CN104601526A - 一种冲突检测及解决的方法、装置 - Google Patents
一种冲突检测及解决的方法、装置 Download PDFInfo
- Publication number
- CN104601526A CN104601526A CN201310532941.5A CN201310532941A CN104601526A CN 104601526 A CN104601526 A CN 104601526A CN 201310532941 A CN201310532941 A CN 201310532941A CN 104601526 A CN104601526 A CN 104601526A
- Authority
- CN
- China
- Prior art keywords
- rule
- address realm
- compartment wall
- fire compartment
- negative
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种冲突检测及解决的方法、装置,涉及通信技术领域,用以从数据流在整个网络中的一条路径这一全局角度阻挡数据流。所述冲突检测方法包括:控制器获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;所述控制器根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。本发明实施例适用于数据流在网路中传输的场景。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种冲突检测及解决的方法、装置。
背景技术
在传统网络中数据层和控制层存在于交换机或路由器中;而SDN(Software Defined Network,软件定义网络)分离了网络的数据层和控制层,并且把控制层移到了单独的设备,例如控制器,控制层通过OpenFlow协议对OpenFlow交换机中的流表进行控制,从而实现对整个网络进行集中管控。所述控制器可以是装置、虚拟机或物理服务器,通过OpenFlow协议控制网络通信。
目前,现行的OpenFlow标准中没有针对流表的审计和追踪机制,那么通过在交换机中添加流表规则来改写当前流表的源地址范围和目的地址范围的方式使得当前流表下的数据流的地址范围很容易绕过SDN防火墙,那么,针对在一个交换机中通过添加流表规则来改变冲突数据流的地址范围这一问题,现有技术通过扩充安全策略的源地址范围和目的地址范围来阻挡冲突数据流。
但是,现有技术中所采用的方法只考虑了一个交换机中的流表规则,也就是说数据流在传输中在一个交换机上被改写了地址,安全策略就在该交换机上进行阻挡,没有从数据流在整个网络中的一条路径这一全局角度来解决这一问题。
发明内容
本发明的实施例提供一种冲突检测及解决的方法、装置,用以从数据流在整个网络中的一条路径这一全局角度阻挡冲突数据流。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供了一种冲突检测的方法,该方法包括:控制器获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;
所述控制器根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
在第一方面的第一种可能的实现方式中,所述方法还包括:
所述安全策略包括当前的防火墙的规则和当前的防火墙的有效否定规则。
在第一方面的第一种可能的实现方式中,还提供第一方面的第二种可能的实现方式中,所述根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,具体包括:
根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。
在第一方面的第二种可能的实现方式中,还提供了第一方面的第三种可能的实现方式,所述根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突,具体包括:
判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
在第一方面的第一种可能的实现方式中,还提供了第一方面的第四种可能的实现方式,在所述获取数据流在网络中的一条流路径之后,所述方法还包括:
根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则。
在第一方面的第四种可能的实现方式中,还提供了第一方面的第五种可能的实现方式,所述根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,具体包括:
根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
在第一方面的第五种可能的实现方式中,还提供了第一方面的第六种可能的实现方式,所述根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突,具体包括:
判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
在第一方面的第四种可能的实现方式中,还提供了第一方面的第七种可能的实现方式,所述根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则,具体包括:
将所述当前的防火墙的规则分成否定规则集合和允许规则集合;
判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;
若判断结果为是,则对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交集运算,得到第一交集;
求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则;
若判断结果为否;
将所述否定规则集合确定为当前的防火墙的有效否定规则;
在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;
若所述第一否定规则的地址范围与所述第二否定规则的地址范围存在第二交集,判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;
若判断结果为是,求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若判断结果为否,求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若所述第一否定规则的地址范围与所述第二否定规则的地址范围没有存在第二交集,将所述否定规则集合确定为当前的防火墙的有效否定规则。
在第一方面的第八种可能的实现方式,在所述获取数据流在网络中的一条流路径之后,所述方法还包括:
判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;
若判断结果为是,将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则;
若判断结果为否,将所述防火墙的规则确定为当前的防火墙的规则。
在第一方面的第九种可能的实现方式,所述获取数据流在网络中的一条流路径具体包括:
根据所述数据流的包头信息获取所述数据流的地址范围;
根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表;
根据所述转换函数生成所述流路径。
在第一方面或第一方面的前九种任一可能的实现方式中,还提供了第一方面的第十种可能的实现方式,所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。
第二方面,提供了一种冲突解决的装置,该方法包括:获取单元和第一确定单元;
所述获取单元用于获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;
所述第一确定单元用于根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
在第二方面的第一种可能的实现方式中,所述安全策略包括当前的防火墙的规则和当前的防火墙的有效否定规则。
在第二方面的第一种可能的实现方式中,还提供了第二方面的第二种可能的实现方式中,所述第一确定单元包括第一确定模块,所述第一确定模块用于根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。
在第二方面的第二种可能的实现方式中,还提供了第二方面的第三种可能的实现方式,所述第一确定模块具体用于判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
在第二方面的第一种可能的实现方式中,还提供了第二方面的第四种可能的实现方式,所述第一确定单元还包括:生成模块;
所述生成模块用于根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则。
在第二方面的第四种可能的实现方式中,还提供了第二方面的第五种可能的实现方式,所述第一确定单元还包括第二确定模块,所述第二确定模块用于根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
在第二方面的第五种可能的实现方式中,还提供了第二方面的第六种可能的实现方式,所述第二确定模块具体用于判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
在第二方面的第四种可能的实现方式中,还提供了第二方面的第七种可能的实现方式,所述生成模块具体包括:划分子模块、第一判断子模块、第一运算子模块、第一确定子模块、第二判断子模块、第三判断子模块、第二运算子模块和第二确定子模块;
所述划分子模块用于将所述当前的防火墙的规则分成否定规则集合和允许规则集合;
所述第一判断子模块用于判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;
所述第一运算子模块用于在所述判断子模块的判断结果为是的情况下,则对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交集运算,得到第一交集;求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则;
所述第一确定子模块用于在所述第一判断子模块的判断结果为否的情况下,将所述否定规则集合确定为当前的防火墙的有效否定规则;
所述第二判断子模块用于在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;
所述第三判断子模块用于在所述第二判断子模块的判断结果为是的情况下,判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;
所述第二运算子模块用于在所述第三判断子模块的判断结果为是的情况下,求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;在所述第三判断子模块的判断结果为否的情况下,求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
所述第二确定子模块用于在所述第二判断子模块的判断结果为否的情况下,将所述否定规则集合确定为当前的防火墙的有效否定规则。
在第二方面的第八种可能的实现方式,所述装置还包括:判断单元、第二确定单元和第三确定单元;
所述判断单元用于判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;
所述第二确定单元用于在所述判断单元的判断结果为是的情况下,将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则;
所述第三确定单元用于在所述判断单元的判断结果为否的情况下,将所述防火墙的规则确定为当前的防火墙的规则。
在第二方面的第九种可能的实现方式中,所述获取单元具体包括:获取模块、第一生成模块和第二生成模块;
所述获取模块根据所述数据流的包头信息获取所述数据流的地址范围;
所述第一生成模块根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表;
所述第二生成模块根据所述转换函数生成所述流路径。
在第二方面或第二方面的前九种任一可能的实现方式中,还提供了第二方面的第十种可能的实现方式,所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。
本发明实施例提供一种冲突检测方法及装置,通过获取数据流在网络中的流路径,通过根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,相对于现有技术中,从冲突发生的节点处进行检测的方式,本发明实施例基于一条流路径的改变来检测冲突,不局限在一个节点上,能够从数据流在网路中传输的整条路径这个全局角度来检测冲突。
第三方面,提供了一种冲突解决的方法,在上述冲突检测的方法之后,所述冲突解决的方法包括:所述冲突解决的方法包括:
控制器确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;
在由于添加的流表规则引起冲突的情况下,所述控制器将所述添加的流表规则添加到所述第一个中间节点中;
所述控制器将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则;
所述控制器将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
在第三方面的第一种可能的实现方式中,在所述控制器确定一条流路径中的第一个中间节点之后,所述方法还包括:
在由于添加的防火墙规则引起冲突的情况下,当所述第一个中间节点中的流表规则的地址范围小于当前的防火墙的有效否定规则的地址范围;所述控制器控制所述第一个中间节点丢弃所述数据;
当所述第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,所述控制器确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据;
所述控制器控制所述第一个中间节点丢弃所述冲突数据。
在第三方面的第二种可能的实现方式中,在所述控制器确定一条流路径中的第一个中间节点之后,所述方法还包括:
所述控制器根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;
若判断结果为是,确定所述冲突由于添加的流表规则引起;
若判断结果为否,确定所述冲突由于添加的防火墙规则引起。
在第三方面的第二种可能的实现方式中,还提供了第三方面的第三种可能的实现方式,在所述确定所述冲突由于添加的防火墙规则引起之后,所述方法还包括:
判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围。
第四方面,提供了一种冲突解决的装置,所述冲突解决的装置与上述冲突检测的装置相连接,所述冲突解决的装置包括:第一确定单元,添加单元,设置单元和第一操作单元;
所述第一确定单元用于确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;
所述添加单元用于在由于添加的流表规则引起冲突的情况下,将所述添加的流表规则添加到所述第一个中间节点中;
所述设置单元用于将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则;
所述第一操作单元用于将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
在第四方面的第一种可能的实现方式中,所述装置还包括:所述装置还包括:第二操作单元、第二确定单元和第三操作单元;
所述第二操作单元用于在由于添加的防火墙规则引起冲突的情况下,当所述第一个中间节点中的流表规则的地址范围小于当前的防火墙的有效否定规则的地址范围;控制所述第一个中间节点丢弃所述数据;
所述第二确定单元用于当所述第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据;
所述第三操作单元用于控制所述第一个中间节点丢弃所述冲突数据。
在第四方面的第二种可能的实现方式,所述装置还包括:第一判断单元;
所述第一判断单元用于根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;若判断结果为是,确定所述冲突由于添加的流表规则引起;若判断结果为否,确定所述冲突由于添加的防火墙规则引起。
在第四方面的第二种可能的实现方式中,还提供了第四方面的第三种可能的实现方式,所述装置还包括:第二判断单元;
所述第二判断单元用于在所述第一判断单元结果为否的情况下判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围。
本发明实施例提供一种冲突解决的方法及装置,通过所述流路径确定数据流在流路径中的第一个中间节点,在由于添加的流表规则引起冲突的情况下,在第一个中间节点中执行添加的流表规则,相对于现有技术中从冲突发生的节点处进行阻断的方式,在整个网路中所经过的第一个中间节点处阻断冲突数据,从第一个中间结点处丢弃冲突数据,从而有效防止了冲突数据流在网路中传输。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种冲突检测的方法;
图2为本发明实施例提供的一种冲突解决的方法;
图3为本发明实施例提供的另一种冲突检测的方法;
图4为本发明实施例提供的一种获取当前的防火墙的有效否定规则的方法;
图5为本发明实施例提供的另一种冲突解决的方法;
图6为本发明实施例提供的一种冲突检测的装置;
图7为本发明实施例提供的另一种冲突检测的装置
图8为本发明实施例提供的一种冲突解决的装置;
图9为本发明实施例提供的另一种冲突解决的装置;
图10为本发明实施例提供的再一种冲突解决的装置;
图11为本发明实施例提供的又一种冲突解决的装置。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,本发明提供一种冲突检测方法,所述方法包括以下步骤101~102。
101、控制器获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则。
102、所述控制器根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
本发明实施例提供一种冲突检测方法,通过获取数据流在网络中的流路径,通过根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,相对于现有技术中,从冲突发生的节点处进行检测的方式,本发明实施例基于一条重写的流路径来检测冲突,不局限在一个节点上,能够从数据流在网路中传输的整条路径这个全局角度来检测冲突。
实施例二
如图2所示,本发明实施例提供一种冲突解决的方法,所述方法包括:
201、控制器确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径。
202、在由于添加的流表规则引起冲突的情况下,所述控制器将所述添加的流表规则添加到所述第一个中间节点中。
203、所述控制器将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则。
204、所述控制器将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
本发明实施例提供一种冲突解决的方法,通过所述流路径确定数据流在流路径中的第一个中间节点,在由于添加的流表规则引起冲突的情况下,在第一个中间节点中执行添加的流表规则,相对于现有技术中从冲突发生的节点处进行阻断的方式,在整个网路中所经过的第一个中间节点处阻断冲突数据,从第一个中间结点处丢弃冲突数据,从而有效防止了冲突数据流在网路中传输。
实施例三
如图3所示,本发明提供一种冲突检测方法,所述方法包括:以下步骤301~309,所述方法的执行主体为控制器。在本发明中,所述控制器为网路中的节点之外的单独设备中,可以是装置、虚拟机或物理服务器,通过OpenFlow协议控制网络节点之间通信,本发明实施例适用于执行OpenFlow协议下的节点之间的数据传输。
所述控制器通过以下步骤301~303获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则。
在本发明实施例中,在所述至少两个中间节点的流表中添加或删除第一流表规则之后,获取到的流路径为重写的流路径。所述节点包括交换机、路由器或者一个IP地址下的网段。
301、根据所述数据流的包头信息获取所述数据流的地址范围。
302、根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表。例如,控制器根据网路中当前的流表获取到数据流在网络中的一系列的转换函数T1,T2,T3…Tn,该转换函数为添加或删除第一流表规则之后根据当前的流表导出的重写的转换函数。
例如,恶意软件可以通过添加或删除任一项流表规则导致用于生成流路径的流表发生改变,从而通过流表生成的流路径的转换函数也被重写,进而引起数据流在网络中的流路径的被重写。
303、根据所述转换函数生成所述流路径。在本发明中301~303步骤在HSA(Header Space Analysis,头空间分析))模型中完成,HSA提供了一个二进制向量方法处理数据的模型,所述数据的包头信息也采用二进制表示,将所述数据的地址范围和所述转换函数带入HSA模型获取所述流路径。例如,数据流从源地址a,沿着302步骤中获取的(T1,T2,T3…Tn)这一系列的转换函数,到达目的地址范围b,将这些信息代入HSA模型中可以获取到数据流在网络中的流路径:a→S1→S2→S3…Sn→b,S1,S2,S3…Sn为所述数据经过的各个中间节点。
在步骤303之后,在获取流路径之后,所述方法还包括304~306,所述步骤304~306用于获取所述当前的防火墙的规则。
304、判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;若判断结果为是,则执行以下步骤305,若判断结果为否,则执行以下步骤306。
305、将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则。
306、将所述防火墙的规则确定为当前的防火墙的规则。
这样通过步骤304~306获取到当前的防火墙的规则,在获取到当前的防火墙的规则之后,可以通过以下步骤307实现冲突检测,也可以通过以下步骤308~309实现冲突检测。
307、根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。在本发明实施例中,当前的防火墙的规则在添加或删除任一项防火墙规则之后会发生改变,对检测是否存在冲突产生影响。
步骤307具体包括:判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
308、根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则。具体的,如图4所示,步骤308通过以下步骤3001~3100实现:
3001、将所述当前的防火墙的规则分成否定规则集合和允许规则集合;进一步的,针对允许规则集合和否定规则集合之间的操作执行以下步骤3002~3005,针对否定规则集合内部的操作执行以下步骤3006~3100。
3002、判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;若判断结果为是,执行以下步骤3003~3004,若判断结果为否,执行以下步骤3005。
3003、对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交接运算,得到第一交集。
3004、求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则。
3005、将所述否定规则集合确定为当前的防火墙的有效否定规则。
3006、在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;具体的,在实现步骤3006过程中,用i表示第一否定规则,i=0;i++;i<n,n为否定规则集合中的否定规则的个数;用j表示第二个否定规则,j=i+1,j++,j<n,也就是判断第i个否定规则的地址范围与第j个否定规则的地址范围是否存在第二交集。若判断结果为是,执行以下步骤3007~3009,若判断结果为否,执行以下步骤3100。
3007、判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;若判断结果为是执行以下步骤3008,若判断结果为否执行以下步骤3009:
3008、求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则。
3009、求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则。
3100、将所述否定规则集合确定为当前的防火墙的有效否定规则。
通过步骤3001~3100获取当前的防火墙的有效否定规则,那么当添加或删除任一防火墙规则时,使得当前的防火墙的规则变化,进一步使得获取当前的防火墙的有效否定规则变化,充分利用当前的防火墙规则的有效否定规则的动态可变,监测网路中是否存在冲突
309、根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
步骤309具体包括:判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
可见,所述当前的防火墙的有效否定规则为所述当前的防火墙的规则的子集,在获取所述当前的防火墙的有效否定规则过程中充分考虑了规则间的联系,避免了一些地址范围内的重复判断冲突;另外,在冲突的判断过程中采用当前的防火墙的有效否定规则相对于采用当前的防火墙的规则降低了控制器的计算量,提高了检测冲突的速度。
在本发明实施例中,所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。根据协议中的规则,可以只比较源地址范围的地址范围,也可以只比较目的地址范围的地址范围,也可以源地址范围的地址范围和目的地址范围的地址范围同时进行比较。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。
本发明实施例提供一种冲突检测方法,通过获取数据流在网络中的流路径,通过判断所述流路径的地址范围与当前的防火墙的规则的地址范围是否存在交集来检测冲突,或者,通过判断所述流路径的地址范围与当前的防火墙的有效否定规则的地址范围是否存在交集来检测冲突,相对于现有技术中,从冲突发生的节点处进行检测的方式,本发明实施例基于一条重写的流路径来检测冲突,不局限在一个节点上,能够从数据流在网路中传输的整条路径这个全局角度来检测冲突。
实施例四
如图5所示,本发明实施例提供一种冲突解决的方法,所述方法包括:以下步骤401~411,所述方法的执行主体为控制器。在本发明中,执行主体控制器为网路中的节点之外的单独设备中,可以是装置、虚拟机或物理服务器,通过OpenFlow协议控制网络节点之间通信,本发明实施例适用于执行OpenFlow协议下的节点之间的数据传输。
401、控制器确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;在本发明实施例中所述节点包括交换机、路由器或者一个IP地址下的网段。
402、根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;若判断结果为是,执行以下步骤403~406,若判断结果为否,执行以下步骤407~411,所述上报信息包括是否存在添加的流表规则;通过步骤402这一方式快速获取到冲突类型,从而方便后续冲突的解决。
403、确定所述冲突由于添加的流表规则引起。
404、所述控制器将所述添加的流表规则添加到所述第一个中间节点中。
405、所述控制器将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则。
406、所述控制器将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
步骤404~406在由于添加的流表规则引起冲突的情况下,在第一个中间节点中执行添加的流表规则,相对于现有技术中从冲突发生的节点处进行阻断的方式,本发明在整个网路中所经过的第一个中间节点处阻断冲突数据,通过利用节点之间的联系来阻断冲突数据流,从第一个中间结点处丢弃冲突数据的方式,有效防止了冲突数据流在网路中传输。
407、确定所述冲突由于添加的防火墙规则引起。
408、判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围,若判断结果为是,执行以下步骤409,若判断结果为否,执行以下步骤410和411。
409、所述控制器控制所述第一个中间节点丢弃所述数据。
410、确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据。
411、所述控制器控制所述第一个中间节点丢弃所述冲突数据。
步骤408~411在由于添加的防火墙规则引起冲突的情况下,若当前的防火墙的有效否定规则的地址范围大于第一个中间节点中的流表规则的地址范围,在第一个中间节点处丢弃所述数据,若第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,只需要丢弃数据流中的与当前的防火墙的有效否定规则冲突的部分数据,相对于现有技术中从冲突发生的节点处进行丢弃的方式,本发明建立了一个网路的全局视图,从第一个中间结点处丢弃冲突数据,充分利用节点之间的联系来阻断冲突数据流,从而有效防止了冲突数据流在网路中传输。
本发明实施例提供一种冲突解决的方法,通过所述流路径确定第一个中间节点,并在第一个中间节点处阻断冲突数据,相对于现有技术中从冲突发生的节点处进行阻断的方式,本发明建立了一个网路的全局视图,从第一个中间结点处丢弃冲突数据,充分利用节点之间的联系来阻断冲突数据流,从而有效防止了冲突数据流在网路中传输。
实施例五
如图6所示,本发明实施例提供一种冲突检测的装置10,所述装置10包括:获取单元11和第一确定单元12;
所述获取单元11用于获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;所述节点包括交换机、路由器或者一个IP地址下的网段
优选的,所述获取单元具体包括:获取模块、第一生成模块和第二生成模块;所述获取模块根据所述数据流的包头信息获取所述数据流的地址范围;所述第一生成模块根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表;所述第二生成模块根据所述转换函数生成所述流路径。
在本发明实施例中,在所述至少两个中间结点上添加或删除任一项流表规则的主体可以是恶意软件,也可以是除了控制器和网路中各个节点之外的任一装置,网络中的各节点的流表在添加或删除任一项流表规则之后会发生改变,从而产生重写的转换函数,进而引起数据流在网络中的流路径的被重写。
所述第一确定单元12用于根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
本发明实施例提供一种冲突检测装置,通过获取单元获取数据流在网络中的流路径,所述流路径经过至少两个中间节点,通过第一确定单元确定是否存在冲突,相对于现有技术中,从冲突发生的节点处进行检测的方式,本发明实施例基于流路径来检测冲突,不局限在一个节点上,能够从数据流在网路中传输的整条路径这个全局角度来检测冲突。
优选的,所述安全策略包括当前的防火墙的规则和当前的防火墙的有效否定规则。
进一步的,所述第一确定单元11包括第一确定模块,所述第一确定模块用于根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。
进一步的,所述第一确定模块具体用于判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
进一步的,所述第一确定单元还包括:生成模块;所述生成模块用于根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则。
进一步的,所述第一确定单元11还包括第二确定模块,所述第二确定模块用于根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
进一步的,所述第二确定模块具体用于判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
优选的,所述生成模块具体包括:划分子模块、第一判断子模块、第一运算子模块、第一确定子模块、第二判断子模块、第三判断子模块、第二运算子模块和第二确定子模块;
所述划分子模块用于将所述当前的防火墙的规则分成否定规则集合和允许规则集合;
所述第一判断子模块用于判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;
所述第一运算子模块用于在所述判断子模块的若判断结果为是的情况下,则对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交集运算,得到第一交集;求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则;
所述第一确定子模块用于在所述第一判断子模块的若判断结果为否的情况下;将所述否定规则集合确定为当前的防火墙的有效否定规则;
所述第二判断子模块用于在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;具体的,在第二判断子模块中,用i表示第一否定规则,i=0;i++;i<n,n为否定规则集合中的否定规则的个数;用j表示第二个否定规则,j=i+1,j++,j<n,也就是判断第i个否定规则的地址范围与第j个否定规则的地址范围是否存在第二交集。
所述第三判断子模块用于在所述第二判断子模块若所述第一否定规则的与所述第二否定规则的存在第二交集的判断结果为是的情况下,判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;
所述第二运算子模块用于在所述第三判断子模块的若判断结果为是的情况下,求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若在所述第三判断子模块的判断结果为否的情况下,求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
所述第二确定子模块用于在若所述第二判断子模块的判断结果为否的情况下,将所述否定规则集合确定为当前的防火墙的有效否定规则。
进一步的,如图7所示,所述装置10还包括:判断单元13、第二确定单元14和第三确定单元15;
所述判断单元13用于判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;在本发明实施例中,可以添加或删除任一项防火墙规则,防火墙的规则在添加或删除任一项防火墙规则之后会发生改变,当前的防火墙的规则会改变,从而对冲突检测产生影响。
所述第二确定单元14用于在所述判断单元的判断结果为是的情况下,将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则;
所述第三确定单元15用于在所述判断单元的判断结果为否的情况下,将所述防火墙的规则确定为当前的防火墙的规则。
在本发明实施例中,所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。根据协议中的规则,可以只比较源地址范围的地址范围,也可以只比较目的地址范围的地址范围,也可以源地址范围的地址范围和目的地址范围的地址范围同时进行比较。
可见,通过获取数据流在网络中的流路径,通过第一确定模块判断所述流路径的地址范围与当前的防火墙的规则的地址范围是否存在交集来检测冲突,或者,通过第二确定模块判断所述流路径的地址范围与当前的防火墙的有效否定规则的地址范围是否存在交集来检测冲突,相对于现有技术中,从冲突发生的节点处进行检测的方式,本发明实施例基于一条流路径的改变来检测冲突,不局限在一个节点上,能够从数据流在网路中传输的整条路径这个全局角度来检测冲突。
实施例六
本发明实施例提供一种冲突解决的装置20,所述装置20与上述冲突检测的装置10相连接,如图8所示,所述冲突解决的装置包括:第一确定单元21,添加单元22,设置单元23和第一操作单元24。
所述第一确定单元21用于确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;在本发明实施例中所述节点包括交换机、路由器或者一个IP地址下的网段。
所述添加单元22用于在由于添加的流表规则引起冲突的情况下,将所述添加的流表规则添加到所述第一个中间节点中;
所述设置单元23用于将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则;
所述第一操作单元24用于将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
这样,本发明实施例提供的一种冲突解决的装置,通过第一确定单元确定第一个中间节点,在由于添加的流表规则引起冲突的情况下,通过第一操作单元在第一个中间节点中执行添加的流表规则,也就是在整个网路中所经过的第一个中间节点处阻断冲突数据,相对于现有技术中从冲突发生的节点处进行阻断的方式,建立了一个网路的全局视图,充分利用节点之间的联系来阻断冲突数据。
优选的,如图9所示,所述装置20还包括:第二操作单元25、第二确定单元26和第三操作单元27;
所述第二操作单元25用于在由于添加的防火墙规则引起冲突的情况下,当所述第一个中间节点中的流表规则的地址范围小于当前的防火墙的有效否定规则的地址范围;控制所述第一个中间节点丢弃所述数据;
所述第二确定单元26用于当所述第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据;
所述第三操作单元27用于控制所述第一个中间节点丢弃所述冲突数据。
进一步的,如图10所示,所述装置20还包括:第一判断单元28;
所述第一判断单元28用于根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;若判断结果为是,确定所述冲突由于添加的流表规则引起;若判断结果为否,确定所述冲突由于添加的防火墙规则引起。
进一步的,如图11所示,所述装置20还包括:第二判断单元29;
所述第二判断单元用于所述第一判断单元结果为否的情况下判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围。
这样,通过第一确定单元确定第一个中间节点,在由于添加的防火墙规则引起冲突的情况下,若当前的防火墙的有效否定规则的地址范围大于第一个中间节点中的流表规则的地址范围,通过第二操作单元在第一个中间节点中丢弃所述数据流,若第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,通过第三操作单元丢弃冲突数据;相对于现有技术中从冲突发生的节点处进行丢弃数据的方式,本发明实施例基于流路径建立一个网络的全局视图,从而从第一个中间结点处解决冲突,充分利用节点之间的联系来阻断冲突数据流,从而有效防止了冲突数据流在网路中传输。
实施例七
本发明实施例提供一种冲突检测的装置,所述装置包括:处理器;
所述处理器用于获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;所述处理器具体用于根据所述数据流的包头信息获取所述数据流的地址范围;根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表;根据所述转换函数生成所述流路径。
所述处理器用于根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
优选的,所述安全策略包括当前的防火墙的规则和当前的防火墙的有效否定规则。
所述处理器还用于根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。
所述处理器具体用于判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
进一步的,所述处理器用于根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则,进一步的所述处理器具体用于:
将所述当前的防火墙的规则分成否定规则集合和允许规则集合;
判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;
若判断结果为是,则对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交集运算,得到第一交集;
求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则;
若判断结果为否;
将所述否定规则集合确定为当前的防火墙的有效否定规则;
在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;
若所述第一否定规则的地址范围与所述第二否定规则的地址范围存在第二交集,判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;
若判断结果为是,求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若判断结果为否,求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若所述第一否定规则的地址范围与所述第二否定规则的地址范围没有存在第二交集,将所述否定规则集合确定为当前的防火墙的有效否定规则。
进一步的,所述处理器用于根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
所述处理器具体用于判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
进一步的,所述处理器用于判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;
在所述判断结果为是的情况下,将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则;
在判断结果为否的情况下,将所述防火墙的规则确定为当前的防火墙的规则。
所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。
本发明实施例提供一种冲突检测装置,通过获取数据流在网络中的流路径,通过根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,相对于现有技术中,从冲突发生的节点处进行检测的方式,本发明实施例基于一条流路径的改变来检测冲突,不局限在一个节点上,能够从数据流在网路中传输的整条路径这个全局角度来检测冲突。
本发明实施例还提供一种冲突解决的装置,与上述冲突检测的装置相连接,所述冲突解决的装置包括:处理器;
所述处理器用于确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;在由于添加的流表规则引起冲突的情况下,将所述添加的流表规则添加到所述第一个中间节点中;
将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则;
将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
进一步的,所处理器用于在由于添加的防火墙规则引起冲突的情况下,当所述第一个中间节点中的流表规则的地址范围小于当前的防火墙的有效否定规则的地址范围;控制所述第一个中间节点丢弃所述数据;当所述第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据;控制所述第一个中间节点丢弃所述冲突数据。
进一步的,所述处理器还用于根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;若判断结果为是,确定所述冲突由于添加的流表规则引起;若判断结果为否,确定所述冲突由于添加的防火墙规则引起。在判断结果为否的情况下判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围。
本发明实施例提供一种冲突解决的装置,通过所述流路径确定数据流在流路径中的第一个中间节点,在由于添加的流表规则引起冲突的情况下,在第一个中间节点中执行添加的流表规则,相对于现有技术中从冲突发生的节点处进行阻断的方式,在整个网路中所经过的第一个中间节点处阻断冲突数据,从第一个中间结点处丢弃冲突数据,从而有效防止了冲突数据流在网路中传输。
需要说明的是,前述实施例描述中所采用的第一、第二的说法,没有限定顺序的意思,仅为方便区分而已。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (30)
1.一种冲突检测的方法,其特征在于,所述方法包括:
控制器获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;
所述控制器根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
2.根据权利要求1所述的方法,其特征在于,所述安全策略包括当前的防火墙的规则和当前的防火墙的有效否定规则。
3.根据权利要求2所述的方法,其特征在于,所述根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,具体包括:
根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。
4.根据权利要求3所述的方法,其特征在于,所述根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突,具体包括:
判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
5.根据权利要求2所述的方法,其特征在于,在所述获取数据流在网络中的一条流路径之后,所述方法还包括:
根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则。
6.根据权利要求5所述的方法,其特征在于,所述根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突,具体包括:
根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
7.根据权利要求6所述的方法,其特征在于,所述根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突,具体包括:
判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
8.根据权利要求5所述的方法,其特征在于,所述根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则,具体包括:
将所述当前的防火墙的规则分成否定规则集合和允许规则集合;
判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;
若判断结果为是,则对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交集运算,得到第一交集;
求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则;
若判断结果为否,将所述否定规则集合确定为当前的防火墙的有效否定规则;
在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;
若所述第一否定规则的地址范围与所述第二否定规则的地址范围存在第二交集,判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;
若判断结果为是,求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若判断结果为否,求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
若所述第一否定规则的地址范围与所述第二否定规则的地址范围没有存在第二交集,将所述否定规则集合确定为当前的防火墙的有效否定规则。
9.根据权利要求1所述的方法,其特征在于,在所述获取数据流在网络中的一条流路径之后,所述方法还包括:
判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;
若判断结果为是,将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则;
若判断结果为否,将所述防火墙的规则确定为当前的防火墙的规则。
10.根据权利要求1所述的方法,其特征在于,所述获取数据流在网络中的一条流路径具体包括:
根据所述数据流的包头信息获取所述数据流的地址范围;
根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表;
根据所述转换函数生成所述流路径。
11.根据权利要求1~10任一项所述的方法,其特征在于,所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。
12.一种冲突解决的方法,其特征在于,在上述冲突检测的方法1~11之后,所述冲突解决的方法包括:
控制器确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;
在由于添加的流表规则引起冲突的情况下,所述控制器将所述添加的流表规则添加到所述第一个中间节点中;
所述控制器将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则;
所述控制器将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
13.根据权利要求12所述的方法,其特征在于,在所述控制器确定一条流路径中的第一个中间节点之后,所述方法还包括:
在由于添加的防火墙规则引起冲突的情况下,当所述第一个中间节点中的流表规则的地址范围小于当前的防火墙的有效否定规则的地址范围;所述控制器控制所述第一个中间节点丢弃所述数据;
当所述第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,所述控制器确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据;
所述控制器控制所述第一个中间节点丢弃所述冲突数据。
14.根据权利要求12所述的方法,其特征在于,在所述控制器确定一条流路径中的第一个中间节点之后,所述方法还包括:
所述控制器根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;
若判断结果为是,确定所述冲突由于添加的流表规则引起;
若判断结果为否,确定所述冲突由于添加的防火墙规则引起。
15.根据权利要求14所述的方法,其特征在于,在所述确定所述冲突由于添加的防火墙规则引起之后,所述方法还包括:
判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围。
16.一种冲突检测的装置,其特征在于,所述装置包括:获取单元和第一确定单元;
所述获取单元用于获取数据流在网络中的一条流路径;所述流路径用于表示所述数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径,所述至少两个中间节点的流表中被添加或删除第一流表规则,所述第一流表规则为任一流表规则;
所述第一确定单元用于根据所述流路径的地址范围与安全策略的地址范围确定是否存在冲突。
17.根据权利要求16所述的装置,其特征在于,所述安全策略包括当前的防火墙的规则和当前的防火墙的有效否定规则。
18.根据权利要求17所述的装置,其特征在于,所述第一确定单元包括第一确定模块,所述第一确定模块用于根据所述流路径的地址范围与所述当前的防火墙的规则的地址范围确定是否存在冲突。
19.根据权利要求18所述的装置,其特征在于,所述第一确定模块具体用于判断所述流路径的地址范围与所述当前的防火墙的规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的规则不存在冲突。
20.根据权利要求17所述的装置,其特征在于,所述第一确定单元还包括:生成模块;
所述生成模块用于根据所述当前的防火墙的规则生成所述当前的防火墙的有效否定规则。
21.根据权利要求20所述的装置,其特征在于,所述第一确定单元还包括第二确定模块,所述第二确定模块用于根据所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围确定是否存在冲突。
22.根据权利要求21所述的装置,其特征在于,所述第二确定模块具体用于判断所述流路径的地址范围与所述当前的防火墙的有效否定规则的地址范围是否存在交集,如果存在交集,则所述流路径与所述当前的防火墙的有效否定规则存在冲突,如果不存在交集,则所述流路径与所述当前的防火墙的有效否定规则不存在冲突。
23.根据权利要求20所述的装置,其特征在于,所述生成模块具体包括:划分子模块、第一判断子模块、第一运算子模块、第一确定子模块、第二判断子模块、第三判断子模块、第二运算子模块和第二确定子模块;
所述划分子模块用于将所述当前的防火墙的规则分成否定规则集合和允许规则集合;
所述第一判断子模块用于判断所述允许规则集合的优先级是否大于所述否定规则集合的优先级;
所述第一运算子模块用于在所述判断子模块的判断结果为是的情况下,则对所述允许规则集合的地址范围和所述否定规则集合的地址范围进行交集运算,得到第一交集;求取所述否定规则集合与所述第一交集之差,得到当前的防火墙的有效否定规则;
所述第一确定子模块用于在所述第一判断子模块的判断结果为否的情况下,将所述否定规则集合确定为当前的防火墙的有效否定规则;
所述第二判断子模块用于在所述否定规则集合中,判断第一否定规则的地址范围与第二否定规则的地址范围是否存在第二交集,所述第一否定规则与所述第二否定规则为所述否定规则集合中的任意两个否定规则;
所述第三判断子模块用于在所述第二判断子模块的判断结果为是的情况下,判断所述第一否定规则的优先级是否大于所述第二否定规则的优先级;
所述第二运算子模块用于在所述第三判断子模块的判断结果为是的情况下,求取所述第二否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;在所述第三判断子模块的判断结果为否的情况下,求取所述第一否定规则的地址范围与所述第二交集之差,得到当前的防火墙的有效否定规则;
所述第二确定子模块用于在所述第二判断子模块的判断结果为否的情况下,将所述否定规则集合确定为当前的防火墙的有效否定规则。
24.根据权利要求16所述的装置,其特征在于,所述装置还包括:判断单元、第二确定单元和第三确定单元;
所述判断单元用于判断防火墙的规则中是否添加或删除第一防火墙规则,所述第一防火墙规则为任一项防火墙规则;
所述第二确定单元用于在所述判断单元的判断结果为是的情况下,将添加或删除第一防火墙规则之后的防火墙的规则确定为当前的防火墙的规则;
所述第三确定单元用于在所述判断单元的判断结果为否的情况下,将所述防火墙的规则确定为当前的防火墙的规则。
25.根据权利要求16所述的装置,其特征在于,所述获取单元具体包括:获取模块、第一生成模块和第二生成模块;
所述获取模块根据所述数据流的包头信息获取所述数据流的地址范围;
所述第一生成模块根据所述数据流的地址范围和所述至少两个中间节点的当前的流表生成用于形成所述流路径的转换函数;所述当前的流表为添加或删除所述第一流表规则之后的流表;
所述第二生成模块根据所述转换函数生成所述流路径。
26.根据权利要求16~25任一项所述的装置,其特征在于,所述流路径的地址范围、所述当前的防火墙的规则的地址范围、所述当前的防火墙的有效否定规则的地址范围、所述允许规则集合的地址范围、所述否定规则集合的地址范围、所述第一否定规则的地址范围和所述第二否定规则的地址范围都包括源地址范围和/或目的地址范围。
27.一种冲突解决的装置,其特征在于,所述冲突解决的装置与上述权利要求16~26任一项冲突检测的装置相连接,所述冲突解决的装置包括:第一确定单元,添加单元,设置单元和第一操作单元;
所述第一确定单元用于确定一条流路径中的第一个中间节点;所述流路径用于表示数据流从源地址范围经过所述网络中的至少两个中间节点到达目的地址范围的路径;
所述添加单元用于在由于添加的流表规则引起冲突的情况下,将所述添加的流表规则添加到所述第一个中间节点中;
所述设置单元用于将所述添加的流表规则的优先级设置为最高,从而当所述数据流在所述第一个中间节点处先执行所述添加的流表规则;
所述第一操作单元用于将所述添加的流表规则的操作状态置为丢弃,从而控制所述第一个中间节点丢弃所述数据。
28.根据权利要求27所述的装置,其特征在于,所述装置还包括:第二操作单元、第二确定单元和第三操作单元;
所述第二操作单元用于在由于添加的防火墙规则引起冲突的情况下,当所述第一个中间节点中的流表规则的地址范围小于当前的防火墙的有效否定规则的地址范围;控制所述第一个中间节点丢弃所述数据;
所述第二确定单元用于当所述第一个中间节点中的流表规则的地址范围大于当前的防火墙的有效否定规则的地址范围,确定所述数据流中与所述当前的防火墙的有效否定规则产生冲突的冲突数据;
所述第三操作单元用于控制所述第一个中间节点丢弃所述冲突数据。
29.根据权利要求27所述的装置,其特征在于,所述装置还包括:第一判断单元;
所述第一判断单元用于根据所述至少两个中间节点的上报信息判断冲突是否由添加的流表规则引起;若判断结果为是,确定所述冲突由于添加的流表规则引起;若判断结果为否,确定所述冲突由于添加的防火墙规则引起。
30.根据权利要求29所述的装置,其特征在于,所述装置还包括:第二判断单元;
所述第二判断单元用于在所述第一判断单元结果为否的情况下判断所述第一个中间节点中的流表规则的地址范围是否小于所述当前的防火墙的有效否定规则的地址范围。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310532941.5A CN104601526B (zh) | 2013-10-31 | 2013-10-31 | 一种冲突检测及解决的方法、装置 |
PCT/CN2014/080558 WO2015062291A1 (zh) | 2013-10-31 | 2014-06-24 | 一种冲突检测及解决的方法、装置 |
EP14858919.5A EP2991304B1 (en) | 2013-10-31 | 2014-06-24 | Conflict detection and solving method and device |
US14/982,363 US10044759B2 (en) | 2013-10-31 | 2015-12-29 | Conflict detection and resolution methods and apparatuses |
US16/015,208 US10917437B2 (en) | 2013-10-31 | 2018-06-22 | Conflict detection and resolution methods and apparatuses |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310532941.5A CN104601526B (zh) | 2013-10-31 | 2013-10-31 | 一种冲突检测及解决的方法、装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104601526A true CN104601526A (zh) | 2015-05-06 |
CN104601526B CN104601526B (zh) | 2018-01-09 |
Family
ID=53003264
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310532941.5A Active CN104601526B (zh) | 2013-10-31 | 2013-10-31 | 一种冲突检测及解决的方法、装置 |
Country Status (4)
Country | Link |
---|---|
US (2) | US10044759B2 (zh) |
EP (1) | EP2991304B1 (zh) |
CN (1) | CN104601526B (zh) |
WO (1) | WO2015062291A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105490936A (zh) * | 2015-12-14 | 2016-04-13 | 国网吉林省电力有限公司信息通信公司 | 一种基于sdn的避免冲突的快速数据传输方法 |
CN105897493A (zh) * | 2016-06-28 | 2016-08-24 | 电子科技大学 | 一种sdn规则冲突的检测方法 |
CN106453079A (zh) * | 2016-09-13 | 2017-02-22 | 浙江工商大学 | 一种基于深度学习的sdn流表冲突检测方法 |
CN106685689A (zh) * | 2016-10-26 | 2017-05-17 | 浙江工商大学 | 一种基于深度学习的sdn流表冲突检测装置及方法 |
CN108632203A (zh) * | 2017-03-16 | 2018-10-09 | 哈尔滨英赛克信息技术有限公司 | 一种基于别名集规则缩减的流表规则冲突优化方法 |
CN110365655A (zh) * | 2019-06-20 | 2019-10-22 | 苏州浪潮智能科技有限公司 | 一种防火墙规则添加方法及装置 |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9742666B2 (en) | 2013-07-09 | 2017-08-22 | Nicira, Inc. | Using headerspace analysis to identify classes of packets |
US10044676B2 (en) | 2015-04-03 | 2018-08-07 | Nicira, Inc. | Using headerspace analysis to identify unneeded distributed firewall rules |
US9986019B2 (en) * | 2015-06-24 | 2018-05-29 | At&T Intellectual Property I, L.P. | Intelligent route management for diverse ecosystems |
CN106713182B (zh) * | 2015-08-10 | 2020-10-09 | 华为技术有限公司 | 一种处理流表的方法及装置 |
US10778722B2 (en) * | 2016-11-08 | 2020-09-15 | Massachusetts Institute Of Technology | Dynamic flow system |
US10587479B2 (en) * | 2017-04-02 | 2020-03-10 | Nicira, Inc. | GUI for analysis of logical network modifications |
CN107800640B (zh) * | 2017-09-19 | 2020-07-28 | 北京邮电大学 | 一种流规则的检测和处理的方法 |
US10531351B2 (en) * | 2017-10-20 | 2020-01-07 | Nec Corporation | Method for in-network, dynamic radio access network functional split configuration by radio access network data plane forwarding nodes |
CN109104364B (zh) * | 2017-11-27 | 2020-11-06 | 新华三技术有限公司 | 一种指定转发者选举方法和装置 |
JP6805196B2 (ja) * | 2018-02-23 | 2020-12-23 | 日本電信電話株式会社 | ポリシー競合解消システム及びポリシー競合解消方法 |
US10691304B1 (en) * | 2018-10-22 | 2020-06-23 | Tableau Software, Inc. | Data preparation user interface with conglomerate heterogeneous process flow elements |
CN114268443B (zh) | 2020-09-14 | 2023-04-18 | 华为技术有限公司 | 一种规则检测方法以及相关设备 |
US11477167B2 (en) * | 2020-12-16 | 2022-10-18 | Microsoft Technology Licensing, Llc | Systems and methods for performing dynamic firewall rule evaluation |
CN115348065B (zh) * | 2022-07-29 | 2024-04-12 | 中国舰船研究设计中心 | 一种基于可编程数据平面的防火墙绕行冲突检测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
US20090282478A1 (en) * | 2008-05-09 | 2009-11-12 | Wu Jiang | Method and apparatus for processing network attack |
CN101753369A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种检测防火墙规则冲突的方法及装置 |
CN101827084A (zh) * | 2009-01-28 | 2010-09-08 | 丛林网络公司 | 网络设备的高效的应用程序识别 |
US20120109913A1 (en) * | 2010-10-31 | 2012-05-03 | Rajure Abhay C | Method and system for caching regular expression results |
CN102474499A (zh) * | 2009-07-10 | 2012-05-23 | 瑞典爱立信有限公司 | 用于选择IPsec策略的方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7441022B1 (en) * | 2004-03-12 | 2008-10-21 | Sun Microsystems, Inc. | Resolving conflicts between network service rule sets for network data traffic in a system where rule patterns with longer prefixes match before rule patterns with shorter prefixes |
US7505463B2 (en) * | 2004-06-15 | 2009-03-17 | Sun Microsystems, Inc. | Rule set conflict resolution |
CN101005712B (zh) | 2006-01-17 | 2010-06-23 | 中兴通讯股份有限公司 | 资源抢占状态下通过重新进行路由计算建立连接的方法 |
ATE502473T1 (de) * | 2007-08-08 | 2011-04-15 | Mitsubishi Electric Corp | Verwaltung von konflikten in sicherheitsregeln |
CN100499556C (zh) | 2007-10-17 | 2009-06-10 | 中国人民解放军国防科学技术大学 | 异构多核处理器高速异步互连通信网络 |
CN101179492B (zh) | 2007-11-14 | 2010-07-28 | 中国人民解放军理工大学 | 用于随机接入时隙化自组织网络中的节能包冲突解析方法 |
JP5446040B2 (ja) * | 2009-09-28 | 2014-03-19 | 日本電気株式会社 | コンピュータシステム、及び仮想マシンのマイグレーション方法 |
US8345688B2 (en) * | 2010-02-23 | 2013-01-01 | Google Inc. | System and method for managing flow of packets |
US8693344B1 (en) * | 2011-09-27 | 2014-04-08 | Big Switch Network, Inc. | Systems and methods for generating packet forwarding rules based on network policy |
CN102685006A (zh) * | 2012-05-03 | 2012-09-19 | 中兴通讯股份有限公司 | 一种转发数据报文的方法及装置 |
US9705918B2 (en) * | 2012-05-22 | 2017-07-11 | Sri International | Security mediation for dynamically programmable network |
CN103067534B (zh) * | 2012-12-26 | 2016-09-28 | 中兴通讯股份有限公司 | 一种NAT实现系统、方法及Openflow交换机 |
CN103051557B (zh) * | 2012-12-27 | 2016-07-06 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
-
2013
- 2013-10-31 CN CN201310532941.5A patent/CN104601526B/zh active Active
-
2014
- 2014-06-24 WO PCT/CN2014/080558 patent/WO2015062291A1/zh active Application Filing
- 2014-06-24 EP EP14858919.5A patent/EP2991304B1/en active Active
-
2015
- 2015-12-29 US US14/982,363 patent/US10044759B2/en active Active
-
2018
- 2018-06-22 US US16/015,208 patent/US10917437B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
US20090282478A1 (en) * | 2008-05-09 | 2009-11-12 | Wu Jiang | Method and apparatus for processing network attack |
CN101753369A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种检测防火墙规则冲突的方法及装置 |
CN101827084A (zh) * | 2009-01-28 | 2010-09-08 | 丛林网络公司 | 网络设备的高效的应用程序识别 |
CN102474499A (zh) * | 2009-07-10 | 2012-05-23 | 瑞典爱立信有限公司 | 用于选择IPsec策略的方法 |
US20120109913A1 (en) * | 2010-10-31 | 2012-05-03 | Rajure Abhay C | Method and system for caching regular expression results |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105490936A (zh) * | 2015-12-14 | 2016-04-13 | 国网吉林省电力有限公司信息通信公司 | 一种基于sdn的避免冲突的快速数据传输方法 |
CN105490936B (zh) * | 2015-12-14 | 2018-06-15 | 国网吉林省电力有限公司信息通信公司 | 一种基于sdn的避免冲突的快速数据传输方法 |
CN105897493A (zh) * | 2016-06-28 | 2016-08-24 | 电子科技大学 | 一种sdn规则冲突的检测方法 |
CN105897493B (zh) * | 2016-06-28 | 2018-11-09 | 电子科技大学 | 一种sdn规则冲突的检测方法 |
CN106453079A (zh) * | 2016-09-13 | 2017-02-22 | 浙江工商大学 | 一种基于深度学习的sdn流表冲突检测方法 |
CN106453079B (zh) * | 2016-09-13 | 2019-07-16 | 浙江工商大学 | 一种基于深度学习的sdn流表冲突检测方法 |
CN106685689A (zh) * | 2016-10-26 | 2017-05-17 | 浙江工商大学 | 一种基于深度学习的sdn流表冲突检测装置及方法 |
CN106685689B (zh) * | 2016-10-26 | 2019-08-27 | 浙江工商大学 | 一种基于深度学习的sdn流表冲突检测装置及方法 |
CN108632203A (zh) * | 2017-03-16 | 2018-10-09 | 哈尔滨英赛克信息技术有限公司 | 一种基于别名集规则缩减的流表规则冲突优化方法 |
CN110365655A (zh) * | 2019-06-20 | 2019-10-22 | 苏州浪潮智能科技有限公司 | 一种防火墙规则添加方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US10917437B2 (en) | 2021-02-09 |
US20180302447A1 (en) | 2018-10-18 |
CN104601526B (zh) | 2018-01-09 |
EP2991304A4 (en) | 2016-07-06 |
WO2015062291A1 (zh) | 2015-05-07 |
US20160112460A1 (en) | 2016-04-21 |
EP2991304A1 (en) | 2016-03-02 |
EP2991304B1 (en) | 2020-01-08 |
US10044759B2 (en) | 2018-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104601526A (zh) | 一种冲突检测及解决的方法、装置 | |
Huang et al. | ROSRV: Runtime verification for robots | |
US9553772B2 (en) | Dynamically determining node locations to apply learning machine based network performance improvement | |
CN103324592B (zh) | 一种数据迁移控制方法、数据迁移方法及装置 | |
US10164908B2 (en) | Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM) | |
CN106610888A (zh) | 电源供应单元、测试方法以及非暂态计算机可读存储介质 | |
CN108039964A (zh) | 基于网络功能虚拟化的故障处理方法及装置、系统 | |
CN106101011A (zh) | 一种报文处理方法及装置 | |
KR20160019096A (ko) | 가상 네트워크 매핑 보호 방법, 시스템 및 컴퓨터 저장 매체 | |
US9674053B2 (en) | Automatic target selection | |
CN104852887A (zh) | 基于OpenFlow技术的网络流量溯源系统及方法 | |
CN110238841B (zh) | 障碍物的避让方法及装置 | |
CN109714221A (zh) | 网络数据包的确定方法、装置及系统 | |
CN110300090A (zh) | 基于主机威胁的网络地址来实施威胁策略动作 | |
CN103701822A (zh) | 访问控制方法 | |
CN108370373A (zh) | 用于检测和防御恶意数据流网络入侵的系统和方法 | |
CN104205745B (zh) | 报文处理的方法与设备 | |
CN109660624A (zh) | 内容分发网络资源的规划方法、服务器及存储介质 | |
CN109104369B (zh) | 一种路径选择方法及装置 | |
CN106878106A (zh) | 一种可达性检测方法及装置 | |
Wang et al. | Topology poisoning attacks and countermeasures in SDN-enabled vehicular networks | |
CN106878202A (zh) | 一种报文处理方法及装置 | |
CN110381082A (zh) | 基于Mininet的电力通信网络的攻击检测方法和装置 | |
EP3285440B1 (en) | Switching network synchronization method, switching device, access device and storage medium | |
Kiani et al. | Distributed rule anomaly detection in SDN-based IoT |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |