CN105208023B - 中心控制器保护方法、设备及系统 - Google Patents
中心控制器保护方法、设备及系统 Download PDFInfo
- Publication number
- CN105208023B CN105208023B CN201510584002.4A CN201510584002A CN105208023B CN 105208023 B CN105208023 B CN 105208023B CN 201510584002 A CN201510584002 A CN 201510584002A CN 105208023 B CN105208023 B CN 105208023B
- Authority
- CN
- China
- Prior art keywords
- master controller
- packet
- terminal
- egress gateways
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种中心控制器保护方法、设备及系统,属于网络安全领域。所述方法包括:接收终端发送的数据包,将数据包与出口网关中存储的流表进行匹配;当数据包与存储的流表均不匹配时,累加用于指示不匹配数据包的数量的计数值;当计数值累加至预警门限值所使用的时长小于预定时长阈值,则向中心控制器发送预警信息,预警信息用于触发中心控制器将中心控制器存储的信息备份至冗余控制器,与冗余控制器共同处理所述中心控制器上报的数据包。本发明解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种中心控制器保护方法、设备及系统。
背景技术
为了更好的为第四代移动通信用户提供可靠互联网服务,在未来移动互联网设计中提出了通过集中控制来进行移动通信用户的访问。软件定义网络(英文:SoftwareDefined Network,简称:SDN)采用了集中控制的思想,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。SDN网络架构中的中心控制器是整个网络的核心,负责整个网络控制层面的功能,一旦SDN中的中心控制器受到攻击,则会给整个网络带来严重的问题。因此基于SDN的移动网络中控制器的保护方法是亟待解决的问题。
相关技术中提供的一种基于SDN的移动数据安全保护系统,包括移动数据安全控制台、系统基础功能模块和第三方移动数据安全保护产品接口,基于SDN能动态感知移动设备接入组织内网及对数据访问情况,并自动判断是否授权用户操作移动数据,从而实现了控制对移动数据的访问、处理,实现移动数据安全保护。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:相关技术中移动核心网和无线局域网(英文:Wireless Local Area Networks,简称:WLAN)网络作为传输载体,通过组织内网边缘布置网关来进行访问控制。这种方式只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击。
发明内容
为了解决现有技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题,本发明实施例提供了一种中心控制器保护方法、设备及系统。所述技术方案如下:
第一方面,提供了一种应用于出口网关中,所述出口网关用于连接移动网络与软件定义网络,所述方法包括:
接收终端发送的数据包,将所述数据包与所述出口网关中存储的流表进行匹配;
当所述数据包与存储的所述流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,向所述中心控制器上报未匹配的所述数据包;
当所述计数值累加至所述预警门限值所使用的时长小于预定时长阈值,则向所述中心控制器发送预警信息,所述预警信息用于触发所述中心控制器将所述中心控制器存储的信息备份至冗余控制器,与所述冗余控制器共同处理所述中心控制器上报的数据包。
可选的,所述方法还包括:
接收所述中心控制器下发的攻击信息,所述攻击信息是所述中心控制器针对接收到的所述出口网关上报的数据包,确定出具有攻击行为的终端后发送的;
控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络。
可选的,所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址,所述控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络,包括:
根据所述攻击信息中携带的IP地址,确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码,所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的;
向移动管理实体MME发送携带有所述IP地址的禁止访问消息,所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码,向与所述IMSI码对应的基站发送禁止访问指令,所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。
可选的,所述方法还包括:
通过所述出口网关与所述中心控制器之间的安全信道,接收所述软件定义网络中的中心控制器为所述出口网关生成的所述预警门限值。
第二方面,提供了一种中心控制器保护方法,应用于中心控制器中,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述方法包括:
接收所述出口网关上报的预警信息,所述预警信息是所述出口网关在接收终端发送的数据包后,当所述数据包与存储的所述流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,当所述计数值累加至预警门限值所使用的时长小于预定时长阈值时向所述中心控制器发送的;
将所述中心控制器存储的分析标准信息同步至冗余控制器,所述分析标准信息用于分析是否允许转发所述出口网关上报的数据包;
与所述冗余控制器共同处理所述出口网关上报的数据包,所述数据包是所述出口网关匹配到接收到的数据包与所述出口网关中存储的流表均不相同时上报至所述中心控制器的。
可选的,所述方法还包括:
为所述出口网关生成所述预警门限值;
通过所述出口网关与所述中心控制器之间的安全信道,向所述出口网关发送所述预警门限值。
可选的,所述方法还包括:
获取在当前时刻为结束时刻的预定时长内接收到的数据包;
对获取到的所述数据包进行分析,判定发送所述数据包的各个终端是否存在攻击行为,存在攻击行为的终端在所述预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值;
在发送所述数据包的各个终端中存在攻击行为时,向所述出口网关发送攻击信息,所述攻击信息中携带有判定出的存在攻击行为的终端的IP地址。
第三方面,提供了一种出口网关,所述出口网关用于连接移动网络与软件定义网络,所述出口网关包括:
匹配模块,用于接收终端发送的数据包,将所述数据包与所述出口网关中存储的流表进行匹配;
累加模块,用于当所述匹配模块匹配到所述数据包与存储的所述流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,向所述中心控制器上报未匹配的所述数据包;
发送模块,用于当所述累加模块累加得到的所述计数值累加至所述预警门限值所使用的时长小于预定时长阈值,则向所述中心控制器发送预警信息,所述预警信息用于触发所述中心控制器将所述中心控制器存储的信息备份至冗余控制器,与所述冗余控制器共同处理所述中心控制器上报的数据包。
可选的,所述出口网关还包括:
第一接收模块,用于接收所述中心控制器下发的攻击信息,所述攻击信息是所述中心控制器针对接收到的所述出口网关上报的数据包,确定出具有攻击行为的终端后发送的;
禁止模块,用于控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络。
可选的,所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址,所述禁止模块,包括:
确定单元,用于根据所述攻击信息中携带的IP地址,确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码,所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的;
发送单元,用于向移动管理实体MME发送携带有所述IP地址的禁止访问消息,所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码,向与所述IMSI码对应的基站发送禁止访问指令,所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。
可选的,所述出口网关还包括:
第二接收模块,用于通过所述出口网关与所述中心控制器之间的安全信道,接收所述软件定义网络中的中心控制器为所述出口网关生成的所述预警门限值。
第四方面,提供了一种中心控制器,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述中心控制器包括:
接收模块,用于接收所述出口网关上报的预警信息,所述预警信息是所述出口网关在接收终端发送的数据包后,当所述数据包与存储的所述流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,当所述计数值累加至预警门限值所使用的时长小于预定时长阈值时向所述中心控制器发送的;
备份模块,用于将所述中心控制器存储的分析标准信息同步至冗余控制器,所述分析标准信息用于分析是否允许转发所述出口网关上报的数据包;
处理模块,用于与所述冗余控制器共同处理所述出口网关上报的数据包,所述数据包是所述出口网关匹配到接收到的数据包与所述出口网关中存储的流表均不相同时上报至所述中心控制器的。
可选的,所述中心控制器还包括:
生成模块,用于为所述出口网关生成所述预警门限值;
第一发送模块,用于通过所述出口网关与所述中心控制器之间的安全信道,向所述出口网关发送所述生成模块生成的所述预警门限值。
可选的,所述中心控制器还包括:
获取模块,用于获取在当前时刻为结束时刻的预定时长内接收到的数据包;
判定模块,用于对所述获取模块获取到的所述数据包进行分析,判定发送所述数据包的各个终端是否存在攻击行为,存在攻击行为的终端在所述预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值;
第二发送模块,用于在发送所述数据包的各个终端中存在攻击行为时,向所述出口网关发送攻击信息,所述攻击信息中携带有判定出的存在攻击行为的终端的IP地址。
第五方面,提供了一种中心控制器保护系统,所述系统包括如第三方面以及第三方面各种可选的实现方式中所描述的出口网关连接的移动网络和软件定义网络;
所述软件定义网络包括如第四方面以及第四方面各种可选的实现方式中所描述的中心控制器。
本发明实施例提供的技术方案带来的有益效果是:
通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中提供的中心控制器保护方法所涉及的网络架构图;
图2是本发明一个实施例中提供的中心控制器保护方法的方法流程图;
图3是本发明另一个实施例中提供的中心控制器保护方法的方法流程图;
图4A是本发明再一个实施例中提供的中心控制器保护方法的方法流程图;
图4B是本发明再一个实施例中提供的中心控制器保护方法的方法流程图;
图5是本发明一个实施例中提供的出口网关的结构方框图;
图6是本发明另一个实施例中提供的出口网关的结构方框图;
图7是本发明一个实施例中提供的中心控制器的结构方框图;
图8是本发明另一个实施例中提供的中心控制器的结构方框图;
图9是本发明一个实施例中提供的中心控制器保护系统的结构方框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了便于本发明的理解,首先对基于OpenFlow协议的SDN网络的结构进行如下说明:
基于OpenFlow协议的SDN网络包括OpenFlow交换机(英文:OpenFlow Switch)和OpenFlow控制器(英文:OpenFlow Controller)。
其中,OpenFlow交换机负责依据存储的流表进行数据转发,OpenFlow控制器负责路由控制,也就是说OpenFlow控制器可以通过一条安全信道向OpenFlow交换机下发流表,从而达到控制OpenFlow交换机进行数据转发的目的,实现数据转发和路由控制的分离。OpenFlow协议则定义了OpenFlow交换机和OpenFlow控制器之间通信的安全信道(SecureChannel)。通过该通道,OpenFlow控制器可以实现对OpenFlow交换机的配置和管理,接收OpenFlow交换机发送的事件报告,以及与OpenFlow交换机进行数据报文的交互。
在本发明的各个实施例中,如无特殊说明,出口网关即为SDN网络中的OpenFlow交换机,中心控制器即为SDN网络中的OpenFlow控制器。
图1是本发明一个实施例中提供的中心控制器保护方法所涉及的网络架构图,该网络架构包括移动网络110和软件定义网络120。
移动网络110通过出口网关130与软件定义网络120连接。
移动网络110可以为LTE网络、3G或4G网络等,本发明各个实施例对移动网络110的网络类型不进行限定。
移动终端110中还可以包括基站111、与基站连接的终端112、移动管理实体(英文:Mobility Management Entity,简称:MME)113、网关(一般为非出口网关)114等。
软件定义网络120包括中心控制器121和冗余服务器122。
可选的,该网络架构的中心控制器121和冗余服务器122可以是相互独立的设备,也可以是同一个控制器中的各个部分,或者同属于一个控制器集群。
图2是本发明一个实施例中提供的中心控制器保护方法的方法流程图,该中心控制器保护方法应用于图1所示网络架构中的出口网关130中。该中心控制器保护方法包括如下步骤:
步骤201,接收终端发送的数据包,将该数据包与该出口网关中存储的流表进行匹配。
步骤202,当该数据包与存储的该流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,向该中心控制器上报未匹配的该数据包。
步骤203,当该计数值累加至该预警门限值所使用的时长小于预定时长阈值,则向该中心控制器发送预警信息,该预警信息用于触发该中心控制器将该中心控制器存储的信息备份至冗余控制器,与该冗余控制器共同处理该中心控制器上报的数据包。
综上所述,本发明实施例中提供的中心控制器保护方法,通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
图3是本发明另一个实施例中提供的中心控制器保护方法的方法流程图,该中心控制器保护方法应用于图1所示网络架构中的中心控制器121中。该中心控制器保护方法包括如下步骤:
步骤301,接收该出口网关上报的预警信息,该预警信息是该出口网关在接收终端发送的数据包后,当该数据包与存储的该流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,当该计数值累加至预警门限值所使用的时长小于预定时长阈值时向该中心控制器发送的。
步骤302,将该中心控制器存储的分析标准信息同步至冗余控制器,该分析标准信息用于分析是否允许转发该出口网关上报的数据包。
步骤303,与该冗余控制器共同处理该中心控制器上报的数据包,该数据包是该出口网关匹配到接收到的数据包与该出口网关中存储的流表均不相同时上报至该中心控制器的。
综上所述,本发明实施例中提供的中心控制器保护方法,通过为出口网关设置预警门限值,当预定时长内无法与流表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
图4A是本发明再一个实施例中提供的中心控制器保护方法的方法流程图,该中心控制器保护方法应用于图1所示网络架构中。该中心控制器保护方法包括如下步骤:
步骤401,中心控制器为出口网关生成预警门限值;通过该出口网关与该中心控制器之间的安全信道,向该出口网关发送该预警门限值。
一般来讲,中心控制器作为OpenFlow控制器,而出口网关作为OpenFlow交换机来讲,中心控制器和出口网关之间可以通过安全信道进行连接。出口网关与中心控制器之间的信息交互均可以通过该安全信道进行实现。
可选的,出口网关在工作之前,可以将自身的属性信息发送至中心控制器。
在实际应用中,为了避免中心控制器在短时间内处理大量的未被出口网关匹配成功的数据包,而导致中心控制器宕机的情况,中心控制器可以先为出口网关生成一个预警门限值,并利用与出口网关之间的安全信道,将预警门限值发送至出口网关。
步骤402,出口网关通过该安全信道接收该预警门限值。
对应的,出口网关可以接收到中控控制器为其生成的预警门限值,并对预警门限值进行存储。
步骤403,出口网关接收终端发送的数据包,将该数据包与该出口网关中存储的流表进行匹配。
这里所讲的流表是中心控制器下发的,每张流表至少包括源IP地址、目标IP地址和下一跳网络设备的IP地址。每张流表用于指示具有该源IP地址的数据包在转发至目标IP地址时所经过的路径的下一跳为下一跳网络设备。
在出口网关所位于移动网络中,终端若要访问SDN网络,需要向出口网关发送数据包。这些终端均是在移动网络进行过认证并成功接入至移动网络的基站中的终端,这些终端可以为智能手机、平板电脑、可穿戴式设备等,本实施例不对终端的类型进行限定。
出口网关接收至少一个终端发送的数据包,出口网关在没接收一个数据包后,为了判定该数据包是否有合适的转发路径,或者为该数据包确定转发路径,出口网关通常会将接收到的数据包与存储的各个流表进行匹配,在匹配成功时,则按照流表所指示的路径进行转发,比如按照流表中所指定的下一跳网络设备的IP地址将数据包转发至下一跳网络设备。
将该数据包与该出口网关中存储的流表进行匹配时,可以将数据包中的源IP地址和目标IP分别与流表中的源IP地址和目标IP地址进行匹配,当数据包中的源IP地址和目标IP在某个流表中时,则判定该数据包与该流表匹配。当数据包中的源IP地址和目标IP在各个流表中的源IP地址和目标IP地址均不相同时,则判定该数据包不与存储的流表匹配。步骤403,当该数据包与存储的流表均不匹配时,出口网关累加用于指示不匹配数据包的数量的计数值。
可选的,出口网关可以每隔预定时间间隔,累加这段时间间隔所对应时长内的不匹配的数据包的数量。在该对应时长结束时,将用于指示不匹配数据包的数量的计数值清零。
步骤404,出口网关向该中心控制器上报未匹配的数据包。
由于该数据包无法与出口网关中的各个流表进行匹配,为了保证该数据包能被正确转发出去,出口网关需要将不匹配的数据包上报至中心控制器,由中心控制器判定该数据包被转发的路径,生成转发的流表,并将生成的流表下发至出口网关。
步骤405,中心控制器接收出口网关上报的数据包。
步骤406,当计数值累加至该预警门限值所使用的时长小于预定时长阈值,出口网关则向该中心控制器发送预警信息。
当计数值累加至该预警门限值所使用的时长小于预定时长阈值,则表明:预定时长阈值所对应的时长内,出口网关接收到的不能与存储的流表匹配成功的数据包的数量达到了预警门限值。此时,则很可能终端存在网络攻击行为,此时出口网关则向该中心控制器发送预警信息。
可选的,预警信息具有中心控制器和出口网关预先约定好的预定格式。
步骤407,中心控制器接收该出口网关上报的预警信息。
步骤408,中心控制器将该中心控制器存储的分析标准信息同步至冗余控制器。
当中心控制器接收该出口网关上报的预警信息时,通常意味着出口网关短时间内还会有大量的数据包上报过来,此时为了避免中心控制器的宕机,中心控制器可以唤醒冗余控制器,并将中心控制器存储的分析标准信息同步至冗余控制器。
这里所讲的分析标准信息用于分析是否允许转发该出口网关上报的数据包。也即,中心控制器需要根据分析标准信息才能判定该数据包是否能够被转发,在能够被转发的情况下,确定出该数据包的转发路径,并根据确定的转发路径为该类数据包生成流表,将生成的流表下发至出口网关,以便出口网关根据该流表转发具有相同源IP地址以及相同目标IP地址的数据流。
步骤409,中心控制器与该冗余控制器共同处理该出口网关上报的数据包。
当中心控制器将存储的分析标准信息同步至冗余控制器之后,冗余控制器则也可以根据该分析标准信息对数据包分析转发判定,比如判定该数据包是否能够被转发,在能够被转发的情况下,确定出该数据包的转发路径,并根据确定的转发路径为该类数据包生成流表。
可选的,冗余控制器在确定出该数据包的转发路径,并根据确定的转发路径为该类数据包生成流表后,可以将生成的流表发送至中心控制器,由中心控制器将该流表下发给出口网关。
由于中心控制器和冗余控制器可以共同处理出口网关上报的数据包,因此可以大大减少中心控制器的处理负担,从而避免中心控制器的宕机,避免了中心控制器免于受到终端的攻击。
综上所述,本发明实施例中提供的中心控制器保护方法,通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
当中心控制器在接收到出口网关上报的预警信息时,通常意味着当前突然出现较多的不能被出口网关中流表匹配的数据包,而这些大量的数据包很可能是存在攻击行为的终端发送的,为了避免存在攻击行为的终端继续发送攻击的数据包,中心控制器还会对接收到的数据包进行网络行为分析。具体参见图4B中的描述。
图4B是本发明再一个实施例中提供的中心控制器保护方法的方法流程图,该中心控制器保护方法应用于图1所示网络架构中。该中心控制器保护方法包括如下步骤:
步骤410,中心控制器获取在当前时刻为结束时刻的预定时长内接收到的数据包。
也即,中心控制器获取最后预定时长内从出口网关接收到的数据包。
可选的,当中心控制器与多个出口网关连接时,针对每个出口网关发送来的数据包,中心控制器进行独立分析,也即中心控制器根据同一个出口网关发送来的数据包进行网络行为分析。
这里所讲的预定时长可以为5s、10s等,本实施例不对预定时长的具体取值进行限定。
步骤411,中心控制器对获取到的该数据包进行分析,判定发送该数据包的各个终端是否存在攻击行为。
一般来讲,存在攻击行为的终端通常会向不同的目的地发送数据包,也即存在攻击行为的终端在该预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值。
可选的,中心控制器可以对数据包进行解封装,获取每个数据包的五元组,五元组分别为源IP地址、目标IP地址、源端口号、目标端口号和协议类型。然后,中控控制器可以对五元组中的各个字段的熵值进行量化计算。若发现同一终端短时间内访问大量不同目的地址(即源地址熵值降低,目的地址熵值增大),则判定该终端为攻击者。
步骤412,中心控制器在发送数据包的各个终端中存在攻击行为时,向出口网关发送攻击信息。
攻击信息中携带有被判定出的存在攻击行为的终端的IP地址。
步骤413,出口网关接收该中心控制器下发的攻击信息。
一般来讲,该攻击信息中至少包含存在攻击行为的终端的IP地址,也即该终端发送的数据包中的源IP地址。
步骤413,出口网关控制该确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止该终端访问该软件定义网络。
出口网关在接收到攻击信息之后,可以根据攻击信息中携带的IP地址,确定出具有该IP地址的终端所具有的国际移动用户识别码(英文:International MobileSubscriber Identification Number,简称:IMSI),而一般来讲,该终端的IP地址是出口网关在该终端接入网络时为该终端分配的。
出口网关向移动管理实体(英文:Mobility Management Entity,简称:MME)发送携带有该IP地址的禁止访问消息,该禁止访问消息用于通知该MME查找与该IP地址对应的IMSI码,向与该IMSI码对应的基站发送禁止访问指令,该禁止访问指令用于触发该基站在预定时间段内禁止具有该IMSI码的终端访问所述软件定义网络。
综上所述,本发明实施例中提供的中心控制器保护方法,通过在中心控制器分析是否存在攻击行为的终端,若存在具有攻击行为的终端,则通知出口网关,由出口网关控制该具有攻击行为的终端继续访问网络信息;解决了因存在攻击行为造成中心控制器的运算量剧增的问题,进而避免了中心控制器发生宕机的可能。
以下是针对本发明的装置实施例的描述,装置实施例中所涉及的相关内容可以参见上述方法实施例部分。
图5本发明一个实施例中提供的出口网关的结构方框图,该出口网关可以为图1所示网络架构中的出口网关130。该出口网关包括:匹配模块510、累加模块520和发送模块530。
匹配模块510,用于接收终端发送的数据包,将该数据包与该出口网关中存储的流表进行匹配;
累加模块520,用于当匹配模块510匹配得到的该数据包与存储的该流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,向该中心控制器上报未匹配的该数据包;
发送模块530,用于当该累加模块520累加得到的该计数值累加至该预警门限值所使用的时长小于预定时长阈值,则向该中心控制器发送预警信息,该预警信息用于触发该中心控制器将该中心控制器存储的信息备份至冗余控制器,与该冗余控制器共同处理该中心控制器上报的数据包。
在一种可能的实现放方式中,请参见图6所示,其是本发明另一个实施例中提供的出口网关的结构方框图,该出口网关还包括:第一接收模块540和禁止模块550。
第一接收模块540,用于接收该中心控制器下发的攻击信息,该攻击信息是该中心控制器针对接收到的该出口网关上报的数据包,确定出具有攻击行为的终端后发送的;
禁止模块550,用于控制该确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止该终端访问该软件定义网络。
在一种可能的实现放方式中,仍旧参见图6所示,该攻击信息中携带有该确定出的具有攻击行为的终端的网络协议IP地址,该禁止模块550可以包括:确定单元550a和发送单元550b。
确定单元550a,用于根据该攻击信息中携带的IP地址,确定出具有该IP地址的终端所具有的国际移动用户识别码IMSI码,该终端的IP地址是该出口网关在该终端接入网络时为该终端分配的;
发送单元550b,用于向移动管理实体MME发送携带有该IP地址的禁止访问消息,该禁止访问消息用于通知该MME查找与该IP地址对应的IMSI码,向与该IMSI码对应的基站发送禁止访问指令,该禁止访问指令用于触发该基站在该预定时间段内禁止具有该IMSI码的终端访问该软件定义网络。
在一种可能的实现放方式中,仍旧参见图6所示,该出口网关还包括:第二接收模块560。
第二接收模块560,用于通过该出口网关与该中心控制器之间的安全信道,接收该软件定义网络中的中心控制器为该出口网关生成的该预警门限值。
综上所述,本发明实施例中提供的出口网关,通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
此外,通过在中心控制器分析是否存在攻击行为的终端,若存在具有攻击行为的终端,则通知出口网关,由出口网关控制该具有攻击行为的终端继续访问网络信息;解决了因存在攻击行为造成中心控制器的运算量剧增的问题,进而避免了中心控制器发生宕机的可能。
图7本发明一个实施例中提供的中心控制器的结构方框图,该中心控制器可以为图1所示网络架构中的中心控制器121。该中心控制器包括:接收模块710、备份模块720和处理模块730。
接收模块710,用于接收该出口网关上报的预警信息,该预警信息是该出口网关在接收终端发送的数据包后,当该数据包与存储的该流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,当该计数值累加至预警门限值所使用的时长小于预定时长阈值时向该中心控制器发送的;
备份模块720,用于将该中心控制器存储的分析标准信息同步至冗余控制器,该分析标准信息用于分析是否允许转发该出口网关上报的数据包;
处理模块730,用于与该冗余控制器共同处理该出口网关上报的数据包,该数据包是该出口网关匹配到接收到的数据包与该出口网关中存储的流表均不相同时上报至该中心控制器的。
在一种可能的实现放方式中,请参见图8所示,其是本发明另一个实施例中提供的中心控制器的结构方框图,该中心控制器还包括:生成模块740和发送模块750。
生成模块740,用于为该出口网关生成该预警门限值;
发送模块750,用于通过该出口网关与该中心控制器之间的安全信道,向该出口网关发送该生成模块生成的该预警门限值。
在一种可能的实现放方式中,仍旧参见图8所示,该中心控制器还包括:获取模块760和判定模块770。
获取模块760,用于获取在当前时刻为结束时刻的预定时长内接收到的数据包;
判定模块770,用于对该获取模块760获取到的该数据包进行分析,判定发送该数据包的各个终端是否存在攻击行为,存在攻击行为的终端在该预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值。
综上所述,本发明实施例中提供的中心控制器,通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
此外,通过在中心控制器分析是否存在攻击行为的终端,若存在具有攻击行为的终端,则通知出口网关,由出口网关控制该具有攻击行为的终端继续访问网络信息;解决了因存在攻击行为造成中心控制器的运算量剧增的问题,进而避免了中心控制器发生宕机的可能。
需要说明的是:上述实施例中提供的出口网关、中心控制器在保护中心控制器时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将出口网关、中心控制器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的出口网关、中心控制器分别与以出口网关、中心控制器为执行主体的中心控制器保护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图9是本发明一个实施例中提供的中心控制器保护系统的结构方框图,该中心控制器保护系统可以为图1所示网络架构中。该中心控制器保护系统包括出口网关连接的移动网络910和软件定义网络920。
该移动网络910中的出口网关可以为图5或图6中各种可能的实现方式中所描述的出口网关。
该软件定义网络920包括如图7或图8中各种可能的实现方式中所描述的中心控制器。
综上所述,本发明实施例中提供的中心控制器保护系统,通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。
此外,通过在中心控制器分析是否存在攻击行为的终端,若存在具有攻击行为的终端,则通知出口网关,由出口网关控制该具有攻击行为的终端继续访问网络信息;解决了因存在攻击行为造成中心控制器的运算量剧增的问题,进而避免了中心控制器发生宕机的可能。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种中心控制器保护方法,其特征在于,应用于出口网关中,所述出口网关用于连接移动网络与软件定义网络,所述方法包括:
接收终端发送的数据包,将所述数据包与所述出口网关中存储的流表进行匹配;
当所述数据包与存储的所述流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,向所述中心控制器上报未匹配的所述数据包;
当所述计数值累加至预警门限值所使用的时长小于预定时长阈值,则向所述中心控制器发送预警信息,所述预警信息用于触发所述中心控制器将所述中心控制器存储的信息备份至冗余控制器,与所述冗余控制器共同处理所述出口网关上报的数据包;
接收所述中心控制器下发的攻击信息,所述攻击信息是所述中心控制器针对接收到的所述出口网关上报的数据包,确定出具有攻击行为的终端后发送的;
控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络;
所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址,所述控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络,包括:
根据所述攻击信息中携带的IP地址,确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码,所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的;
向移动管理实体MME发送携带有所述IP地址的禁止访问消息,所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码,向与所述IMSI码对应的基站发送禁止访问指令,所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。
2.根据权利要求1中任一所述的方法,其特征在于,所述方法还包括:
通过所述出口网关与所述中心控制器之间的安全信道,接收所述软件定义网络中的中心控制器为所述出口网关生成的所述预警门限值。
3.一种中心控制器保护方法,其特征在于,应用于中心控制器中,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述方法包括:
接收所述出口网关上报的预警信息,所述预警信息是所述出口网关在接收终端发送的数据包后,当所述数据包与存储的流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,当所述计数值累加至预警门限值所使用的时长小于预定时长阈值时向所述中心控制器发送的;
将所述中心控制器存储的分析标准信息同步至冗余控制器,所述分析标准信息用于分析是否允许转发所述出口网关上报的数据包;
与所述冗余控制器共同处理所述出口网关上报的数据包,所述数据包是所述出口网关匹配到接收到的数据包与所述出口网关中存储的流表均不相同时上报至所述中心控制器的;
所述中心控制器针对接收到的所述出口网关上报的数据包,确定出具有攻击行为的终端后向所述出口网关下发攻击信息,以使所述出口网关控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络;
所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址,所述出口网关控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络,包括:
所述出口网关根据所述攻击信息中携带的IP地址,确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码,所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的;
所述出口网关向移动管理实体MME发送携带有所述IP地址的禁止访问消息,所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码,向与所述IMSI码对应的基站发送禁止访问指令,所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
为所述出口网关生成所述预警门限值;
通过所述出口网关与所述中心控制器之间的安全信道,向所述出口网关发送所述预警门限值。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
获取在当前时刻为结束时刻的预定时长内接收到的数据包;
对获取到的所述数据包进行分析,判定发送所述数据包的各个终端是否存在攻击行为,存在攻击行为的终端在所述预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值;
在发送所述数据包的各个终端中存在攻击行为时,向所述出口网关发送攻击信息,所述攻击信息中携带有判定出的存在攻击行为的终端的IP地址。
6.一种出口网关,其特征在于,所述出口网关用于连接移动网络与软件定义网络,所述出口网关包括:
匹配模块,用于接收终端发送的数据包,将所述数据包与所述出口网关中存储的流表进行匹配;
累加模块,用于当所述匹配模块匹配到所述数据包与存储的所述流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,向中心控制器上报未匹配的所述数据包;
发送模块,用于当所述累加模块累加得到的所述计数值累加至预警门限值所使用的时长小于预定时长阈值,则向所述中心控制器发送预警信息,所述预警信息用于触发所述中心控制器将所述中心控制器存储的信息备份至冗余控制器,与所述冗余控制器共同处理所述出口网关上报的数据包;
第一接收模块,用于接收所述中心控制器下发的攻击信息,所述攻击信息是所述中心控制器针对接收到的所述出口网关上报的数据包,确定出具有攻击行为的终端后发送的;
禁止模块,用于控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络;
所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址,所述禁止模块,包括:
确定单元,用于根据所述攻击信息中携带的IP地址,确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码,所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的;
发送单元,用于向移动管理实体MME发送携带有所述IP地址的禁止访问消息,所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码,向与所述IMSI码对应的基站发送禁止访问指令,所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。
7.根据权利要求6中任一所述的出口网关,其特征在于,所述出口网关还包括:
第二接收模块,用于通过所述出口网关与所述中心控制器之间的安全信道,接收所述软件定义网络中的中心控制器为所述出口网关生成的所述预警门限值。
8.一种中心控制器,其特征在于,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述中心控制器包括:
接收模块,用于接收所述出口网关上报的预警信息,所述预警信息是所述出口网关在接收终端发送的数据包后,当所述数据包与存储的流表均不匹配时,累加用于指示不匹配数据包的数量的计数值,当所述计数值累加至预警门限值所使用的时长小于预定时长阈值时向所述中心控制器发送的;
备份模块,用于将所述中心控制器存储的分析标准信息同步至冗余控制器,所述分析标准信息用于分析是否允许转发所述出口网关上报的数据包;
处理模块,用于与所述冗余控制器共同处理所述出口网关上报的数据包,所述数据包是所述出口网关匹配到接收到的数据包与所述出口网关中存储的流表均不相同时上报至所述中心控制器的;
所述接收模块,用于针对接收到的所述出口网关上报的数据包,确定出具有攻击行为的终端后向所述出口网关下发攻击信息,以使所述出口网关控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络;
所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址,所述出口网关控制所述确定出的具有攻击行为的终端正在连接的基站,在预定时间段内禁止所述终端访问所述软件定义网络,包括:
所述出口网关根据所述攻击信息中携带的IP地址,确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码,所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的;
所述出口网关向移动管理实体MME发送携带有所述IP地址的禁止访问消息,所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码,向与所述IMSI码对应的基站发送禁止访问指令,所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。
9.根据权利要求8所述的中心控制器,其特征在于,所述中心控制器还包括:
生成模块,用于为所述出口网关生成所述预警门限值;
第一发送模块,用于通过所述出口网关与所述中心控制器之间的安全信道,向所述出口网关发送所述生成模块生成的所述预警门限值。
10.根据权利要求8或9所述的中心控制器,其特征在于,所述中心控制器还包括:
获取模块,用于获取在当前时刻为结束时刻的预定时长内接收到的数据包;
判定模块,用于对所述获取模块获取到的所述数据包进行分析,判定发送所述数据包的各个终端是否存在攻击行为,存在攻击行为的终端在所述预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值;
第二发送模块,用于在发送所述数据包的各个终端中存在攻击行为时,向所述出口网关发送攻击信息,所述攻击信息中携带有判定出的存在攻击行为的终端的IP地址。
11.一种中心控制器保护系统,其特征在于,所述系统包括如权利要求6-7中任一所述的出口网关连接的移动网络和软件定义网络;
所述软件定义网络包括如权利要求8-10中任一所述的中心控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510584002.4A CN105208023B (zh) | 2015-09-14 | 2015-09-14 | 中心控制器保护方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510584002.4A CN105208023B (zh) | 2015-09-14 | 2015-09-14 | 中心控制器保护方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105208023A CN105208023A (zh) | 2015-12-30 |
| CN105208023B true CN105208023B (zh) | 2018-03-30 |
Family
ID=54955456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510584002.4A Expired - Fee Related CN105208023B (zh) | 2015-09-14 | 2015-09-14 | 中心控制器保护方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105208023B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600812B (zh) * | 2020-05-13 | 2022-10-25 | 优刻得科技股份有限公司 | 一种报文的处理方法、处理装置、可读介质和系统 |
| CN114866265B (zh) * | 2021-01-20 | 2024-04-19 | 晶晨半导体(上海)股份有限公司 | 网络连接方法、路由器、管理员终端设备以及通信设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
| CN104639504A (zh) * | 2013-11-12 | 2015-05-20 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
| CN104660565A (zh) * | 2013-11-22 | 2015-05-27 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| CN104661205A (zh) * | 2013-11-22 | 2015-05-27 | 中兴通讯股份有限公司 | 一种网关更新信息通知方法及控制器 |
| CN104754053A (zh) * | 2015-04-01 | 2015-07-01 | 清华大学深圳研究生院 | 一种分布式软件定义网络及在其中动态控制控制器的方法 |
| CN105052083A (zh) * | 2013-03-15 | 2015-11-11 | 思科技术公司 | 用于网络的可编程管理引擎 |
-
2015
- 2015-09-14 CN CN201510584002.4A patent/CN105208023B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105052083A (zh) * | 2013-03-15 | 2015-11-11 | 思科技术公司 | 用于网络的可编程管理引擎 |
| CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
| CN104639504A (zh) * | 2013-11-12 | 2015-05-20 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
| CN104660565A (zh) * | 2013-11-22 | 2015-05-27 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| CN104661205A (zh) * | 2013-11-22 | 2015-05-27 | 中兴通讯股份有限公司 | 一种网关更新信息通知方法及控制器 |
| CN104754053A (zh) * | 2015-04-01 | 2015-07-01 | 清华大学深圳研究生院 | 一种分布式软件定义网络及在其中动态控制控制器的方法 |
Non-Patent Citations (3)
| Title |
|---|
| Towards an elastic distributed SDN controller;Advait Abhay Dixit等;《Proceedings of the ACM SIGCOMM Workshop on HotSDN》;20131231;论文第7页倒数第3段1-3行、说明书第9页第2段、倒数第2段 * |
| 软件定义网络(SDN)研究进展;张朝昆等;《软件学报》;20150115;第63-81页 * |
| 软件定义网络架构与发展研究;刘恋等;《信息技术与标准化》;20150910;第61-64页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105208023A (zh) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721318B (zh) | 一种软件定义网络sdn中发现网络拓扑的方法和装置 | |
| US10826821B2 (en) | Flow path detection | |
| CN105357146B (zh) | 出口网关内缓存队列饱和攻击防御方法、装置及系统 | |
| CN107851109A (zh) | 软件定义网络的配置 | |
| CN103299588A (zh) | 通信系统、转发节点、接收分组处理方法和程序 | |
| CN112073991B (zh) | 一种接入网的业务处理方法及设备 | |
| CN108737217B (zh) | 一种抓包方法及装置 | |
| US20230086762A1 (en) | Data packet forwarding method and system, network node, and storage medium | |
| US20170222953A1 (en) | User packet forwarding control method and processing node | |
| CN107547442A (zh) | 数据传输缓存队列分配方法及装置 | |
| CN104160735B (zh) | 发报文处理方法、转发器、报文处理设备、报文处理系统 | |
| CN105208023B (zh) | 中心控制器保护方法、设备及系统 | |
| CN106656807A (zh) | 一种报文转发方法及sdn交换机 | |
| CN110213798A (zh) | 一种基于Femto网关的分流方法及装置 | |
| CN103188120A (zh) | 一种组播业务的丢包检测方法及装置 | |
| CN110417687A (zh) | 一种报文发送与接收方法及装置 | |
| CN105939280A (zh) | 流量调度方法以及装置 | |
| WO2015180265A1 (zh) | 多链路保护倒换的方法及装置 | |
| CN110290124A (zh) | 一种交换机入端口阻断方法及装置 | |
| EP3148126A1 (en) | Communication apparatus, control apparatus, communication system, and transmission control method | |
| KR102601122B1 (ko) | 패킷 보고 방법과 시스템 | |
| Çakmak et al. | A Review: Active queue management algorithms in mobile communication | |
| CN107547444B (zh) | 一种流量统计方法及交换设备 | |
| CN109391567A (zh) | 硬件交换机控制流向的方法、装置、终端设备及存储介质 | |
| CN108900983A (zh) | 传输组呼配置信息的方法、mme及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180330 Termination date: 20190914 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |