CN106817275B - 一种自动化预防和编排处理策略冲突的系统和方法 - Google Patents

一种自动化预防和编排处理策略冲突的系统和方法 Download PDF

Info

Publication number
CN106817275B
CN106817275B CN201611168276.6A CN201611168276A CN106817275B CN 106817275 B CN106817275 B CN 106817275B CN 201611168276 A CN201611168276 A CN 201611168276A CN 106817275 B CN106817275 B CN 106817275B
Authority
CN
China
Prior art keywords
flow
conflict
policy
security
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611168276.6A
Other languages
English (en)
Other versions
CN106817275A (zh
Inventor
黄韬
魏亮
周洪利
檀朝红
尚为进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Future Networks Innovation Institute
Original Assignee
Jiangsu Future Networks Innovation Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Future Networks Innovation Institute filed Critical Jiangsu Future Networks Innovation Institute
Priority to CN201611168276.6A priority Critical patent/CN106817275B/zh
Publication of CN106817275A publication Critical patent/CN106817275A/zh
Application granted granted Critical
Publication of CN106817275B publication Critical patent/CN106817275B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Environmental & Geological Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种自动化预防和编排处理策略冲突的系统和方法,通过以下步骤解决策略冲突:1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络入口交换机上允许或拒绝所述新的业务流;2)采集网络流量信息建立流路径;3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法。本发明的系统和方法,能够准确地探测到由网络状态和流变化引起的安全策略或应用策略冲突。同时,该系统能够根据冲突的具体状态,例如部分规则冲突,或者全冲突进行有效且及时的冲突解决。通过本发明的系统和方法,能够主动检测和解决策略冲突,实现网络安全高效运行。

Description

一种自动化预防和编排处理策略冲突的系统和方法
技术领域
本发明属于网络策略冲突解决技术领域,具体是一种云主机网络接口的动态管理方法。
背景技术
软件定义网络SDN(Software Defined Networking)是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构,其核心理念是数据转发和控制层面的分离。OpenFlow是一种软件定义网络SDN的解决方案,它使得网络的灵活性大大增加。
一个基本的OpenFlow技术组网结构如图1所示,它包括OpenFlow交换机和控制器。当第一个数据包到达OpenFlow交换机后,由交换机使用OpenFlow协议通过安全通道将它转发至控制器,控制器上的软件进行转发决策,将策略下发到交换机的流表中,后续数据包按流表规则转发。由于SDN技术的开放可编程性,攻击者可以利用流表项的Set-Field操作构造一些恶意流绕过SDN控制器的安全策略。
并且,网络中存在着许多网络策略,比如ACL(Access Control List)和SFC(Service Function Chain)。同时,网络中的策略往往是由不同人群制定的,他们可能是网络的管理员或用户,也可能是虚拟租户网的租户。不同网络使用者的决策是相互独立的,也是动态的,所以很多时候不同的策略之间会产生策略冲突。
如图2所示,网络拓扑有4台主机、2台OpenFlow交换机和一台控制器。控制器上的安全应用定义了一条安全规则,阻止主机A和主机D进行通信。现在,另外的网络应用可以通过以下2个交换机的流表项,将A上的信息发送到D。具体实现过程如下:第一台交换机的流表项,把源地址为A且目的地址为C的数据包的源地址改为B,第二台交换机的流表项,把源地址为B,目的地址为C的数据包的目的地址改为D。这样,数据包就从主机A发送到D上。攻击者可以利用流表项的Set-Field操作构造一些恶意流绕过SDN控制器的安全策略。还有一种是应用程序之间的规则冲突,应用程序1,下发流表11至交换机1,把源地址为A的IPv4的数据包发送给端口1,应用程序2,也下发流表21至交换机1,把源地址为A的TCP的数据包发送给端口2,若两者优先级不同,则遵循优先级高的规则,若两者优先级相同,则会导致冲突,这是流规则依赖导致的问题。
目前的策略冲突解决方案仅仅实现了运行态的冲突检测,即只有当策略被部署之后,网络在运行时发生故障,性能出现恶化时,安全漏洞等问题才暴露出来。而且这只是一种冲突检测,其无法实现策略冲突的预防,更不能实现策略的编排,解决策略冲突。
发明内容
本发明要解决的问题是提供一种自动化预防和编排处理策略冲突的系统和方法,该系统和方法能够自动检测感知策略规则冲突,并进行相关对比分析,主动解决该策略冲突,实现网络的安全有效运行。
为实现上述发明目的,本发明的一种自动化预防和编排处理策略冲突的系统,包括:
流量跟踪模块、冲突检测模块和冲突决议模块;
所述流量跟踪模块用于采集网络流量信息并建立流路径;
所述冲突检测模块用于分析冲突产生的原因;
所述冲突决议模块用于解决被识别的冲突。
一种自动化预防和编排处理策略冲突的方法,包括以下步骤:
1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络入口交换机上允许或拒绝所述新的业务流;
2)采集网络流量信息建立流路径;
3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法:
31)对于流规则依赖导致的冲突,采用流标记或者流重新路由来打破流规则依赖机制;
32)对于流策略更新导致的整体冲突,
以下情况选择更新拒绝:
321)当增加一个新的流策略,相应的流路径被检测为与安全策略冲突,并且这种冲突是一个整体冲突;
322)修改一个规则引起整体冲突;
323)删除一个规则导致新的整体冲突;
以下情况选择流移除:
324)规则的改变和删除操作是允许的,即使他导致了整体冲突;
33)对于安全策略更新导致的整体冲突,采用流移除的方式;
34)对于部分违规,采用数据包阻塞。
进一步的,所述流重新路由过程为:当一个新的业务流到达网络中,安全授权模块(具体工作的是其中的安全授权应用)检测到控制器针对所述新的业务流产生的流路径导致了一个基于规则依赖的冲突,安全授权模块要求控制器为所述新的业务流寻找另一条路由路径以避免这些依赖;在此过程中,安全授权模块程序维护了一个交换机规避名单列表,包含了所有导致冲突的与规则依赖相关的交换机;安全授权模块程序提供所述交换机规避名单列表给控制器,然后,控制器计算一个新的路由路径来规避所述交换机规避名单列表上的交换机。这样的重新路由过程可能需要递归地执行直到控制器找到一条不会引入冲突的路径。
进一步的,所述流标记过程为:新的流策略通过添加标签的预处理来区分与其他策略的匹配模式;在入口交换机的策略规则通过对新的业务流(数据包)添加相同标签的附加动作来标记新的业务流;当数据包离开网络时,在出口交换机,策略相应的规则将除去数据包上的标签。
进一步的,所述数据包阻塞的过程为:
341)如果流是一个新流,安全授权模块只需要在流的入口交换机阻塞所述流;
342)如果流是一个旧流,安全授权模块需要在交换机的入口和出口都阻塞所述流(数据包)。
进一步的,所述步骤1)中网络入口交换机上拒绝有安全威胁的新的业务流,比如DDOS攻击或者病毒等等。
目前,一些系统如VeriFlow、Pyretic、FortNOX都实现了策略冲突的检测和解决,但是他们都有各自的局限。VeriFlow缺乏自动,有效和实时的冲突解决。Pyretic无法发现和解决间接的安全违规。FortNOX只能进行两两冲突分析,没有考虑流表和安全策略的规则依赖。本发明的一种自动化预防和编排处理策略冲突的系统和方法,能够准确地探测到由网络状态及流变化引起的安全策略或应用策略冲突。同时,该系统能够根据冲突的具体状态,例如部分规则冲突,或者全冲突进行有效且及时的冲突解决。通过本发明的系统和方法,能够主动检测和解决策略冲突,实现网络安全高效运行。
附图说明
图1为OpenFlow技术组网结构图;
图2为覆写操作导致策略冲突的示意图;
图3为本发明的自动化预防和编排处理策略冲突的系统的框架图;
图4为本发明的自动化预防和编排处理策略冲突的系统的方法的流程图。
具体实施方式
下面结合附图对本发明的一种自动化预防和编排处理策略冲突的系统和方法作进一步更详细的描述。
如图1所示,本发明的一种自动化预防和编排处理策略冲突的系统,包括:
流量跟踪模块、冲突检测模块和冲突决议模块;
所述流量跟踪模块用于:采集网络流量信息并建立流路径。
所述冲突检测模块用于:如果追踪的流路径空间与拒绝授权空间重叠,分析冲突产生的原因。
所述冲突决议模块用于解决被识别的冲突。
系统还会及时更新流规则和网络拓扑信息,以便系统能够在任何相关的交换机上重新传播包头对象来更新流路径。
目前,现有的流策略若与安全策略发生冲突,则流策略直接在网络设备上被移除。然而,这样的解决方案有几个缺点。首先,一个流策略可能只是部分违反了安全策略。在这种情况下,拒绝/移除流策略可能会影响到网络服务的效用。其次,在一个流策略中的规则可能与其他的流策略规则有依赖关系。在一个有冲突的策略中删除一个规则可能影响到其他的流策略,甚至造成新的冲突。显然,有必要寻求一种灵活有效的冲突决议系统解决方案。为此,我们提出了一种全面的冲突决议机制,如图4所示,展示了如何采用各种冲突决议机制来解决在基于OpenFlow的网络中涉及到新的流量和各种流策略及安全策略的更新操作而引起的策略冲突。
如图4所示,一种自动化预防和编排处理策略冲突的方法,包括以下步骤:
1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络入口交换机上允许或拒绝所述新的业务流;没有通过安全授权的流会经数据包冲突处理,直接被拒绝,网络入口交换机上拒绝有安全威胁的新的业务流,比如DDOS攻击或者病毒等等;通过安全授权的流,会进入到数据包冲突检测模块进行策略冲突检测。这种安全授权应用程序的实现只能检查新流入网络的数据包的安全策略违规,无法检查流策略相对于动态网络策略更新的策略冲突。因此,为支持准确的违规检测和全网的访问控制,我们不仅需要在每个流的入口交换机检查违规行为,也跟踪流路径,然后清楚地确定网络中的每个流的原始来源和最终目的地。
当流策略更新时,流策略冲突检测模块的流路径空间分析模块会对流进行追踪,感知动态数据包的修改和规则的依赖,并对流路径空间进行计算。当安全策略进行更新时,安全授权空间解耦安全策略中的允许规则和拒绝规则之间的依赖关系。将追踪的流空间和安全拒绝授权空间进行比对,得到整体或部分的流规则冲突。然后将冲突送至冲突决议系统,由冲突决议系统对流进行丢弃、阻塞、重传等操作。具体来说:
2)采集网络流量信息建立流路径;
3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法:
31)当一个新的流策略被加入到网络交换机中时,这个流策略可能不会同安全策略起冲突。然而,这个新的流策略的规则可能会与其他现有的流策略规则重叠。由于规则的依赖可能导致流数据包头产生意想不到的的变化,就可能会造成新的安全策略冲突。这种冲突也可能由其他的网络状态变化导致,例如修改流条目和更新安全规则。对于流规则依赖导致的冲突,采用流标记或者流重新路由来打破流规则依赖机制;
32)对于流策略更新导致的整体冲突,
以下情况选择更新拒绝:
321)当增加一个新的流策略,相应的流路径被检测为与安全策略冲突,并且这种冲突是一个整体冲突;
322)修改一个规则引起整体冲突;
323)删除一个规则导致新的整体冲突,因为其他流量的一些规则与此规则有依赖关系。
运用更新拒绝方式,更新操作将直接被拒绝。
以下情况选择流移除:
324) 规则的改变和删除操作是允许的,即使他导致了整体冲突。
33)在安全策略中更新(添加、更改或删除)一个规则,安全应用程序检查当前网络状态应用到更新的规则并检测到新的整体冲突,采用流移除的方式;
使用流移除方式,与一个流路径相关的同安全策略完全冲突的所有规则,从网络交换机中移除。
34)对于部分违规,采用数据包阻塞。
流重新路由过程为:当一个新的业务流到达网络中,安全授权模块(具体工作的是其中的安全授权应用)检测到控制器针对所述新的业务流产生的流路径导致了一个基于规则依赖的冲突,安全授权模块要求控制器为所述新的业务流寻找另一条路由路径以避免这些依赖;在此过程中,安全授权模块程序维护了一个交换机规避名单列表,包含了所有导致冲突的与规则依赖相关的交换机;安全授权模块程序提供所述交换机规避名单列表给控制器,然后,控制器计算一个新的路由路径来规避所述交换机规避名单列表上的交换机。这样的重新路由过程可能需要递归地执行直到控制器找到一条不会引入冲突的路径。
流标记过程为:新的流策略通过添加标签的预处理来区分与其他策略的匹配模式;在入口交换机的策略规则通过对新的业务流(数据包)添加相同标签的附加动作来标记新的业务流;当数据包离开网络时,在出口交换机,策略相应的规则将除去数据包上的标签。
数据包阻塞的过程为:
341)如果流是一个新流,安全授权模块只需要在流的入口交换机阻塞所述流;
342)如果流是一个旧流,安全授权模块需要在交换机的入口和出口都阻塞所述流(数据包)。在这种情况下,在入口交换机阻塞数据包能够阻止发生冲突的流的任意新的数据包 进入网络,同时阻止出口交换机上的数据包能够防止发生冲突的流的正在运行中的数据包从网络通过。
本发明具体应用途径很多,以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些改进也应视为本发明的保护范围。

Claims (5)

1.一种自动化预防和编排处理策略冲突的方法,其特征在于,包括以下步骤:
1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络入口交换机上允许或拒绝所述新的业务流;
2)采集网络流量信息建立流路径;
3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法:
31)对于流规则依赖导致的冲突,采用流标记或者流重新路由来打破流规则依赖机制;
32)对于流策略更新导致的整体冲突,
以下情况选择更新拒绝:
321)当增加一个新的流策略,相应的流路径被检测为与安全策略冲突,并且这种冲突是一个整体冲突;
322)修改一个规则引起整体冲突;
323)删除一个规则导致新的整体冲突;
以下情况选择流移除:
324) 规则的改变和删除操作是允许的,即使他导致了整体冲突;
33)对于安全策略更新导致的整体冲突,采用流移除的方式;
34)对于部分违规,采用数据包阻塞。
2.根据权利要求1所述的自动化预防和编排处理策略冲突的方法,其特征在于,所述步骤31)中的所述流重新路由过程为:当一个新的业务流到达网络中,安全授权模块检测到控制器针对所述新的业务流产生的流路径导致了一个基于规则依赖的冲突,安全授权模块要求控制器为所述新的业务流寻找另一条路由路径以避免这些依赖;在此过程中,安全授权模块程序维护了一个交换机规避名单列表,包含了所有导致冲突的与规则依赖相关的交换机;安全授权模块程序提供所述交换机规避名单列表给控制器,然后,控制器计算一个新的路由路径来规避所述交换机规避名单列表上的交换机。
3.根据权利要求1所述的自动化预防和编排处理策略冲突的方法,其特征在于,所述步骤31)中的所述流标记过程为:新的流策略通过添加标签的预处理来区分与其他策略的匹配模式来打破规则依赖;在入口交换机的策略规则通过对新的业务流添加相同标签的附加动作来标记新的业务流;当数据包离开网络时,在出口交换机,策略相应的规则将除去数据包上的标签。
4.根据权利要求1所述的自动化预防和编排处理策略冲突的方法,其特征在于,所述步骤34)中的所述数据包阻塞的过程为:
341)如果流是一个新流,安全授权模块只需要在流的入口交换机阻塞所述流;
342)如果流是一个旧流,安全授权模块需要在交换机的入口和出口都阻塞所述流。
5.根据权利要求2至4任一项所述的自动化预防和编排处理策略冲突的方法,其特征在于,所述步骤1)中网络入口交换机上拒绝有安全威胁的新的业务流。
CN201611168276.6A 2016-12-16 2016-12-16 一种自动化预防和编排处理策略冲突的系统和方法 Active CN106817275B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611168276.6A CN106817275B (zh) 2016-12-16 2016-12-16 一种自动化预防和编排处理策略冲突的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611168276.6A CN106817275B (zh) 2016-12-16 2016-12-16 一种自动化预防和编排处理策略冲突的系统和方法

Publications (2)

Publication Number Publication Date
CN106817275A CN106817275A (zh) 2017-06-09
CN106817275B true CN106817275B (zh) 2020-05-08

Family

ID=59108991

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611168276.6A Active CN106817275B (zh) 2016-12-16 2016-12-16 一种自动化预防和编排处理策略冲突的系统和方法

Country Status (1)

Country Link
CN (1) CN106817275B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404860A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种安全业务链实现方法、装置和计算机可读存储介质
CN112910824A (zh) * 2019-11-19 2021-06-04 苏州至赛信息科技有限公司 网络安全策略配置方法、装置、计算机设备和存储介质
CN111756692B (zh) * 2020-05-19 2021-05-14 中国科学院信息工程研究所 一种网络安全防护方法及系统
CN111756691B (zh) * 2020-05-19 2021-10-08 中国科学院信息工程研究所 采集策略冲突检测方法、装置、电子设备和存储介质
CN111628980B (zh) * 2020-05-20 2022-08-09 深信服科技股份有限公司 策略调整方法、装置、设备及存储介质
CN111865814B (zh) * 2020-07-31 2022-04-29 浙江大学 一种软件定义网络中异常转发流量的自动化过滤方法
CN114268443B (zh) * 2020-09-14 2023-04-18 华为技术有限公司 一种规则检测方法以及相关设备
CN112217693B (zh) * 2020-11-17 2022-02-22 迈普通信技术股份有限公司 一种控制器测试方法、装置、电子设备及存储介质
CN114884821B (zh) 2022-06-17 2023-07-18 北京邮电大学 一种自智网络中的多策略冲突规避方法
CN116582468B (zh) * 2023-04-26 2024-01-16 杭州云之盟科技有限公司 互联网流量监测方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215212A (zh) * 2010-04-02 2011-10-12 中兴通讯股份有限公司 一种安全策略的冲突处理方法、架构及统一转换器
CN102760076A (zh) * 2012-06-05 2012-10-31 华为技术有限公司 一种系统的策略冲突处理方法及策略冲突处理系统
CN103684905A (zh) * 2013-11-27 2014-03-26 北京邮电大学 一种网络虚拟化平台的流规则冲突检测及处理方法
CN104202303A (zh) * 2014-08-11 2014-12-10 华中科技大学 一种sdn应用的策略冲突检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215212A (zh) * 2010-04-02 2011-10-12 中兴通讯股份有限公司 一种安全策略的冲突处理方法、架构及统一转换器
CN102760076A (zh) * 2012-06-05 2012-10-31 华为技术有限公司 一种系统的策略冲突处理方法及策略冲突处理系统
CN103684905A (zh) * 2013-11-27 2014-03-26 北京邮电大学 一种网络虚拟化平台的流规则冲突检测及处理方法
CN103684905B (zh) * 2013-11-27 2015-10-14 北京邮电大学 一种网络虚拟化平台的流规则冲突检测及处理方法
CN104202303A (zh) * 2014-08-11 2014-12-10 华中科技大学 一种sdn应用的策略冲突检测方法及系统

Also Published As

Publication number Publication date
CN106817275A (zh) 2017-06-09

Similar Documents

Publication Publication Date Title
CN106817275B (zh) 一种自动化预防和编排处理策略冲突的系统和方法
CN108781171B (zh) 用于在ipv6环境中用数据平面信号通知分组捕获的系统和方法
US9148360B2 (en) Managing MAC moves with secure port groups
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US10038671B2 (en) Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
Maeda et al. A botnet detection method on SDN using deep learning
US20130114619A1 (en) Device and method for egress packet forwarding using mesh tagging
US20190297017A1 (en) Managing network congestion using segment routing
CN106961387B (zh) 一种基于转发路径自迁移的链路型DDoS防御方法及系统
US20070192862A1 (en) Automated containment of network intruder
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
JP2010532633A (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
Hu et al. Towards a reliable {SDN} firewall
US20100212005A1 (en) Distributed denial-of-service signature transmission
CN105051696A (zh) 用于处理网络元数据的改进的流式处理方法及系统
US11277384B2 (en) Dynamic filter generation and distribution within computer networks
CN114513340B (zh) 一种软件定义网络中的两级DDoS攻击检测与防御方法
Schehlmann et al. COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes
US10771499B2 (en) Automatic handling of device group oversubscription using stateless upstream network devices
Luo et al. SDN/NFV-based security service function tree for cloud
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
JP2019213182A (ja) ネットワーク防御装置およびネットワーク防御システム
CN108881241B (zh) 一种面向软件定义网络的动态源地址验证方法
JP2008211690A (ja) ネットワーク制御方法
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant