CN103607379A - 一种软件定义网络安全实施方法、系统及控制器 - Google Patents
一种软件定义网络安全实施方法、系统及控制器 Download PDFInfo
- Publication number
- CN103607379A CN103607379A CN201310539052.1A CN201310539052A CN103607379A CN 103607379 A CN103607379 A CN 103607379A CN 201310539052 A CN201310539052 A CN 201310539052A CN 103607379 A CN103607379 A CN 103607379A
- Authority
- CN
- China
- Prior art keywords
- security
- network
- application
- kernel module
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种软件自定义网络安全实施方法、系统及控制器,属于网络技术安全领域。本发明公开的一种软件定义网络安全实施方法,包括:部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息;安全应用根据网络状态信息,分析网络安全状态,检测到网络安全威胁时,生成相应的安全策略;所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。本发明还公开了另两种软件定义网络安全实施方法,一种软件定义网络安全实施系统及控制器。本申请技术方案有效地解决软件定义网络面临的安全问题。
Description
技术领域
本发明涉及网络技术安全领域,具体是一种软件自定义网络安全实施方法、系统及控制器。
背景技术
随着云计算、移动互联网技术的兴起推动了数据中心的快速发展和变革,以IP为基础的传统网络组织结构复杂,管理维护困难,运营成本高昂,变得难以应对新需求对灵活性、扩展性、安全性的要求。为解决传统网络难以满足的新需求,软件自定义网络应运而生。
软件定义网络重新定义了网络架构,将网络划分为应用层面、控制层面和数据转发层面,实现了网络可编程。基于Openflow的软件定义网络和传统网络实现的差异,使得传统网络实现的网络安全服务,如入侵检测、串行防火墙、病毒防护、流量清洗等技术,不再完全适用于软件定义网络。控制和数据层面分离,基于DPI的传统安全服务虽然可以检测网络异常,却无法制定和实施有效的响应策略。
软件定义网络不仅需要应对传统网络威胁,其新架构也显现出了新的安全问题:
策略一致性,随着多种不同类型应用接入控制层,应用控制逻辑复杂,不同应用之间会产生策略冲突,使数据层网络转发产生紊乱,以致整个网络无法正常工作。
恶意应用,控制层为应用层开放接口是软件定义网络实现网络可编程的前提,但这种开放性可以被恶意应用利用,当恶意应用接入控制层,会严重影响整个网络的安全和稳定。
软件定义网络由控制器集中管理网络资源,掌控全局网络拓扑视图,通过安装和修改交换机中的流表规则,动态改变网络视图,该特征使得软件定义网络可以高效的检测与应对网络安全问题。
发明内容
本发明所要解决的技术问题是,提供一种软件自定义网络安全实施方法及系统,以解决软件定义网络面临的安全问题。
为了解决上述技术问题,本发明公开了一种软件定义网络安全实施方法,该方法包括:
部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息;
安全应用根据网络状态信息,分析网络安全状态,检测到网络安全威胁时,生成相应的安全策略;
所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
可选地,上述方法中,所述安全应用根据网络状态信息,分析网络安全状态,生成安全策略的过程包括:
各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法,分析网络安全状态,在该类网络安全威胁发生时,生成相应的安全策略。
可选地,上述方法还包括:
当应用层接入的一般应用需要安装或更新流表规则时,所述安全核心模块检测策略一致性,若需要安装或更新的流表规则与现有网络全局策略产生冲突,则由相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
可选地,上述方法还包括:
所述安全核心模块根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
可选地,上述方法中,所述安全核心模块,具备认证和授权功能,执行一般应用软件接入访问认证和授权服务。
可选地,上述方法中,所述安全核心模块,具备安全服务汇报功能,提供第三方安全异常汇报接口,兼容基于深层报文检测(DPI)的传统安全服务。
可选地,上述方法中,当安全应用获取到第三方安全威胁汇报时,直接生成对应的安全策略。
本发明还公开了一种软件定义网络安全实施系统,该系统包括部署在控制器NOS中的安全核心模块,部署在应用层的安全应用程序集,其中:
所述安全核心模块,实时检测网络状态信息,以及将所述安全应用程序集生成的安全策略转换成流表项规则,安装或更新至数据层交换机;
所述安全应用程序集,根据网络状态信息,分析网络安全状态,在检测到网络安全威胁时,生成安全策略。
可选地,上述系统中,所述安全应用程序集包括多个安全应用单元,每个安全应用单元,针对一类网络安全威胁执行安全分析算法,分析网络安全状态,并在该类网络安全威胁产生时生成相应的安全策略,以消除该类网络安全威胁。
可选地,上述系统中,所述安全核心模块包括:
采集单元,实时检测网络状态信息;
流表项规则转换单元,将所述安全应用程序集生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
可选地,上述系统中,所述安全核心模块还包括:
策略一致性检测单元,在一般应用需要安装或更新流表规则时,检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时,控制相应的安全应用单元执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
可选地,上述系统中,所述安全核心模块还包括:
应用优先级设置单元,根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
可选地,上述系统中,所述安全核心模块还包含:
认证和授权逻辑单元,执行一般应用软件接入访问认证和授权服务。
可选地,上述系统中,所述安全核心模块还包含:
安全服务汇报逻辑单元,提供第三方安全异常汇报接口,兼容基于DPI的传统安全服务。
本发明还公开了一种软件定义网络安全实施方法,该方法包括:
部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息,将所检测到的网络状态信息发送给应用层的安全应用;
当所述安全应用生成安全策略时,所述安全核心模块将所生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
可选地,上述方法还包括:
当应用层接入的一般应用需要安装或更新流表规则时,所述安全核心模块检测策略一致性,若需要安装或更新的流表规则与现有网络全局策略产生冲突,则控制相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
本发明还公开了一种软件定义网络安全实施方法,该方法包括:
应用层的安全应用实时获取网络状态信息,根据所获取的网络状态信息,分析网络安全状态;
在检测到网络安全威胁时,生成相应的安全策略。
可选地,上述方法中,所述应用层的安全应用实时获取网络状态信息指:
所述安全应用接收部署在控制器网络操作系统(NOS)中的安全核心模块发送的网络状态信息。
可选地,上述方法中,所述安全应用根据网络状态信息,分析网络安全状态,生成安全策略的过程包括:
各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法,分析网络安全状态,在该类网络安全威胁发生时,生成相应的安全策略。
本发明还公开了一种控制器,包括:
采集单元,实时检测网络状态信息,发送给应用层的安全应用;
流表项规则转换单元,将安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
可选地,上述控制器,还包括:
策略一致性检测单元,在一般应用需要安装或更新流表规则时,检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时,控制相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
可选地,上述控制器,还包括:
应用优先级设置单元,根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
可选地,上述控制器,还包含:
认证和授权逻辑单元,执行一般应用软件接入访问认证和授权服务。
可选地,上述控制器,还包含:
安全服务汇报逻辑单元,提供第三方安全异常汇报接口,兼容基于DPI的传统安全服务。
本申请技术方案针对软件定义网络特性,定制了一种软件定义网络安全实施方案,在控制层NOS部署安全核心模块,将网络安全作为独立切面,抽象出安全接口提供给上层安全应用,安全应用分析网络安全状态并制定安全策略,从而有效地解决软件定义网络面临的安全问题。
附图说明
图1为本实施例提供的软件定义网络安全实施流程图;
图2为本实施例提供的软件定义网络安全实施系统架构示意图;
图3为一般应用接入认证授权流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
实施例1
本申请发明人提出,针对软件定义网络特性,可以在控制层NOS部署安全核心模块,将网络安全作为独立切面,抽象出安全接口提供给上层安全应用,安全应用分析网络安全状态并制定安全策略。
基于上述思想,本实施例提供一种软件定义网络安全实施方法,如图1所示,包括如下操作:
步骤100,在控制器NOS中部署安全核心模块,将网络安全作为独立切面,抽象出安全接口提供给上层安全应用,安全核心模块检测网络状态信息;
可选地,还可以提供一般应用接入认证和授权服务。
步骤200,安全应用根据网络状态信息,分析络安全状态,在检测到网络安全威胁时,生成相应的安全策略。
步骤300,安全核心模块将安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
其中,安全核心模块可以屏蔽数据层交换机操作和控制层具体实现,为安全应用提供安全接口。安全核心模块实时监测网络资源及设备运行状况,为安全应用提供安全策略制定依据。
安全核心模块提供第三方安全异常汇报接口,以兼容基于DPI的传统安全服务,传统入侵检测服务以入侵检测消息交换格式向安全核心模块提交入侵检测告警,作为网络运行异常信息提供至应用层。
另外,具体安全应用根据功能需求不同,针对性获取并分析特定信息数据。也就是说,安全应用根据安全核心模块提供网络状态信息,不同安全应用类分别针对不同类网络安全威胁执行各自安全分析算法,分析网络安全状态,若检测出某一类网络安全威胁异常发生,则制定相应的安全策略。例如,反拒绝服务安全应用,分析网络中是否存在某主机端口遭受拒绝服务攻击,如判断为是,则生成并下发相应数据流重定向保护安全策略。
而安全策略经安全核心模块转换成流表规则安装至数据交换机,实现数据包丢弃、重定向等操作,动态改变网络拓扑,隔离威胁因素,达到防护网络安全的目的。通过部署不通安全应用,可以灵活的实施多样化、差异化的安全策略。下面再说明一下安全核心模块执行NOS一般应用软件接入访问认证和授权服务的过程,该过程包括:
一般应用在接入控制器NOS前,需要向安全核心模块发起授权申请,申请中携带认证信息。
安全核心模块验证申请认证信息,认证通过则颁发授权令牌,令牌中携带个人标示、角色优先等级、令牌有效期等信息。
一般应用尝试接入控制器以及提交策略规则时,需要出示授权令牌,当令牌验证通过后其相关行为权限才能被控制器NOS授权执行。
安全核心模块根据受信模型为接入控制器的应用建立优先等级,安全应用拥有最高优先等级,一般应用根据所属角色划分为若干优先级。安全等级作为一致性冲突决策的权重之一。
安全核心模块运行策略一致性检测服务,当需要安装新流表规则时,检测流表规则策略一致性,若产生冲突,安全应用执行策略一致性决策算法,合理流表规则被成功安装至交换机。
实施例2
本实施例提供一种软件定义网络安全实施系统,通过在控制层NOS部署安全核心模块,将软件定义网络安全切面独立呈现,为应用层安全应用程序提供安全接口。
如图2所示,软件定义网络安全实施系统包括部署在控制器NOS中的安全核心模块,安全核心模块屏蔽数据层交换机操作和控制层具体实现,实时检测网络状态信息(包括网络资源及设备运行状况),为安全应用提供专属安全接口,将安全应用程序集生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
以及安全应用程序集,根据网络状态信息,分析网络安全状态,在检测到网络安全威胁时,生成安全策略。
具体地,安全应用程序集包括多个安全应用单元,每个安全应用单元,针对一类网络安全威胁执行安全分析算法,分析网络安全状态,并在该类网络安全威胁产生时生成相应的安全策略,以消除该类网络安全威胁。
本实施例,安全核心模块包含:
采集单元,实时检测网络状态信息;
流表项规则转换单元,将安全应用程序集生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
优化地,安全核心模块除了包括有上述采集单元和流表项规则转换单元外,还可以包括策略一致性检测逻辑单元,在一般应用需要安装或更新流表规则时,检测策略一致性;
处理单元,当需要安装或更新的流表规则与现有网络全局策略产生冲突,控制相应的安全应用单元执行策略一致性算法解决冲突,其中,策略一致性算法中的权重采用应用优先级。
相应的,安全核心模块可以增加应用优先级设置单元,该单元根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
为兼容基于DPI的传统安全服务,安全核心模块还可以包含安全服务汇报逻辑单元,提供第三方安全异常汇报接口,传统入侵检测服务以入侵检测消息交换格式向安全核心模块提交入侵检测告警,作为网络运行异常信息提供至应用层。
控制层对应用层接口的开放性,杜绝恶意应用接入是保证网络安全的必要因素之一,因此上述安全核心模块还可以包含认证和授权逻辑单元,执行一般应用软件接入访问认证和授权服务。该单元执行一般应用软件接入访问认证和授权服务的过程如图3所示,包括:
一般应用在接入控制器NOS前,需要向安全核心模块发起授权申请,申请中携带认证信息。
安全核心模块验证申请认证信息,认证通过则颁发授权令牌,令牌中携带个人标示、角色优先等级、令牌有效期等信息。
一般应用尝试接入控制器以及提交策略规则时,需要出示授权令牌,当令牌验证通过后其相关行为权限才能被控制器NOS授权执行。
需要说明的是,本实施例还提供一种控制器,该控制器包括有上述安全核心模块的所有功能。具体地,该控制器至少包括:
采集单元,实时检测网络状态信息,发送给应用层的安全应用;
流表项规则转换单元,将安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
优选地,上述控制器还可以包括策略一致性检测单元,该单元在一般应用需要安装或更新流表规则时,检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时,控制相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
另外,基于上述控制器的结构,还可以包括应用优先级设置单元,主要根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
由于一般应用在接入控制器前,还可能会发起授权申请,因此上述控制器还可以包含:认证和授权逻辑单元,用于执行一般应用软件接入访问认证和授权服务。
相应地,为了兼容基于DPI的传统安全服务,优选方案提出,控制器还能包括安全服务汇报逻辑单元,用于提供第三方安全异常汇报接口。
从上述实施例可以看出,本申请技术方案中数据转发层应用新的转发规则,动态改变网络拓扑结构,实现对网络威胁隔离或重定向,达到网络安全防护的目的。并且,通过在应用层面部署不同安全应用,可实现多样性、差异化的网络安全策略,以灵活应对不同网络安全需求。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (24)
1.一种软件定义网络安全实施方法,其特征在于,该方法包括:
部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息;
安全应用根据网络状态信息,分析网络安全状态,检测到网络安全威胁时,生成相应的安全策略;
所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
2.如权利要求1所述的方法,其特征在于,所述安全应用根据网络状态信息,分析网络安全状态,生成安全策略的过程包括:
各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法,分析网络安全状态,在该类网络安全威胁发生时,生成相应的安全策略。
3.如权利要求1所述的方法,其特征在于,该方法还包括:
当应用层接入的一般应用需要安装或更新流表规则时,所述安全核心模块检测策略一致性,若需要安装或更新的流表规则与现有网络全局策略产生冲突,则由相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
4.如权利要求3所述的方法,其特征在于,该方法还包括:
所述安全核心模块根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
5.如权利要求1至4任一项所述的方法,其特征在于,
所述安全核心模块,具备认证和授权功能,执行一般应用软件接入访问认证和授权服务。
6.如权利要求5所述的方法,其特征在于,
所述安全核心模块,具备安全服务汇报功能,提供第三方安全异常汇报接口,兼容基于深层报文检测(DPI)的传统安全服务。
7.如权利要求6所述的方法,其特征在于,
当安全应用获取到第三方安全威胁汇报时,直接生成对应的安全策略。
8.一种软件定义网络安全实施系统,其特征在于,该系统包括部署在控制器NOS中的安全核心模块,部署在应用层的安全应用程序集,其中:
所述安全核心模块,实时检测网络状态信息,以及将所述安全应用程序集生成的安全策略转换成流表项规则,安装或更新至数据层交换机;
所述安全应用程序集,根据网络状态信息,分析网络安全状态,在检测到网络安全威胁时,生成安全策略。
9.如权利要求8所述的系统,其特征在于,
所述安全应用程序集包括多个安全应用单元,每个安全应用单元,针对一类网络安全威胁执行安全分析算法,分析网络安全状态,并在该类网络安全威胁产生时生成相应的安全策略,以消除该类网络安全威胁。
10.如权利要求9所述的系统,其特征在于,所述安全核心模块包括:
采集单元,实时检测网络状态信息;
流表项规则转换单元,将所述安全应用程序集生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
11.如权利要求10所述的系统,其特征在于,所述安全核心模块还包括:
策略一致性检测单元,在一般应用需要安装或更新流表规则时,检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时,控制相应的安全应用单元执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
12.如权利要求11所述的系统,其特征在于,所述安全核心模块还包括:
应用优先级设置单元,根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
13.如权利要求8至12任一项所述的系统,其特征在于,所述安全核心模块还包含:
认证和授权逻辑单元,执行一般应用软件接入访问认证和授权服务。
14.如权利要求13所述的系统,其特征在于,所述安全核心模块还包含:
安全服务汇报逻辑单元,提供第三方安全异常汇报接口,兼容基于DPI的传统安全服务。
15.一种软件定义网络安全实施方法,其特征在于,该方法包括:
部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息,将所检测到的网络状态信息发送给应用层的安全应用;
当所述安全应用生成安全策略时,所述安全核心模块将所生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
16.如权利要求15所述的方法,其特征在于,该方法还包括:
当应用层接入的一般应用需要安装或更新流表规则时,所述安全核心模块检测策略一致性,若需要安装或更新的流表规则与现有网络全局策略产生冲突,则控制相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
17.一种软件定义网络安全实施方法,其特征在于,该方法包括:
应用层的安全应用实时获取网络状态信息,根据所获取的网络状态信息,分析网络安全状态;
在检测到网络安全威胁时,生成相应的安全策略。
18.如权利要求17所述的方法,其特征在于,所述应用层的安全应用实时获取网络状态信息指:
所述安全应用接收部署在控制器网络操作系统(NOS)中的安全核心模块发送的网络状态信息。
19.如权利要求17或18所述的方法,其特征在于,所述安全应用根据网络状态信息,分析网络安全状态,生成安全策略的过程包括:
各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法,分析网络安全状态,在该类网络安全威胁发生时,生成相应的安全策略。
20.一种控制器,其特征在于,包括:
采集单元,实时检测网络状态信息,发送给应用层的安全应用;
流表项规则转换单元,将安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。
21.如权利要求20所述的控制器,其特征在于,还包括:
策略一致性检测单元,在一般应用需要安装或更新流表规则时,检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时,控制相应的安全应用执行策略一致性算法解决冲突,其中,所述策略一致性算法中的权重采用应用优先级。
22.如权利要求21所述的控制器,其特征在于,还包括:
应用优先级设置单元,根据受信模型建立应用优先级,其中,安全应用具有最高应用优先等级,一般应用根据所属角色划分为若干应用优先级。
23.如权利要求20至22任一项所述的控制器,其特征在于,还包含:
认证和授权逻辑单元,执行一般应用软件接入访问认证和授权服务。
24.如权利要求23所述的控制器,其特征在于,还包含:
安全服务汇报逻辑单元,提供第三方安全异常汇报接口,兼容基于DPI的传统安全服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310539052.1A CN103607379A (zh) | 2013-11-04 | 2013-11-04 | 一种软件定义网络安全实施方法、系统及控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310539052.1A CN103607379A (zh) | 2013-11-04 | 2013-11-04 | 一种软件定义网络安全实施方法、系统及控制器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103607379A true CN103607379A (zh) | 2014-02-26 |
Family
ID=50125579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310539052.1A Pending CN103607379A (zh) | 2013-11-04 | 2013-11-04 | 一种软件定义网络安全实施方法、系统及控制器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103607379A (zh) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125214A (zh) * | 2014-06-30 | 2014-10-29 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
CN104253820A (zh) * | 2014-10-16 | 2014-12-31 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
CN104980431A (zh) * | 2015-05-14 | 2015-10-14 | 南京大学 | 一种sdn中实现流有序的一致性更新方法 |
CN105007239A (zh) * | 2015-06-26 | 2015-10-28 | 刘昱 | 网络装置及其网络资源调配方法 |
CN105187403A (zh) * | 2015-08-13 | 2015-12-23 | 国家计算机网络与信息安全管理中心 | 软件定义网络的网络安全性测试方法 |
WO2015192319A1 (zh) * | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
CN105471830A (zh) * | 2014-09-10 | 2016-04-06 | 中国电信股份有限公司 | 用于消解安全策略冲突的方法、装置和系统 |
CN105847237A (zh) * | 2016-03-15 | 2016-08-10 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
CN105991457A (zh) * | 2015-02-10 | 2016-10-05 | 鸿富锦精密工业(深圳)有限公司 | 交换机、控制设备及其管理方法 |
CN106357470A (zh) * | 2016-11-15 | 2017-01-25 | 中国电子科技集团公司第四十研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
CN106411932A (zh) * | 2016-11-11 | 2017-02-15 | 中国南方电网有限责任公司 | 一种服务链策略实现方法及服务链策略实现系统 |
CN106464659A (zh) * | 2014-06-30 | 2017-02-22 | 上海贝尔股份有限公司 | 软件定义网络中的安全 |
CN106656591A (zh) * | 2016-12-15 | 2017-05-10 | 西安电子科技大学 | 一种软件定义网络中多应用间的规则冲突检测与消除方法 |
CN106713243A (zh) * | 2015-11-17 | 2017-05-24 | 中国移动通信集团公司 | 一种应用程序业务策略的处理方法、装置及控制器 |
CN107181720A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 一种软件定义网路sdn安全通信的方法及装置 |
US10104013B2 (en) | 2015-02-10 | 2018-10-16 | Nanning Fugui Precision Industrial Co., Ltd. | Openflow controller and switch installing an application |
CN108768932A (zh) * | 2018-04-09 | 2018-11-06 | 中国电信股份有限公司上海分公司 | 一种轻量级sdn交换机与控制器的安全连接方法 |
JP2019510410A (ja) * | 2016-03-02 | 2019-04-11 | 新華三技術有限公司New H3C Technologies Co., Ltd. | シグネチャルールローディング |
CN113965341A (zh) * | 2021-08-31 | 2022-01-21 | 天津七所精密机电技术有限公司 | 一种基于软件定义网络的入侵检测系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102946325A (zh) * | 2012-11-14 | 2013-02-27 | 中兴通讯股份有限公司 | 一种基于软件定义网络的网络诊断方法、系统及设备 |
CN103023826A (zh) * | 2012-12-26 | 2013-04-03 | 华中科技大学 | 一种OpenFlow控制器的路由控制方法 |
CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
US20130103817A1 (en) * | 2011-10-25 | 2013-04-25 | Teemu Koponen | Chassis controller |
CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
CN103283189A (zh) * | 2010-12-27 | 2013-09-04 | 日本电气株式会社 | 通信系统和通信方法 |
-
2013
- 2013-11-04 CN CN201310539052.1A patent/CN103607379A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103283189A (zh) * | 2010-12-27 | 2013-09-04 | 日本电气株式会社 | 通信系统和通信方法 |
US20130103817A1 (en) * | 2011-10-25 | 2013-04-25 | Teemu Koponen | Chassis controller |
CN102946325A (zh) * | 2012-11-14 | 2013-02-27 | 中兴通讯股份有限公司 | 一种基于软件定义网络的网络诊断方法、系统及设备 |
CN103023826A (zh) * | 2012-12-26 | 2013-04-03 | 华中科技大学 | 一种OpenFlow控制器的路由控制方法 |
CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10382457B2 (en) | 2014-06-17 | 2019-08-13 | Huawei Technologies Co., Ltd. | Attack stream identification method, apparatus, and device on software defined network |
WO2015192319A1 (zh) * | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
CN104125214A (zh) * | 2014-06-30 | 2014-10-29 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
CN113055369A (zh) * | 2014-06-30 | 2021-06-29 | 上海诺基亚贝尔股份有限公司 | 软件定义网络中的安全 |
US10666689B2 (en) | 2014-06-30 | 2020-05-26 | Alcatel Lucent | Security in software defined network |
CN104125214B (zh) * | 2014-06-30 | 2017-07-28 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
CN106464659A (zh) * | 2014-06-30 | 2017-02-22 | 上海贝尔股份有限公司 | 软件定义网络中的安全 |
CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
CN105471830A (zh) * | 2014-09-10 | 2016-04-06 | 中国电信股份有限公司 | 用于消解安全策略冲突的方法、装置和系统 |
CN104253820B (zh) * | 2014-10-16 | 2018-10-16 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
CN104253820A (zh) * | 2014-10-16 | 2014-12-31 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
CN105991457A (zh) * | 2015-02-10 | 2016-10-05 | 鸿富锦精密工业(深圳)有限公司 | 交换机、控制设备及其管理方法 |
CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
CN105991457B (zh) * | 2015-02-10 | 2019-04-30 | 南宁富桂精密工业有限公司 | 交换机、控制设备及其管理方法 |
US10104013B2 (en) | 2015-02-10 | 2018-10-16 | Nanning Fugui Precision Industrial Co., Ltd. | Openflow controller and switch installing an application |
CN104980431A (zh) * | 2015-05-14 | 2015-10-14 | 南京大学 | 一种sdn中实现流有序的一致性更新方法 |
CN104980431B (zh) * | 2015-05-14 | 2018-09-21 | 南京大学 | 一种sdn中实现流有序的一致性更新方法 |
CN105007239B (zh) * | 2015-06-26 | 2019-03-05 | 刘昱 | 网络装置及其网络资源调配方法 |
CN105007239A (zh) * | 2015-06-26 | 2015-10-28 | 刘昱 | 网络装置及其网络资源调配方法 |
CN105187403A (zh) * | 2015-08-13 | 2015-12-23 | 国家计算机网络与信息安全管理中心 | 软件定义网络的网络安全性测试方法 |
CN105187403B (zh) * | 2015-08-13 | 2018-06-12 | 国家计算机网络与信息安全管理中心 | 软件定义网络的网络安全性测试方法 |
CN106713243A (zh) * | 2015-11-17 | 2017-05-24 | 中国移动通信集团公司 | 一种应用程序业务策略的处理方法、装置及控制器 |
JP2019510410A (ja) * | 2016-03-02 | 2019-04-11 | 新華三技術有限公司New H3C Technologies Co., Ltd. | シグネチャルールローディング |
US11831493B2 (en) | 2016-03-02 | 2023-11-28 | New H3C Technologies Co., Ltd. | Signature rule loading |
CN107181720A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 一种软件定义网路sdn安全通信的方法及装置 |
CN105847237B (zh) * | 2016-03-15 | 2019-01-15 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
CN105847237A (zh) * | 2016-03-15 | 2016-08-10 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
CN106411932B (zh) * | 2016-11-11 | 2019-11-29 | 中国南方电网有限责任公司 | 一种服务链策略实现方法及服务链策略实现系统 |
CN106411932A (zh) * | 2016-11-11 | 2017-02-15 | 中国南方电网有限责任公司 | 一种服务链策略实现方法及服务链策略实现系统 |
CN106357470B (zh) * | 2016-11-15 | 2019-09-10 | 中国电子科技集团公司第四十一研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
CN106357470A (zh) * | 2016-11-15 | 2017-01-25 | 中国电子科技集团公司第四十研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
CN106656591A (zh) * | 2016-12-15 | 2017-05-10 | 西安电子科技大学 | 一种软件定义网络中多应用间的规则冲突检测与消除方法 |
CN108768932A (zh) * | 2018-04-09 | 2018-11-06 | 中国电信股份有限公司上海分公司 | 一种轻量级sdn交换机与控制器的安全连接方法 |
CN113965341A (zh) * | 2021-08-31 | 2022-01-21 | 天津七所精密机电技术有限公司 | 一种基于软件定义网络的入侵检测系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103607379A (zh) | 一种软件定义网络安全实施方法、系统及控制器 | |
Chica et al. | Security in SDN: A comprehensive survey | |
CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
US9197652B2 (en) | Method for detecting anomalies in a control network | |
CN103139184B (zh) | 智能网络防火墙设备及网络攻击防护方法 | |
EP2866407A1 (en) | Protection of automated control systems | |
WO2007124206A2 (en) | System and method for securing information in a virtual computing environment | |
CN104270467A (zh) | 一种用于混合云的虚拟机管控方法 | |
CN106537406A (zh) | 一种网络安全系统及其方法 | |
CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
CN103621038A (zh) | 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 | |
CA3021285C (en) | Methods and systems for network security | |
KR101753647B1 (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
CN102413127A (zh) | 一种数据库综合安全防护方法 | |
CN104144164A (zh) | 基于网络入侵的扩展防御方法 | |
CN104753952A (zh) | 基于虚拟机业务数据流的入侵检测分析系统 | |
Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
CN1564530A (zh) | 网络安全防护的分布式入侵检测与内网监控系统及方法 | |
CN113672901A (zh) | 访问请求处理方法、容器云平台、电子设备及存储介质 | |
CN111614639A (zh) | 一种基于边界理论的网络安全分析方法 | |
CN113971288A (zh) | 一种基于大数据技术智慧校园安全管控平台 | |
CN101714990B (zh) | 一种网络安全防护集成系统及其控制方法 | |
US20050076236A1 (en) | Method and system for responding to network intrusions | |
Hamad et al. | Intrusion response system for vehicles: Challenges and vision | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140226 |
|
RJ01 | Rejection of invention patent application after publication |