CN104702571A - 一种Xen虚拟化环境下网络数据的入侵检测方法 - Google Patents
一种Xen虚拟化环境下网络数据的入侵检测方法 Download PDFInfo
- Publication number
- CN104702571A CN104702571A CN201310655254.2A CN201310655254A CN104702571A CN 104702571 A CN104702571 A CN 104702571A CN 201310655254 A CN201310655254 A CN 201310655254A CN 104702571 A CN104702571 A CN 104702571A
- Authority
- CN
- China
- Prior art keywords
- packet
- data
- virtual machine
- virtual
- machine facility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明涉及云计算技术领域,具体公开了一种Xen虚拟化环境下网络数据的入侵检测方法;包括:在宿主机上,用Open vSwitch创建网桥;建立虚拟机设备,并将虚拟机设备加入网桥;将真实的网络接口对应虚拟机设备的虚拟接口;将虚拟机设备的虚拟接口与网桥桥接,同时为各个虚拟机设备创建虚拟端口;使网络数据都经过相应的虚拟机设备的虚拟端口进行网络数据的通信;Open vSwtich在接收到了各个数据端口发送过来的数据包,将数据包的头信息转发到控制器中,由控制器进行过滤和处理,并决定数据包的后续处理或转发的端口。本发明将入侵防御的主体设为虚拟机设备,避免了由于IP地址变化而导致入侵、防御的失败;能够有效监控虚拟机设备网络数据的入侵并对其进行检测和防御。
Description
技术领域
本发明涉及云计算技术领域,尤其是涉及一种Xen虚拟化环境下网络数据的入侵检测方法。
背景技术
Xen是一个开放源代码虚拟机设备监视器,由剑桥大学开发。它打算在单个计算机上运行多达100个满特征的操作系统。操作系统必须进行显式地修改(“移植”)以在Xen上运行(但是提供对用户应用的兼容性)。这使得Xen无需特殊硬件支持,就能达到高性能的虚拟化。
目前,由于虚拟化网络的复杂性与多样性,在Host宿主机内部是无法获取到虚拟机设备的网络数据的,更无法对网络数据进行入侵防御;而且,在目前的传统的网络环境中,入侵防御的主体仍然是IP,而虚拟机设备的IP是可以动态变化的,如何在虚拟网络环境中,应对虚拟化网络的多变性,进行入侵防御;至今还没有有效的解决方法。
发明内容
本发明所解决的技术问题是提供一种Xen虚拟化环境下网络数据的入侵检测方法,为了在虚拟网络环境中应对虚拟化网络的多变性,本发明将入侵防御的主体设为虚拟机设备,避免了由于IP地址变化而导致入侵、防御的失败;能够有效监控虚拟机设备网络数据的入侵并对其进行检测和防御。
为了解决上述技术问题,本发明提供了一种Xen虚拟化环境下网络数据的入侵检测方法,包括:
S1:在宿主机上,用Open vSwitch搭建网络架构,创建网桥;
S2:建立虚拟机设备,并将所述虚拟机设备加入网桥;
S3:将真实的网络接口对应虚拟机设备的虚拟接口,保持真实的网络接口与虚拟机设备的虚拟接口对应一致;
S4:将所述虚拟机设备的虚拟接口与所述网桥桥接,同时为各个虚拟机设备创建虚拟端口;使网络数据都经过相应的所述虚拟机设备的虚拟端口进行网络数据的通信;
S5:Open vSwtich在接收到了各个数据端口发送过来的数据包,将所述数据包的头信息转发到控制器中,由所述控制器进行过滤和处理,并决定所述数据包的后续处理或转发的端口。
优选的,所述步骤3中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机设备虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机设备对应的网桥端口。
更加优选的,所述步骤3中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在虚拟机设备的虚拟端口被创建后,发送数据包时,数据包从虚拟机设备内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机设备的虚拟接口对应一致。
更加优选的,所述新数据包包含虚拟机设备的唯一标识、以及所述虚拟端口的标识。
更加优选的,所述步骤5中,所述控制器进行过滤为获取所述数据包的所述头信息。
更加优选的,所述步骤5中,所述控制器进行处理即进行入侵检测规则的匹配。
更加优选的,所述步骤5中,所述控制器进行处理即进行入侵检测规则的匹配时,所述控制器通过所述数据包的头信息进行判断,判断所述数据包是否是APP/RARP数据包;
若所述数据包是APP/RARP数据包,则进行下述步骤Na;
若所述数据包是APP/RARP数据包,则进行下述步骤Nb;
Na:获取源IP、进入端口和虚拟机设备的标识,建立虚拟机设备与虚拟机设备之间的IP关联,作为后续入侵检测防御的主体,进行下述步骤Nb;
Nb:所述Controller按照入侵检测规则将所述数据有选择的转发到所述数据的对应的数据处理端口上。
更加优选的,入侵检测规则是指:所述控制器按照入侵检测规则的主体的内容将从所述步骤Na中接收到的所述数据包中的数据,进行入侵检测规则的攻击特征匹配,匹配过程包括正则表达式匹配、二进制数据匹配和攻击特征匹配。
更加优选的,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据不匹配攻击数据的数据包时,则将所述数据进行放行,并将所述数据转发到对应的数据处理端口上,进行正式的业务逻辑处理。
更加优选的,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据匹配有攻击数据的数据包时,则对所述数据进行丢弃处理,不将所述数据转发到对应的数据处理端口上。
其中,所述云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。
其中,所述Open vSwitch即开放虚拟交换标准!Open vSwitch是在开源的Apache2.0许可下的产品级质量的多层虚拟交换标准。它旨在通过编程扩展,使庞大的网络自动化(配置、管理、维护),同时还支持标准的管理接口和协议(如NetFlow,sFlow,SPAN,RSPAN,CLI,LACP,802.1ag)。总的来说,它被设计为支持分布在多个物理服务器,例如VMware的vNetwork分布式vSwitch或思科的Nexus1000V。
本发明与现有技术相比,具有如下有益效果:
本发明在Xen虚拟化环境下利用Open vSwitch实现虚拟机设备网络数据的监控;能够监控虚拟机设备网络的数据,利于后续对对数据的过滤、检测等处理。
附图说明
图1示例性的示出了本发明监控流程示意图;
图2示例性的示出了本发明保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法流程示意图;
图3示例性的示出了本发明用Open vSwitch搭建后的网络示意图;
图4示例性的示出了本发明的部署架构图;
图5示例性的示出了控制器过滤处理过程流程示意图。
具体实施方式
为了更好的理解本发明所解决的技术问题、所提供的技术方案,以下结合附图及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明的实施,但并不用于限定本发明。
在优选的实施例中,图1示例性的示出了一种Xen虚拟化环境下网络数据的入侵检测方法流程示意图;包括:。
步骤一:在宿主机上,用Open vSwitch搭建网络架构,创建网桥;
步骤二:建立虚拟机设备,并将所述虚拟机设备加入网桥;
步骤三:将真实的网络接口对应虚拟机设备的虚拟接口,保持真实的网络接口与虚拟机设备的虚拟接口对应一致;
步骤四:将所述虚拟机设备的虚拟接口与所述网桥桥接,同时为各个虚拟机设备创建虚拟端口;使网络数据都经过相应的所述虚拟机设备的虚拟端口进行网络数据的通信;
步骤五:Open vSwtich在接收到了各个数据端口发送过来的数据包,将所述数据包的头信息转发到控制器中;由所述控制器进行过滤和处理,如图5所示;并决定所述数据包的后续处理或转发的端口。
在更加优选的实施例中,所述步骤三中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机设备虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机设备对应的网桥端口。
在更加优选的实施例中,在所述步骤三中,图2示例性的示出了本发明保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法流程示意图;在虚拟机设备的虚拟端口被创建后,发送数据包时,数据包从虚拟机设备内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机设备的虚拟接口对应一致。
在更加优选的实施例中,所述新数据包包含虚拟机设备的唯一标识、以及所述虚拟端口的标识。
在更加优选的实施例中,所述步骤五中,所述控制器进行过滤为获取所述数据包的所述头信息。
在更加优选的实施例中,所述步骤五中,所述控制器进行处理即进行入侵检测规则的匹配。
在更加优选的实施例中,所述步骤五中,所述控制器进行处理即进行入侵检测规则的匹配时,所述控制器通过所述数据包的头信息进行判断,判断所述数据包是否是APP/RARP数据包;
若所述数据包是APP/RARP数据包,则进行下述步骤Na;
若所述数据包是APP/RARP数据包,则进行下述步骤Nb;
Na:获取源IP、进入端口和虚拟机设备的标识,建立虚拟机设备与虚拟机设备之间的IP关联,作为后续入侵检测防御的主体,进行下述步骤Nb;
Nb:所述控制器按照入侵检测规则将所述数据有选择的转发到所述数据的对应的数据处理端口上。
在更加优选的实施例中,入侵检测规则是指:所述控制器按照入侵检测规则中的主体内容(规则中的content)对从Na中接收到的数据,进行入侵规则的攻击特征匹配,匹配过程包括正则表达式匹配、二进制数据匹配和攻击特征匹配。常见的SQL注入攻击一般会在HTTP的GET请求的参数部分增加子查询进行爆表动作,所以当检测到请求的URL中包含子查询(Select子句时),则系统必定遇到SQL注入攻击。再如执行的SQL查询是在SQL语句中混杂着如ftp.exe这样的启动ftp客户端的指令,则同样可以证明其执行的是攻击动作。再如SNMP缓冲区字符串溢出攻击,则需要针对其数据中的二进制位进行匹配,我们事先经过分析其攻击特征,得出|02010004820100|这样的特征码,当系统匹配SNMP的字符串缓冲区溢出的特征码时同样可以认为系统受到了攻击。Controller中可匹配浏览器攻击、SNMP攻击、DNS攻击、DOS攻击、Flash文件攻击、数据库以及SQL注入攻击、Telnet攻击、Ftp攻击。各攻击事先进行特征码的分析,并产生了各种入侵检测规则。如在规则匹配过程中成功匹配攻击特征码则执行规则定义的数据处理动作(规则中的action属性如:删除drop)。反之如不匹配则将所接收的数据转发到其真实的对应的数据处理端口上。
由于入侵检测规则,需要针对特定的攻击进行编写,并且攻击的种类繁多,在本专利中不可能一一进行描述,仅提供SQL注入的一条检测规则,进行描述。下述为SQL注入攻击中的一条规则的分析以及产生的具体步骤:
对select+union+select利用的检测:
select+union用于利用现有脚本的SQL语句,对数据库其他表进行窥探和暴表。攻击的原理是:首先利用歧义SQL(or11之类)安全避过脚本中原有的SQL,然后利用UNION+SQLECT构造第二段SQL。构造的难度在于猜测需要窥探表的字段个数和类型。当个数和类型都符合的的时候,一般可以在正常页面实现暴表。因为系统表一般存有非常重要的信息,所以这种攻击一旦成功,基本可以认为系统安全已经崩溃。考察正常的探测情况,攻击者一般构造形如下的URL:
http://127.0.0.1/system/code/edit.do?sid=1430%20and%2011%20%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20admin
这种攻击利用,空格+union是都有的特征;其次,2次SQL语句中的select,最后是2次sq1末尾的from。另外?号和=号也是必不可少的特征。在URL中按照先后次序应该是:?=union select,基本可以认定为SQL注入攻击。
规则设计:
首先正则表达式为:
/(\%3D|=)+((\S|\s))+((\%75)|u|U|(\%55))((\%6E)|n|N|(\%4E))((\%69)|i|I|(\%49))((\%6F)|o|O|(\%4F))((\%6E)|n|n|(\%4E))((%20)|(\w+)|\S|\s)+((\%73)|s|S|(\%53))((\%65)|e|E|(\%45))((\%6C)|l|L|(\%4C))((\%65)|e|E|(\%45))((\%63)|c|C|(\%43))((\%74)|t|T|(\%54))/ix
解释:
\w-零个或多个字符或者下划线。
正则表达式首先检测是否有URL的=号,这是有参数URL的首要特征;其次检测=号后有没有UNION的大写、小写或者16进制代码的组合;随后,检测UNION1个或多个其他字符;最后检测UNION后的URL中是否含有SELECT的大写、小写或者16进制代码的组合;这种关键字的检测组合,是任何UNION+SELECT借用的最基本特征。
在URL中参数提交一般为xxx.asp?a=xxx,为了提高效率和准确率,故而在规则中增加检测?修正后的完整规则是:
src_vm=vm1,dst_vm=vm2,content=(msg:″检测到SQL注入攻击特征字符″;flow:to_server,established;uricontent:″?″;
pcre:″/(\%3D|=)+(\S|\s)+((\%61)|a|A|(\%41))((\%73)|s|S|(\%53))((\%63)|c|C|(\%43))((\%69)|i|I|(\%49))((\%69)|i|I|(\%49))((\%28)|\()/ix″),actions=drop
src_vm=vm1,dst_vm=vm2,content=(msg:″检测到SQL注入攻击特征字符″;flow:to_server,established;uricontent:″?″;
pcre:″/(\%3D|=)+(\S|\s)+((\%61)|a|A|(\%41))((\%73)|s|S|(\%53))((\%63)|c|C|(\%43))((\%69)|i|I|(\%49))((\%69)|i|I|(\%49))((\%28)|\()/ix″),actions=drop
在更加优选的实施例中,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据不匹配攻击数据的数据包时,则将所述数据进行放行,并将所述数据转发到对应的数据处理端口上,进行正式的业务逻辑处理。
在更加优选的实施例中,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据匹配有攻击数据的数据包时,则对所述数据进行丢弃处理,不将所述数据转发到对应的数据处理端口上。
具体的实施例中:
1.为了应对虚拟化网络的复杂性与多样性,实现针对Xen虚拟化环境下的网络环境管理,我们使用Open vSwitch(OVS)来实现对于Xen的网络管理。利用Open vSwitch(OVS)搭建后的网络图如图3所示:
在Host宿主机上,我们利用Open vSwitch搭建了如上图所示的网络架构。利用Open vSwitch(OVS)创建了网桥bridge,将真实的网络接口eth0对应的Port br0与网桥bridge桥接,同时为各个虚拟机设备创建端口Port。也就是说,以后各个虚拟机设备的网络数据都会经过相应端口进行网络的数据通信。
2.为了能够对网络的数据进行入侵检测以及防御。我们就需要针对网络数据进行过滤。而Open vSwitch(OVS)并不支持对网络数据进行过滤(只进行简单的过滤,不能满足入侵、防御的需求)。同时由于入侵、防御的主体变为了虚拟机设备,不同于传统的IP,我们采用的解决办法如图4所示;各端口(port)挂载到Open vSwitch(OVS)上,所有的传到该端口上的数据,都要经过OVS过滤,过滤的具体实现逻辑交由控制器(Controller)部分进行,即数据流2。控制器(Controller)处理后则重新流转到OVS(Open vSwitch)上,即数据流3。
OVS(Open vSwitch)在接收到了各个数据端口发送过来的数据,将数据的部分头信息转发到控制器(Controller)中,由控制器(Controller)中过滤,处理。决定数据包的后续处理或者转发的端口。
传统的入侵检测、防御的规则可能是以下的方式:
src_ip=ip1,dst_ip=ip_2,actions=drop
而在本专利中,入侵检测防御的规则如下:
src_vm=vm1,dst_vm=vm2,content=””,actions=drop.
src_vm=vm1,dst_vm=vm2,content=(msg:″检测到SQL注入攻击特征字符″;
flow:to_server,established;uricontent:″?″;
pcre:″/(\%3D|=)+(\S|\s)+((\%61)|a|A|(\%41))((\%73)|s|S|(\%53))((\%63)c|C|(\%43))((\%69)|i|I|(\%49))((\%69)|i|I|(\%49))((\%28)|\()/ix″),actions=drop
这样,入侵、防御的主体变为了虚拟机设备。
以上通过具体的和优选的实施例详细的描述了本发明,但本领域技术人员应该明白,本发明并不局限于以上所述实施例,凡在本发明的基本原理之内,所作的任何修改、组合及等同替换等,均包含在本发明的保护范围之内。
Claims (10)
1.一种Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,包括:
S1:在宿主机上,用Open vSwitch搭建网络架构,创建网桥;
S2:建立虚拟机设备,并将所述虚拟机设备加入所述网桥;
S3:将真实的网络接口对应虚拟机设备的虚拟接口,保持真实的网络接口与虚拟机设备的虚拟接口对应一致;
S4:将所述虚拟机设备的虚拟接口与所述网桥桥接,同时为各个虚拟机设备创建虚拟端口;使网络数据都经过相应的所述虚拟机设备的虚拟端口进行网络数据的通信;
S5:Open vSwtich在接收到了各个数据端口发送过来的数据包,将所述数据包的头信息转发到控制器中,由所述控制器进行过滤和处理,并决定所述数据包的后续处理或转发的端口。
2.根据权利要求1所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述步骤3中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机设备虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机设备对应的网桥端口。
3.根据权利要求1所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述步骤3中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在虚拟机设备的虚拟端口被创建后,发送数据包时,数据包从虚拟机设备内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机设备的虚拟接口对应一致。
4.根据权利要求3所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述新数据包包含虚拟机设备的唯一标识、以及所述虚拟端口的标识。
5.根据权利要求1所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述步骤5中,所述控制器进行过滤为获取所述数据包的所述头信息。
6.根据权利要求1所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述步骤5中,所述控制器进行处理即进行入侵检测规则的匹配。
7.根据权利要求6所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述步骤5中,所述控制器进行处理即进行入侵检测规则的匹配时,所述控制器通过所述数据包的头信息进行判断,判断所述数据包是否是APP/RARP数据包;
若所述数据包是APP/RARP数据包,则进行下述步骤Na;
若所述数据包是APP/RARP数据包,则进行下述步骤Nb;
Na:获取源IP、进入端口和虚拟机设备的标识,建立虚拟机设备与虚拟机设备之间的IP关联,作为后续入侵检测防御的主体,进行下述步骤Nb;
Nb:所述Controller按照入侵检测规则将所述数据有选择的转发到所述数据的对应的数据处理端口上。
8.根据权利要求7所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,入侵检测规则是指:所述控制器按照入侵检测规则的主体的内容将从所述步骤Na中接收到的所述数据包中的数据,进行入侵检测规则的攻击特征匹配,匹配过程包括正则表达式匹配、二进制数据匹配和攻击特征匹配。
9.根据权利要求7所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据不匹配攻击数据的数据包时,则将所述数据进行放行,并将所述数据转发到对应的数据处理端口上,进行正式的业务逻辑处理。
10.根据权利要求7所述的Xen虚拟化环境下网络数据的入侵检测方法,其特征在于,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据匹配有攻击数据的数据包时,则对所述数据进行丢弃处理,不将所述数据转发到对应的数据处理端口上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310655254.2A CN104702571B (zh) | 2013-12-06 | 2013-12-06 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310655254.2A CN104702571B (zh) | 2013-12-06 | 2013-12-06 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104702571A true CN104702571A (zh) | 2015-06-10 |
CN104702571B CN104702571B (zh) | 2018-02-02 |
Family
ID=53349345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310655254.2A Active CN104702571B (zh) | 2013-12-06 | 2013-12-06 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104702571B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
CN106384049A (zh) * | 2016-09-06 | 2017-02-08 | 亚信科技(成都)有限公司 | 一种安全防护的方法及系统 |
CN106534111A (zh) * | 2016-11-09 | 2017-03-22 | 国云科技股份有限公司 | 一种基于流规则实现云平台防御网络攻击的方法 |
CN106685835A (zh) * | 2017-03-06 | 2017-05-17 | 无锡华云数据技术服务有限公司 | 一种在数据中心的计算节点间实现高速分布式路由的方法 |
CN104702571B (zh) * | 2013-12-06 | 2018-02-02 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110519127A (zh) * | 2019-09-19 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 网络延时的探测方法、装置和存储介质 |
CN110677344A (zh) * | 2019-09-27 | 2020-01-10 | 亚信科技(成都)有限公司 | 一种数据处理方法及服务器 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104702571B (zh) * | 2013-12-06 | 2018-02-02 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
-
2013
- 2013-12-06 CN CN201310655254.2A patent/CN104702571B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104702571B (zh) * | 2013-12-06 | 2018-02-02 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
CN106384049A (zh) * | 2016-09-06 | 2017-02-08 | 亚信科技(成都)有限公司 | 一种安全防护的方法及系统 |
CN106534111A (zh) * | 2016-11-09 | 2017-03-22 | 国云科技股份有限公司 | 一种基于流规则实现云平台防御网络攻击的方法 |
CN106685835A (zh) * | 2017-03-06 | 2017-05-17 | 无锡华云数据技术服务有限公司 | 一种在数据中心的计算节点间实现高速分布式路由的方法 |
CN106685835B (zh) * | 2017-03-06 | 2019-06-28 | 无锡华云数据技术服务有限公司 | 一种在数据中心的计算节点间实现高速分布式路由的方法 |
CN110099040B (zh) * | 2019-03-01 | 2021-11-30 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110071929B (zh) * | 2019-04-28 | 2021-03-16 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110519127A (zh) * | 2019-09-19 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 网络延时的探测方法、装置和存储介质 |
CN110519127B (zh) * | 2019-09-19 | 2021-12-07 | 腾讯科技(深圳)有限公司 | 网络延时的探测方法、装置和存储介质 |
CN110677344A (zh) * | 2019-09-27 | 2020-01-10 | 亚信科技(成都)有限公司 | 一种数据处理方法及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN104702571B (zh) | 2018-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104702571A (zh) | 一种Xen虚拟化环境下网络数据的入侵检测方法 | |
US11496377B2 (en) | Anomaly detection through header field entropy | |
US11729059B2 (en) | Dynamic service device integration | |
US10341185B2 (en) | Dynamic service insertion | |
Xing et al. | Snortflow: A openflow-based intrusion prevention system in cloud environment | |
US8776207B2 (en) | Load balancing in a network with session information | |
US7849503B2 (en) | Packet processing using distribution algorithms | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
CN108449314B (zh) | 一种流量牵引方法和装置 | |
US11343187B2 (en) | Quantitative exact match distance in network flows | |
US20140223558A1 (en) | Method and device for integrating multiple threat security services | |
Febro et al. | Distributed SIP DDoS defense with P4 | |
Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
CN104660584A (zh) | 基于网络会话的木马病毒分析技术 | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
CN102143173A (zh) | 防御分布式拒绝服务攻击的方法、系统以及网关设备 | |
Talpur et al. | A survey on DDoS attacks: Router-based threats and defense mechanism in real-world data centers | |
Mutu et al. | Improved SDN responsiveness to UDP flood attacks | |
KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
US20230319078A1 (en) | System and method for detecting and mitigating port scanning attacks | |
US8627462B2 (en) | Token processing | |
Lei | Towards Better Kernel and Network Monitoring of Software Actions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |