CN105656748A - 网络中的边信道攻击阻止 - Google Patents
网络中的边信道攻击阻止 Download PDFInfo
- Publication number
- CN105656748A CN105656748A CN201510863278.6A CN201510863278A CN105656748A CN 105656748 A CN105656748 A CN 105656748A CN 201510863278 A CN201510863278 A CN 201510863278A CN 105656748 A CN105656748 A CN 105656748A
- Authority
- CN
- China
- Prior art keywords
- network
- bag
- standardization
- package
- size
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开总体涉及阻止边信道数据中心攻击的技术。示例方法可包括:接收被送往网络的传入的包;在网关处,将传入的包分组为组,其中组的大小是基于预定统计;并将所述组包装为规范化大小的封包。
Description
背景技术
网络虚拟化是将硬件和软件网络资源组合为作为虚拟化网络的单个的基于软件的管理实体的过程。软件定义联网是网络虚拟化的示例,在该示例中,硬件网络资源与软件网络资源解耦以便简化网络管理,并允许软件开发者以与他们处理存储和计算机资源的方式相同的方式处理网络硬件资源。软件定义联网允许网络智能集中在基于软件的控制器中,从而允许网络硬件装置起到可通过开放式接口被编程的简单的包转发器的作用。
网络可能易受通过边信道攻击技术的隐蔽攻击的影响。边信道攻击是网络上的基于从网络的物理实现得到的信息的攻击。
概述
一般地描述了包括方法和设备的技术。示例方法可包括接收被送往网络(例如,软件定义网络或虚拟化网络)的多个传入的包。然后将所述多个传入的包分组为包组。包组的大小可基于预定统计信息。然后可将包组包装为封包,其中封包具有规范化大小。规范化大小可被选择以便掩盖包大小信息,并且可基于高斯分布。规范化大小也可被选择使得规范化大小随着时间而变化。包组可包括多个包、划分的包、虚假数据、冗余数据或它们的组合。
在一些示例中,一种设备包括至少一个处理单元和至少一个非暂时性计算机可读介质。非暂时性计算机可读介质可被编码用于使所述至少一个处理单元执行以下操作的指令:接收多个被配置为通过网络进行路由的传入的包;将传入的包中的某些包聚合为组;并将组包装为规范化大小的封包以供分发到网络内的目的地。所述多个传入的包可包括多个包、划分的包、单个的包或虚假数据中的一个或多个。规范化大小可根据预定统计而被确定。预定统计可随着时间而变化或者基于网络的繁忙度而被调整。繁忙度可被定义为通过网络行进的包的数量和频率。预定统计可在托管网络的数据中心内被调整。预定统计还可被配置为改变组的规范化大小的分布。规范化大小的分布可具有高斯分布(Gaussianprofile)。预定统计也可被选择以增大进入网络的包流中的熵。包流中的熵可被定义为包流的表观复杂度或随机性。网络上的可观测流量可包括被包装的包的封包的规范化分布,其中封包具有规范化大小。
在一些示例中,一种设备包括至少一个处理单元以及被编码可执行指令的至少一个计算机可读介质。所述可执行指令可使所述至少一个处理单元对在网络中的虚拟机处接收的一个或多个包装的封包进行拆包。包装的封包可按规范化分布进行分发,并且每个包装的封包可以是一个或多个包的聚合。所述设备还可包括与超管理器相关联的虚拟路由器。虚拟路由器可以是认证服务器和交易服务器之一。
在一些示例中,一种方法包括:选择用于分发在网络中的规范化大小的分布;并在网络的网关处接收传入的包。所述方法还可包括在网关处将包分组为针对同一目的地的包组,其中包组的大小根据规范化大小而定。所述方法还可包括在网关处将包组包装为封包以供输送到相应的目的地。规范化大小的分布可以是规范化分布。规范化大小的分布可根据网络的繁忙度而改变。所述方法还可包括在与网络相关联的数据中心处选择规范化大小的分布。
前述概要仅仅是说明性的,而并不意图以任何方式是限制性的。除了说明性的方面,上述实施例和特征、另外的方面、实施例和特征将通过参考附图和下面的详细描述而变得显而易见。
附图说明
通过结合附图进行的以下描述和所附权利要求,本公开的前述和其它特征将变得更充分地显而易见。理解,这些附图仅仅描绘了根据本公开的几个示例,因此,不应被认为是限制其范围,将通过使用附图来更具体地、更详细地描述本公开,在附图中:
图1是说明阻止网络中的边信道攻击的示例方法的流程图;
图2是说明对网络中的包进行分组和包装的示例方法的流程图;
图3说明包括遭受边信道攻击的虚拟化网络的示例系统;
图4说明用于数据中心中的使用包封装的应用的虚拟化联网的堆栈概览;
图5说明包括具有边信道攻击阻止的网络的示例系统;
图6是说明被布置为控制网络的示例计算装置的框图;以及
图7是说明被布置为存储用于将系统形成为防止边信道攻击的指令的示例计算机程序产品的框图;
所有附图都是依照本公开的至少一些实施例来安排的。
具体实施方式
在以下详细描述中,对附图进行参考,所述附图形成详细描述的一部分。除非上下文另外指示,否则在附图中,相似的符号通常标识相似的部件。在详细描述、附图和权利要求中描述的说明性实施例并不意味着是限制性的。在不脱离本文所提供的主题的精神或范围的情况下,可以利用其它实施例,以及可以进行其它改变。将易于理解的是,如在本文中一般地描述的和在图中示出的那样,本公开的各方面可以以广泛多样的不同配置被布置、替代、组合、分割和设计,所有这些在本文中都被明确地构想。
本公开尤其是一般地针对与诸如虚拟化网络(包括例如示例的软件定义网络)的网络相关的方法、系统、产品、装置和/或设备进行描写的。如前面所讨论的,网络可能易受通过边信道攻击技术的隐蔽攻击的影响。边信道攻击是网络上的基于从网络的物理实现得到的信息的攻击。该信息可基于诸如网络流量统计的参数,并且可包括例如包时序、包延迟、拥塞时序、这样的变量与已知流量的关系、以及在整个网络上传输的包的大小。在网络上的边信道攻击中通常存在三个步骤。首先,攻击者可系统地在地图上标出托管网络的数据中心,并且可弄清如何取得在目标附近分配的任务。然后,攻击者确定分配的任务是否与目标共处一处。最后,边信道数据通过共处一处的任务而被提取,并且关于网络的信息被攻击者获取。该信息可允许攻击者例如确定它在网络内执行安全操作所花费的时间量,因此可使得攻击者能够确定网络所用的安全的类型。通过该信息,攻击者然后可以能够闯入网络中。因为这些边信道攻击是隐蔽的,并且对于观测者可能表现为合乎规范的网络流量,所以它们对于网络管理者而言可能难以检测到。
根据本公开的实施例的阻止网络中的边信道攻击的方法的示例可包括:选择用于分发在网络中的规范化大小的分布;并在网络的网关处接收传入的包。然后可在网关处将传入的包分组为针对同一目的地的包组,其中这些组的大小根据规范化大小而定。然后可将包组包装为封包以供输送到网络内的相应的目的地。
图1是说明根据本公开的至少一些实施例布置的、阻止网络中的边信道攻击的示例方法100的流程图。网络可以是软件定义网络。示例方法100可使用例如在本文中下面进一步描述的系统中的任何一个(诸如图5中的系统500)来实施。示例方法100可包括如方框101、102、103和/或104中的一个或多个所示的一个或多个操作、功能或动作。在一些实施例中,示例方法100中的方框可由诸如图6中的计算装置600的计算装置执行。方框101-104中所描述的操作也可被作为计算机可执行指令存储在诸如如图7中所述的计算机可读介质706的计算机可读介质中。
示例方法100可从方框101开始,方框101记载“选择用于分发在网络中的规范化大小的分布”。方框101之后可以接着是方框102,方框102记载“在网络的网关处接收传入的包”。方框102之后可以接着是方框103,方框103记载“在网关处将包分组为针对同一目的地的包组,其中包组的大小根据规范化大小而定”。方框103之后可以接着是方框104,方框104记载“在网关处将包组包装为封包以供输送到相应的目的地”。
所述示例方法中所包括的方框是为了例示说明的目的。在一些实施例中,方框可按不同的次序执行。在一些其它的实施例中,各个方框可被除去。在还有的其它实施例中,各个方框可被划分为附加的方框,被补充其它方框,或者被一起组合为更少的方框。这些特定方框的其它变体被构想,包括方框的次序的改变、被划分或被组合为其它方框的方框的内容的改变、等等。
在方框101,目标统计系统(例如,图5中的目标统计系统507)可选择规范化大小的分布以供分发到网络中的目的地(例如,图5中的服务器509上的攻击者VM510和目标VM512)。网络可以例如通过基于软件的控制器以及可经由开放式接口进行编程的网络装置来实施,并且可包括服务器上的虚拟机(例如,图5中的服务器509上的攻击者VM510和目标VM512)。开放式接口可以是例如ForCES、OpenFlow或另一合适的开放式接口。规范化大小的分布可以例如基于用于分发在网络中的传入的包的期望频率或大小,或者可基于其它统计。规范化大小的分布可以例如具有高斯分布,或者可具有一些其它的预定分布特征。
在方框102,网关(例如,图5中的规范化网关504)可接收传入的被引导到网络内的目的地(例如,图5中的服务器509上的攻击者VM510和目标VM512)的包。传入的包可以是例如与电子邮件、商务或金融交易相关联的数据。网络的网关可以是外部计算机通过其与数据中心内的服务器或超管理器(例如,图5中的数据中心513中的服务器509)进行通信的网关。
在方框103,网关处的包聚合器系统(例如,图5中的规范化网关504处的包聚合器系统505)可将传入的包分组为在网络内具有同一目的地的组。包可被保存在网关处,并被针对数据中心服务器内的位置、按照包的预期目的地进行分类。这些位置可包括单个服务器上的不同虚拟机(例如,图5中的服务器509上的攻击者VM510或目标VM512),或者多个服务器上的多个虚拟机。包可被分组为使得网络流量可被以这样的方式进行高效的包装和路由,所述方式将阻挠观测网络流量中的不规则或模式的尝试。在网关和最终的包目的地之间可能存在多个路由中断(routingstop),包括核、聚合和边缘数据中心路由中断。
在方框104,包包装器系统(例如,图5中的包包装器系统508)可将包组包装为封包以供输送到网络内的目的地。包装可以例如通过包封装来实施。包封装是以另一格式包装数据包的过程,其中该格式包括元数据以及与虚拟机(VM)目的地地址相关的虚拟交换机元数据,例如传输控制协议(TCP)、互联网协议(IP)、层2隧道协议(L2)和/或无状态传输隧穿(STT)。虚拟机管理器(VMM)或超管理器可维护与每个VM目的地相关联的表格,其指示哪个VM目的地地址应经由包装的封包被发送到哪个物理地址或链接到哪个物理地址。在一些情况下,包包装格式可以是另一包。
图2是说明根据本公开的至少一些实施例布置的、对网络中的包进行分组和包装的示例方法200的流程图。网络可以是软件定义网络。示例方法200可使用例如在本文中下面进一步描述的系统中的任何一个(诸如(图5的)系统500)来实施。示例方法200可包括如一个或多个方框201、202和/或203所示的一个或多个操作、功能或动作。在一些实施例中,示例方法200可由诸如图6中的计算装置600的计算装置执行。方框201-203中所述的操作也可被作为计算机可执行指令存储在诸如图7中所述的计算机可读介质706的计算机可读介质中。
示例方法200可从方框201开始,方框201记载“接收被送往网络的多个传入的包”。方框201之后可以接着是方框202,方框202记载“在网关处将多个传入的包分组为组,其中组的大小基于预定统计”。方框202之后可以接着是方框203,方框203记载“将组包装为规范化大小的封包”。
在方框201,网关(例如,图5中的规范化网关504)可接收被送往网络(例如,图5中的服务器509上的攻击VM501和目标VM512)的多个传入的包。传入的包可以是例如传入的与电子邮件、商务或金融交易相关的数据。网络可包括例如基于软件的控制器以及可经由开放式接口进行编程的网络装置。开放式接口可以是例如ForCES、OpenFlow或另一合适的接口。可替代地,网络可以例如使用诸如以下的标准来实施:虚拟扩展局域网(VXLAN)、使用通用路由封装的网络虚拟化(NVGRE)或无状态输送隧道(STT)。
在方框202,包聚合器系统(诸如图5中的规范化网关504处的包聚合器系统505)可将传入的包分组为组。组的大小可由统计系统(例如,图5中的目标统计系统507)提供的预定统计确定。网络的网关可以是例如外部计算机通过其与数据中心内的服务器或超管理器进行通信的网络网关。包可被保存在网关处,并被针对数据中心服务器内的位置、按照包的预期目的地进行分类。这些位置可包括单个服务器上的不同的虚拟机或者多个服务器上的多个虚拟机。包可被分组为使得网络流量可被以将阻挠观测网络流量中的不规则或模式的尝试的统一方式进行高效的路由。在网关和最终的包目的地之间可能存在多个路由中断,包括核、聚合和边缘数据中心路由中断。预定统计可基于例如已知的网络流量统计模式。
在方框203,包装系统(例如,图5中的包包装器系统508)可将组包装为规范化大小的封包。统计系统(例如,图5中的目标统计系统507)可向包装系统提供用于包装的封包的规范化大小。规范化大小可以例如基于用于分布在网络中的包的期望频率或大小,或者可基于其它预定统计。规范化大小可以例如具有高斯分布、柯西分布(Cauchyprofile)、洛伦兹分布(Lorentzprofile)、学生分布(Studentprofile)、均匀分布、离散分布、查找表分布、复合分布,或者可以具有一些其它的预定分布特征,诸如对数正态分布。包装可以例如通过包封装来实施。包封装是以另一格式包装数据包的过程,其中该格式包括元数据以及与虚拟机(VM)目的地地址相关的虚拟交换机元数据,例如传输控制协议(TCP)、互联网协议(IP)、层2隧道协议(L2)和/或无状态输送隧道(STT)。虚拟机管理器(VMM)可维护与每个VM目的地相关联的表格,其指示哪个VM目的地地址应在数据中心内经由包装的封包被发送到哪个物理地址或链接到哪个物理地址。封装或包装格式在一些情况下可以是与包装的包中的一些或全部相同的包格式。
图3说明根据本公开的至少一些实施例布置的、包括遭受边信道攻击的虚拟化网络的示例系统300。图3示出系统300、隐蔽数据模式输入301、受害者流量输入302、攻击者流量输入303、网关304、服务器305、攻击者VM306、受害者VM307以及数据中心308。图3中所述的各种部件仅仅是示例,其它变体(包括除去部件、组合部件以及替换部件)全都被构想。
图3说明在网关304处通过单个共享的链接的边信道攻击。网关304是外部流量通过其与位于数据中心308内部的服务器305进行交互的接口。流量可由包组成,每个包包括例如应用数据和头。头可包含与包的预期目的地相关的信息,并且可包括遵守诸如TCP/IP和/或L2的标准的目的地地址信息。攻击者可从具有已知模式的攻击者流量输入303产生攻击者流量,所述已知模式在用于到达攻击者VM306的标准服务水平范围的包延迟的可接受变化内在统计上是明显的。因为攻击者流量与从受害者数据输入302到受害者VM307的受害流量共享到服务器305的相同路径,所以攻击者流量将具有反映例如由于沿着共享路径的排队和拥塞而导致的受害者流量的性质的统计性质。这样,从攻击者流量输入303到攻击者VM306的攻击者流量可能不会表现为不同寻常或统计上显著,并且对于外部观测者可能表现为正常网络流量。受害者VM307可以是认证服务器和交易服务器之一。服务器305可包括用于管理VM(例如诸如攻击者VM306和受害者VM307)的超管理器。
隐蔽数据模式可从隐蔽数据模式输入301被输入,并被引导以供通过网关304输入到数据中心308中的服务器305。在一些示例中,该隐蔽数据模式可由应用编程接口(API)调用或精确计时的电子商务交易提交组成。隐蔽数据可由已知的包大小和/或已知的时序构成。攻击者VM306处的攻击者然后可使用统计隐蔽信道检测,以便监视源自于攻击者流量输入303并到达攻击者VM306的攻击者流量中的延迟。通过将来自攻击者流量输入303的攻击者流量中的延迟与来自隐蔽数据模式输入301的隐蔽数据模式中的调制进行比较,攻击者可以能够确定攻击者VM306是否与受害者VM307共处一处。攻击者可将攻击者VM306来回移动到数据中心308内的不同服务器,直到VM共处一处被确定为止。通过将攻击者VM306来回移动到数据中心308内的不同服务器,并观测来自隐蔽数据模式输入301的隐蔽模式上的调制以及从攻击者流量输入303到攻击者VM306的流量,攻击者可以能够查明数据中心308的云制图的某种水平。一旦共处一处被确定,攻击者就可使用在隐蔽数据模式中观测到的调制以及攻击者流量,以便为对边信道攻击定时。例如,在基于高速缓存活动的边信道攻击中,攻击者可以能够确定与正被处理的交易对应的活动模式,然后使用该模式信息来校准基于高速缓存的边信道攻击。因为攻击者流量和隐蔽数据模式将与受害者流量共享相同的路径,所以边信道攻击是成功的。受害者流量和攻击者流量都将通过网关304被路由到服务器305。在网关304和服务器305之间还可另外存在几层核、聚合和边缘数据中心路由,受害者流量和攻击者流量也都将横越。
图4说明根据本公开的至少一些实施例布置的、用于数据中心中的使用包封装的应用的虚拟化联网的堆栈概览400。图4示出堆栈概览400,其包括应用401、应用数据流402、传输控制协议(TCP)堆栈403、包404、虚拟化网络接口控制器(虚拟NIC)405、开放式虚拟化交换机(V交换机)406、包装的封包407、网络接口控制器(NIC)408、拆包的包409以及拆包的包410。图4中所述的各种部件仅仅是示例,其它变体(包括除去部件、组合部件和替换部件)全都被构想。例如,虽然图4说明了根据无状态输送隧道(STT)标准的包封装,但是可实施其它网络虚拟化标准,包括但不限于VXLAN或NVGRE。
如图4所示的堆栈概览400可对应于图3中所述的数据中心中的通过网络的受害者和攻击者流量的描述。例如,应用401可产生应用数据流402中的至少一些。应用数据流402可被提供给TCP堆栈403,TCP堆栈403可产生允许应用数据流402被打包为包404的元数据。包元数据可以是为数据中心内的目的地提供地址的头。包元数据可包括例如TCP头、互联网协议(IP)头以及层2隧道协议(L2)头。包404可被提供给虚拟NIC405和开放式V交换机406。虚拟NIC405和开放式V交换机406可对应于图3中所述的网关。虚拟NIC405然后可对包404进行封装,并用V交换机元数据包装包404,从而产生包装的封包407。包装的封包407的V交换机元数据可包括TCP、IP和L2头以及STT头。V交换机元数据可包含将把包装的封包407引导到其在数据中心内的目的地的信息。开放式V交换机406然后可将包装的封包407提供给NIC408。NIC408然后可对包装的封包407进行拆包,以便将拆包的包409和410提供给它们在网络中的最终目的地。该最终目的地可对应于服务器上的受害者VM或攻击者VM,诸如图3中所述的受害者VM307和攻击者VM306。
图5说明根据本公开的至少一些实施例布置的包括具有边信道攻击阻止的网络的示例系统500。该网络可以是软件定义网络。图5将系统500示为包括隐蔽数据模式输入501、用户流量输入502、攻击者流量输入503、规范化网关504、包聚合器系统505、改变系统506、目标统计系统507、包包装器508、服务器509、攻击者VM510、拆包器系统目标VM512以及数据中心513。图5中所述的各种部件仅仅是示例,其它变体(包括除去部件、组合部件和替换部件)全都被构想。
图5说明用于在规范化网关504处阻止尝试的通过单个共享的链接的边信道攻击的系统。规范化网关504是外部流量通过其与位于数据中心513内部的服务器509进行交互的接口。攻击者可从具有已知模式的攻击者流量输入503产生攻击者流量,所述已知模式在用于到达攻击者VM510的标准服务水平范围的包延迟的可接受变化内在统计上将是明显的。攻击者还可从隐蔽数据模式输入501输入隐蔽数据模式。该隐蔽数据模式在一些示例中可由应用编程接口(API)调用或精确计时的电子商务交易提交组成。隐蔽数据在已知时序可由已知的包大小构成。来自隐蔽数据模式输入501的隐蔽数据模式、来自攻击者流量输入503的攻击者流量以及来自用户流量输入502的用户流量全都可到达规范化网关504,规范化网关504可提供到数据中心513内的服务器(包括服务器509)的接入点。
来自隐蔽数据模式输入501的隐蔽数据模式、来自用户流量输入502的用户流量以及来自攻击者流量输入503的攻击者流量全都可被位于规范化网关504中的包聚合器系统505接收。包聚合器系统505然后可基于流量的包头中所包含的目的地来对外部流量进行分类,并且可基于这些目的地将这些包中的至少一些聚合为组。例如,包聚合器系统505可将被送往同一服务器(诸如服务器509)的多个包收集在一起。可替代地,包聚合器系统505可将非常大的包分解为被送往服务器(例如,服务器509)的多个包。目标统计可由目标统计系统507提供,目标统计系统507可基于可接受的延迟水平和数据中心服务水平来向包聚合器系统505指示包组的大小应为多大。包组然后可被提供给包包装器系统508,包包装器系统508然后可将包组包装为封包。这些封包可包括包含与包组的目的地相关的元数据的头。该元数据可包括例如TCP、IP和/或L2头以及STT头。包组可包括多个包、划分的包、单个的包、冗余数据和/或虚假数据。包包装器系统508可将包组包装为规范化大小的封包。包的规范化大小可由目标统计系统507提供。规范化大小可被选择以便隐藏包大小信息,并且可基于高斯分布。规范化大小也可被选择使得规范化大小随着时间而变化。目标统计系统507可由改变系统506控制。改变系统506可将指令提供给目标统计系统507,以使得改变供给包聚合器系统505和包包装器系统508的统计。目标统计可随着网络的繁忙程度而变化以增大观测的网络流中的熵。例如,规范化大小的分布可根据网络上的流量的繁忙度而变化。在这种情况下,目标统计可使可观测的网络流量在对数据中心服务器访问的需求较低时表现得更加繁忙。改变系统506可从数据中心513内控制。可替代地,改变系统506可被远程控制,例如,由网络管理员控制。
包包装器系统508可将包装的封包提供给数据中心513内的服务器(例如,服务器509)上的目的地。服务器509可托管多个VM,例如攻击者VM510和目标VM512。目标VM512可以是例如交易服务器和认证服务器之一。目标VM512可与拆包器系统511进行通信。在操作中,拆包器系统511可接收包包装器系统508提供的包装的封包。拆包器系统可在无需任何应用重新编码的情况下将包装的封包拆包为单独的包。拆包器系统511可在与服务器509或者在服务器509上运行的超管理器相关联的虚拟路由器中被实施。拆包器系统511被示为对仅用于目标VM512的包进行拆包,但是在一些替代方案中,拆包器511可对意图用于包括至少一个非攻击者VM510的多个接收者的数据进行拆包,接收者可包括攻击者VM510。
在如图5中所述的布置中,攻击者将仍能够从攻击者VM510和目标VM512之间的共享的路由器路径获得统计数据。然而,因为所有的传入的包已经被包装并且被规范化网关504规范化(包括与在隐蔽数据模式输入501处输入的隐蔽数据模式相关联的包),所以攻击者获得的统计数据可与目标统计系统507提供的目标统计匹配。因为目标统计系统507提供的目标统计可使可观测的网络流量的大小和流动两者规范化,所以隐蔽数据模式可在规范化网关处被归入包装的封包中,并且可防止攻击者辨别关于目标VM512的任何有意义的信息或者服务器509或数据中心513的制图。
图6是说明根据本公开的至少一些实施例布置的、被布置为控制网络的示例计算装置600的框图。在非常基本的配置601中,计算装置600通常包括一个或多个处理器604和系统存储器620。存储器总线630可被用于处理器610和系统存储器620之间的通信。
取决于期望的配置,处理器610可以是任何类型,包括但不限于微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)或它们的任何组合。处理器610可包括一个或多个等级的高速缓存,诸如等级一的高速缓存611和等级二的高速缓存612、处理器核613和寄存器614。示例处理器核613可包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核(DSP核)或它们的任何组合。示例存储器控制器615也可与处理器610一起被使用,或在一些实施方式中存储器控制器615可以是处理器610的内部部分。
取决于期望的配置,系统存储器620可以是任何类型,包括但不限于易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或它们的任何组合。系统存储器620可包括操作系统621、一个或多个应用622以及程序数据624。应用622可包括边信道攻击阻止过程623,其被布置为形成如本文中所述的用于边信道攻击阻止的系统。程序数据624可包括边信道攻击阻止系统形成数据625和/或对如本文中所述的边信道攻击阻止过程的实施有用的其它信息。在一些实施例中,应用622可被布置为与程序数据624一起在操作系统621上进行操作,以使得本文中所述的过程中的任何一个可被执行。该所述的基本配置在图6中通过基本配置601的虚线内的那些部件而被示出。
计算装置600可具有附加特征或功能以及用于促进基本配置601和任何所需的装置和接口之间的通信的附加接口。例如,总线/接口控制器640可被用来促进基本配置601与一个或多个存储装置650之间经由存储接口总线641的通信。存储装置650可以是可移除存储装置651、不可移除存储装置652或它们的组合。可移除存储装置和不可移除存储装置的示例举几个例子来说包括诸如软盘驱动器和硬盘驱动器(HDD)的磁盘装置、诸如压缩盘(CD)驱动器或数字通用盘(DVD)驱动器的光盘驱动器、固态驱动器(SSD)和磁带驱动器。示例计算机存储介质可包括在信息存储的任何方法或技术中被实施的易失性和非易失性、可移除和不可移除的介质,诸如计算机可读指令、数据结构、程序模块或其它数据。
系统存储器620、可移除存储装置651和不可移除存储装置652都是计算机存储介质的示例。计算机存储介质包括但不限于:RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字通用盘(DVD)或其它光学存储装置、磁带盒、磁带、磁盘存储装置或其它磁存储器装置或可用于存储期望的信息以及可被计算装置600访问的任何其它介质。任何这样的计算机存储介质可以是计算装置600的一部分。
计算装置600也可包括用于促进从各种接口装置(例如,输出接口、外围接口和通信接口)到基本配置601的经由总线/接口控制器640的通信的接口总线642。示例输出装置660包括图形处理单元661和音频处理单元662,其可被配置为与诸如显示器或扬声器的各种外部装置经由一个或多个A/V端口663进行通信。示例外围接口670包括串行接口控制器671或并行接口控制器672,其可被配置为与诸如输入装置(例如,键盘、鼠标、笔、声音输入装置、触摸输入装置等)或其它外围装置(例如,打印机、扫描仪等)的外部装置经由一个或多个I/O端口673进行通信。示例通信装置680包括网络控制器681,其可被布置为促进与一个或多个其它计算装置690经由一个或多个通信端口682在网络通信链路上的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以被体现为计算机可读指令、数据结构、程序模块或诸如载波或其它传输机制的调制数据信号中的其它数据,并且可包括任何信息递送介质。“调制数据信号”可以是具有其特性集合中的一个或多个或者被更改为对信号中的信息进行编码的信号。举例来说,而非限制,通信介质可包括诸如有线网络或有线直接连接的有线介质、以及诸如声学、射频(RF)、微波、红外(IR)和其它无线介质的无线介质。如本文中所使用的术语计算机可读介质可包括存储介质和通信介质两者。
计算装置600也可被实施作为小形状因子的便携式(或移动)电子装置的一部分,所述电子装置诸如蜂窝电话、个人数据助理(PDA)、个人媒体播放器装置、无线网表装置、个人耳机装置、专用装置或包括以上功能中的任何功能的混合装置。计算装置600也可被实施作为包括笔记本计算机和非笔记本计算机配置两者的个人计算机。
图7是说明根据本公开的至少一些实施例布置的、被布置为存储用于形成用于边信道攻击阻止的系统的指令的示例计算机程序产品700的框图。可被实施作为或者包括计算机可读介质706、计算机可读介质708、计算机通信介质710或它们的组合的信号承载介质702存储编程指令704,其可将处理单元配置为执行前述处理中的全部或一些。这些指令可包括例如用于形成阻止网络上的边信道攻击的系统的一个或多个可执行指令。这可包括使用于分发在网络中的规范化大小的分布被形成。这些可执行指令可进一步使传入的包在网络的网关处被接收。这些可执行指令还可使包在网关处被分组为针对网络内的同一目的地的包组。这些可执行指令还可使包组被包装为封包以供输送到它们在网络内的相应的目的地。
在本申请中所述的特定实施例(意图使其作为各方面的例证)方面,本公开不应当是受限的。如对本领域技术人员来说将显而易见的,在不脱离其精神和范围的情况下可以做出许多修改和改变。通过前述描述,本公开范围内的功能等价的方法和装置(除本文中所列举的那些之外)对于本领域技术人员来说将是显而易见的。意图使这样的修改和改变落在所附权利要求的范围内。本公开包括所附权利要求的各项以及这样的权利要求所赋予的等同物的全部范围。应当理解,本公开不限于特定的方法、试剂、化合物成分或生物系统(当然其可以变化)。还应当理解,本文中所使用的术语仅仅是为了描述特定示例的目的,且并不意图是限制性的。
关于基本上任何复数和/或单数术语在本文中的使用,本领域技术人员可以按照其适用于的情景和/或应用而从复数转化到单数和/或从单数转化到复数。为了清楚起见,在本文中可能明确地阐述了各种单数/复数变换。
本领域技术人员将理解的是,总之,本文中且尤其是所附权利要求(例如所附权利要求的主体)中所使用的术语通常意图是“开放的”术语(例如术语“包括”应当被解释为“包括但不限于”,术语“具有”应当被解释为“至少具有”,术语“包含”应当被解释为“包含但不限于”,等等)。
本领域技术人员将进一步理解的是,如果所引入的权利要求叙述的特定数字是有意的,这样的意图将被明确叙述在权利要求中,并且在没有这样的叙述的情况下不存在这样的意图。例如,作为理解的辅助,下面所附的权利要求可以包含引入性短语“至少一个”和“一个或多个”的使用以引入权利要求叙述。然而,这样的短语的使用不应被解释为暗示着通过不定冠词“一”或“一个”引入权利要求叙述将包含这样引入的权利要求叙述的任何特定权利要求限定到包含只有一个这样的叙述的实施例,即使当该同一权利要求包括引入性短语“一个或多个”或“至少一个”以及诸如“一”或“一个”的不定冠词时也是这样(例如,“一”和/或“一个”应当被解释为意味着“至少一个”或“一个或多个”);对于用来引入权利要求叙述的定冠词的使用来说情况是同样的。此外,即使明确记载了所引入的权利要求叙述的特定数字,本领域技术人员也将认识到,这样的记载应当被解释为意味着至少所记载的数字(例如,在没有其它修饰的情况下,“两个叙述”的直率叙述意味着至少两个叙述或者两个或更多叙述)。
此外,在其中使用类似于“A、B和C等中的至少一个”的惯例的那些实例中,通常这样的构造意图是本领域技术人员将理解该惯例的意义(例如,“具有A、B和C等中的至少一个的系统”将包括但不限于单独具有A、单独具有B、单独具有C、具有A和B一起、具有A和C一起、具有B和C一起以及/或者具有A、B和C一起等的系统)。在其中使用类似于“A、B或C等中的至少一个”的惯例的那些实例中,通常这样的构造意图是本领域技术人员将理解该惯例的意义(例如,“具有A、B或C等中的至少一个的系统”将包括但不限于单独具有A、单独具有B、单独具有C、具有A和B一起、具有A和C一起、具有B和C一起以及/或者具有A、B和C一起等的系统)。本领域技术人员将进一步理解的是,实际上任何转折性词语和/或提供两个或更多替换术语的短语无论是在说明书、权利要求中还是在附图中都应当被理解为构想包括这些术语中的一个、这些术语中的任一个或这些术语两个的可能性。例如,短语“A或B”将被理解为包括“A”或“B”或“A和B”的可能性。
如本领域技术人员将理解的,出于任何和所有目的,诸如在提供书面描述方面,本文中所公开的所有范围也涵盖任何和所有可能的子范围以及其子范围的组合。任何所列出的范围可被容易地理解为充分描述并使能被分解成至少相等的两半、三份、四份、五份、十份等的该同一范围。作为一非限制示例,本文中所讨论的每个范围都可被容易地分解成下三分之一、中间三分之一和上三分之一,等等。如本领域技术人员也将理解的,诸如“高达”、“至少”、“大于”、“少于”等的所有语言都包括所述的该数字并且指代随后可被分解成如上所讨论的子范围的范围。最后,如本领域技术人员将理解的,范围包括每个单个成员。因此,例如,具有1-3个单元的群组指代具有1个、2个或3个单元的群组。相似地,具有1-5个单元的群组指代具有1个、2个、3个、4个或5个单元的群组,以此类推。
虽然前面的详细描述已经通过使用框图、流程图和/或示例阐述了装置和/或方法的各种示例,但是这样的框图、流程图和/或示例包含一个或多个功能和/或操作,本领域技术人员将理解,这样的框图、流程图或示例内的每个功能和/或操作可用范围广泛的硬件、软件、固件或它们的几乎任何组合单个地和/或共同地来实施。在一个示例中,本文中所述的主题的几个部分可经由专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其它集成格式来实施。然而,本领域技术人员将认识到,本文中所公开的示例的一些方面整个地或部分地可在集成电路中被等效地实施,被实施作为在一个或多个计算机上运行的一个或多个计算机程序(例如,在一个或多个计算机系统上运行的一个或多个程序),被实施作为在一个或多个处理器上运行的一个或多个程序(例如,在一个或多个微处理器上运行的一个或多个程序),被实施作为固件,或者被实施作为它们的几乎任何组合,并且根据本公开,设计电路和/或编写用于软件和/或固件的代码将在本领域技术人员的熟练技能内。例如,如果用户确定速度和精度是最重要的,则用户可选择主要硬件和/或固件媒介物;如果灵活性是最重要的,则用户可选择主要软件实施方式;或者,再一次可替代地,用户可选择硬件、软件和/或固件的某一组合。
另外,本领域技术人员将意识到,本文中所述的主题的机制能够以各种形式作为程序产品分布,并且本文中所述的主题的说明性示例不管用于实际实现该分布的信号承载介质的具体类型如何都适用。信号承载介质的示例包括但不限于以下:可记录类型的介质,诸如软盘、硬盘驱动器、压缩盘(CD)、数字视频盘(DVD)、数字带、计算机存储器等;以及传输类型的介质,诸如数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路等)。
本领域技术人员将认识到,以本文中所阐述的方式描述装置和/或方法、其后使用工程实践将这样的所述的装置和/或方法集成到数据处理系统中在本领域内是常见的。也就是说,本文中所述的装置和/或方法的至少一部分可经由合理量的实验被集成到数据处理系统中。本领域技术人员将认识到,典型的数据处理系统一般包括以下中的一个或多个:系统单元壳体、视频显示装置、诸如易失性和非易失性存储器的存储器、诸如微处理器和数字信号处理器的处理器、诸如操作系统的计算实体、驱动器、图形用户界面、以及应用程序、诸如触控板或触摸屏的一个或多个交互装置、和/或包括反馈回路和控制电机(例如,用于感测位置和/或速率的反馈;用于移动和/或调整部件和/或量的控制电机)的控制系统。典型的数据处理系统可利用任何合适的市售部件来实施,诸如常见于数据计算/通信和/或网络计算/通信系统中的那些。
本文中所述的主题有时说明包含在不同的其它部件内的或者与不同的其它部件连接的不同部件。要理解,这样的描绘的架构仅仅是示例,事实上,可实施实现相同功能的许多其它的架构。从概念的意义上来讲,实现相同功能的部件的任何布置是有效“关联的”,以使得期望的功能被实现。因此,本文中组合实现特定功能的任何两个部件可被看作彼此“关联”,以使得不管架构或中间部件如何期望的功能都被实现。同样地,相关联的任何两个部件也可被视为彼此“可操作地连接”或“可操作地耦合”来实现期望的功能,并且能够如此关联的任何两个部件也可被视为彼此“可操作地可耦合”来实现期望的功能。可操作地可耦合的具体示例包括但不限于可物理配合和/或物理交互部件、和/或可无线交互和/或无线交互部件、和/或逻辑交互和/或可逻辑交互部件。
虽然本文中已经描述了各个方面和示例,但是其它方面和示例对于本领域技术人员将是显而易见的。本文中所公开的各个方面和实施例是出于例证的目的,而非意图限制,其中真实范围和精神由权利要求来指明。
Claims (27)
1.一种设备,包括:
至少一个处理单元;
至少一个非暂时性计算机可读介质,所述至少一个非暂时性计算机可读介质被编码有指令,所述指令包括用于使所述至少一个处理单元执行以下操作的指令:
接收被配置为通过网络进行路由的多个传入的包;
将所述传入的包中的至少一些包聚合为组;以及
将所述组包装为规范化大小的封包以供分发到所述网络内的目的地。
2.根据权利要求1所述的设备,其中所述规范化大小根据预定统计而被确定。
3.根据权利要求2所述的设备,其中所述预定统计基于所述网络的繁忙度而被调整。
4.根据权利要求2所述的设备,其中所述统计随着时间而变化。
5.根据权利要求4所述的设备,其中所述统计被配置为改变所述组的规范化大小的分布。
6.根据权利要求5所述的设备,其中所述规范化大小的分布具有高斯分布。
7.根据权利要求3所述的设备,其中所述预定统计从托管所述网络的数据中心内部被调整。
8.根据权利要求2所述的设备,其中所述预定统计被选择以提高进入所述网络的包流中的熵。
9.根据权利要求1所述的设备,其中一个或多个包进一步包括多个包、划分的包、单个的包、冗余数据或虚假数据中的一个或多个。
10.根据权利要求1所述的设备,其中所述网络上的可观测流量包括被包装的具有所述规范化大小的包的规范化分布。
11.根据权利要求1所述的设备,其中所述网络包括软件定义网络。
12.一种方法,包括:
接收被送往网络的多个传入的包;
在网关处,将所述多个传入的包分组为组,其中所述组的大小基于预定统计;以及
将所述组包装为规范化大小的封包。
13.根据权利要求12所述的方法,其中所述规范化大小被选择以隐藏包大小信息。
14.根据权利要求12所述的方法,其中所述规范化大小随着时间而变化。
15.根据权利要求12所述的方法,其中所述组包括多个包、划分的包、单个的包、虚假数据或它们的组合。
16.根据权利要求12所述的方法,其中所述规范化大小根据高斯分布而被选择。
17.根据权利要求12所述的方法,其中所述组中的每个组中的各包被送往同一目的地。
18.根据权利要求12所述的方法,其中所述网络包括软件定义网络。
19.一种设备,包括:
至少一个处理单元;
至少一个非暂时性计算机可读介质,至少一个非暂时性计算机可读介质被编码有可执行指令,所述可执行指令包括用于使所述至少一个处理单元执行以下操作的指令:
对在网络中的虚拟机处接收的一个或多个包装的封包进行拆包,
其中所述包装的封包被按规范化分布进行分发,并且包括一个或多个包的聚合。
20.根据权利要求19所述的设备,其中所述设备包括与超管理器相关联的虚拟路由器。
21.根据权利要求20所述的设备,其中所述虚拟路由器是认证服务器和交易服务器之一。
22.根据权利要求20所述的设备,其中所述包装的封包进一步包括多个包、划分的包、单个的包或虚假数据中的一个或多个。
23.一种阻止网络中的攻击的方法,所述方法包括:
选择用于在所述网络中分发的规范化大小的分布;
在所述网络的网关处接收传入的包;
在所述网关处,将所述包分组为针对同一目的地的包组,其中所述包组的大小根据所述规范化大小而定;
在所述网关处将所述包组包装为封包以供输送到相应的目的地。
24.根据权利要求23所述的方法,其中所述规范化大小的分布包括规范化分布。
25.根据权利要求23所述的方法,还包括根据所述网络的繁忙度来改变所述规范化大小的分布。
26.根据权利要求23所述的方法,还包括在与所述网络相关联的数据中心处选择所述规范化大小的分布。
27.根据权利要求23所述的方法,其中所述网络包括软件定义网络。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/558,447 US9961104B2 (en) | 2014-12-02 | 2014-12-02 | Side channel attack deterrence in networks |
| US14/558,447 | 2014-12-02 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105656748A true CN105656748A (zh) | 2016-06-08 |
Family
ID=56079906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510863278.6A Pending CN105656748A (zh) | 2014-12-02 | 2015-12-01 | 网络中的边信道攻击阻止 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9961104B2 (zh) |
| CN (1) | CN105656748A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603512A (zh) * | 2016-11-30 | 2017-04-26 | 中国人民解放军国防科学技术大学 | 一种基于sdn架构的is‑is路由协议的可信认证方法 |
| CN109033826A (zh) * | 2018-06-26 | 2018-12-18 | 天津飞腾信息技术有限公司 | 可抵御边信道攻击的缓存加固方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10447598B2 (en) * | 2017-07-17 | 2019-10-15 | Qualcomm Incorporated | User datagram protocol (UDP) receive offloading |
| US10476841B2 (en) * | 2018-03-23 | 2019-11-12 | Microsoft Technology Licensing, Llc | Stateless tunnels |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020145974A1 (en) * | 2001-04-06 | 2002-10-10 | Erlang Technology, Inc. | Method and apparatus for high speed packet switching using train packet queuing and providing high scalability |
| CN1751480A (zh) * | 2003-06-18 | 2006-03-22 | 日本电信电话株式会社 | 无线分组通信方法 |
| CN101043449A (zh) * | 2006-03-21 | 2007-09-26 | 卓联半导体有限公司 | 定时源 |
| CN102845100A (zh) * | 2010-03-16 | 2012-12-26 | Abb研究有限公司 | 工业控制系统的无线传感器网络中的能量高效通信方法 |
| US20140101305A1 (en) * | 2012-10-09 | 2014-04-10 | Bruce A. Kelley, Jr. | System And Method For Real-Time Load Balancing Of Network Packets |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US842484A (en) | 1905-03-28 | 1907-01-29 | Charles W Merrill | Pressure-filter. |
| GB2458154B (en) * | 2008-03-07 | 2012-06-27 | Hewlett Packard Development Co | Routing across a virtual network |
| US9287935B2 (en) * | 2013-08-01 | 2016-03-15 | Blackberry Limited | Method and apparatus for anti-eavesdropping in vunerable NFC applications |
-
2014
- 2014-12-02 US US14/558,447 patent/US9961104B2/en not_active Expired - Fee Related
-
2015
- 2015-12-01 CN CN201510863278.6A patent/CN105656748A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020145974A1 (en) * | 2001-04-06 | 2002-10-10 | Erlang Technology, Inc. | Method and apparatus for high speed packet switching using train packet queuing and providing high scalability |
| CN1751480A (zh) * | 2003-06-18 | 2006-03-22 | 日本电信电话株式会社 | 无线分组通信方法 |
| CN101043449A (zh) * | 2006-03-21 | 2007-09-26 | 卓联半导体有限公司 | 定时源 |
| CN102845100A (zh) * | 2010-03-16 | 2012-12-26 | Abb研究有限公司 | 工业控制系统的无线传感器网络中的能量高效通信方法 |
| US20140101305A1 (en) * | 2012-10-09 | 2014-04-10 | Bruce A. Kelley, Jr. | System And Method For Real-Time Load Balancing Of Network Packets |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603512A (zh) * | 2016-11-30 | 2017-04-26 | 中国人民解放军国防科学技术大学 | 一种基于sdn架构的is‑is路由协议的可信认证方法 |
| CN106603512B (zh) * | 2016-11-30 | 2019-07-09 | 中国人民解放军国防科学技术大学 | 一种基于sdn架构的is-is路由协议的可信认证方法 |
| CN109033826A (zh) * | 2018-06-26 | 2018-12-18 | 天津飞腾信息技术有限公司 | 可抵御边信道攻击的缓存加固方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160156561A1 (en) | 2016-06-02 |
| US9961104B2 (en) | 2018-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11695731B2 (en) | Distributed identity-based firewalls | |
| US10841243B2 (en) | NIC with programmable pipeline | |
| US11893409B2 (en) | Securing a managed forwarding element that operates within a data compute node | |
| US10789199B2 (en) | Network traffic rate limiting in computing systems | |
| US10623372B2 (en) | Load balancing IPsec tunnel processing with extended Berkeley packet filter (eBPF) | |
| CN103930882B (zh) | 具有中间盒的网络架构 | |
| CN107925627A (zh) | 使用软件定义网络对数据进行路由的系统和方法 | |
| CN104205080B (zh) | 为联网设备虚拟化卸载分组处理 | |
| CN103547997B (zh) | 一种处理器模式锁定方法、系统及设备 | |
| CN109818918A (zh) | 基于软件定义网络加密策略的策略驱动的工作负载启动 | |
| CN105656748A (zh) | 网络中的边信道攻击阻止 | |
| CN104348694A (zh) | 具有虚拟交换机和业务流策略增强的网络接口卡 | |
| CN107896195A (zh) | 服务链编排方法、装置及服务链拓扑结构 | |
| US10542039B2 (en) | Security against side-channel attack in real-time virtualized networks | |
| CN101351784A (zh) | 运行时自适应搜索处理器 | |
| CN105450668A (zh) | 云安全服务实现系统和云安全服务实现方法 | |
| CN105100026A (zh) | 一种报文安全转发方法及装置 | |
| CN104717212B (zh) | 一种云端虚拟网络安全的防护方法与系统 | |
| CN107453992A (zh) | 一种虚拟网络内的数据转发方法及系统 | |
| CN108718297A (zh) | 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质 | |
| CN110463157A (zh) | 用于分配spi值的系统与方法 | |
| CN106899475A (zh) | 一种整合隧道资源的方法、装置以及处理报文的方法 | |
| CN107204896A (zh) | 处理vxlan报文的方法、装置及vtep设备 | |
| CN109479027A (zh) | 用于互连基于控制器的虚拟网络和基于协议的虚拟网络的技术 | |
| CN106992963A (zh) | 一种信息处理方法及网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20190910 |