CN104639504A - 网络协同防御方法、装置和系统 - Google Patents
网络协同防御方法、装置和系统 Download PDFInfo
- Publication number
- CN104639504A CN104639504A CN201310561435.9A CN201310561435A CN104639504A CN 104639504 A CN104639504 A CN 104639504A CN 201310561435 A CN201310561435 A CN 201310561435A CN 104639504 A CN104639504 A CN 104639504A
- Authority
- CN
- China
- Prior art keywords
- subnet
- defence
- safety means
- information
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供一种网络协同防御方法、装置和系统,通过控制器接收被攻击的第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息,控制器根据告警信息生成流表信息,将流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备,相当于,一个子网的安全设备检测到攻击之后,生成告警信息,通过控制器将告警信息共享给该子网的交换设备和其他未受攻击的子网的交换设备,形成全网范围内的协同防御,提高网络的安全性,其中,控制器只进行告警信息的共享,而无需对进入网络的数据流进行处理,提高了控制器的处理性能。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及一种网络协同防御方法、装置和系统。
背景技术
软件定义网络(Software Defined Network,以下简称:SDN)是一种将网络的控制平面和转发平面进行分离的网络架构,控制平面由控制器来部署高层策略,转发平面的网络设备在高层策略指导下进行数据流转发,从而减少原有网络设备承载的诸多复杂功能,提高网络的灵活性和整体性。
在现有的SDN中,控制器采用预设的网络防御策略对待进入各子网中的数据流进行防御,也就是,进入各子网的数据流要先经过控制器采用预设的网络防御策略进行数据流过滤,过滤之后的数据流才能通过各子网的交换机转发到各子网,以保证网络的安全性。
然而,采用现有技术的方法进行网络防御时,由于所有进入子网的数据流都要经过控制器进行数据流过滤,增加了控制器的负载,降低了控制器的处理性能。
发明内容
本发明实施例提供一种网络协同防御方法、装置和系统,以提高控制器的处理性能。
本发明实施例第一方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
所述控制器接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;
所述控制器根据所述攻击信息的特征信息生成流表信息;
所述控制器将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
结合第一方面,在第一种可能的实现方式中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;
所述控制器接收第一子网的安全设备发送的告警信息之后,还包括:
所述控制器将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
结合第一方面,在第二种可能的实现方式中,所述控制器接收第一子网的安全设备发送的告警信息之后,还包括:
所述控制器根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;
所述控制器将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
本发明实施例第二方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
第一子网的安全设备接收攻击信息;
所述第一子网的安全设备向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
结合第二方面,在第一种可能的实现方式中,所述告警信息中还包含所述第一子网的安全设备根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
本发明实施例第三方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
所述控制器接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
所述控制器将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
本发明实施例第四方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
所述第一子网的安全设备接收攻击信息;
所述第一子网的安全设备根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
所述第一子网的安全设备向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
本发明实施例第五方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;
处理模块,用于根据所述攻击信息的特征信息生成流表信息;
发送模块,用于将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
结合第五方面,在第一种可能的实现方式中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;
所述发送模块,还用于在接收第一子网的安全设备发送的告警信息之后,将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
结合第五方面,在第二种可能的实现方式中,所述处理模块还用于,在所述接收模块接收第一子网的安全设备发送的告警信息之后,根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;
所述发送模块,还用于将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
本发明实施例第六方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收攻击信息;
发送模块,用于向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
结合第六方面,在第一种可能的实现方式中,所述告警信息中还包含根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
本发明实施例第七方面提供一种网络协同防御系统包括:
如第五方面任一种可能的实现方式中的网络协同防御装置和如第六方面任一种可能的实现方式中的网络协同防御装置。
本发明实施例第八方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
发送模块,用于将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
本发明实施例第九方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收攻击信息;
处理模块,用于根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
发送模块,用于向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
本发明实施例第十方面提供一种网络协同防御系统,包括:
如第八方面所述的网络协同防御装置和如第九方面所述的网络协同防御装置。
本发明实施例提供的网络协同防御方法、装置和系统,通过控制器接收被攻击的第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息,控制器根据告警信息生成流表信息,将流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备,相当于,一个子网的安全设备检测到攻击之后,生成告警信息,通过控制器将告警信息共享给该子网的交换设备和其他未受攻击的子网的交换设备,形成全网范围内的协同防御,提高网络的安全性,其中,控制器只进行告警信息的共享,而无需对进入网络的数据流进行处理,提高了控制器的处理性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网络协同防御方法实施例一的流程示意图;
图2为本发明网络协同防御方法实施例二的流程示意图;
图3为本发明网络协同防御方法实施例三的流程示意图;
图4为本发明网络协同防御方法实施例四的流程示意图;
图5为本发明网络协同防御方法实施例五的流程示意图;
图6为本发明网络协同防御方法实施例六的流程示意图;
图7为本发明本发明网络协同防御方法实施例建立连接的信令图;
图8为本发明网络协同防御装置实施例一的结构示意图;
图9为本发明网络协同防御装置实施例二的结构示意图;
图10为本发明网络协同防御系统实施例一的结构示意图;
图11为本发明网络协同防御装置实施例三的结构示意图;
图12为本发明网络协同防御装置实施例四的结构示意图;
图13为本发明网络协同防御系统实施例二的结构示意图;
图14为本发明网络协同防御装置实施例五的结构示意图;
图15为本发明网络协同防御装置实施例六的结构示意图;
图16为本发明网络协同防御装置实施例七的结构示意图;
图17为本发明网络协同防御装置实施例八的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明技术方案的主要思想是通过控制器将被攻击网络的安全设备上报的告警信息,共享给其他网络的交换设备和/或安全设备,以实现全网范围内的网络设备协同防御,提高网络的安全性,减少控制器的负载,提高控制器的处理性能。
下面以几个具体的实施例对本发明的技术方案进行详细说明。
图1为本发明网络协同防御方法实施例一的流程示意图,图1所示实施例的网络中包含一个控制器、第一子网和至少一个第二子网,控制器可以控制第一子网和至少一个第二子网,其中,第一子网是指被攻击的子网,第二子网是指控制第一子网的控制器连接的其他子网,被攻击子网部署有深度报文检测(Deep Packet Inspection,以下简称:DPI)设备,其中,DPI设备可以为入侵检测系统(Intrusion Detection Systems,以下简称:IDS)或者入侵防御系统(Intrusion Prevention System,以下简称:IPS)等网络安全设备,本实施例的执行主体是SDN中的控制器,如图1所示,本实施例的方法如下:
S101:控制器接收第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息。
其中,第一子网为被攻击的子网,第一子网的安全设备接收到数据流之后,通过DPI检测分析,获知对应的数据流为攻击信息,则生成告警信息,将告警信息发送给控制器,告警信息可以为攻击信息的特征信息。
S102:控制器根据上述攻击信息的特征信息生成流表信息。
意思是,上述流表信息对应的数据流都属于攻击信息,交换设备应该阻止其进入对应的子网中。
S103:控制器将上述流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备。
具体地,控制器将流表信息转给第一子网的交换设备和至少一个第二子网的交换设备,以使第一子网的交换设备和至少一个第二子网的交换设备根据上述流表信息对进入对应子网的数据流进行过滤,实现全网范围的网络设备协同防御。
本实施例中,通过控制器接收被攻击的第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息,控制器根据攻击信息的特征信息生成流表信息,将流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备,相当于,一个子网的安全设备检测到攻击之后,生成告警信息,通过控制器将告警信息共享给该子网的交换设备和其他未受攻击的子网的交换设备,形成全网范围内的协同防御,提高网络的安全性,其中,控制器只进行告警信息的共享,而无需对进入网络的数据流进行处理,提高了控制器的处理性能。
图2为本发明网络协同防御方法实施例二的流程示意图,图2与图1所示实施例不同的是,图2所示实施例的应用场景中,第二子网中也必须部署有DPI设备,DPI设备部署于交换设备和子网之间,即数据流先经过交换设备,再经过DPI设备进入各子网,其中,DPI设备可以为IDS或者IPS等网络安全设备。本实施例的执行主体是SDN中的控制器,如图2所示,本实施例的方法如下:
S201:控制器接收第一子网的安全设备发送的告警信息,上述告警信息中包含攻击信息的特征信息以及根据上述攻击信息的特征信息生成的第一防御规则。
其中,第一子网为被攻击的子网,第一子网的安全设备接收到数据流之后,通过DPI检测分析,获知对应的数据流为攻击信息,则生成告警信息,将告警信息发送给控制器,告警信息可以为攻击信息的特征信息,第一子网的安全设备根据攻击信息的特征信息生成第一防御规则,第一防御规则为外部网络访问所述第一子网的访问规则,安全设备可以根据第一防御规则对经过网络设备的数据流进行进一步的过滤。
其中,第一防御规则可以包括:(告警/记录/通过等)来自外部网络(EXTERNAL_NET)或者指定网络协议(Internet Protocol,以下简称:IP)等源地址到达内部网络(HOME_NET)或者指定IP等目的地址的传输控制协议(Transfer Control Protocol,简称:TCP)或者用户数据报协议(UserDatagram Protocol,简称UDP)或者网络控制报文协议(Internet Control MessageProtocol,以下简称:ICMP)或者IP等协议,或指明包中某一字段,如:从有效载荷(payload)的0位到7位包含某一内容(如$MyINFO)的数据包。
例如:
alert tcp $HOME_NET any->$EXTERNAL_NET any(msg:″BLEEDING-EDGE P2P Direct Connect Traffic(client-server)″;
flow:from_client,established;content:″$MyINFO″;offset:0;depth:7;
classtype:policy-violation;
reference:url,en.wikipedia.org/wiki/Direct_connect_file-sharing_application;
sid:2002814;rev:1;)
注释:检测TCP协议,从要保护的本地网络到外部网络的连接,是任意端口到任意端口,即any到any.方向flow:from_client,匹配payload里的第0位开始,长度是7,是否存在″$MyINFO″。
S202:控制器根据攻击信息的特征信息生成流表信息。
本步骤与S102类似,参考S102的详细描述,在此不再赘述。
S203:控制器将上述流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备。
本步骤与S103类似,参考S103的详细描述,在此不再赘述。
S204:控制器将上述第一防御规则发送给至少一个第二子网的安全设备。
至少一个子网的安全设备,可以根据上述第一防御规则对第二子网的交换设备发送的数据流进行进一步地过滤,以进一步提高网络的安全性。
其中,S204的步骤也可以在S202之前发生,也可以同时发生,也就是发送给第二子网的交换设备和第二子网的安全设备的时序不受限制。
本实施例的技术方案是在图1所示实施例的技术方案的基础上,进一步地将第一子网的安全设备生成的第一防御规则通过控制器共享给控制器连接的第二子网的安全设备,从而使得第二子网的安全设备进一步地对数据流进行过滤,进一步提高网络的安全性。
图3为本发明网络协同防御方法实施例三的流程示意图,图3的应用场景与图2所示应用场景相同,与图2的技术方案不同的是,图2所示实施例中的第一防御规则是第一子网的安全设备生成的,图3所示实施例中的第二防御规则是控制器根据第一子网的安全设备上报的攻击信息的特征信息生成的,其中,第一防御规则与第二防御规则可以相同,如图3所示,本实施例的方法包括:
S301:控制器接收第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息。
本步骤与图1中的S101类似,参考S101的详细描述,在此不再赘述。
S302:控制器根据上述攻击信息的特征信息生成流表信息。
本步骤与图1中的S102类似,参考S102的详细描述,在此不再赘述。
S303:控制器将上述流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备。
本步骤与图1中的S103类似,参考S103的详细描述,在此不再赘述。
S304:控制器根据上述攻击信息的特征信息生成第二防御规则。
其中,第二防御规则是指外部网络访问所述第一子网或所述第二子网的访问规则,第二防御规则与第一防御规则相同,此处只是为了区分生成防御规则的执行主体不同而用第一、第二进行区分。
S305:控制器将第二防御规则发送给第一子网的安全设备和至少一个第二子网的安全设备。
第一子网的安全设备和第二子网的安全设备根据第二防御规则对数据流进行进一步过滤,以提高网络的安全性。
其中,S304~S305的步骤,在S301之后即可,与其他步骤没有时序限制。
本实施例的技术效果与图2所示实施例的技术效果类似,在此不再赘述。
图4为本发明网络协同防御方法实施例四的流程示意图,图4所示实施例的中,第一子网和第二子网中都必须部署有DPI设备,其中,DPI设备可以为IDS或者IPS等网络安全设备,本实施例的执行主体是控制器,如图4所示,本实施例的方法如下:
S401:控制器接收第一子网的安全设备发送的告警信息,所述告警信息为根据攻击信息生成的防御规则。
其中,防御规则是指外部网络访问所述第一子网的访问规则。
S402:控制器将防御规则发送给至少一个第二子网的安全设备。
至少一个第二子网的安全设备根据上述防御规则对数据流进行过滤。
本实施例中,由于安全设备采用防御规则即可对数据流进行精确的过滤,因此,在子网中都部署有安全设备的场景下,可以通过控制器将防御规则共享给控制器连接的其他子网的安全设备即可,同样可以实现全网范围内的网络设备协同防御,提高网络的安全性,减小控制器的负载,提高控制器的处理性能。
可以理解的是,一种可替代的方案是,控制器接收第一子网的安全设备发送的攻击信息的特征信息,控制器根据攻击信息的特征信息生成防御规则,共享给第一子网的安全设备和至少一个第二子网的安全设备,其实现原理和技术效果与图4所示实施例类似,在此不再赘述。
图5为本发明网络协同防御方法实施例五的流程示意图,图5所示实施例的应用场景与图1所示实施例相同,与图1所示实施例不同的是,图1所示实施例的执行主体是控制器,图5所示实施例的执行主体是第一子网的安全设备,即被攻击网络的安全设备,如图5所示,本实施例的方法包括:
S501:第一子网的安全设备接收攻击信息。
S502:第一子网的安全设备向控制器发送告警信息,上述告警信息为攻击信息的特征信息。
第一子网的安全设备通过DPI分析确定收到的数据流为攻击信息,则生成告警信息,告警信息中包含上述攻击信息的特征信息,将上述告警信息发送给控制器,以使控制器将上述告警信息生成流表信息,将流表信息转发给其他子网(第二子网)的交换设备,以实现全网范围内的网络设备协同防御。
本实施例中,通过第一子网的安全设备向控制器发送告警信息,上述告警信息为攻击信息的特征信息,以使控制器将上述告警信息生成流表信息,将流表信息转发给其他子网(第二子网)的交换设备,以实现全网范围内的网络设备协同防御。相当于,一个子网的安全设备检测到攻击之后,生成告警信息,通过控制器将告警信息共享给该子网的交换设备和其他未受攻击的子网的交换设备,形成全网范围内的协同防御,提高网络的安全性,其中,控制器只进行告警信息的共享,而无需对进入网络的数据流进行处理,提高了控制器的处理性能。
在上述实施例的基础上,进一步地,告警信息中还包含根据上述攻击信息生成的第一防御规则,以使控制器将上述告警信息生成流表信息,将流表信息转发给其他子网(第二子网)的交换设备,并将上述第一防御规则发送给第二子网的安全设备,使第二子网的安全设备根据第一防御规则进一步地对数据流进行过滤,进一步提高网络的安全性,本实施例的应用场景与图2所示实施例的应用场景相同。
图6为本发明网络协同防御方法实施例六的流程示意图,图6所示实施例与图4所示实施例不同的是,图4所示实施例的执行主体是控制器,图6所示实施例的的执行主体是第一子网的安全设备,如图6所示,本实施例的方法包括:
S601:第一子网的安全设备接收攻击信息。
S602:第一子网的安全设备根据攻击信息生成防御规则。
其中,防御规则是指外部网络访问所述第一子网的访问规则。
S603:第一子网的安全设备向控制器发送上述防御规则。
控制器接收到防御规则后,将防御规则发送给至少一个第二子网的安全设备,以使至少一个第二子网的安全设备根据上述防御规则对数据流进行过滤。
本实施例中,由于安全设备采用防御规则即可对数据流进行精确的过滤,因此,在子网中都部署有安全设备的场景下,可以通过控制器将防御规则共享给控制器连接的其他子网的安全设备即可,同样可以实现全网范围内的网络设备协同防御,提高网络的安全性,减小控制器的负载,提高控制器的处理性能。
在上述各实施例中,在第一子网的安全设备与控制器,控制器与第二子网的安全设备或第一子网的安全设备通信之前,还包括:第一子网的安全设备与控制器之间建立连接的过程,以及第二子网的安全设备与控制器之间建立连接的过程,两个过程相同,因此,下面不限定安全设备是第一子网的安全设备还是第二子网的安全设备,统称为安全设备与控制器之间建立连接的过程,具体如图7所示,图7为本发明本发明网络协同防御方法实施例建立连接的信令图。
S701:安全设备向控制器发起传输控制协议(Transmission ControlProtocol,以下简称TCP)连接请求。
S702:安全设备向控制器发送安全设备的开放流协议(Openflow,以下简称OF)版本。
S703:控制器从自身的OF版本和安全设备的OF版本中选择较低版本作为通信版本。
S704:控制器向安全设备发送控制器的OF版本。
S705:安全设备从自身的OF版本和控制器的OF版本中选择较低版本作为通信版本。
S706:控制器向安全设备发送询问设备支持特性请求。
S707:安全设备向控制器上报设备支持特征。
通过上述S701~S707的步骤,完成控制器与安全设备之间的通信连接。
值得说明的是,在上述各实施例中,SDN网络是基于Openflow协议进行的,其中的交换设备具体可以是指基于Openflow协议的交换机,其中的控制器具体可以是基于Openflow协议的控制器。当然,可以理解的是,本实施例的技术方案也可以应用于基于其他协议的SDN网络中,其实现原理和技术效果类似,本发明对此不再赘述。
图8为本发明网络协同防御装置实施例一的结构示意图,本实施例的装置可以部署在控制器中,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收模块801、处理模块802和发送模块803,其中,接收模块801用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;处理模块802用于根据所述攻击信息的特征信息生成流表信息;发送模块803用于将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
本实施例的装置可用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;所述发送模块803还用于在接收第一子网的安全设备发送的告警信息之后,将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
本实施例的装置可用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,所述处理模块802还用于,在所述接收模块接收第一子网的安全设备发送的告警信息之后,根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;所述发送模块803还用于将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
本实施例的装置可用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,所述处理模块802还用于在所述接收模块接收第一子网的安全设备发送的告警信息之前,与第一子网的安全设备建立通信连接。
在上述实施例中,所述处理模块802还用于在所述接收模块接收第一子网的安全设备发送的告警信息之前,与第一子网的安全设备和至少一个第二子网的安全设备建立通信连接。
本实施例的装置可用于执行图7所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图9为本发明网络协同防御装置实施例二的结构示意图,如图9所示,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网,本实施例的装置包括接收模块901和发送模块902,其中,接收模块901用于接收攻击信息;发送模块902用于向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
在上述实施例中,所述告警信息中还包含根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
本实施例的装置可用于执行图5所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,还包括:处理模块,用于向控制器发送告警信息之前,与控制器建立通信连接。
本实施例的装置可用于执行图7所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图10为本发明网络协同防御系统实施例一的结构示意图,如图10所示,本实施例的系统包括:网络协同防御装置1001和网络协同防御装置1002,其中,网络协同防御装置1001用于执行图8所示网络协同防御装置中各模块的功能,网络协同防御装置1002用于执行图9所示网络协同防御装置中各模块的功能,其实现原理和技术效果类似,在此不再赘述。
图11为本发明网络协同防御装置实施例三的结构示意图,如图11所示,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收模块1101和发送模块1102,其中,接收模块1101用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;发送模块1102用于将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
本实施例的装置可用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图12为本发明网络协同防御装置实施例四的结构示意图,如图12所示,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收模块1201、处理模块1202和发送模块1203,其中,接收模块1201用于接收攻击信息;处理模块1202用于根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;发送模块1203用于向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
本实施例的装置可用于执行图6所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图13为本发明网络协同防御系统实施例二的结构示意图,如图13所示,本实施例的系统包括网络协同防御装置1301和网络协同防御装置1302,其中,网络协同防御装置1301用于执行图11所示网络协同防御装置中各模块的功能,网络协同防御装置1302用于执行图12所示网络协同防御装置中各模块的功能,其实现原理和技术效果类似,在此不再赘述。
图14为本发明网络协同防御装置实施例五的结构示意图,本实施例的装置可以部署在控制器中,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收器1401、处理器1402和发送器1403,其中,接收器1401用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;处理器1402用于根据所述攻击信息的特征信息生成流表信息;发送器1403用于将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
本实施例的装置可用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;所述发送器1403还用于在接收第一子网的安全设备发送的告警信息之后,将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
本实施例的装置可用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,所述处理器1402还用于,在所述接收器接收第一子网的安全设备发送的告警信息之后,根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;所述发送器1403还用于将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
本实施例的装置可用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,所述处理器1402还用于在所述接收器接收第一子网的安全设备发送的告警信息之前,与第一子网的安全设备建立通信连接。
在上述实施例中,所述处理器1402还用于在所述接收器接收第一子网的安全设备发送的告警信息之前,与第一子网的安全设备和至少一个第二子网的安全设备建立通信连接。
本实施例的装置可用于执行图7所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图15为本发明网络协同防御装置实施例六的结构示意图,如图15所示,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网,本实施例的装置包括接收器1501和发送器1502,其中,接收器1501用于接收攻击信息;发送器1502用于向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
在上述实施例中,所述告警信息中还包含根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
本实施例的装置可用于执行图5所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,还包括:处理器用于向控制器发送告警信息之前,与控制器建立通信连接。
本实施例的装置可用于执行图7所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图16为本发明网络协同防御装置实施例七的结构示意图,如图16所示,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收器1601和发送器1602,其中,接收器1601用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;发送器1602用于将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
本实施例的装置可用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
图17为本发明网络协同防御装置实施例八的结构示意图,如图17所示,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收器1701、处理器1702和发送器1703,其中,接收器1701用于接收攻击信息;处理器1702用于根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;发送器1703用于向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
本实施例的装置可用于执行图6所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种网络协同防御方法,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
所述控制器接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;
所述控制器根据所述攻击信息的特征信息生成流表信息;
所述控制器将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
2.根据权利要求1所述的方法,其特征在于,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;
所述控制器接收第一子网的安全设备发送的告警信息之后,还包括:
所述控制器将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
3.根据权利要求1所述的方法,其特征在于,所述控制器接收第一子网的安全设备发送的告警信息之后,还包括:
所述控制器根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;
所述控制器将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
4.一种网络协同防御方法,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
第一子网的安全设备接收攻击信息;
所述第一子网的安全设备向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
5.根据权利要求4所述的方法,其特征在于,所述告警信息中还包含所述第一子网的安全设备根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
6.一种网络协同防御方法,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
所述控制器接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
所述控制器将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
7.一种网络协同防御方法,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
所述第一子网的安全设备接收攻击信息;
所述第一子网的安全设备根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
所述第一子网的安全设备向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
8.一种网络协同防御装置,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;
处理模块,用于根据所述攻击信息的特征信息生成流表信息;
发送模块,用于将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
9.根据权利要求8所述的装置,其特征在于,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;
所述发送模块,还用于在接收第一子网的安全设备发送的告警信息之后,将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
10.根据权利要求8所述的装置,其特征在于,所述处理模块还用于,在所述接收模块接收第一子网的安全设备发送的告警信息之后,根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;
所述发送模块,还用于将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
11.一种网络协同防御装置,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收攻击信息;
发送模块,用于向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
12.根据权利要求11所述的装置,其特征在于,所述告警信息中还包含根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
13.一种网络协同防御系统,其特征在于,包括:
如权利要求8-10任一项所述的网络协同防御装置和如权利要求11-12任一项所述的网络协同防御装置。
14.一种网络协同防御装置,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
发送模块,用于将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
15.一种网络协同防御装置,其特征在于,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
接收模块,用于接收攻击信息;
处理模块,用于根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
发送模块,用于向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
16.一种网络协同防御系统,其特征在于,包括:
如权利要求14所述的网络协同防御装置和如权利要求15所述的网络协同防御装置。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310561435.9A CN104639504B (zh) | 2013-11-12 | 2013-11-12 | 网络协同防御方法、装置和系统 |
EP14861223.7A EP2991292B1 (en) | 2013-11-12 | 2014-07-10 | Network collaborative defense method, device and system |
PCT/CN2014/081939 WO2015070626A1 (zh) | 2013-11-12 | 2014-07-10 | 网络协同防御方法、装置和系统 |
US14/985,807 US10298600B2 (en) | 2013-11-12 | 2015-12-31 | Method, apparatus, and system for cooperative defense on network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310561435.9A CN104639504B (zh) | 2013-11-12 | 2013-11-12 | 网络协同防御方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104639504A true CN104639504A (zh) | 2015-05-20 |
CN104639504B CN104639504B (zh) | 2018-09-21 |
Family
ID=53056727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310561435.9A Active CN104639504B (zh) | 2013-11-12 | 2013-11-12 | 网络协同防御方法、装置和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10298600B2 (zh) |
EP (1) | EP2991292B1 (zh) |
CN (1) | CN104639504B (zh) |
WO (1) | WO2015070626A1 (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208023A (zh) * | 2015-09-14 | 2015-12-30 | 北京交通大学 | 中心控制器保护方法、设备及系统 |
CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
CN106453298A (zh) * | 2016-09-30 | 2017-02-22 | 北京邮电大学 | 一种扫描防御方法和装置 |
CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
CN107360194A (zh) * | 2017-09-07 | 2017-11-17 | 北京邮电大学 | 网络攻击的处理方法和装置 |
CN108881233A (zh) * | 2018-06-21 | 2018-11-23 | 中国联合网络通信集团有限公司 | 防攻击处理方法、装置、设备及存储介质 |
CN110505243A (zh) * | 2019-09-18 | 2019-11-26 | 浙江大华技术股份有限公司 | 网络攻击的处理方法及装置、存储介质、电子装置 |
CN111917566A (zh) * | 2019-05-10 | 2020-11-10 | 罗伯特·博世有限公司 | 用于操作通信系统的方法 |
CN113056896A (zh) * | 2018-09-28 | 2021-06-29 | 奥兰治 | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 |
CN114301665A (zh) * | 2021-12-27 | 2022-04-08 | 山石网科通信技术股份有限公司 | 数据处理方法及装置 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104580168B (zh) * | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
US10523635B2 (en) * | 2016-06-17 | 2019-12-31 | Assured Information Security, Inc. | Filtering outbound network traffic |
EP3485612B1 (en) * | 2016-07-18 | 2020-12-09 | Telecom Italia S.p.A. | Traffic monitoring in a packet-switched communication network |
US11563640B2 (en) | 2018-12-13 | 2023-01-24 | At&T Intellectual Property I, L.P. | Network data extraction parser-model in SDN |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003010938A1 (en) * | 2001-07-23 | 2003-02-06 | Corrent Corporation | Establishing a security association between computers in network |
CN101335755A (zh) * | 2008-05-19 | 2008-12-31 | 北京深思洛克数据保护中心 | 一种利用声音信息提高信息安全设备验证安全性的方法 |
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101938459A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统 |
CN102763382A (zh) * | 2010-01-29 | 2012-10-31 | 日本电气株式会社 | 前端系统和前端处理方法 |
CN103326884A (zh) * | 2013-05-30 | 2013-09-25 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知系统及方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7373666B2 (en) * | 2002-07-01 | 2008-05-13 | Microsoft Corporation | Distributed threat management |
CN101938460B (zh) | 2010-06-22 | 2014-04-09 | 北京中兴网安科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
US9615318B2 (en) * | 2011-09-20 | 2017-04-04 | Nokia Solutions And Networks Oy | Multiplexing core networks in RAN sharing |
US9197568B2 (en) * | 2012-10-22 | 2015-11-24 | Electronics And Telecommunications Research Institute | Method for providing quality of service in software-defined networking based network and apparatus using the same |
CN103051557B (zh) * | 2012-12-27 | 2016-07-06 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
-
2013
- 2013-11-12 CN CN201310561435.9A patent/CN104639504B/zh active Active
-
2014
- 2014-07-10 EP EP14861223.7A patent/EP2991292B1/en active Active
- 2014-07-10 WO PCT/CN2014/081939 patent/WO2015070626A1/zh active Application Filing
-
2015
- 2015-12-31 US US14/985,807 patent/US10298600B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003010938A1 (en) * | 2001-07-23 | 2003-02-06 | Corrent Corporation | Establishing a security association between computers in network |
CN101335755A (zh) * | 2008-05-19 | 2008-12-31 | 北京深思洛克数据保护中心 | 一种利用声音信息提高信息安全设备验证安全性的方法 |
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN102763382A (zh) * | 2010-01-29 | 2012-10-31 | 日本电气株式会社 | 前端系统和前端处理方法 |
CN101938459A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统 |
CN103326884A (zh) * | 2013-05-30 | 2013-09-25 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知系统及方法 |
Non-Patent Citations (2)
Title |
---|
SEUGWON SHIN ET AL: "《FRESCO:Modular composable security services for software-Defined Networks》", 《ISOC NETWORK AND DISREIBUTED SYSTEM SECURITY SYMPOSIUM(NDSS)》 * |
XING TIANYI ET AL: "《SnortFlow:A OpenFlow-Based Intrusion Prevention System in Cloud Environment》", 《IEEE》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208023B (zh) * | 2015-09-14 | 2018-03-30 | 北京交通大学 | 中心控制器保护方法、设备及系统 |
CN105208023A (zh) * | 2015-09-14 | 2015-12-30 | 北京交通大学 | 中心控制器保护方法、设备及系统 |
CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
CN106411562B (zh) * | 2016-06-17 | 2021-10-29 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
CN106453298B (zh) * | 2016-09-30 | 2019-02-19 | 北京邮电大学 | 一种扫描防御方法和装置 |
CN106453298A (zh) * | 2016-09-30 | 2017-02-22 | 北京邮电大学 | 一种扫描防御方法和装置 |
WO2018095098A1 (zh) * | 2016-11-24 | 2018-05-31 | 华为技术有限公司 | 网络安全防护方法和装置 |
CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
CN107360194A (zh) * | 2017-09-07 | 2017-11-17 | 北京邮电大学 | 网络攻击的处理方法和装置 |
CN108881233A (zh) * | 2018-06-21 | 2018-11-23 | 中国联合网络通信集团有限公司 | 防攻击处理方法、装置、设备及存储介质 |
CN113056896A (zh) * | 2018-09-28 | 2021-06-29 | 奥兰治 | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 |
CN113056896B (zh) * | 2018-09-28 | 2024-01-05 | 奥兰治 | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 |
US11985161B2 (en) | 2018-09-28 | 2024-05-14 | Orange | Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program |
CN111917566A (zh) * | 2019-05-10 | 2020-11-10 | 罗伯特·博世有限公司 | 用于操作通信系统的方法 |
CN110505243A (zh) * | 2019-09-18 | 2019-11-26 | 浙江大华技术股份有限公司 | 网络攻击的处理方法及装置、存储介质、电子装置 |
CN114301665A (zh) * | 2021-12-27 | 2022-04-08 | 山石网科通信技术股份有限公司 | 数据处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2991292A1 (en) | 2016-03-02 |
EP2991292A4 (en) | 2016-07-13 |
EP2991292B1 (en) | 2019-12-11 |
CN104639504B (zh) | 2018-09-21 |
US20160119367A1 (en) | 2016-04-28 |
WO2015070626A1 (zh) | 2015-05-21 |
US10298600B2 (en) | 2019-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104639504A (zh) | 网络协同防御方法、装置和系统 | |
Xing et al. | SDNIPS: Enabling software-defined networking based intrusion prevention system in clouds | |
Sonar et al. | A survey: DDOS attack on Internet of Things | |
Gupta et al. | A firewall for internet of things | |
WO2017148263A1 (zh) | 网络攻击的防控方法、装置及系统 | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
Aggarwal et al. | Securing IoT devices using SDN and edge computing | |
Mittal et al. | A review of DDOS attack and its countermeasures in TCP based networks | |
US20070210909A1 (en) | Intrusion detection in an IP connected security system | |
CN104796423A (zh) | Arp双向主动防御方法 | |
Saputro et al. | A review of moving target defense mechanisms for internet of things applications | |
CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
Saad et al. | A study on detecting ICMPv6 flooding attack based on IDS | |
CN110505243A (zh) | 网络攻击的处理方法及装置、存储介质、电子装置 | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
Ahmed et al. | A Linux-based IDPS using Snort | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
US9124625B1 (en) | Interdicting undesired service | |
Wang et al. | An approach for protecting the openflow switch from the saturation attack | |
JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
Pande et al. | Detection and mitigation of DDoS in SDN | |
Rani et al. | CARD (continuous and random dropping) based DRDOS attack detection and prevention techniques in MANET | |
Yuhong et al. | Industrial internet security protection based on an industrial firewall | |
Simpson et al. | Identifying legitimate clients under distributed denial-of-service attacks | |
CN102868698B (zh) | 用于网络的防御方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |