所述流条目定义一个从所述源地址发送的分组被丢弃,所述分组的所述传输源地址被设置为一个传输源。
3.根据权利要求1所述的计算机系统,其中在所述合法虚拟服务器的IP地址与所述接收的分组的传输源IP地址不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
4.根据权利要求1所述的计算机系统,其中所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器,并且
其中在与由所述合法虚拟服务器使用的接口相连接的交换机的端口名称与所述接收端口名称不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
5.根据权利要求1所述的计算机系统,其中所述控制器保持VM数据库,在所述VM数据库中,合法虚拟机的虚拟机名称与被分配给由所述合法虚拟机使用的接口的地址被相关,并且
其中所述控制器通过使用所述传输源地址信息作为检索关键词而从所述VM数据库提取虚拟机名称,并且指定获得的所述MAC地址的目标虚拟机。
6.根据权利要求1所述的计算机系统,其中所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器,
其中所述控制器通过使用从所述交换机通知的DPID作为检索关键词而从所述虚拟服务器数据库获得IP地址,并且从通过使用所述IP地址而访问的虚拟服务器获得与由所述虚拟机使用的接口相连接的交换机的端口名称,并且
在获得的所述端口名称与所述接收端口名称不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
7.根据权利要求1所述的计算机系统,还包括:
输出设备,被配置用于在所述控制器判断所述接收的分组的传输源地址被欺诈时,可视地输出所述接收的分组的传输源地址。
8.根据权利要求7所述的计算机系统,其中所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器,并且
其中在所述控制器判断所述接收的分组的传输源地址被欺诈时,所述输出设备可视地输出所述接收端口名称。
9.一种控制器,包括:
流控制部,被配置用于将流条目设置到交换机;
虚拟服务器数据库,在所述虚拟服务器数据库中,合法虚拟服务器的IP(网际协议)地址与DPID(数据路径ID)被相关并且被记录;
其中所述交换机对与被设置的流条目相符的接收的分组执行由所述流条目调节的中继操作,并且将与被设置到自身的流条目不相符的接收的分组与其DPID一起通知给所述流控制部;以及
地址欺诈检测部,被配置用于通过使用被通知给所述流控制部的DPID作为检索关键词而从所述虚拟服务器数据库获得IP地址,并且从通过使用所述IP地址而访问的虚拟服务器获得被分配给由被安装在所述虚拟服务器中的虚拟机使用的接口的MAC(介质访问控制)地址,并且在获得的所述MAC地址与传输源MAC地址不一致时,判断所述接收的分组的传输源地址被欺诈。
10.根据权利要求9所述的控制器,其中在所述地址欺诈检测部判断所述接收的分组的传输源地址被欺诈时,所述流控制部将流条目设置到所述交换机,所述流条目定义一个从所述源地址发送的分组被丢弃,所述分组的所述传输源地址被设置为一个传输源。
11.根据权利要求9所述的控制器,
其中在所述合法虚拟服务器的IP地址与所述接收的分组的传输源IP地址不一致时,所述地址欺诈检测部判断所述接收的分组的传输源地址被欺诈。
12.根据权利要求9所述的控制器,其中所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述流控制部,并且
其中在与由所述合法虚拟服务器使用的接口相连接的交换机的端口名称与被通知给所述流控制部的接收端口名称不一致时,所述地址欺诈检测部判断所述接收的分组的传输源地址被欺诈。
13.根据权利要求9所述的控制器,还包括:
VM数据库,在所述VM数据库中,合法虚拟机的虚拟机名称与被分配给由所述合法虚拟机使用的接口的地址被相关,并且
其中所述地址欺诈检测部通过使用所述传输源地址信息作为检索关键字而从所述VM数据库提取虚拟机名称,并且指定获得的所述MAC地址的目标虚拟机。
14.根据权利要求9所述的控制器,其中所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器,
其中所述地址欺诈检测部通过使用从所述交换机通知的DPID作为关键词而从所述虚拟服务器数据库获得IP地址,并且从通过使用所述IP地址而访问的虚拟服务器获得与由所述虚拟机使用的接口相连接的交换机的端口名称,并且
在获得的所述端口名称与所述接收端口名称不一致时,所述地址欺诈检测部判断所述接收的分组的传输源地址被欺诈。
15.一种由计算机系统执行的网络监视方法,所述计算机系统包括交换机,所述交换机被配置用于对与由控制器设置的流条目相符的接收的分组执行由所述流条目调节的中继操作,
所述监视方法包括:
其中所述控制器包括虚拟服务器数据库,在所述虚拟服务器数据库中,合法虚拟服务器的IP地址(网际协议)与DPID(数据路径ID)被相关并且被记录,
所述交换机将与被设置到自身的流条目不相符的接收的分组与其DPID一起通知给所述控制器;
所述控制器通过使用从所述交换机通知的DPID作为检索关键词而从所述虚拟服务器数据库获得IP地址;
所述控制器从通过使用所述IP地址而访问的虚拟服务器获得被分配给由被安装在所述虚拟服务器中的虚拟机使用的接口的MAC(介质访问控制)地址;以及
在获得的所述MAC地址与传输源MAC地址不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
16.根据权利要求15所述的网络监视方法,还包括:
在判断所述接收的分组的传输源地址被欺诈时,所述控制器将流条目设置到所述交换机,所述流条目定义一个从所述源地址发送的分组被丢弃,所述分组的所述传输源地址被设置为一个传输源地址。
17.根据权利要求15所述的网络监视方法,包括:
在所述合法虚拟服务器的IP地址与所述接收的分组的传输源IP地址不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
18.根据权利要求15所述的网络监视方法,还包括:
所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器;以及
在与由所述合法虚拟服务器使用的接口相连接的交换机的端口名称与所述接收端口名称不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
19.根据权利要求15所述的网络监视方法,其中所述控制器保持VM数据库,在所述VM数据库中,合法虚拟机的虚拟机名称与被分配给由所述合法虚拟机使用的接口的地址被相关,并且
所述网络监视方法还包括:
所述控制器通过使用所述传输源地址信息作为检索关键词而从所述VM数据库提取虚拟机名称;以及
所述控制器指定获得的所述MAC地址的目标虚拟机。
20.根据权利要求15所述的网络监视方法,包括:
所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器,
所述控制器通过使用从所述交换机通知的DPID作为检索关键词而从所述虚拟服务器数据库获得IP地址,
所述控制器从通过使用所述IP地址而访问的虚拟服务器获得与由所述虚拟机使用的接口相连接的交换机的端口名称,以及
在获得的所述端口名称与所述接收端口名称不一致时,所述控制器判断所述接收的分组的传输源地址被欺诈。
21.根据权利要求15所述的网络监视方法,还包括:
在所述控制器判断所述接收的分组的传输源地址被欺诈时,输出所述接收的分组的传输源地址。
22.根据权利要求21所述的网络监视方法,还包括:
所述交换机将与被设置到自身的流条目不相符的接收的分组的接收端口名称通知给所述控制器;以及
在所述控制器判断所述接收的分组的传输源地址被欺诈时,可视地输出所述接收端口名称。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010-275002 | 2010-12-09 | ||
| JP2010275002 | 2010-12-09 | ||
| PCT/JP2011/077933 WO2012077603A1 (ja) | 2010-12-09 | 2011-12-02 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103250392A CN103250392A (zh) | 2013-08-14 |
| CN103250392B true CN103250392B (zh) | 2016-12-14 |
Family
ID=46207091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180058912.9A Active CN103250392B (zh) | 2010-12-09 | 2011-12-02 | 计算机系统、控制器和网络监视方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9118716B2 (zh) |
| EP (1) | EP2651081A1 (zh) |
| JP (2) | JP5532458B2 (zh) |
| CN (1) | CN103250392B (zh) |
| WO (1) | WO2012077603A1 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5668503B2 (ja) * | 2011-02-01 | 2015-02-12 | 日本電気株式会社 | 有害サイトフィルタリングシステム及びフィルタリング方法 |
| US8924787B2 (en) * | 2012-01-24 | 2014-12-30 | Nec Laboratories America, Inc. | Network debugging |
| JP5992245B2 (ja) * | 2012-08-06 | 2016-09-14 | 日本電信電話株式会社 | 仮想マシンのマイグレーションシステムおよびその方法 |
| WO2014034119A1 (en) * | 2012-08-30 | 2014-03-06 | Nec Corporation | Access control system, access control method, and program |
| CN103905383B (zh) * | 2012-12-26 | 2017-11-24 | 华为技术有限公司 | 一种数据报文转发方法、装置和系统 |
| US20140282542A1 (en) * | 2013-03-14 | 2014-09-18 | Infinio Systems Inc. | Hypervisor Storage Intercept Method |
| US9426060B2 (en) | 2013-08-07 | 2016-08-23 | International Business Machines Corporation | Software defined network (SDN) switch clusters having layer-3 distributed router functionality |
| CN104348819A (zh) * | 2013-08-07 | 2015-02-11 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的防火墙系统及其实现方法 |
| WO2015052866A1 (ja) | 2013-10-11 | 2015-04-16 | 日本電気株式会社 | 端末装置、端末装置制御方法および端末装置制御プログラム |
| US9634948B2 (en) * | 2013-11-07 | 2017-04-25 | International Business Machines Corporation | Management of addresses in virtual machines |
| CN108667853B (zh) * | 2013-11-22 | 2021-06-01 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| US20150169345A1 (en) * | 2013-12-18 | 2015-06-18 | International Business Machines Corporation | Software-defined networking (sdn) for management of traffic between virtual processors |
| US9300580B2 (en) | 2013-12-19 | 2016-03-29 | International Business Machines Corporation | Virtual machine network controller |
| CN104767720A (zh) * | 2014-01-08 | 2015-07-08 | 中兴通讯股份有限公司 | 一种软件定义网络中OpenFlow消息跟踪和过滤的方法 |
| US11075948B2 (en) * | 2014-01-10 | 2021-07-27 | Arista Networks, Inc. | Method and system for virtual machine aware policy management |
| EP3102965B1 (en) * | 2014-02-05 | 2023-07-26 | Verve Group, Inc. | Methods and apparatus for identification and ranking of synthetic locations for mobile applications |
| US20150341377A1 (en) * | 2014-03-14 | 2015-11-26 | Avni Networks Inc. | Method and apparatus to provide real-time cloud security |
| US9680708B2 (en) | 2014-03-14 | 2017-06-13 | Veritas Technologies | Method and apparatus for cloud resource delivery |
| JPWO2015155997A1 (ja) * | 2014-04-11 | 2017-04-27 | 日本電気株式会社 | 設定装置、制御装置、設定方法及びネットワークスイッチ |
| US20170155680A1 (en) * | 2014-06-30 | 2017-06-01 | Hewlett Packard Enterprise Development Lp | Inject probe transmission to determine network address conflict |
| CN106385365B (zh) | 2015-08-07 | 2019-09-06 | 新华三技术有限公司 | 基于开放流Openflow表实现云平台安全的方法和装置 |
| US10701104B2 (en) * | 2015-08-18 | 2020-06-30 | Acronis International Gmbh | Agentless security of virtual machines using a network interface controller |
| DE102016221233B3 (de) * | 2016-10-27 | 2017-09-14 | Volkswagen Aktiengesellschaft | Verfahren zum Verwalten einer ersten Kommunikationsverbindung, System umfassend einen ersten Kommunikationspartner und einen zweiten Kommunikationspartner sowie Fahrzeug |
| US20200128029A1 (en) * | 2017-03-13 | 2020-04-23 | Nec Corporation | Network device, monitoring and control device, network system, and control method therefor |
| CN110945837B (zh) * | 2017-06-01 | 2022-11-01 | 瑞典爱立信有限公司 | 优化sdn中的服务节点监视 |
| WO2019111466A1 (ja) * | 2017-12-08 | 2019-06-13 | 日本電気株式会社 | 情報処理装置、仮想化インフラストラクチャ管理装置、仮想ネットワーク機能の管理方法及びプログラム |
| CN108600158B (zh) * | 2018-03-08 | 2020-05-22 | 清华大学 | 一种基于软件定义网络的源地址验证系统 |
| CN109413675A (zh) * | 2018-12-05 | 2019-03-01 | 斑马网络技术有限公司 | 车联网流量控制方法、装置及车载终端 |
| US11303548B2 (en) | 2020-07-31 | 2022-04-12 | Bank Of America Corporation | Network directionality mapping system |
| CN113904984B (zh) * | 2021-10-21 | 2022-12-16 | 杭州志卓科技股份有限公司 | 一种适用于sap与b2b系统的数据传输方法 |
| CN114666300B (zh) * | 2022-05-20 | 2022-09-02 | 杭州海康威视数字技术股份有限公司 | 基于多任务的双向连接阻断方法、装置及电子设备 |
| US11983164B1 (en) | 2022-11-17 | 2024-05-14 | Bank Of America Corporation | System and method for data community detection via data network telemetry |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7523485B1 (en) * | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| JP2005210451A (ja) | 2004-01-23 | 2005-08-04 | Fuji Electric Holdings Co Ltd | 不正アクセス防止装置及びプログラム |
| JP5240784B2 (ja) | 2009-05-29 | 2013-07-17 | 株式会社吉野工業所 | 閉鎖弁付きエアゾール容器 |
| KR101270041B1 (ko) * | 2011-10-28 | 2013-05-31 | 삼성에스디에스 주식회사 | Arp 스푸핑 공격 탐지 시스템 및 방법 |
-
2011
- 2011-12-02 WO PCT/JP2011/077933 patent/WO2012077603A1/ja active Application Filing
- 2011-12-02 JP JP2012547830A patent/JP5532458B2/ja not_active Expired - Fee Related
- 2011-12-02 CN CN201180058912.9A patent/CN103250392B/zh active Active
- 2011-12-02 EP EP11847623.3A patent/EP2651081A1/en not_active Withdrawn
- 2011-12-02 US US13/991,409 patent/US9118716B2/en not_active Expired - Fee Related
-
2014
- 2014-04-16 JP JP2014084197A patent/JP5790827B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
Non-Patent Citations (3)
| Title |
|---|
| Lightweight DDoS Flooding Attack Detection Using NOX/OpenFlow;Rodrigo Braga等;《Local Computer Networks (LCN),2010 IEEE 35th Conference on》;20101014;正文第409页左栏倒数第2段-右栏第3段、第410页左栏倒数第1段-第411页左栏第5段、图1-4 * |
| The Stanford OpenRoads Deployment;Kok-Kiong Yap等;《ACM WiNTECH"09》;20091231;全文 * |
| 第1-12页;Martìn Casado等;《SIGCOMM"07 Proceedings of the 2007 conference on Applications,technologies,architectures, and protocols for computer communications(ACM SIGCOMM Computer Communication Review)》;20071031;第37卷(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2012077603A1 (ja) | 2014-05-19 |
| US20130254891A1 (en) | 2013-09-26 |
| JP5790827B2 (ja) | 2015-10-07 |
| CN103250392A (zh) | 2013-08-14 |
| EP2651081A1 (en) | 2013-10-16 |
| JP5532458B2 (ja) | 2014-06-25 |
| WO2012077603A1 (ja) | 2012-06-14 |
| US9118716B2 (en) | 2015-08-25 |
| JP2014147120A (ja) | 2014-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103250392B (zh) | 计算机系统、控制器和网络监视方法 | |
| US8200798B2 (en) | Address security in a routed access network | |
| CN101918926B (zh) | 用于通过虚拟ip地址访问没有可访问地址的联网装置的各种方法和设备 | |
| JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| JP4598462B2 (ja) | L2−vpnサービスを提供するプロバイダ網、及びエッジルータ | |
| CN107079003A (zh) | 在多租户环境中提供用于安全网络通信的集成防火墙的系统和方法 | |
| US10298544B2 (en) | Method and system for establishing virtual private networks between local area networks | |
| CN103166826B (zh) | 用于实现光纤信道区域策略的方法和装置 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| US8072978B2 (en) | Method for facilitating application server functionality and access node comprising same | |
| CN106506534A (zh) | 一种sdn网络的arp攻击检测方法 | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| WO2015068255A1 (ja) | ネットワークシステム、通信制御装置、及び通信方法 | |
| EP3448001A1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| JP2015050717A (ja) | コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム | |
| CN108011825B (zh) | 一种基于软件定义网络的多网络设备互联现实方法及系统 | |
| CN103685310B (zh) | 一种用于虚拟专用拨号网中动态数据注入的装置及其方法 | |
| WO2015121389A1 (en) | Method and hardware device for remotely connecting to and controlling a private branch exchange | |
| CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| JP2019041369A (ja) | 通信保護装置、制御方法、および、プログラム | |
| KR101914831B1 (ko) | 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| CN106059846B (zh) | 应用于vxlan中的故障分析方法和装置 | |
| US7359378B2 (en) | Security system for preventing unauthorized packet transmission between customer servers in a server farm | |
| KR100788138B1 (ko) | 네트워크 기반의 서비스 플랫폼을 이용한 통신 서비스제공 시스템 및 방법 | |
| CA2736956C (en) | Network management system using management addresses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |