CN104125214A - 一种实现软件定义安全的安全架构系统及安全控制器 - Google Patents
一种实现软件定义安全的安全架构系统及安全控制器 Download PDFInfo
- Publication number
- CN104125214A CN104125214A CN201410305940.1A CN201410305940A CN104125214A CN 104125214 A CN104125214 A CN 104125214A CN 201410305940 A CN201410305940 A CN 201410305940A CN 104125214 A CN104125214 A CN 104125214A
- Authority
- CN
- China
- Prior art keywords
- module
- safety
- strategy
- security
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012360 testing method Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 abstract description 3
- 238000012544 monitoring process Methods 0.000 abstract 2
- 238000007726 management method Methods 0.000 description 29
- 230000006870 function Effects 0.000 description 5
- RKWPMPQERYDCTB-UHFFFAOYSA-N ethyl n-[4-[benzyl(2-phenylethyl)amino]-2-(4-nitrophenyl)-1h-imidazo[4,5-c]pyridin-6-yl]carbamate Chemical compound N=1C(NC(=O)OCC)=CC=2NC(C=3C=CC(=CC=3)[N+]([O-])=O)=NC=2C=1N(CC=1C=CC=CC=1)CCC1=CC=CC=C1 RKWPMPQERYDCTB-UHFFFAOYSA-N 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开一种实现软件定义安全的安全架构系统及安全控制器,该安全控制器包含一管理模块、一事件调度模块、一流轮询模块及一流监视模块。管理模块提供至少一安全设备或至少一安全应用进行注册。流轮询模块轮询一网络控制器获取数据流。流监视模块根据触发条件检测该数据流。事件调度模块根据触发条件的检测结果生成一执行策略事件。
Description
技术领域
本发明涉及机算机网络架构,尤其是机算机网络的安全控制器及具有安全控制器的安全架构系统。
背景技术
软件定义网络(SDN,Software-Defined Networking)通过软件的形式重构网络,颠覆了现有的网络的通信和管理模式,近年来在业界和学术界得到越来越多的关注。将数据转发与路由控制分离,以中央控制的方式,用程序重新规划网络,以有效控制网络流量。
软件定义安全采用SDN架构设计思想,将安全的控制平面和数据平面进行分离,通过控制平面提供的可编程能力实现安全服务的重构,最大化SDN带来的安全机遇。
虽然软件定义网络和网络功能虚拟化(NFV,Network FunctionVirtualization)有诸多优点,但其使得网络边界模糊化及虚拟化,造成很多传统的安全产品无法适用。
例如当前的DDoS攻击,攻击者一般攻击单台服务器,但在虚拟化环境中,由于物理带宽是固定的,攻击者可能会攻击某个租户的多台虚拟机器(VM),但是每台VM的流量不会超过既定阈值,所以应对这类攻击,安全应用(Security Application)进行细粒度的安全防护决策时,需要考虑虚拟化云环境中多租户的环境需求,这也使得安全判定流程较之传统的防DDoS攻击策略更加复杂。
因此有必要提出一种可适用于传统的安全设备和安全应用的安全控制器及具有安全控制器的安全架构,以实现软件定义安全。
发明内容
本发明的实施例提供一种安全控制器及具有安全控制器的安全架构系统,能够实现安全功能的控制和数据平面分离,通过控制平面提供的可编程能力实现安全服务的重构,能够简化安全设备的处理逻辑,并将复杂的安全策略逻辑移交给安全控制器和安全应用。
为达到上述目的,本发明的实施例采用如下技术方案:首先是一种安全控制器包含有一管理模块、一事件调度模块、一流轮询模块及一流监视模块。管理模块提供至少一安全设备或至少一安全应用进行注册。流轮询模块轮询一网络控制器获取数据流。流监视模块根据触发条件检测该数据流。事件调度模块根据该数据流的检测结果生成一执行策略事件。
优选的是,该管理模块包含一设备管理模块及一应用管理模块。设备管理模块提供该至少一安全设备进行注册,应用管理模块提供该至少一安全应用进行注册。安全控制器更包含一设备库,其连接到该设备管理模块,该设备库记录注册过的安全设备。安全控制器更包含一应用库,其连接到该应用管理模块,该应用库记录注册过的安全应用。该设备管理模块根据触发条件的检测结果调度注册过的安全设备,并为其完成资源调配、下发配置变更。
优选的是,事件调度模块根据注册过的安全设备生成一设备事件,且事件调度模块根据注册过的安全应用生成一应用事件。根据注册过的安全应用发出的一订阅请求,安全控制器将检测过的数据流发送至该注册过的安全应用。
优选的是,安全控制器更包含一策略解析模块,其解析该应用管理模块接收到的策略,根据该事件调度模块的执行策略事件生成相对应的执行指令,其中该应用管理模块接收到的该策略是由发出订阅请求的安全应用发出的策略。安全控制器还更包含一指令推送模块,其将该策略解析模块生成的执行指令推送至该网络控制器。
安全控制器更包含一流数据库,其连接到该流监视模块,该流数据库记录该流监视模块所检测的数据流。通过事件调度模块,该流数据库记录该流流轮询模块所获取的数据流。
另外,本发明还提供一种具有安全控制器的安全架构系统,其包含有上述的安全控制器、至少一安全应用、至少一安全设备、一网络控制器及安全控制器代理。安全控制器分别连接安全应用、安全设备及该网络控制器。安全控制器通过安全控制器代理可从网络控制器和安全设备两方面获取和下发控制(流指令、统计信息、策略、等),可实现流级别和数据包级别的两层防护,提高防护效率,减少安全设备的负载。
附图说明
图1为本发明实施例的安全控制器的方块示意图;
图2为本发明优选实施例的具有安全控制器的安全架构系统示意图;
图3A-3C分别显示为应用库连接到应用管理模块、设备库连接到设备管理模块、以及流数据库连接到流轮询模块等的示意图。
【符号说明】
安全架构系统100 安全控制器1、1a
管理模块10a 设备管理模块17
应用管理模块12 事件调度模块11
流轮询模块13 流监视模块14
策略解析模块15 指令推送模块16
网络控制器2 安全控制器代理21
安全应用3 安全设备4
交换机5 应用库6
设备库7 流数据库8
具体实施方式
下面结合附图对本发明实施例提供的安全控制器及具有安全控制器的安全架构系统进行详细描述。
请参考图1,本发明的一种安全控制器1a,其包含有一管理模块10a、一事件调度模块11、一流轮询模块13及一流监视模块14。管理模块10a提供至少一安全设备4或至少一安全应用3进行注册。事件调度模块11根据注册过的该至少一安全应用生成一订阅触发条件。流轮询模块13轮询一网络控制器2获取数据流。流监视模块14根据该订阅触发条件检测获取的数据流。事件调度模块11根据数据流的检测结果(例如发现有可疑的数据流)生成一执行策略事件。
请参考图2,优选的是,管理模块包含一设备管理模块17及一应用管理模块12。设备管理模块17提供安全设备4进行注册,应用管理模块12提供安全应用3进行注册。该设备管理模块17根据安全应用需求,调度注册过的安全设备,并为其完成资源调配、下发配置变更,例如,1)通过基础设施即服务系统(IaaS)为注册过的安全设备4添加网络地址;2)安全设备4或安全应用3通过RESTful的Web接口连接到设备管理模块17和应用管理模块12。
应用管理模块12和设备管理模块17将该检测结果推送至注册的安全应用3和安全设备4,并接收该安全应用3下发的策略。
事件调度模块11根据注册过的安全设备4生成一设备事件,且事件调度模块11根据注册过的安全应用3生成一应用事件。
注册过的安全应用发出一订阅请求,订阅可疑的数据流。前述的触发条件就是根据该订阅请求而生成的。例如,触发条件可以是下列三类典型的触发条件:
(一)防止Sync-Flood:对于抵御Sync Flood的DDoS攻击,这类的安全应用只需找到“目的地址相同、字节数byte_count小于3的openflow流”这些数据流即为可疑数据流,设定触发条件为:这些流的数目大于设定的门限(如:2000),此即为“安全应用的订阅请求”。
(二)防止蠕虫(worm):以W32/Nicha.Worm这种蠕虫病毒为例,该蠕虫攻击的数据包大小为92,协议为ICMP,那么触发条件应为“object.byte_count/object.pkg_count=92and object.protocol=0x01”。
(三)防止垃圾邮件:对于垃圾邮件而言,其特征为“目的端口为25,且源地址相同的流”数量大于20,因此触发条件为“count(object.dst_port=ref.dst_port=25and object.src_ip=ref.src_ip)>20”。
该应用管理模块12根据该订阅请求将检测过的数据流发送至发出订阅请求的安全应用3。安全应用3根据检测过的数据流(例如定义为可疑的数据流)近一步发出一策略至应用管理模块12。根据应用管理模块12接收到的策略,事件调度模块11生成前述的执行策略事件。
优选的是,安全控制器1更包含一策略解析模块15,其解析前述应用管理模块12接收到的策略,根据事件调度模块11的执行策略事件生成相对应的执行指令。安全控制器1还更包含一指令推送模块16。通过安全控制器代理21,指令推送模块16将策略解析模块15生成的执行指令推送至该网络控制器2。网络控制器2根据执行指令发出OpenFlow流至交换机5,将检测过的数据流(例如定义为可疑的数据流)重定向到其他机器清洗数据流。
安全应用3包括但不限于:ADS(防DDOS)应用、端口扫描检测(port-scanning detection)应用、WAF告警分析应用等。安全设备4包括但不限于:防火墙(Firewall)、防DDoS系统(anti-ddos system;ADS)、入侵检测系统(Intrusion Defense System)、Web应用防火墙(Web ApplicationFirewall)、网络流量分析器(network traffic analyzer)、漏洞扫描器(Scanner)等等。
云计算环境中存在多类需要保护的对象,通常通过网络虚拟平台构建多租户的网络环境可划分不同的级别的主体概念:租户机构(Tenant)、用户(User)、虚拟主机(VM)、虚拟子网(Network)、流(Flow)和其他逻辑划分。在SDN环境中还有表征流量统计信息的流(Flow)概念。通过获知云环境中保护对象的信息,可以更精确定位和处理恶意流量,实现传统防护无法或很难做到的机制。以抵御DDoS攻击为例,攻击者可能采取两种攻击方式:不伪造源地址和伪造源地址。在第一种场景中,安全应用可根据数据流找到依次定位到相应的VM、用户和租户机构;而在第二种场景中,安全应用获得的是虚假网络地址和虚假物理地址的数据流,无法直接定位到租户。但考虑到OpenFlow中有vlan项,指示了数据流所属的虚拟子网,每一个子网都是归属于某个租户,所以安全应用可以先后确定数据流所对应的虚拟子网和租户。
前述的执行策略事件(生成相对应的执行指令)具体实现为:例如,上述策略解析模块15解析应用管理模块12接收到的策略为“将租户A的所有数据进行清洗”,那么解析过程首先就是将租户A解析为A的所有VM,然后寻找离这些VM最近的数据流清洗设备(例如ADS安全设备)。然后生成“将源或目的为VM的流重定向到ADS设备”的执行指令。指令推送模块16将该执行指令传输给网络控制器2。当安全控制器代理21收到执行指令之后,计算出VM到ADS设备的路由路径,下发实施如下的流策略:(1)将所有源或目的为VM的数据流都沿着该路径传输;(2)数据流经过清洗设备后再经由交换机5传递到网络控制器2中;(3)最后网络控制器2根据正常的路由策略将清洗过的数据流转发。
请参考图3A-3C,安全控制器1更包含应用库6、设备库7、以及流数据库8。应用库6连接到该应用管理模块12,该应用库6记录注册过的安全应用3。设备库7连接到该设备管理模块17,该设备库7记录注册过的安全设备4。流数据库8连接到该流轮询模块13,该流数据库8记录该流轮询模块13所获取的数据流。
另外,本发明还提供一种具有安全控制器的安全架构系统100,其包含有上述的安全控制器1或1a、至少一安全应用3、至少一安全设备4、一网络控制器2及一安全控制器代理21。安全控制器1分别连接安全应用3、安全设备4及通过安全控制器代理21连接该网络控制器2。
通过本发明的安全控制器1或1a可从网络控制器2和安全设备4两方面获取和下发控制(流指令、统计信息、策略等),可实现流级别和数据包级别的两层防护,提高防护效率,减少安全设备的负载。
本发明的安全架构系统100分离了安全控制和安全数据,简化了安全设备的处理逻辑,使得安全设备更加稳定,并将复杂的安全策略逻辑移交给安全控制器和安全应用,减少安全设备的负载。
在本申请所提供的几个实施例中,应该理解到,所揭露的控制器和系统,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的。另一点,所显示或讨论的相互之间的耦合或直接耦合可以是通过一些接口。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是一个物理模块或多个物理模块,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种安全控制器,其特征在于,包含有:
管理模块,其提供至少一安全设备或至少一安全应用进行注册;
流轮询模块,其轮询一网络控制器获取数据流;
流监视模块,其根据触发条件检测该数据流;以及
事件调度模块,其根据触发条件的检测结果生成一执行策略事件。
2.根据权利要求1所述的安全控制器,其特征在于,该管理模块包含:
设备管理模块,其提供该至少一安全设备进行注册;以及
应用管理模块,其提供该至少一安全应用进行注册;
其中,该事件调度模块根据注册过的安全设备生成一设备事件,且该事件调度模块根据注册过的安全应用生成一应用事件;
其中,根据注册过的安全应用发出的一订阅请求,该事件调度模块通过该应用管理模块将检测过的数据流发送至该注册过的安全应用。
3.根据权利要求2所述的安全控制器,其特征在于,更包含一策略解析模块,其解析该应用管理模块接收到的策略,策略解析模块根据该事件调度模块的执行策略事件生成相对应的执行指令,其中该应用管理模块接收到的该策略是由发出订阅请求的安全应用发出的策略。
4.根据权利要求3所述的安全控制器,其特征在于,更包含一指令推送模块,其将该策略解析模块生成的执行指令推送至该网络控制器。
5.根据权利要求2所述的安全控制器,其特征在于,更包含一设备库,其连接到该设备管理模块,该设备库记录注册过的安全设备。
6.根据权利要求2所述的安全控制器,其特征在于,更包含一应用库,其连接到该应用管理模块,该应用库记录注册过的安全应用。
7.根据权利要求1所述的安全控制器,其特征在于,更包含一流数据库,其连接到该流监视模块,该流数据库记录该流监视模块所检测的数据流。
8.根据权利要求1所述的安全控制器,其特征在于,该设备管理模块根据触发条件的检测结果调度注册过的安全设备。
9.一种安全架构系统,其特征在于,包含有:
至少一安全应用;
至少一安全设备;
一安全控制器代理;
一网络控制器;以及
安全控制器,其包含有:
一管理模块,其提供该至少一安全设备或该至少一安全应用进行注册;
一流轮询模块,其轮询一网络控制器获取数据流;
一流监视模块,其根据触发条件检测该数据流;以及
一事件调度模块,其根据触发条件的检测结果生成一执行策略事件;
其中,该安全控制器分别连接该安全应用及该安全设备,并通过该安全控制器代理连接该网络控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410305940.1A CN104125214B (zh) | 2014-06-30 | 2014-06-30 | 一种实现软件定义安全的安全架构系统及安全控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410305940.1A CN104125214B (zh) | 2014-06-30 | 2014-06-30 | 一种实现软件定义安全的安全架构系统及安全控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104125214A true CN104125214A (zh) | 2014-10-29 |
| CN104125214B CN104125214B (zh) | 2017-07-28 |
Family
ID=51770478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410305940.1A Expired - Fee Related CN104125214B (zh) | 2014-06-30 | 2014-06-30 | 一种实现软件定义安全的安全架构系统及安全控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104125214B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072101A (zh) * | 2015-07-29 | 2015-11-18 | 中国科学院信息工程研究所 | 基于入侵容忍的sdn控制器端系统和安全通信方法 |
| CN105704760A (zh) * | 2014-11-26 | 2016-06-22 | 电信科学技术研究院 | 一种进行数据包传输的方法、设备和系统 |
| CN105791205A (zh) * | 2014-12-15 | 2016-07-20 | 中国移动通信集团公司 | 一种防止ddos攻击的方法和装置 |
| CN105847237A (zh) * | 2016-03-15 | 2016-08-10 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
| CN106357661A (zh) * | 2016-09-30 | 2017-01-25 | 中国人民解放军信息工程大学 | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 |
| CN105516177B (zh) * | 2015-12-28 | 2019-02-22 | 上海交通大学 | 基于sdn和nfv的5g网络多级攻击缓解方法 |
| CN110740049A (zh) * | 2018-07-19 | 2020-01-31 | 北京邮电大学 | 一种sdn环境下安全防护部署的方法及装置 |
| CN110752961A (zh) * | 2015-06-16 | 2020-02-04 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
| CN111399839A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种vnf注册方法、装置、介质和设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
-
2014
- 2014-06-30 CN CN201410305940.1A patent/CN104125214B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
Non-Patent Citations (4)
| Title |
|---|
| OPEN NETWORKING FOUNDATION: "Software-Defined Networking:The New Norm for Networks", 《ONF WHITE PAPER》 * |
| 左青云等: "基于OpenFlow的SDN技术研究", 《软件学报》 * |
| 王淑玲,李济汉,张云勇,房秉毅: "SDN 架构及安全性研究", 《电信科学》 * |
| 郭春梅,张如辉,毕学尧: "SDN网络技术及其安全性研究", 《第27次全国计算机安全学术交流会论文集》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704760A (zh) * | 2014-11-26 | 2016-06-22 | 电信科学技术研究院 | 一种进行数据包传输的方法、设备和系统 |
| US10383173B2 (en) | 2014-11-26 | 2019-08-13 | China Academy Of Telecommunications Technology | Method, device and system for transmitting data packet |
| CN105704760B (zh) * | 2014-11-26 | 2019-09-17 | 电信科学技术研究院 | 一种进行数据包传输的方法、设备和系统 |
| CN105791205A (zh) * | 2014-12-15 | 2016-07-20 | 中国移动通信集团公司 | 一种防止ddos攻击的方法和装置 |
| CN105791205B (zh) * | 2014-12-15 | 2019-06-14 | 中国移动通信集团公司 | 一种防止ddos攻击的方法和装置 |
| CN110752961A (zh) * | 2015-06-16 | 2020-02-04 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
| CN110752961B (zh) * | 2015-06-16 | 2022-09-06 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
| CN105072101A (zh) * | 2015-07-29 | 2015-11-18 | 中国科学院信息工程研究所 | 基于入侵容忍的sdn控制器端系统和安全通信方法 |
| CN105072101B (zh) * | 2015-07-29 | 2018-11-30 | 中国科学院信息工程研究所 | 基于入侵容忍的sdn控制器端系统和安全通信方法 |
| CN105516177B (zh) * | 2015-12-28 | 2019-02-22 | 上海交通大学 | 基于sdn和nfv的5g网络多级攻击缓解方法 |
| CN105847237A (zh) * | 2016-03-15 | 2016-08-10 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
| CN105847237B (zh) * | 2016-03-15 | 2019-01-15 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
| CN106357661A (zh) * | 2016-09-30 | 2017-01-25 | 中国人民解放军信息工程大学 | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 |
| CN106357661B (zh) * | 2016-09-30 | 2019-09-06 | 中国人民解放军信息工程大学 | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 |
| CN110740049A (zh) * | 2018-07-19 | 2020-01-31 | 北京邮电大学 | 一种sdn环境下安全防护部署的方法及装置 |
| CN110740049B (zh) * | 2018-07-19 | 2021-01-05 | 北京邮电大学 | 一种sdn环境下安全防护部署的方法及装置 |
| CN111399839A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种vnf注册方法、装置、介质和设备 |
| CN111399839B (zh) * | 2019-01-02 | 2023-03-28 | 中国移动通信有限公司研究院 | 一种vnf注册方法、装置、介质和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104125214B (zh) | 2017-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104125214A (zh) | 一种实现软件定义安全的安全架构系统及安全控制器 | |
| US11902120B2 (en) | Synthetic data for determining health of a network security system | |
| CN107683597B (zh) | 用于异常检测的网络行为数据收集和分析 | |
| CN107667505B (zh) | 用于监控和管理数据中心的系统及方法 | |
| US11997120B2 (en) | Detecting threats to datacenter based on analysis of anomalous events | |
| Zarrabi et al. | Internet intrusion detection system service in a cloud | |
| US20230011397A1 (en) | Analysis system detecting threats to datacenter | |
| CN109716729A (zh) | 动态的基于负载的自动缩放网络安全微服务架构 | |
| CN106576099A (zh) | 支持攻击检测和缓解的数据中心架构 | |
| US11831667B2 (en) | Identification of time-ordered sets of connections to identify threats to a datacenter | |
| Ha et al. | Suspicious flow forwarding for multiple intrusion detection systems on software-defined networks | |
| CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
| EP3476101B1 (en) | Method, device and system for network security | |
| US10193868B2 (en) | Safe security proxy | |
| CN103404081A (zh) | 对网络业务进行采样 | |
| CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
| US10129114B1 (en) | Protocol exposure as network health detection | |
| US20210105300A1 (en) | Methods and systems that detect and deflect denial-of-service attacks | |
| KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| CN112437035B (zh) | 分布式拒绝服务攻击防护方法及相关设备 | |
| CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 | |
| US20190243953A1 (en) | Enhanced security for multiple node computing platform | |
| US11870693B2 (en) | Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology | |
| KR101800145B1 (ko) | 네트워크 기능을 제공하는 소프트웨어 스위치 및 그 동작 방법 | |
| KR101695461B1 (ko) | 보안 위험 감지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170728 |