CN105610854B - 一种网络协同防御系统 - Google Patents
一种网络协同防御系统 Download PDFInfo
- Publication number
- CN105610854B CN105610854B CN201610032111.XA CN201610032111A CN105610854B CN 105610854 B CN105610854 B CN 105610854B CN 201610032111 A CN201610032111 A CN 201610032111A CN 105610854 B CN105610854 B CN 105610854B
- Authority
- CN
- China
- Prior art keywords
- network
- rule
- controller
- defense
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于软件定义网络的协同防御策略和系统,涉及网络安全领域。所述防御系统骨架由多台网络节点控制器组成,各个控制器之间采用TCP/IP协议通信。控制器控制自己所管辖网络的安全防御规则和策略,同时将其中部分需要协同防御的策略传递到其他控制器,请求协同防御。控制器上搭载的系统构架分为4个模块:服务器模块负责接收用户所提交的安全防御请求;分析器模块负责将用户的安全请求转化为网络防御规则;数据库模块采用分布式存储技术,将分析器模块生成的规则存储起来并且分散到网络集群的各个地方,供控制器从中提取规则;POX模块则是网络的主要节点,从数据库提取规则并转换为流规则,发送到交换机来控制网络的主要行为。
Description
技术领域
本发明属于计算机网络安全领域的网络流量控制体系和策略,涉及到软件定义网络(SDN)环境下的网络流量安全体系和策略。
背景技术
网络安全是计算机学科中的一个很热门的研究方向,尤其是在现如今的大数据时代,网络安全的重要性更是不言而喻。在众多的安全威胁当中,DDoS毫无疑问是一种攻击频率高、门槛低、危害大的网络攻击方式,也因为其采取的各种各样的攻击方式,导致了这种攻击易检测却难以被防御。据网络安全公司Arbor Networks去年的报告显示,2014年上半年全球DDoS大型攻击次数较过去更为频繁。根据Arbor Networks安全报告ATLAS的数据,2014年仅是第二季度共发生111次流量超过100Gbps的攻击,而整个上半年,流量超过20Gbps的攻击次数更多达5733次,比2013年全年2573次的两倍还多。面对如此严峻的网络安全形势,如何有效地防御DDoS流量对于重要服务器和网络设备的攻击成为了急需解决的问题。
软件定义网络(SDN)是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。利用这项新技术,网络的灵活性和耦合性可以极大地提高。
在DDoS的攻击中,往往拥有较强的负载能力和过滤能力的网络设备无法有效地检测和定位攻击流量,比如网络运营商,他们拥有强大的负载能力却无法判断经过自身的流量是否为正常流量;而另一方面,网络中的需要面向应用的服务器端可以很好地判断自己是否受到了流量攻击,但是由于自身设备的局限性,不能很好地隔断攻击。
因此,本领域的技术人员致力于开发一种基于软件定义网络的网络协同防御系统,利用SDN网络的高耦合性,采取协同防御的策略,就可以充分发挥两方的特点,最大化地过滤或迁移DDoS攻击流量,从而更好地解决问题。
发明内容
本发明基于以上在网络流量攻击的防御问题和SDN网络的优越特性,解决的是网络中较强的负载能力和过滤能力的网络设备无法有效地检测和定位攻击流量的问题。
为了实现上述目的本发明提出了一种网络协同防御系统,所述网络协同防御系统是基于软件定义网络的,顶层采用骨干节点控制器,所述骨干节点控制器间形成一个网络;所述网络协同防御系统利用对等的所述骨干节点控制器对不同的网络进行控制,同时通过路由算法在不同的所述骨干节点控制器之间进行网络安全策略的协同和规则的远程部署。
进一步地,每个所述骨干节点控制器下采用层级的控制器部署。
进一步地,每个所述骨干节点控制器都不是网络中的主要流量节点,网络流量仍然通过原来的流量转发设备进行交换,大量的用户网络流量不需要经过骨干节点控制器。每个所述骨干节点控制器都管辖网络中部分的流量转发设备。骨干节点控制器只负责接收用户的请求,处理之后形成相对应的流量规则,并将规则部署到所管辖的流量转发设备。
进一步地,所述骨干节点控制器之间采用安全协议的方式通信。
进一步地,对于新增的用户(subscriber),通过认证机制,保证其与其上层的普通控制器之间可以相互信任,所述认证机制包括步骤如下:
步骤(202.2)新用户发送给负责控制网络的所述普通控制器一个认证包,作为所述新节点加入网络的凭证,所述认证包包含所述新节点当前的地址信息;
步骤(202.3)上层的普通控制器接收所述认证包并确认之后,将控制器公钥发送给所述新节点,同时发送一个随机的序列号K;
步骤(202.4)所述新节点接收到所述普通控制器发送的公钥之后,再使用所述的普通控制器公钥来加密客户端的公钥,将所述客户端公钥发送回所述的普通控制器,同时返回K+1。
进一步地,所述网络安全策略的规则采用分布式存储。
进一步地,所述路由算法利用邻接关节点算法在软件定义网络中的寻找流量的关键位置。
进一步地,所述所有控制器模块包括:
服务器模块,被配置为接收客户端所提交的安全防御请求;
分析器模块,被配置为将用户的所述安全防御请求转化为网络防御规则;
数据库模块,被配置为采用分布式存储技术,将所述分析器模块生成的规则存储并且分散到网络集群的各个地方;
POX模块,被配置为网络的主要节点,负责从所述数据库模块提取规则并转换为流规则,发送报文到交换机来控制网络的主要行为。
进一步地,POX模块所发送的报文包括身份验证部分、规则部分和数字签名部分;
进一步地,使用对话密钥将整个所述报文加密。
本发明所述的一种基于SDN的分布式防御体系以及一系列策略,系统流程简图如图6所示,包括以下步骤:
步骤(101)在所需要防御的全网范围内中的布置一定的主机作为网络节点控制器(Traffic Controller),这些节点控制器将全网划分成不同的管辖区域,每个区域对应一个节点控制器。节点控制器之间通过路由协议进行交互通信。如图1。
步骤(102)在不同的管辖区域内布置任意数量的控制器(controller),形成层级网络系统,控制器的具体数量视网络的大小和负载布置,这些控制器负责和用户(subscriber)进行交互。
步骤(103)用户(subscriber)是从属于Controller网络的一个普通的客户端,即用户。如图2所示,当用户(subscriber)检测到了攻击,将相应的信息和规则上传给自己所属于的控制器,即普通控制器,其并非一个骨干节点控制器(Traffic Controller),没有权限发动整个网络来协同防御,但是普通控制器的上游网络控制器,我们称为上游控制器(Upstream Controller),相对于普通控制器来说Upstream Controller的控制范围更大,而且对于这个普通控制器来说它们之间是相互可信的,因此,普通控制器将相应的规则和策略上传到Upstream Controller,由Upstream Controller来协同更大范围的网络抵抗流量的攻击。
进一步讲,网络防御的策略和规则需要在不同的控制器和网络转发设备之间传输,为此我们设计了一个通用的流规则报文以及报文传输的协议形式,如图3。
进一步讲,由于一个控制器端可能下属有多个交换机或者是服务器端,这些交换机和服务器会产生大量的流规则请求,对于这些请求我们可以在控制器端将规则进行简化和整合,以减轻控制器端的负载。
步骤(104)对于一个特定的客户端来说,他会将相应的流规则报文传输到自己所连接的普通控制器上。
每一个客户端都会维护两个优先级请求队列(queue),当产生新的流规则报文请求时,一般会将流规则存入低优先级的请求队列当中,只有比较紧急的请求才会指定放入高优先级的队列当中,每次发送请求时,系统会优先发送高优先级队列的请求,只有当高优先级请求队列为空时才会发送低优先级的请求队列中的请求。
步骤(105)普通控制器接收到来自用户(subscriber)发来的流规则报文后,首先需要验证报文的可靠程度。之后会就此更新规则数据库。由于规则在本地控制器管辖的交换机上执行对于并不是负载最小的的规则布置方案,所以控制器可以在特定的条件下将流规则的信息传送到上游控制器(Upstream Controller),通过控制器之间的相互协调,找到当前网络环境下的规则最优执行位置,即对整个网络来说负载最小的位置。
一般来说,为了保证骨干网络上的流量负载尽可能地小,同时需要兼顾交换设备的性能。流规则的最优位置利用邻接关节点算法寻找。
进一步讲,邻接关节点算法的原理如下:
在某图中,若删除顶点V以及V相关的边后,图的一个连通分量分割为两个或两个以上的连通分量,则称顶点V为该图的一个关节点。对于某个点M来说,若它的邻接节点N为关节点,则称N为M的邻接关节点。
对于图5,A,C两个节点为整个网络的关节点,但是对于D节点来说,他的邻接关节点只有C,而对于B来说,其邻接关节点只有A,对于E,F来说,其邻接关节点为A,C。
在本算法中,我们先找出网络中所有的关节点,然后对特定的节点使用广度优先搜索来对关节点排序,然后给最近的关节点最大的防御部署优先级。下面是详细的步骤。
步骤(105.1)寻找网络中所有的关节点,网络中的关节点满足一下两个性质,该算法比较成熟,在这里就不做详细的介绍。算法得到的结果为一个关节点数组A[n],A[i](0<=i<n)==true便是i为关节点,否则i不为关节点。
步骤(105.2)对于特定的节点使用广度优先搜索,伪代码如下
步骤(105.3).得到dist[n]表示到某个邻接节点的距离,根据距离排序,赋予最近的点最大的防御优先级。
步骤(105.4).得到pri数组,为优先级数组,代表节点需要布防的优先程度,越前面的节点优先级越大。
步骤(105.5)再按照其优先级直接部署防御策略,在优先级高的位置重点部署防御规则,即提高控制器更新流表的频率。
步骤(106)控制器会在运行的时刻周期性地向自己管辖的网络转发设备(例如交换机)发送流表信息。SDN下的交换设备收到流表信息后会建立流表,对进过这台设备的流量信息进行流表规则的指定处理。完成网络流量的隔离。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是骨干网络控制器通信模型示意图;
图2是普通控制器和上游控制器通信模型示意图;
图3是本发明的一个较佳实施例的流规则报文的结构;
图4为本发明的一个较佳实施例的控制器内部模块构架;
图5为本发明的一个较佳实施例的关节点算法示意图;
图6为本发明的一个较佳实施例的系统流程简图。
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
1.所有控制器的构架如图4所示。系统的构架分为4个模块:
服务器模块负责接收用户端所提交的安全防御请求,监听端口序号为X。用python的socket库实现。接受流量规则的同时利用用户的对话密钥解密流规则的摘要信息,防止信息被篡改。同时验证流规则的有效时间,对于流规则延迟10s以上的认为为重放攻击,舍弃该报文。
分析器模块负责将用户的安全请求转化为网络防御规则。利用python实现。首先对流规则报文的源地址(source IP)进行检索,对于存在于数据库中的相同或者可以合并的流规则(即source IP有重合的区域)进行合并。在根据当前的控制器上的策略选择是否更新流规则数据库。
数据库模块采用分布式存储技术,将分析器模块生成的规则存储起来并且分散到网络集群的各个地方,分发流规则的主要依据为目标地址(destination IP),最佳方案为放置到管辖所有的目标地址的最底层控制器上,当底层控制器的负载阈值过大时转移到上层的控制器上。
POX模块则是网络的主要节点,复杂从数据库提取规则并转换为流规则,发送到交换机来控制网络的主要行为。这部分采用python编写,同时使用POX控制器模块的函数接口。
2.系统的设置方式如下
步骤(201)在所需要防御的全网范围内中的布置一定的主机作为网络节点控制器(Traffic Controller),一般依据子网划分即可。这些节点控制器将全网划分成不同的管辖区域,每个区域布置一个节点控制器(Traffic Controller)。节点控制器之间通过路由协议进行交互通信。如图1。
步骤(202)在不同的管辖区域内布置任意数量的控制器(controller),形成层级网络系统,控制器的具体数量视网络的大小和负载布置,这些控制器负责和用户(subscriber)进行交互,交互采用服务器-客户端模式(C/S模式)。
进一步讲,控制器(controller)和网络节点控制器(Traffic controller)都是网络中的主机,而并非网络流量的关键节点。这种设置可以减轻控制器的负担,控制器只需要负担规则的分发和处理。
步骤(202.1)进一步讲,用户连接进入防御体系时,必须在自己所属的控制上进行认证。认证步骤如下:
步骤(202.2)用户发送给负责控制网络的控制器一个认证包(request packet),作为节点加入网络的凭证,认证包包含自己当前的地址信息。
步骤(202.3)普通控制器接收这个认证包并确认了之后,会将自己的公钥(Controller PK)发送给该节点,同时发送一个随机的序列号K。
步骤(202.4)用户接收到控制器发送的公钥(Controller PK)之后,再使用控制器的公钥来加密自己的公钥(Client PK),将其发送回控制器,同时返回K+1。此时,控制器与新加入的节点互相都拥有了对方的公钥。通讯建立完成。
步骤(203)当subscriber检测到了攻击,将相应的信息和规则上传给自己所属于的普通控制器,此控制器并非一个网络节点控制器(Traffic Controller),没有权限发动整个网络来协同防御,但是普通控制器的上游网络控制器(Upstream Controller)对于所述的普通控制器来说是可信的,因此,它将相应的规则和策略上传到上游网络控制器,由它来协同更大范围的网络抵抗外面的攻击。
进一步讲,网络防御的策略和规则需要在不同的控制器和用户主机之间传输,为此我们设计了一个通用的流规则报文以及报文传输的协议形式,报文分为三部分,如图3:
身份验证(Identification)部分主要是Client的身份信息,以及流规则报文(flow packet)的报文有效时间和报文发布时间。报文有效时间和报文发布时间存在是为了防止恶意的重放攻击,当攻击者拦截到了一条流规则报文,然后在之后某个特定的时间不改动地发送这条报文,企图干扰正常的流规则发布,但是由于存在报文有效时间和报文发布时间,这条报文被控制器判断为无效报文,而不予接受。
规则(Rule)部分主要是这条流规则报文(flow packet)申请的流规则的基本信息,操作码(Control Mask)代表了操作类型,基本的操作类型有:设置单条规则、设置初始规则,取消上条规则等。Destination IP等信息代表了需要操作的目标网络,若其中有一项没有设置则默认设置为该属性为任何值都匹配这条规则。Enable代表的是是否需要匹配规则的流量通过,Priority是这条规则的优先级,用于规则的冲突检测,当有多条规则发生冲突时,优先级高的流规则优先生效。Rule Timeout是这条规则的有效时间,用来设置生成流表的持续时间,因为一条规则不可能永远有效,下发到交换机的流表在相应的时间过去之后会被删除。而时间的设定可以通过流规则来指定。
数字签名(Digital Sign)部分包含一个整个流规则报文(flow packet)的摘要,该摘要使用散列函数生成。
为了保证报文的完整性和保密性,应使用对话密钥将整个报文进行加密。如果在控制器中找不到该客户端的对应的对话密钥,或者对应的对话密钥无法正确解读报文信息,则证明该流规则不是可信节点发出的,应该被丢弃。否则使用对应的对称密钥来解密,获得流规则报文和摘要,将流规则报文的摘要进行对比,验证报文的完整性,从而确定该流规则报文没有被篡改,此时控制器才会承认并接收该报文。通过这种方式可以保证报文的保密性和完整性,防止恶意的报文信息窃取和报文的伪造。
进一步讲,对于这些请求我们可以在控制器端将规则进行简化和整合,以减轻控制器端的负载。
规则整合的原则:
1.相同目标IP的规则保留优先级(priority)高的一条,优先级低的一条被删除。
2.两条相同优先级的规则,同时目标IP域可以形成一个连续的IP域,可以合并两条规则。
3.对于相互冲突的两条规则(及对同一IP域有不同的处理方式,白名单和黑名单同时存在),后一条规则插入时,前一条规则应该被删除。
每一条规则在插入和删除的时候都应该对于以上的原则进行比对,维护数据库中规则的完整性和非冗余性,以提高控制器的处理速度和负载能力。
步骤(206)对于一个特定的客户端来说,他会将相应的流规则报文传输到自己所连接的控制器上。
每一个客户端都会维护两个优先级请求队列,当产生新的流规则报文请求时,一般会将流规则存入低优先级的请求队列当中,只有比较紧急的请求才会指定放入高优先级的队列当中,每次发送请求时,系统会优先发送高优先级队列的请求,只有当高优先级请求队列为空时才会发送低优先级的请求队列中的请求。当然,我们这里指定的请求队列的优先级与流规则报文的优先级是两种不同的含义。相对应的,每个控制器也有自己的两个接收请求的请求队列,来自客户端的对应优先级请求队列的请求会发送到对应的控制器上的接收队列。
步骤(207)控制器接收到来自subscriber发来的流规则报文会进行如下处理:
(207.1)根据报文的摘要和报文的用户信息进行验证,确认报文来自可行的用户或者下游控制器。同时验证报文的时间信息,确认报文任在有效的时间内。符合以上的标准进入下一步,否则舍弃。
(207.2)根据用户的需求信息和控制器策略,合并部分重复和冗余的规则,生成最为简洁的流规则报文。再将流规则报文发送到上游节点控制器(Upstream Controller)上。
(207.3)上游节点控制器(Upstream Controller)受到来自下部的请求,根据自身策略和流规则报文请求的目标网络地址,根据提出的邻接节点规则算法计算最合适部署防御规则的网络设备,并向管辖其的控制器转发流规则报文。
(207.4)普通控制器受到来自上游控制器的请求指令,将收到的流规则和当前控制器上的规则进行合并,更新流规则数据库。并将规则更新到自己管辖的交换机上,完成防御指令的布置。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (6)
1.一种网络协同防御系统,其特征在于,所述网络协同防御系统基于软件定义网络,顶层采用骨干节点控制器,所述骨干节点控制器间形成一个网络;所述网络协同防御系统利用对等的所述骨干节点控制器对不同的网络进行控制,同时通过路由算法在不同的所述骨干节点控制器之间进行网络安全策略的协同和规则的远程部署,所述路由算法利用邻接关节点算法在软件定义网络中寻找流量的关键位置,每个所述骨干节点控制器都管辖网络中部分的流量转发设备;大量的用户网络流量不需要经过骨干节点控制器;骨干节点控制器只负责接收用户的请求,处理之后形成相对应的流量规则,并将规则部署到流量转发设备。
2.如权利要求1所述的网络协同防御系统,其特征在于,每个所述骨干节点控制器下采用层级的控制器部署。
3.如权利要求1所述的网络协同防御系统,其特征在于,所述骨干节点控制器之间采用安全协议的方式通信。
4.如权利要求1所述的网络协同防御系统,其特征在于,新增的用户通过认证机制保证新增的用户和其上层的普通控制器之间相互信任。
5.如权利要求1所述的网络协同防御系统,其特征在于,所述网络安全策略的规则采用分布式存储。
6.如权利要求1所述的网络协同防御系统,其特征在于,所述骨干节点控制器上搭载的模块包括:
服务器模块,被配置为接收客户端所提交的安全防御请求;
分析器模块,被配置为将用户的所述安全防御请求转化为网络防御规则;
数据库模块,被配置为采用分布式存储技术,将所述分析器模块生成的规则存储并且分散到网络集群的各个地方;
POX模块,被配置为网络的主要节点,负责从所述数据库模块提取规则并转换为流规则,发送报文到交换机来控制网络的主要行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610032111.XA CN105610854B (zh) | 2016-01-18 | 2016-01-18 | 一种网络协同防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610032111.XA CN105610854B (zh) | 2016-01-18 | 2016-01-18 | 一种网络协同防御系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105610854A CN105610854A (zh) | 2016-05-25 |
CN105610854B true CN105610854B (zh) | 2019-08-06 |
Family
ID=55990392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610032111.XA Active CN105610854B (zh) | 2016-01-18 | 2016-01-18 | 一种网络协同防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105610854B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022165535A1 (en) * | 2021-02-01 | 2022-08-04 | Jpmorgan Chase Bank, N.A. | Systems and methods for federated learning using peer-to-peer networks |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107769961A (zh) * | 2017-09-14 | 2018-03-06 | 广州西麦科技股份有限公司 | 一种sdn控制器集群及网络系统 |
CN109753518A (zh) * | 2018-12-28 | 2019-05-14 | 成都九洲电子信息系统股份有限公司 | 基于规则数据的数据深度威胁检测系统及方法 |
CN110138777B (zh) * | 2019-05-15 | 2020-03-17 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN110177100B (zh) * | 2019-05-28 | 2022-05-20 | 哈尔滨工程大学 | 一种协同网络防御的安全设备数据通信协议 |
CN113329055B (zh) * | 2021-04-30 | 2023-04-07 | 网络通信与安全紫金山实验室 | 一种分布式sdn控制器系统及其控制方法与装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539595A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
CN104660582A (zh) * | 2014-12-17 | 2015-05-27 | 南京晓庄学院 | DDoS识别、防护和路径优化的软件定义的网络架构 |
CN104754053A (zh) * | 2015-04-01 | 2015-07-01 | 清华大学深圳研究生院 | 一种分布式软件定义网络及在其中动态控制控制器的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9369477B2 (en) * | 2014-05-29 | 2016-06-14 | Empire Technology Development Llc | Mitigation of path-based convergence attacks |
-
2016
- 2016-01-18 CN CN201610032111.XA patent/CN105610854B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539595A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
CN104660582A (zh) * | 2014-12-17 | 2015-05-27 | 南京晓庄学院 | DDoS识别、防护和路径优化的软件定义的网络架构 |
CN104754053A (zh) * | 2015-04-01 | 2015-07-01 | 清华大学深圳研究生院 | 一种分布式软件定义网络及在其中动态控制控制器的方法 |
Non-Patent Citations (1)
Title |
---|
《大规模网络的主动协同防御模型研究》;楼润瑜;《自然科学报》;20100330;第49卷(第2期);全文 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022165535A1 (en) * | 2021-02-01 | 2022-08-04 | Jpmorgan Chase Bank, N.A. | Systems and methods for federated learning using peer-to-peer networks |
Also Published As
Publication number | Publication date |
---|---|
CN105610854A (zh) | 2016-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105610854B (zh) | 一种网络协同防御系统 | |
Khan et al. | Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art | |
Yan et al. | Distributed denial of service attacks in software-defined networking with cloud computing | |
CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
CN109218981B (zh) | 基于位置信号特征共识的Wi-Fi接入认证方法 | |
JPH05274266A (ja) | 遠隔システム管理のための機密保護機能を提供するための方法 | |
CN103701700A (zh) | 一种通信网络中的节点发现方法及系统 | |
Niu et al. | An anonymous and accountable authentication scheme for Wi-Fi hotspot access with the Bitcoin blockchain | |
Kumar Karn et al. | A survey on VANETs security attacks and sybil attack detection | |
CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
CN113810404A (zh) | 一种基于sdn网络的网络全视图变换动态防御系统及方法 | |
Geng et al. | A software defined networking-oriented security scheme for vehicle networks | |
Vatambeti et al. | Attack Detection Using a Lightweight Blockchain Based Elliptic Curve Digital Signature Algorithm in Cyber Systems. | |
Nowak et al. | Cognitive packet networks for the secure internet of things | |
CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
CN110601878B (zh) | 一种构建隐身网络的方法 | |
Fanti et al. | Rangzen: Circumventing government-imposed communication blackouts | |
Samad | Securing wireless mesh networks: a three dimensional perspective | |
Kishiyama et al. | Security Policies Automation in Software Defined Networking | |
Boukerche et al. | ARMA: an efficient secure ad hoc routing protocol | |
Akilarasu et al. | Privacy preserving protocol for secure routing in wireless mesh networks | |
Hepsiba et al. | Enhanced techniques to strengthening DTN against flood attacks | |
ZEKKORI et al. | Effective Controlling Scheme to Mitigate Flood Attack in Delay Tolerant Network | |
Du et al. | Requirements and Potential Key Technologies of Security for 6G Mobile Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |