CN106341337B - 一种sdn下可实现应用感知的流量检测与控制机构及方法 - Google Patents
一种sdn下可实现应用感知的流量检测与控制机构及方法 Download PDFInfo
- Publication number
- CN106341337B CN106341337B CN201610791525.0A CN201610791525A CN106341337B CN 106341337 B CN106341337 B CN 106341337B CN 201610791525 A CN201610791525 A CN 201610791525A CN 106341337 B CN106341337 B CN 106341337B
- Authority
- CN
- China
- Prior art keywords
- data packet
- flow
- application
- information
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种SDN下可实现应用感知的流量检测与控制机构及方法,包括:应用感知模块,对数据包内容进行分析,将数据包信息扩展至应用层,并对有价值的数据包特征信息进行共享与一致性维护;流量控制模块,结合网络状态及深层数据包特征对流量进行检测、分类,通过动态配置OpenFlow流表,为不同应用程序提供差异化服务及对异常流量感知及攻击处置。本发明在综合评估网络状态及流量行为特征基础上,实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞,提高网络负载能力,保证了不同应用程序的实际需求得到满足。
Description
技术领域
本发明涉及一种SDN网络中可实现应用感知的流量检测与控制机构及方法。
背景技术
流量监控对于改善网络整体性能、提高网络安全性等网络管理工作具有重要的价值。一方面,网络拓扑的动态变化可能导致拥塞现象的产生,流量监控可合理调度数据包,对其进行路由优化以缓解拥塞,同时降低时延、提高网络吞吐量以改善网络性能;另一方面,基于不同应用程序的具体要求,结合网络状态及数据包特征的相关信息,对数据包进行分类、鉴别并对转发策略进行调整,可为不同应用程序提供区分服务,以最大程度地满足其QoS需求;另外,通过收集、分析流量行为及特征等信息,可及时识别出可疑流量并予以响应,从而提高网络安全感知能力。
SDN(软件定义网络)的兴起为网络流量监控提供了更加高效的解决方案。它将网络的控制功能从底层数据平面中解耦,在中央控制器中建立全网视图,并运行控制逻辑,以下发流表的形式指导交换机等网络设备进行流量转发,完成对全网的集中管控。OpenFlow协议为数据层及控制层之间的通信定义了一个安全通道,它在底层网络设备中维护一个或多个流表,利用流表项中的数据域对到达的数据包进行匹配,若无匹配项则上传至控制器进行处理,若匹配成功则执行流表项中相应的操作。发挥SDN集中控制及全局视图的优势,可极大改善流量管控等网络管理工作的灵活性、可控性、可见性。
事实上,目前已有一些关于SDN下流量控制的研究。这些已有解决方案大多参考流表中包含的MAC地址、IP地址、端口号、协议类型等数据域参数对数据包进行分类,结合不同应用程序的需求,利用OpenFlow协议对转发策略进行动态调整,以达到流量管控的目的。然而,OpenFlow协议所定义流表的数据域只覆盖了OSI(开放系统互联,定义了不同计算机互联的标准)模型中的一至四层,仅基于流表中较为有限的信息对数据包进行评估并实施相应的流量控制,不仅会忽略数据包深层特征,无法满足不同应用程序对流量细粒度、差异化的控制需求,而且由于未进行数据包内容解析,将降低对异常流量进行感知的准确度及敏感度,不利于及时发现并响应网络安全威胁。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种SDN下基于深度报文检测的应用层流量检测与控制机构及方法,本发明考虑到不同应用程序对于流量控制的差异化需求,将DPI技术引入SDN控制器中以完成对数据包应用层内容的解析,在综合评估网络状态及流量行为特征基础上,实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞,提高网络负载能力,保证了不同应用程序的实际需求得到满足。
为达到上述目的,本发明所采用的技术方案如下:
一种SDN下可实现应用感知的流量检测与控制机构,包括:
应用感知模块,对数据包内容进行分析,将数据包信息扩展至应用层,并对有价值的数据包特征信息进行共享与一致性维护;
流量控制模块,结合网络状态及深层数据包特征对流量进行检测、分类,通过动态配置OpenFlow流表,为不同应用程序提供差异化服务及对异常流量感知及攻击处置。
所述应用感知模块,包括:
流量采集单元,记录数据包的到达时间,并收集其IP地址、入端口信息;
行为鉴别单元,对数据包的应用层内容进行解析,对其深层行为特征进行鉴别;
信息共享单元,将有价值的信息进行推送与同步,确保不同种类的应用程序接收到网络流量的最新动态,进而从自身应用需求出发,利用数据包行为特征信息,结合实时网络状况实现多层次、细粒度的流量控制决策。
所述流量控制模块,包括:
匹配/转发单元,将到达数据包与流表中的匹配域进行比对,将匹配失败的数据包上传至控制器,进行进一步的检测与鉴别;
服务编排单元,安排无匹配项的数据包、将控制策略以流表项的形式下发至底层转发设备、把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据,添加至流表项中;
策略制定单元,为不同的应用程序提供差异化的区别服务、对不同类别的流量进行统一管控,同时,对包含恶意代码的可疑数据包进行实时感知,实时入侵检测与攻击处置。
一种SDN下可实现应用感知的流量检测与控制方法,采用上述的SDN下可实现应用感知的流量检测与控制机构完成,包括:
通过应用感知模块实现对数据包的应用感知及深层行为特征提取,将DPI作为一项服务运行在SDN控制器中,并对OpenFlow协议的流表结构进行扩展,在流表项的匹配域中引入特征元数据,用以表征数据包的L7层信息,进而将上层DPI分析结果映射到底层转发决策中;
流量控制模块结合应用感知模块的数据包检测结果及不同应用程序的流量处置决策,上传下达,从而完成全网的流量控制。
所述应用感知模块包括流量采集单元、行为鉴别单元和信息共享单元,其工作步骤如下:
步骤1:当数据包到达转发设备时,数据包头中的有效信息被提取出来与流表项中相应的数据域值进行匹配,若匹配成功,则结合预设的优先级对数据包执行转发操作或直接丢弃;若无匹配项或流表中不存在与之匹配的特征元数据,则将该数据包封装为Packet_in消息,上传至SDN控制器进行进一步处理,在该过程中,流量采集单元记录数据包的到达时间,并收集其IP地址、入端口的基本信息;
步骤2:当SDN控制器接受到Packet_in消息后,该消息将触发行为鉴别单元,启动控制器中运行的DPI服务,对数据包的应用层内容进行解析,对其深层行为特征进行鉴别;
步骤3:DPI对数据包的内容进行分析后获取到的应用层特征及流表中包含的其他数据包基本信息进行统一管理和备份,信息共享单元将这些有价值的信息基于发布/订阅模式根据各个应用程序的登记信息完成有针对性的信息推送与同步,确保不同种类的应用程序接收到网络流量的最新动态,进而从自身应用需求出发,利用这些数据包行为特征信息,结合实时网络状况实现多层次、细粒度的流量控制决策。
所述步骤2中,利用应用层网关鉴别、基于特征的检测及行为模式识别三类检测算法对数据包的应用层内容进行解析。
所述步骤3中,信息共享单元将这些有价值的信息基于发布/订阅模式、根据各个应用程序的登记信息完成有针对性的信息推送与同步。
所述流量控制模块包括匹配/转发单元、服务编排单元、策略制定单元,其工作过程包括如下:
匹配/转发单元将到达数据包与流表中的匹配域进行比对,将匹配失败的数据包上传至控制器,进行进一步的检测与鉴别;
服务编排单元安排无匹配项的数据包接受DPI检测,并将检测到的行为特征连同MAC地址、IP地址、端口号数据包基本信息同步存储至GIMD,供不同应用程序使用;另外,当上层应用程序基于自身需求,综合数据包行为特征及网络状况做出流量控制决策后,该单元还需将控制策略以流表项的形式下发至底层转发设备,同时把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据,添加至流表项中,用于对后续属于同一类别的数据包进行匹配与处理;
策略制定单元为不同的应用程序提供差异化的区别服务,在对数据包L1~L7层信息及全网状态综合评估的基础上,对不同类别的流量进行统一管控,同时,借助DPI所获得的深层数据包信息,对包含恶意代码的可疑数据包进行实时感知,一旦发现异常流量,则直接将其丢弃,实现及时的入侵检测与攻击处置。
与现有技术相比,本发明具有如下的有益效果:
本发明所提供的SDN网络中基于深度报文检测的应用层流量检测与控制机构及方法,在综合考虑了数据包L1~L7层特征及网络状态信息的基础上,实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞,提高网络负载能力,保证了不同应用程序的实际需求得到满足。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明的基本模型;
图2为通信延迟的评估;
图3为实时的带宽监测情况。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明的主要组成部分包括应用感知模块和流量控制模块。其基本模型如图1所示。
A.应用感知模块
在这一模块中,包括了三个子模块单元,分别是:流量采集、行为鉴别和信息共享。
在该模块中,本发明为实现对数据包的应用感知及深层行为特征提取,将DPI(深度报文检测技术)作为一项服务运行在SDN控制器中。还对OpenFlow协议的流表结构进行了扩展,在流表项的匹配域中引入特征元数据这一参数,用以表征数据包的L7层信息,进而将上层DPI分析结果映射到底层转发决策中。
该模块的工作过程如下所述。
步骤1:当数据包到达转发设备时,数据包头中的有效信息被提取出来与流表项中相应的数据域值进行匹配。若匹配成功,则结合预设的优先级对数据包执行转发操作或直接丢弃;若无匹配项或流表中不存在与之匹配的特征元数据,则将该数据包封装为Packet_in消息,上传至SDN控制器进行进一步处理。在该过程中,流量采集单元需记录数据包的到达时间,并收集其IP地址、入端口等基本信息。
步骤2:当SDN控制器接受到Packet_in消息后,该消息将触发应用感知模块的核心——行为鉴别单元,启动控制器中运行的DPI服务,利用应用层网关鉴别、基于特征的检测及行为模式识别三类检测算法对数据包的应用层内容进行解析,对其深层行为特征进行鉴别。
步骤3:DPI对数据包的内容进行分析后获取到的应用层特征及流表中包含的其他数据包基本信息将存储在GIMD(通用信息管理数据库)中进行统一管理和备份。信息共享单元负责将这些有价值的信息基于发布/订阅模式根据各个应用程序的登记信息完成有针对性的信息推送与同步,确保负载均衡、QoS(服务质量)、防火墙等不同种类的应用程序接收到网络流量的最新动态,进而从自身应用需求出发,利用这些数据包行为特征信息,结合实时网络状况实现多层次、细粒度的流量控制决策。
B.流量控制模块
这一模块的主要功能是结合应用感知模块的数据包检测结果及不同应用程序的流量处置决策,上传下达,完成全网的流量控制。对应于SDN的三层架构,同样地,该模块也可分为三个子模块单元,分别为:匹配/转发、服务编排、策略制定。
匹配/转发单元负责将到达数据包与流表中的匹配域进行比对,将匹配失败的数据包上传至控制器,进行进一步的检测与鉴别。
服务编排单元负责安排无匹配项的数据包接受DPI检测,并将检测到的行为特征连同MAC地址、IP地址、端口号等其他数据包基本信息同步存储至GIMD,供不同应用程序使用。另外,当上层应用程序基于自身需求,综合数据包行为特征及网络状况做出流量控制决策后,该单元还需将控制策略以流表项的形式下发至底层转发设备,同时把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据,添加至流表项中,用于对后续属于同一类流的数据包进行匹配与处理。
策略制定单元负责为不同的应用程序提供差异化的区别服务,在对数据包L1~L7层信息及全网状态综合评估的基础上,对不同类别的流量进行统一管控。同时,借助DPI所获得的深层数据包信息,可对包含恶意代码的可疑数据包进行实时感知,一旦发现异常流量,则直接将其丢弃,实现及时的入侵检测与攻击处置。
本发明通过模拟网络节点数目的增加来分别评估传统SDN流量控制方案及本发明中所提出的流量控制方案下,首个数据包处理时间及数据包平均匹配事件的开销。如图2所示,由于本发明中需对首个到达数据包进行DPI检测且在流表中增加了特征元数据这一表征L7层信息的数据域,随着网络节点数量的增加,时间开销也不可避免地有一定程度的增加。
但伴随着时间开销在可接受范围内的增长,运用本发明中所提出的流量控制方案可显著改善网络负载能力,如图3所示。
实验结果验证了该发明在时间开销上的可行性以及该发明的可行性和有效性。综上,该流量控制机制在综合考虑了数据包L1~L7层特征及网络状态信息的基础上,实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞,提高网络负载能力,保证了不同应用程序的实际需求得到满足。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (5)
1.一种SDN下可实现应用感知的流量检测与控制机构,其特征在于,包括:
应用感知模块,对数据包内容进行分析,将数据包信息扩展至应用层,并对有价值的数据包特征信息进行共享与一致性维护;
流量控制模块,结合网络状态及深层数据包特征对流量进行检测、分类,通过动态配置OpenFlow流表,为不同应用程序提供差异化服务及对异常流量感知及攻击处置;
所述应用感知模块,包括:
流量采集单元,记录数据包的到达时间,并收集其IP地址、入端口信息;
行为鉴别单元,对数据包的应用层内容进行解析,对其深层行为特征进行鉴别;
信息共享单元,将有价值的信息进行推送与同步,确保不同种类的应用程序接收到网络流量的最新动态,进而从自身应用需求出发,利用数据包行为特征信息,结合实时网络状况实现多层次、细粒度的流量控制决策;
采用所述的SDN下可实现应用感知的流量检测与控制机构完成,
通过应用感知模块能够实现对数据包的应用感知及深层行为特征提取,将DPI作为一项服务运行在SDN控制器中,并对OpenFlow协议的流表结构进行扩展,在流表项的匹配域中引入特征元数据,用以表征数据包的L7层信息,进而将上层DPI分析结果映射到底层转发决策中;
流量控制模块结合应用感知模块的数据包检测结果及不同应用程序的流量处置决策,上传下达,从而完成全网的流量控制;
所述应用感知模块包括流量采集单元、行为鉴别单元和信息共享单元,其工作步骤如下:
步骤1:当数据包到达转发设备时,数据包头中的有效信息被提取出来与流表项中相应的数据域值进行匹配,若匹配成功,则结合预设的优先级对数据包执行转发操作或直接丢弃;若无匹配项或流表中不存在与之匹配的特征元数据,则将该数据包封装为Packet_in消息,上传至SDN控制器进行进一步处理,在该过程中,流量采集单元记录数据包的到达时间,并收集其IP地址、入端口的基本信息;
步骤2:当SDN控制器接受到Packet_in消息后,该消息将触发行为鉴别单元,启动控制器中运行的DPI服务,对数据包的应用层内容进行解析,对其深层行为特征进行鉴别;
步骤3:DPI对数据包的内容进行分析后获取到的应用层特征及流表中包含的其他数据包基本信息进行统一管理和备份,信息共享单元将这些有价值的信息基于发布/订阅模式根据各个应用程序的登记信息完成有针对性的信息推送与同步,确保不同种类的应用程序接收到网络流量的最新动态,进而从自身应用需求出发,利用这些数据包行为特征信息,结合实时网络状况实现多层次、细粒度的流量控制决策。
2.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构,其特征在于,所述流量控制模块,包括:
匹配/转发单元,将到达数据包与流表中的匹配域进行比对,将匹配失败的数据包上传至控制器,进行进一步的检测与鉴别;
服务编排单元,安排无匹配项的数据包、将控制策略以流表项的形式下发至底层转发设备、把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据,添加至流表项中;
策略制定单元,为不同的应用程序提供差异化的区别服务、对不同类别的流量进行统一管控,同时,对包含恶意代码的可疑数据包进行实时感知,实时入侵检测与攻击处置。
3.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构,其特征在于,所述步骤1中,利用应用层网关鉴别、基于特征的检测及行为模式识别三类检测算法对数据包的应用层内容进行解析。
4.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构,其特征在于,所述步骤2中,信息共享单元将这些有价值的信息基于发布/订阅模式、根据各个应用程序的登记信息完成有针对性的信息推送与同步。
5.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构,其特征在于,所述流量控制模块包括匹配/转发单元、服务编排单元、策略制定单元,其工作过程包括如下:
匹配/转发单元将到达数据包与流表中的匹配域进行比对,将匹配失败的数据包上传至控制器,进行进一步的检测与鉴别;
服务编排单元安排无匹配项的数据包接受DPI检测,并将检测到的行为特征连同MAC地址、IP地址、端口号数据包基本信息同步存储至GIMD,供不同应用程序使用;另外,当上层应用程序基于自身需求,综合数据包行为特征及网络状况做出流量控制决策后,该单元还需将控制策略以流表项的形式下发至底层转发设备,同时把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据,添加至流表项中,用于对后续属于同一类别的数据包进行匹配与处理;
策略制定单元为不同的应用程序提供差异化的区别服务,在对数据包L1~L7层信息及全网状态综合评估的基础上,对不同类别的流量进行统一管控,同时,借助DPI所获得的深层数据包信息,对包含恶意代码的可疑数据包进行实时感知,一旦发现异常流量,则直接将其丢弃,实现及时的入侵检测与攻击处置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610791525.0A CN106341337B (zh) | 2016-08-31 | 2016-08-31 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610791525.0A CN106341337B (zh) | 2016-08-31 | 2016-08-31 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106341337A CN106341337A (zh) | 2017-01-18 |
CN106341337B true CN106341337B (zh) | 2021-03-09 |
Family
ID=57823629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610791525.0A Active CN106341337B (zh) | 2016-08-31 | 2016-08-31 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106341337B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106992982B (zh) * | 2017-03-31 | 2020-06-26 | 中国人民解放军信息工程大学 | 一种基于sdn的动态路由协议执行体实现装置及方法 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN108092920B (zh) * | 2017-12-19 | 2020-06-19 | 西安交通大学 | 一种基于软件定义和用户中心网络的应用感知系统及其方法 |
CN108289104B (zh) * | 2018-02-05 | 2020-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN109005047B (zh) * | 2018-04-28 | 2020-08-07 | 北京交通大学 | 网络族群主动伸缩方法、计算机设备及可读介质 |
CN108712348A (zh) * | 2018-05-18 | 2018-10-26 | 王逸人 | 流量控制方法、系统、设备及计算机可读存储介质 |
CN108833430B (zh) * | 2018-06-29 | 2020-05-19 | 华中科技大学 | 一种软件定义网络的拓扑保护方法 |
CN109818875B (zh) * | 2019-01-23 | 2022-06-03 | 天津大学 | 基于协同采样的流量应用感知平台 |
CN110380940B (zh) * | 2019-08-22 | 2022-05-24 | 北京大学深圳研究生院 | 一种路由器及其数据包的评估方法 |
CN113542007A (zh) * | 2019-09-24 | 2021-10-22 | 华为技术有限公司 | 一种网络的oam方法及装置 |
CN113300974B (zh) * | 2020-07-10 | 2024-04-26 | 阿里巴巴集团控股有限公司 | 一种拥塞控制方法、设备及计算机可读介质 |
CN112367213B (zh) * | 2020-10-12 | 2022-02-25 | 中国科学院计算技术研究所 | 面向sdn网络的策略异常检测方法、系统、装置及存储介质 |
CN112787861B (zh) * | 2020-12-31 | 2022-05-10 | 中国电子科技集团公司第五十四研究所 | 一种基于sdn的网络安全监测一体化可编程控制器 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051629A (zh) * | 2012-12-24 | 2013-04-17 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的系统、方法和节点 |
CN103326884A (zh) * | 2013-05-30 | 2013-09-25 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知系统及方法 |
CN104753704A (zh) * | 2013-12-27 | 2015-07-01 | 中兴通讯股份有限公司 | 一种软件定义网络中的状态迁移方法及交换机 |
CN105429820A (zh) * | 2015-11-05 | 2016-03-23 | 武汉烽火网络有限责任公司 | 基于软件定义网络的深度包检测系统及方法 |
CN105897611A (zh) * | 2016-06-24 | 2016-08-24 | 武汉绿色网络信息服务有限责任公司 | 一种基于sdn采用dpi技术实现业务识别和流量调度的系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9900263B2 (en) * | 2014-09-29 | 2018-02-20 | Alcatel-Lucent Usa Inc. | Non-overlay resource access in datacenters using overlay networks |
-
2016
- 2016-08-31 CN CN201610791525.0A patent/CN106341337B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051629A (zh) * | 2012-12-24 | 2013-04-17 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的系统、方法和节点 |
CN103326884A (zh) * | 2013-05-30 | 2013-09-25 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知系统及方法 |
CN104753704A (zh) * | 2013-12-27 | 2015-07-01 | 中兴通讯股份有限公司 | 一种软件定义网络中的状态迁移方法及交换机 |
CN105429820A (zh) * | 2015-11-05 | 2016-03-23 | 武汉烽火网络有限责任公司 | 基于软件定义网络的深度包检测系统及方法 |
CN105897611A (zh) * | 2016-06-24 | 2016-08-24 | 武汉绿色网络信息服务有限责任公司 | 一种基于sdn采用dpi技术实现业务识别和流量调度的系统和方法 |
Non-Patent Citations (3)
Title |
---|
一种以DPI为核心的网络流量识别方案;吴军,杜泽华;《软件导刊》;20140131;全文 * |
基于DPI 的流量识别系统设计;武光达;《中国优秀硕士学位论文全文数据库》;20160331;全文 * |
基于DPI与DFI的流量识别与控制系统;吴倩;《中国优秀硕士学位论文全文数据库》;20140131;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106341337A (zh) | 2017-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106341337B (zh) | 一种sdn下可实现应用感知的流量检测与控制机构及方法 | |
CN108289104B (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
Da Silva et al. | Identification and selection of flow features for accurate traffic classification in SDN | |
CN106815112B (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
Xiao et al. | An efficient elephant flow detection with cost-sensitive in SDN | |
JP5544006B2 (ja) | 情報通信処理システム | |
CN104253770B (zh) | 实现分布式虚拟交换机系统的方法及设备 | |
CN105493450A (zh) | 动态检测网络中的业务异常的方法和系统 | |
CN108781171A (zh) | 用于在ipv6环境中用数据平面信号通知分组捕获的系统和方法 | |
CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
CN105357142B (zh) | 一种基于ForCES的网络负载均衡器系统设计方法 | |
CN105162759A (zh) | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 | |
CN108881028B (zh) | 基于深度学习实现应用感知的sdn网络资源调度方法 | |
CN106797328A (zh) | 收集和分析所选择的网络流量 | |
CN104320358A (zh) | 一种电力通信网中的QoS业务控制方法 | |
CN104348716A (zh) | 一种报文处理方法及设备 | |
CN102271090A (zh) | 基于传输层特征的流量分类方法及装置 | |
CN105791151B (zh) | 一种动态流量控制方法,及装置 | |
CN108429761A (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
CN113364624B (zh) | 基于边缘计算的混合云流量采集方法和系统 | |
Moreira et al. | Anomaly detection in smart environments using AI over fog and cloud computing | |
Xu et al. | IARA: An intelligent application-aware VNF for network resource allocation with deep learning | |
Quan et al. | AI-driven packet forwarding with programmable data plane: A survey | |
CN110266603A (zh) | 基于http协议的身份认证业务网络流量分析系统及方法 | |
CN113382039B (zh) | 一种基于5g移动网络流量分析的应用识别方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |