CN107360115A - 一种sdn网络防护方法及装置 - Google Patents
一种sdn网络防护方法及装置 Download PDFInfo
- Publication number
- CN107360115A CN107360115A CN201610301639.2A CN201610301639A CN107360115A CN 107360115 A CN107360115 A CN 107360115A CN 201610301639 A CN201610301639 A CN 201610301639A CN 107360115 A CN107360115 A CN 107360115A
- Authority
- CN
- China
- Prior art keywords
- flow table
- sdn
- request data
- rule
- data package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种软件定义网络SDN网络防护方法,所述方法包括:当SDN控制器下发流表后,判断SDN控制器下发的流表的合法性;在SDN控制器下发的流表合法时,通过客户端代理和服务器端代理向SDN交换机下发流表;其中,SDN控制器下发的流表包括针对SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。上述技术方案在不影响SDN网络集中统一的特性和SDN控制器管控功能的前提下,使SDN网络更加安全可靠和高效。通过将SDN网络架构与检测、审计和预警技术相结合,实现在虚拟网络环境下,根据安全策略及时发现SDN网络中的安全问题,并对其进行安全威胁处理和报警。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种SDN(Software Defined Network,软件定义网络)网络防护方法及装置。
背景技术
在虚拟化网络中,可以通过SDN技术将网络资源以资源池的方式进行整合,并能根据用户的需求,利用控制器进行集中统一的管理、配置和部署网络,为用户提供网络服务。虚拟化网络:就是在一个物理网络上模拟出多个逻辑网络,其网络配置不受物理设备位置的限制,该网络内的每个物理设备能够互联互通,并且用户在逻辑网络的体验与在物理网络的体验一样。
SDN(Software Defined Network,软件定义网络):它是一种新兴的网络架构,实现控制与转发相分离,并且用户可直接对网络编程。
SDN网络架构可以被分为三个主要部分:控制器(controller)、SDN交换机(SDNswitch)、网络应用。控制器可以作为网络的一种操作系统(OS,Operating System),负责网络中流量的控制,能自动管理网络,并且向上层应用提供用于实现网络服务的可编程接口(API,Application Programming Interface),网络人员能够灵活地编写多种网络应用,通过该接口管理整个网络。SDN交换机进行数据层的转发。流表是SDN交换机的关键组件,负责数据包的高速查询和转发。SDN交换机中的流表包含多组流表项,每组流表项就是一个转发规则。进入SDN交换机的数据包通过查询流表来获得转发的目的端口。控制器可通过安全通道控制和管理SDN交换机,同时控制器接收来自SDN交换机的事件并向SDN交换机发送数据包。OpenFlow(协议)用来描述控制器和SDN交换机之间交互所用信息的标准。SDN交换机和控制器通过安全通道进行通信的信息必须按照OpenFlow协议规定的格式来执行。
SDN技术为网络的配置和部署带来极大灵活性和便捷性的同时,也引入了新的网络安全威胁,例如:SDN网络的逻辑结构太容易被改变,而通常物理网络在构建网络环境时,一般用户的业务系统都会在构建好网络后,再经过充分的测试后才会正式运行,但是SDN通过流表可以在用户业务系统运行中随意地改变网络的拓扑,这样就产生了很大的风险。由于每次更改后都没有进行足够的测试,例如规定访问某服务器之前必须要先经过某防火墙,而用户或恶意攻击控制SDN控制器下发非法规则,直接跳过该防火墙直接访问服务器,会给服务器带来威胁。作为控制中心的SDN控制器一旦被攻击或发生异常,将可能导致整个网络的故障;另外,还有非法链接请求、洪泛攻击等威胁。
其中,SYN攻击:是洪泛攻击的一种。它利用传输控制协议(TCP,TransmissionControl Protocol)的三次握手机制的漏洞,通过伪造的IP地址向被攻击端持续发出SYN请求,而被攻击端发出的响应报文SYN-ACK就无法得到再确认ACK包,一段时间后被攻击端会重发SYN-ACK,等待再确认,直到超过其设定的最大等待时间该连接请求才会被关闭。如此,被攻击端在等待关闭这个连接的过程中被消耗了资源,如果这样的连接数量非常多,主机资源将被耗尽,从而达到攻击的目的。
目前的SDN网络安全监控方案大多是通过扩展SDN网络设备的功能来实现安全防御,通常和防火墙、入侵检测及防御系统等配合,或直接通过第三方安全检测产品检测。然而,这些方案多是单方面的注重检测或阻止攻击进入SDN网络内部,忽略了对SDN网络内部设备和用户操作的监控和处理。SDN网络仍旧会遇到以下问题:1)没有有效地发现被攻击的SDN控制器下发的恶意策略和用户错误操作下发的非法策略,而只监测发现不完善处理机制,并不能保证网络服务的可靠性和可用性;2)没有针对SDN网络受到洪泛攻击、非法链接请求等攻击时的高效可靠防护机制。
发明内容:
本发明提供一种SDN网络防护方法及装置,能够使SDN网络更加安全和高效。
为解决上述技术问题,本发明实施例提供一种软件定义网络SDN网络防护方法,所述方法包括:
当SDN控制器下发流表后,判断所述SDN控制器下发的流表的合法性;
在所述SDN控制器下发的流表合法时,通过客户端代理和服务器端代理向SDN交换机下发所述流表;
其中,所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。
可选地,所述方法还包括:
当服务端代理接收到所述SDN交换机转发的请求数据包后,查询服务端代理的缓存中是否有匹配的流表;
当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理;
当所述服务端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
可选地,所述方法还包括:
所述客户端代理接收到所述服务端代理转发的请求数据包后,查询所述客户端代理的缓存中是否有匹配的流表;
当所述客户端代理的缓存没有匹配的流表时,将所述请求数据包转发到SDN控制器;
当所述客户端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
可选地,所述当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理;若该缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机包括:
当所述服务端代理的缓存没有匹配的流表时,审计模块判断所述请求数据包的合法性;当审计模块判断所述请求数据包合法时,所述服务端代理将所述请求数据包转发到客户端代理;当审计模块判断所述请求数据包不合法时,通过服务端代理反馈拒绝响应指令给所述SDN交换机;
其中,所述审计模块判断所述请求数据包的合法性包括:
根据服务端代理统计的信息,确定所述请求数据包相关的安全指数;
判断所述请求数据包相关的安全指数是否符合预设的安全指标,若不符合,则判定所述请求数据包不合法,若符合,则判定所述请求数据包合法。
可选地,所述方法还包括:在所述SDN控制器下发的流表不合法时,所述客户端代理删除或更改不合法的流表,所述审计模块向用户反馈报警信息。
可选地,所述判断所述SDN控制器下发的流表的合法性,包括:
审计模块对于所述SDN控制器下发的流表都进行以下操作:
将所述流表包含的所有流表规则分别与正常网络业务服务链路规则模型中的规则进行对比,若所述流表规则能够与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则合法,若所述流表规则不能与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则不合法;
当所述SDN控制器下发的流表中的每个流表规则都合法时,判断所述流表合法;当所述SDN控制器下发的流表中的每个流表规则不是都合法时,判断所述流表不合法。
可选地,所述方法还包括:
所述策略配置管理模块将所述报警信息与白名单中的流表规则比较,若查找到与所述报警信息匹配的流表规则,则判断该报警无效,并将所述流表规则更新到正常网络业务服务链路规则模型。
本发明实施例还提供一种软件定义网络SDN网络防护装置,所述装置包括:
审计模块,用于当SDN控制器下发流表后,判断所述SDN控制器下发的流表的合法性;
客户端代理模块,用于在所述SDN控制器下发的流表合法时,通过所述服务器端代理模块向SDN交换机下发所述流表,将SDN控制器下发的流表生成日志文档供审计模块审计;
服务端代理模块,用于在所述SDN控制器下发的流表合法时,将客户端代理模块转发的流表转发给所述SDN交换机;
其中,所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。
可选地,所述服务端代理模块,还用于当接收到所述SDN交换机转发的请求数据包后,查询服务端代理模块的缓存中是否有匹配的流表;以及还用于当所述服务端代理模块的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理模块;以及还用于当所述服务端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
可选地,所述客户端代理模块,还用于在接收到所述服务端代理转发的请求数据包后,查询所述客户端代理模块的缓存中是否有匹配的流表;还用于当所述客户端代理模块的缓存没有匹配的流表时,将所述请求数据包转发到SDN控制器;以及还用于当所述客户端代理模块的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
可选地,审计模块,还用于当所述服务端代理模块的缓存没有匹配的流表时,判断所述请求数据包的合法性以及还用于当所述请求数据包不合法时,反馈拒绝响应指令给所述SDN交换机;
其中,所述服务端代理模块还用于当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理模块是指:
当所述审计模块判断所述请求数据包合法时,将所述请求数据包转发到所述客户端代理模块;
所述审计模块用于判断所述请求数据包的合法性是指:
根据服务端代理统计的信息,确定所述请求数据包相关的安全指数;
判断所述请求数据包相关的安全指数是否符合预设的安全指标,若不符合,则判定所述请求数据包不合法,若符合,则判定所述请求数据包合法。
可选地,所述客户端代理模块还用于在所述SDN控制器下发的流表不合法时,删除或更改不合法的流表;
所述审计模块还用于在所述SDN控制器下发的流表不合法时,向用户反馈报警信息。
可选地,所述审计模块用于判断所述SDN控制器下发的流表的合法性是指:
对于所述SDN控制器下发的流表都进行以下操作:
将所述SDN控制器下发的流表中的所有流表规则分别与正常网络业务服务链路规则模型中的规则进行对比,若所述流表规则能够与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则合法,若所述流表规则不能与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则不合法;
当所述SDN控制器下发的流表中的每个流表规则都合法时,判断所述流表合法;当所述SDN控制器下发的流表中的每个流表规则不是都合法时,判断所述流表不合法。
可选地,所述装置还包括:
策略配置管理模块,用于管理正常网络业务服务链路规则模型;还用于将所述报警信息与白名单中的流表规则比较,若查找到与所述报警信息匹配的流表规则,则判断该报警信息无效,并将所述流表规则更新到所述正常网络业务服务链路规则模型;
其中,所述管理正常网络业务服务链路规则模型包括以下操作中的一项或多项:
根据网络拓扑视图得到安全链路规则,并将所述安全链路规则更新到所述正常网络业务服务链路规则模型;
根据管理需求将安全链路规则添加到白名单中;
根据动态配置的安全的流表规则更新到所述正常网络业务服务链路规则模型。
上述技术方案在不影响SDN网络集中统一的特性和SDN控制器管控功能的前提下,使SDN网络更加安全可靠和高效。通过将SDN网络架构与检测、审计和预警技术相结合,实现在虚拟网络环境下,根据安全策略及时发现SDN网络中的安全问题,并对其进行安全威胁处理和报警。
附图说明
图1为实施例一中的SDN网络防护装置的结构示意图;
图2为实施例一中的SDN网络防护装置的另一结构示意图;
图3为实施例二中的SDN网络防护装置的示意图;
图4为实施例二中的SDN网络的部署示意图;
图5为实施例三中的SDN网络防护方法的流程图;
图6为实施例四中的SDN网络防护方法的流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例一
本实施例提供一种SDN网络防护装置,如图1所示,该装置包括:
审计模块11,用于当所述SDN控制器下发的流表后,判断所述SDN控制器下发的流表的合法性;
客户端代理模块12,用于在所述SDN控制器下发的流表合法时,通过所述服务端代理模块向所述SDN交换机下发所述流表;
服务端代理模块13,用于在所述SDN控制器下发的流表合法时,将客户端代理转发的流表转发给所述SDN交换机;
其中,所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。
可选地,所述服务端代理模块13,还用于当接收到所述SDN交换机转发的请求数据包后,查询服务端代理的缓存中是否有匹配的流表;以及还用于当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理模块。
可选地,
所述客户端代理12还用于在接收到所述服务端代理模块转发的请求数据包后,查询缓存中是否有匹配的流表;以及还用于当缓存没有匹配的流表时,将所述请求数据包转发到SDN控制器。
可选地,
所述审计模块11还用于当所述服务端代理模块模块判断所述缓存没有匹配的流表时,判断所述请求数据包的合法性;
其中,所述服务端代理模块13还用于当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理是指:
当所述审核模块11判断所述请求数据包合法时,将所述请求数据包转发到所述客户端代理模块12;
所述审计模块11用于判断所述请求数据包的合法性是指:
根据服务端代理模块13统计的信息,确定所述请求数据包相关的安全指数;
判断所述请求数据包相关的安全指数是否符合预设的安全指标,若不符合,则判定所述请求数据包不合法,若符合,则判定所述请求数据包合法。
可选地,
所述服务端代理模块13还用于当所述服务端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
所述客户端代理模块12还用于当所述客户端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
可选地,
所述服务端代理模块13还用于当所述请求数据包不合法时,反馈拒绝响应指令给所述SDN交换机。
可选地,
所述客户端代理模块12还用于在所述SDN控制器下发的流表不合法时,删除或更改不合法的流表;
所述审计模块11还用于在所述SDN控制器下发的流表不合法时,向用户反馈报警信息。
可选地,
所述审计模块11用于判断所述SDN控制器下发的流表的合法性是指:
对于所述SDN控制器下发的流表都进行以下操作:
将所述SDN控制器下发的流表包含的所有流表规则分别与正常网络业务服务链路规则模型中的规则进行对比,若所述流表规则能够与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则合法,若所述流表规则不能与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则不合法;
当所述SDN控制器下发的流表中的每个流表规则都合法时,判断所述流表合法;当所述SDN控制器下发的流表中的每个流表规则不是都合法时,判断所述流表不合法。
可选地,如图2所示,所述装置还包括:
策略配置管理模块14,用于管理正常网络业务服务链路规则模型;还用于还用于将所述报警信息与白名单中的流表规则比较,若查找到与所述报警信息匹配的流表规则,则判断该报警信息无效,并将所述流表规则更新到所述正常网络业务服务链路规则模型;其中,所述管理正常网络业务服务链路规则模型包括以下操作中的一项或多项:
根据网络拓扑视图得到安全链路规则,并将所述安全链路规则更新到所述正常网络业务服务链路规则模型;
根据管理需求将安全链路规则添加到白名单中;
根据动态配置的安全的流表规则更新到所述正常网络业务服务链路规则模型。
上述技术方案引入了代理机制,缓存的流表能减少对SDN控制器的访问次数和安全审计的负荷,提高了工作效率和安全性。
同时上述技术方案提出了应对用户错误操作和控制器被攻击的解决方案:首先建立正常连接规则模式,若流表规则与该模式中的任一规则匹配则判定流表合法,若不匹配则判定流表不合法,并给出合理的处理方案;该规则模式还能用于判断连接请求是否合规,若请求合规,则转发该请求,如遇到非法访问,连接请求不合规,则直接丢弃该流表,无需经由控制器处理,增加控制器负荷;安全审计模块还能检测出一些攻击(如非法访问),并通过服务端代理做出处理,减少控制器负担;给出判断部分攻击的参数(SYN洪泛攻击、针对有特殊字符的web服务攻击),遇到安全威胁时及时报警,方便用户对可能的攻击行为给予处理,并及时更新安全策略,提高网络安全性的同时也兼顾了效率。
实施例二
下面进一步说明本实施例提供的SDN网络防护装置,如图3所示,本实施提供的SDN网络防护装置包括:服务端代理、客户端代理、策略配置管理模块和和安全审计模块。
1、服务端代理
代理也称网络代理,是一种特殊的网络服务,它允许一个网络终端(一般为客户端,也可为服务端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的通信连接。可通过网关、路由器等网络设备提供网络代理服务。代理服务一方面可以缓存经常被请求的内容,能快速回复访问和减少被访问端的访问次数,并能帮助网络终端隐藏其真实IP地址,有利于保障终端的隐私或安全。
服务端代理可以代理一个或多个SDN交换机(SDN交换机之间的物理距离较近时方便代理多个交换机),服务端代理与每个交换机之间通过安全通道通信,遵循OpenFlow协议,该网络中所有由SDN控制器控制的SDN交换机都可以连接该服务端代理。服务端代理处理的过程包括:
当接收到来自SDN交换机转发的请求数据包后,服务端代理会先查询本地缓存中是否有匹配的流表(如缓存的拒绝响应指令),如果有匹配的流表则直接将该匹配的流表反馈给SDN交换机,这样能减少访问SDN控制器的次数,在缓解SDN控制器的工作量的同时也提高了其安全性。
如果服务端代理没有匹配的流表,则会根据请求数据包生成相应的日志文档,供审计模块进行安全审计。并根据审计模块反馈的审核结果,对转发的请求数据包做出进一步处理:拒绝转发异常的请求数据包并向SDN交换反馈拒绝响应指令,或者,向客户端代理转发正常的请求数据包。另外,服务端代理还可以对访问数据包中的特殊字符及各IP地址的访问时间、访问地点、访问次数、等进行定时定点统计,并将统计信息记录,供审计模块进行安全审计使用。
2、客户端代理
SDN控制器与SDN交换机之间传输的数据都要通过该客户端代理转发,任何网络活动和操作都会被记载下来,存储到日志文档中,作为审计模块进行安全审计的依据。客户端处理的过程包括:
服务端代理将合法的请求数据包按照OpenFlow协议转发到客户端代理后(类似SDN交换机向SDN控制器转发的过程),如果客户端代理本地没有缓存匹配的流表,则客户端代理需要将该请求数据包转发给SDN控制器,进而获得SDN控制器的指定资源(如流表规则),
客户端代理可以将部分SDN控制器下发的合法流表下载至客户端代理本地缓存,如果SDN交换机所要获取的资源(即合法流表)在客户端代理的缓存之中可以查找到,则客户端代理就可以不向SDN控制器转发请求数据包,而是直接将缓存的匹配的流表通过服务端代理转发给SDN交换机。
客户端代理还能根据审计模块对SDN控制器下发流表的审计结果,对需要通过客户端代理转发的有安全威胁的流表做一定处理。包括:通过查找方式从SDN控制器下发的流表中找出标识为有安全威胁的流表项,并删除或更改这些流表项,如此可以预防用户错误操作或控制器被攻击而下发错误流表。客户端代理还可以设置代理地址,这样客户端代理与SDN交换机之间的数据包中的SDN控制器IP地址就会被代理IP地址取代,SDN控制器的真实IP地址就能被隐藏起来,进一步增强了SDN控制器的安全性。另外,客户端代理还要对相同流表或者相同流表规则的下发次数等进行统计,供安全审计使用。
3、策略配置管理模块
策略配置管理模块可以对审计模块进行安全策略的配置,策略配置管理模块可以采用基于异常检测的模式建立安全策略,即先建立正常网络的网络业务服务链的规则模型,并将其转换成流表的形式供审计模块对比。用户还可以为策略配置管理模块配置安全威胁预警指标,该指标所包含参数可以从服务端代理和客户端代理实时获得,主要包括访问次数阈值、同一流表下发次数阈值、特殊字符串、敏感IP地址、安全威胁报警指数等,其中,访问次数阈值可以根据服务端代理的统计做相应调整。
策略配置管理模块另配备有一个方便用户直接添加新服务链的独立区域,类似白名单的功能,用户在此添加新的可信任的服务链后,安全策略建立功能根据相关规则建立新的网络业务服务链规则模型,还要及时更新被处理的安全威胁报警所涉及的安全策略,防止某些特殊时间内大量的正常访问也被判定为威胁访问。
4、审计模块
审计模块部署在虚拟机(Virtual Machine,VM)或物理机上。虚拟机是通过软件模拟的具有完整硬件系统功能的、相对独立的计算机系统,也即逻辑上的一台计算机。审计模块需要经过服务端代理向客户端代理转发的请求数据包等信息,以及客户端代理向服务端代理转发的流表等信息,都要通过审计模块安全审查才能被转发。
审计模块主要负责检测服务端代理转发的请求数据包和客户端代理转发的流表是否合法,发现和阻止用户非法网络操作、非法网络连接等执行。审计模块的工作过程包括:
审计模块依照策略配置管理模块配置的安全策略,审查客户端代理和服务端代理的发送的记录、日志、统计信息和用户活动等信息(一般包含事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等信息),利用分类算法区分正常与异常的流表规则、数据包、访问次数等信息,然后将检测结果反馈给被检测的服务端代理或客户端代理。审计模块在做这些智能处理的同时,还要在遇到异常时进行报警,提示用户网络可能遇到了攻击或错误操作。当该报警信息被给出其他解决方案后,该解决方案将会被更新到安全策略模块中,当审计模块遇到同样的记录时,会按该解决方案进行处理。
如图4所示,本实施的SDN网络防护装置可以按照如下方式部署:将SDN网络的审计和防护架构分为三层,即转发层、控制层和应用层,SDN控制器、服务端代理、客户端代理、策略配置管理模块和审计模块都分布在控制层。
如果SDN交换机的物理位置分布较分散,服务端代理可以部署于SDN交换机之上,施行一对一的方式,这样部署比较方便;如果SDN交换机的物理位置分布较集中,则可直接部署一个能代理多个SDN交换机的服务端代理,可以在任一虚拟机上运行,这样服务端代理缓存的流表就能被不同的SDN交换机使用,提高了工作效率。
客户端代理的物理位置要尽可能靠近SDN控制器,可以与SDN控制器部署在一个虚拟机上,以保证有足够的网络资源(存储器、计算器等)可供使用,避免因负荷较大而产生故障。
策略配置管理模块和审计模块可以部署在同一虚拟机或物理机上中,两者的联系比较多,放在同一位置会利于两个模块的协同工作。
实施例三
如图5所示,本实施例提供一种SDN网络防护方法,所述方法包括:
步骤11:当SDN控制器下发流表后,判断所述SDN控制器下发的流表的合法性;
在本发明实施例中,所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。
步骤12:在所述SDN控制器下发的流表合法时,通过客户端代理和服务端代理向SDN交换机下发所述流表。
可选地,所述方法还包括:当服务端代理接收到所述SDN交换机转发的请求数据包后,查询服务端代理的缓存中是否有匹配的流表;当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理。
可选地,所述方法还包括:
所述客户端代理接收到所述服务端代理转发的请求数据包后,查询所述客户端代理的缓存中是否有匹配的流表;
当所述客户端代理的缓存没有匹配的流表时,将所述请求数据包转发到SDN控制器。
可选地,所述当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理包括:
当所述服务端代理的缓存没有匹配的流表时,判断所述请求数据包的合法性;当所述请求数据包合法时,将所述请求数据包转发到客户端代理;
其中,所述判断所述请求数据包的合法性包括:
根据服务端代理统计的信息,确定所述请求数据包相关的安全指数;
判断所述请求数据包相关的安全指数是否符合预设的安全指标,若不符合,则判定所述请求数据包不合法,若符合,则判定所述请求数据包合法。
可选地,所述查询服务端代理的缓存中是否有匹配的流表后,所述方法还包括:
当所述客户端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
可选地,还包括:当所述请求数据包不合法时,通过服务端代理反馈拒绝响应指令给所述SDN交换机。
可选地,还包括:在所述SDN控制器下发的流表不合法时,删除或更改不合法的流表,并向用户反馈报警信息。
可选地,所述判断所述SDN控制器下发的流表的合法性包括:
对于所述SDN控制器下发的流表都进行以下操作:
将所述SDN控制器下发的流表包含的所有流表规则分别与正常网络业务服务链路规则模型中的规则进行对比,若所述流表规则能够与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则合法,若所述流表规则不能与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则不合法。
当所述SDN控制器下发的流表中的每个流表规则都合法时,判断所述流表合法;当所述SDN控制器下发的流表中的每个流表规则不是都合法时,判断所述流表不合法。
可选地,所述方法还包括:
所述策略配置管理模块将所述报警信息与白名单中的流表规则比较,若查找到与所述报警信息配置的流表规则,则判断该报警信息无效,并将所述流表规则更新到正常网络业务服务链路规则模型。
在本实施例中,SDN交换机接收到转发面的请求数据包后,首先会在SDN交换机本地中查找是否有匹配的流表,如果有匹配的流表就可以直接执行匹配的流表中规定的操作;如果没有匹配的流表,SDN交换就会将请求数据包转发给服务端代理。
服务端代理接收到SDN交换机转发的请求数据包后,查询服务端代理本地是否缓存有匹配的流表,如果有匹配的流表,则执行该匹配的流表规定的操作;如果没有匹配的流表,服务端代理就需要将请求数据包转发给客户端代理。
在转发给客户端代理之前,服务端代理会将生成的日志文档发送给审计模块,审计模块根据日志文档获取请求数据包的信息,并根据策略配置管理模块设定的安全策略判断请求数据包的合法性,审计模块判断请求数据包合法后会向服务端代理发送允许转发的指示,这时服务端代理才可以向客户端转发请求数据包。审计模块判断请求数据包不合法后会向服务端代理发送拒绝转发的指示,并产生报警信息,这时服务端代理拒绝转发该请求数据包。
客户端代理接收到服务端代理转发的请求数据包后,查询客户端代理本地是否缓存有匹配的流表,如果有匹配的流表,就执行匹配的流表规定的操作;如果没有匹配的流表,就将请求数据包转发至SDN控制器。
SDN控制器接收到客户端代理转发的请求数据包后,根据全网拓扑视图生成相应流表,然后将流表下发给客户端代理。
客户端代理接收到SDN控制器下发的流表后,生成日志文档,并将该日志文档发送给审计模块,审计模块根据该日志文档获取流表的信息,并根据策略配置管理模块设定的安全策略判断流表的合法性。如果审计模块判断流表合法,则会向客户端代理发送允许转发的指示,客户端代理收到允许转发的指示后,才可以将SDN控制器下发的流表转发给服务端代理。如果审计模块判断流表不合法,则会向客户端代理发送不允许转发的指示,并产生报警信息。客户端代理收到不允许转发的指示,则客户端代理删除该流表,或者按照合法流表规则修改所述流表后转发给服务端代理。
服务端代理收到客户端代理转发的流表后,将该流表转发至SDN交换机。
上述技术方案可以在不影响SDN网络集中统一的特性和SDN控制器管控功能的前提下,使SDN网络变得更加安全可靠和高效。它通过将SDN网络架构与检测、审计和预警技术相结合,实现在虚拟网络环境下,根据安全策略,对网络请求和服务链规则进行实时的检测和分析,及时的发现SDN网络中的安全问题,并对其进行安全威胁处理和报警。上述技术方案可以为SDN网络提供包括实时检测、安全审计、威胁诊断和处理、预警等安全服务。
实施例四
基于上述实施例中的SDN网络防护装置进一步说明SDN网络防护的方法,如图6所示,该方法包括:
步骤101:SDN控制器通过动态发现协议(如LLDP协议)发现链路或通过配置,获取完整的网络拓扑视图;
依据该拓扑视图,建立正常网络业务服务链规则。
通过web页面提供的人机交互功能对策略配置管理模块进行管理,用户根据需要在策略配置管理模块中添加特殊服务链(如添加服务链白名单,白名单中的连接都是合法的可信任的连接),例如在策略配置管理中规定SDN交换机合法的转发端口、允许的连接请求,服务端代理和客户端代理的统计信息、指定需要关注的健康监测指标(如访问次数阈值、同一流表下发次数、特殊字符串、敏感IP地址、安全威胁报警指数等)。策略配置管理模块向审计模块下发安全策略。
网络功能服务链指数据报文按照网络业务逻辑所要求的既定顺序,经过各种业务功能(如交换机、防火墙、路由器等),提供给用户安全、快捷、稳定的网络服务。一个服务链通常都会有入口节点和出口节点,服务链的每一个节点,都知道当前服务链的下一个服务节点地址,并通过网络将数据报文送到下一个服务节点处理,如此,数据报文便能从入口节点依次被送到出口节点。
步骤102:SDN交换机接收到转发面的发送的请求数据包后,查找本地是否有匹配的流表(流表中包括相应的流表规则);如果查找到匹配的流表,则按照查找到的匹配的流表转发或丢弃该请求数据包;如果没有查找到匹配的流表,则执行步骤103;
步骤103:将请求数据包转发给服务端代理;
可以按照OpenFlow协议将请求数据包转发给服务端代理。
步骤104:服务端代理收到来自SDN交换机转发的请求数据包后,查询服务端代理中是否缓存有匹配的流表;如果查找到匹配的流表,则按照查找到的匹配的流表转发或丢弃该请求数据包;如果没有查找到匹配的流表,则执行步骤105;
步骤105:服务端代理根据请求数据包生成日志文档后发送给审计模块,供审计模块进行安全审查;
步骤106:审计模块接收到服务端代理发送的日志文档后,获取请求数据包的信息,按照审计模块设定的安全策略进行检查和审计,判断该日志文档是否合法;如果判断该日志文档合法,则执行步骤111;如果判断该日志文档不合法,则执行步骤107;
可以利用分类算法区分出正常和异常的请求,判断该请求是否合法(例如有无跳过必经的安全设备)、请求数据包中是否有特殊cookie变量等信息的请求、访问次数是否超过阈值(若来自同一个地址的访问次数每5分钟超过n*300/t次时,则可以判定SDN交换机可能遭到了SYN洪泛攻击其中,n为SDN交换机backlog队列可存数据包个数,t为使用的SDN交换机第一次发出SYN-ACK到回收其传输控制模块的时间)等,及时发现不符合安全策略(或安全指标)的有安全威胁的请求。并获取有安全威胁的请求数据包的相关信息(如源IP地址,源MAC地址,源端口等),将该类请求数据包的信息及拒绝响应的指令反馈给服务端代理。若请求合法,则反馈允许服务端代理转发的消息。
步骤107:审计模块判断请求数据包不合法后,则发送报警信息,并提取其连接信息与服务链白名单内的连接信息进行匹配。如果没有匹配的流表,则执行步骤108;如果有匹配的流表,则执行步骤109;
步骤108:判断报警有效;
遇到此类请求服务端代理连接的所有SDN交换机都会拒绝响应。
步骤109:判断报警无效;
例如,当用户添加新的特殊服务链到白名单中时会出现此状况。如果报警信息无效,则策略配置管理模块将会根据此请求建立一个新的网络业务规则添加到安全策略中,此后,此类请求都能被判定合法。
步骤110:如果服务端代理收到审计模块反馈的不允许转发的指令,则拒绝将该请求数据包转发到客户端代理,对该请求数据包做丢弃处理,并向SDN交换机反馈拒绝该类请求的流表,使SDN交换机拒绝此类请求,以免网络资源被耗尽,影响正常网络通信;结束;
步骤111:如果服务端代理收到审计模块反馈的允许转发的指令,则直接将请求数据包按照OpenFlow协议转发给客户端代理;
步骤112:客户端代理收到服务端代理转发的请求数据包后,查询客户端代理本地是否缓存有匹配的流表,如果查找到匹配的流表,则按照查找到的匹配的流表转发或丢弃该请求数据包;如果没有查找到匹配的流表,则执行步骤113;
匹配的流表可以包括有相应的处理信息,例如,其他的SDN交换机也转发了与该请求有相同的源地址、目的地址等的请求、控制器下发的转发端口和操作等是相同的。
步骤113:将该请求数据包按照OpenFlow协议转发到SDN控制器,控制器根据网拓扑视图响应访问请求,生成相应的流表;将路径规则及操作以流表的形式下发,发送给客户端代理;
另外若用户要改动、调整或重新部署网络时,用户需通过API接口向控制器下发网络设备调整命令,SDN控制器会通过观察网络拓扑视图,为用户指令规划新的路径规则,生成流表信息。
步骤114:客户端代理收到SDN控制器下发的流表后,记录事件并生成记录或日志文档发送给审计模块,供审计模块审查。
步骤115:审计模块接收到客户端代理发送的记录或日志文档后,获取流表的规则,通过将该获取的流表的规则与安全策略中的正常服务链规则模型匹配,从而判断控制器下发的流表规则是否合法;如果判断流表合法,则执行步骤116;如果判断流表不合法,则执行步骤118;
如果审计模块判断SDN控制器下发的流表合法,即代表用户操作及控制器处理合法,则向客户端代理反馈允许转发的消息;
如果审计模块判断SDN控制器下发的流表不合法,则意味着用户操作错误或控制器可能遭到攻击,将根据安全策略给出处理信息反馈给客户端代理。同时,也要进行步骤107至步骤109,向用户报警和更新安全策略的操作(模型根据流表规则建立)。
例如:经过SDN交换机的请求要求访问一服务器,正常的规则规定其访问之前需先经过防火墙,即转发端口指向防火墙时,则合法;若控制器被入侵或用户错误操作导致越过防火墙直接访问服务器,即转发端口指向服务器,则不合法。
步骤116:向客户端代理反馈允许转发的消息;步骤117:客户端代理接收到允许转发的消息后,则将该流表项转发到服务端代理,转步骤119;
步骤118:对流表进行删除或修改后下发的操作;
若客户端代理接收到不允许转发的消息,则结合审计模块的反馈信息和客户端代理统计的该流表下发的次数,对流表进行删除或修改后下发的操作。例如,若同一非法流表下发较频繁,持续5秒内都超过100次/秒,否则直接删除,具体可根据控制器下发流表的速度做相应调整,假设此处控制器下发流表参考值为1000条/秒,则将流表中的对请求数据包的处理操作更改为丢弃。转步骤117。
步骤119:服务端代理收到客户端代理转发过来的流表后,根据其源地址信息,向发出请求的SDN交换机下发流表;
步骤120:SDN交换机根据流表转发或丢弃数据包。
SDN交换接收到匹配的流表后可以执行匹配的流表规定的操作;
例如:遇到访问次数超出阈值的SYN洪泛攻击、针对带有特殊HTTP请求序列的web攻击时,安全审计模块反馈的拒绝响应指令可能会被服务端代理缓存,再次遇到此类攻击时,可直接将该指令下发给SDN交换机。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/模块可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种软件定义网络SDN网络防护方法,其特征在于,所述方法包括:
当SDN控制器下发流表后,判断所述SDN控制器下发的流表的合法性;
在所述SDN控制器下发的流表合法时,通过客户端代理和服务器端代理向SDN交换机下发所述流表;
其中,所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当服务端代理接收到所述SDN交换机转发的请求数据包后,查询服务端代理的缓存中是否有匹配的流表;
当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理;
当所述服务端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
所述客户端代理接收到所述服务端代理转发的请求数据包后,查询所述客户端代理的缓存中是否有匹配的流表;
当所述客户端代理的缓存没有匹配的流表时,将所述请求数据包转发到SDN控制器;
当所述客户端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
4.如权利要求2所述的方法,其特征在于,所述当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理;若该缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机包括:
当所述服务端代理的缓存没有匹配的流表时,审计模块判断所述请求数据包的合法性;当审计模块判断所述请求数据包合法时,所述服务端代理将所述请求数据包转发到客户端代理;当审计模块判断所述请求数据包不合法时,通过服务端代理反馈拒绝响应指令给所述SDN交换机;
其中,所述审计模块判断所述请求数据包的合法性包括:
根据服务端代理统计的信息,确定所述请求数据包相关的安全指数;
判断所述请求数据包相关的安全指数是否符合预设的安全指标,若不符合,则判定所述请求数据包不合法,若符合,则判定所述请求数据包合法。
5.根据权利要求1所述的方法,其特征在于,还包括:在所述SDN控制器下发的流表不合法时,所述客户端代理删除或更改不合法的流表,所述审计模块向用户反馈报警信息。
6.根据权利要求1所述的方法,其特征在于,所述判断所述SDN控制器下发的流表的合法性,包括:
审计模块对于所述SDN控制器下发的流表都进行以下操作:
将所述流表包含的所有流表规则分别与正常网络业务服务链路规则模型中的规则进行对比,若所述流表规则能够与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则合法,若所述流表规则不能与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则不合法;
当所述SDN控制器下发的流表中的每个流表规则都合法时,判断所述流表合法;当所述SDN控制器下发的流表中的每个流表规则不是都合法时,判断所述流表不合法。
7.如权利要求5所述的方法,其特征在于,所述方法还包括:
所述策略配置管理模块将所述报警信息与白名单中的流表规则比较,若查找到与所述报警信息匹配的流表规则,则判断该报警无效,并将所述流表规则更新到正常网络业务服务链路规则模型。
8.一种软件定义网络SDN网络防护装置,其特征在于,所述装置包括:
审计模块,用于当SDN控制器下发流表后,判断所述SDN控制器下发的流表的合法性;
客户端代理模块,用于在所述SDN控制器下发的流表合法时,通过所述服务器端代理模块向SDN交换机下发所述流表,将SDN控制器下发的流表生成日志文档供审计模块审计;
服务端代理模块,用于在所述SDN控制器下发的流表合法时,将客户端代理模块转发的流表转发给所述SDN交换机;
其中,所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表,和/或,针对更改网络部署下发的流表。
9.如权利要求8所述的装置,其特征在于:
所述服务端代理模块,还用于当接收到所述SDN交换机转发的请求数据包后,查询服务端代理模块的缓存中是否有匹配的流表;以及还用于当所述服务端代理模块的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理模块;以及还用于当所述服务端代理的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
10.如权利要求8所述的装置,其特征在于:
所述客户端代理模块,还用于在接收到所述服务端代理转发的请求数据包后,查询所述客户端代理模块的缓存中是否有匹配的流表;还用于当所述客户端代理模块的缓存没有匹配的流表时,将所述请求数据包转发到SDN控制器;以及还用于当所述客户端代理模块的缓存有匹配的流表时,将该匹配的流表发送给所述转发请求数据包的SDN交换机。
11.如权利要求9所述的装置,其特征在于:
审计模块,还用于当所述服务端代理模块的缓存没有匹配的流表时,判断所述请求数据包的合法性以及还用于当所述请求数据包不合法时,反馈拒绝响应指令给所述SDN交换机;
其中,所述服务端代理模块还用于当所述服务端代理的缓存没有匹配的流表时,将所述请求数据包转发到客户端代理模块是指:
当所述审计模块判断所述请求数据包合法时,将所述请求数据包转发到所述客户端代理模块;
所述审计模块用于判断所述请求数据包的合法性是指:
根据服务端代理统计的信息,确定所述请求数据包相关的安全指数;
判断所述请求数据包相关的安全指数是否符合预设的安全指标,若不符合,则判定所述请求数据包不合法,若符合,则判定所述请求数据包合法。
12.根据权利要求8所述的装置,其特征在于:
所述客户端代理模块还用于在所述SDN控制器下发的流表不合法时,删除或更改不合法的流表;
所述审计模块还用于在所述SDN控制器下发的流表不合法时,向用户反馈报警信息。
13.根据权利要求8所述的装置,其特征在于,所述审计模块用于判断所述SDN控制器下发的流表的合法性是指:
对于所述SDN控制器下发的流表都进行以下操作:
将所述SDN控制器下发的流表中的所有流表规则分别与正常网络业务服务链路规则模型中的规则进行对比,若所述流表规则能够与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则合法,若所述流表规则不能与所述正常网络业务服务链路规则模型中的规则匹配,则判定所述流表规则不合法;
当所述SDN控制器下发的流表中的每个流表规则都合法时,判断所述流表合法;当所述SDN控制器下发的流表中的每个流表规则不是都合法时,判断所述流表不合法。
14.如权利要求12所述的装置,其特征在于,所述装置还包括:
策略配置管理模块,用于管理正常网络业务服务链路规则模型;还用于将所述报警信息与白名单中的流表规则比较,若查找到与所述报警信息匹配的流表规则,则判断该报警信息无效,并将所述流表规则更新到所述正常网络业务服务链路规则模型;
其中,所述管理正常网络业务服务链路规则模型包括以下操作中的一项或多项:
根据网络拓扑视图得到安全链路规则,并将所述安全链路规则更新到所述正常网络业务服务链路规则模型;
根据管理需求将安全链路规则添加到白名单中;
根据动态配置的安全的流表规则更新到所述正常网络业务服务链路规则模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610301639.2A CN107360115A (zh) | 2016-05-09 | 2016-05-09 | 一种sdn网络防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610301639.2A CN107360115A (zh) | 2016-05-09 | 2016-05-09 | 一种sdn网络防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107360115A true CN107360115A (zh) | 2017-11-17 |
Family
ID=60271927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610301639.2A Withdrawn CN107360115A (zh) | 2016-05-09 | 2016-05-09 | 一种sdn网络防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360115A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108512699A (zh) * | 2018-03-15 | 2018-09-07 | 中国联合网络通信集团有限公司 | 区块链业务服务器数据异常检测方法、设备及区块链系统 |
| CN108881207A (zh) * | 2018-06-11 | 2018-11-23 | 中国人民解放军战略支援部队信息工程大学 | 基于安全服务链的网络安全服务架构及其实现方法 |
| CN110505189A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 终端安全代理突破的识别方法、识别设备及存储介质 |
| CN111211975A (zh) * | 2018-11-22 | 2020-05-29 | 中国电信股份有限公司 | 流表生成方法和装置、软件定义网络和存储介质 |
| CN111786973A (zh) * | 2020-06-19 | 2020-10-16 | 北京百度网讯科技有限公司 | 一种流日志采集方法、装置、设备和存储介质 |
| CN112491574A (zh) * | 2020-07-23 | 2021-03-12 | 中兴通讯股份有限公司 | 一种数据处理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7987230B2 (en) * | 2004-03-22 | 2011-07-26 | Mcafee, Inc. | Containment of network communication |
| CN104348757A (zh) * | 2013-07-31 | 2015-02-11 | 华为技术有限公司 | 一种流表交互方法、交换机及系统 |
| CN104601482A (zh) * | 2013-10-30 | 2015-05-06 | 中兴通讯股份有限公司 | 流量清洗方法和装置 |
| WO2015192319A1 (zh) * | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
-
2016
- 2016-05-09 CN CN201610301639.2A patent/CN107360115A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7987230B2 (en) * | 2004-03-22 | 2011-07-26 | Mcafee, Inc. | Containment of network communication |
| CN104348757A (zh) * | 2013-07-31 | 2015-02-11 | 华为技术有限公司 | 一种流表交互方法、交换机及系统 |
| CN104601482A (zh) * | 2013-10-30 | 2015-05-06 | 中兴通讯股份有限公司 | 流量清洗方法和装置 |
| WO2015192319A1 (zh) * | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108512699A (zh) * | 2018-03-15 | 2018-09-07 | 中国联合网络通信集团有限公司 | 区块链业务服务器数据异常检测方法、设备及区块链系统 |
| CN108512699B (zh) * | 2018-03-15 | 2020-08-14 | 中国联合网络通信集团有限公司 | 区块链业务服务器数据异常检测方法、设备及区块链系统 |
| CN110505189A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 终端安全代理突破的识别方法、识别设备及存储介质 |
| CN108881207A (zh) * | 2018-06-11 | 2018-11-23 | 中国人民解放军战略支援部队信息工程大学 | 基于安全服务链的网络安全服务架构及其实现方法 |
| CN108881207B (zh) * | 2018-06-11 | 2020-11-10 | 中国人民解放军战略支援部队信息工程大学 | 基于安全服务链的网络安全服务实现方法 |
| CN111211975A (zh) * | 2018-11-22 | 2020-05-29 | 中国电信股份有限公司 | 流表生成方法和装置、软件定义网络和存储介质 |
| CN111211975B (zh) * | 2018-11-22 | 2022-05-24 | 中国电信股份有限公司 | 流表生成方法和装置、软件定义网络和存储介质 |
| CN111786973A (zh) * | 2020-06-19 | 2020-10-16 | 北京百度网讯科技有限公司 | 一种流日志采集方法、装置、设备和存储介质 |
| CN111786973B (zh) * | 2020-06-19 | 2022-09-23 | 北京百度网讯科技有限公司 | 一种流日志采集方法、装置、设备和存储介质 |
| CN112491574A (zh) * | 2020-07-23 | 2021-03-12 | 中兴通讯股份有限公司 | 一种数据处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107360115A (zh) | 一种sdn网络防护方法及装置 | |
| CN102770852B (zh) | 信息通信处理系统、方法和网络节点 | |
| US5884025A (en) | System for packet filtering of data packet at a computer network interface | |
| US9369434B2 (en) | Whitelist-based network switch | |
| CN104113433B (zh) | 管理和保护网络的网络操作系统 | |
| CN107026835A (zh) | 具有规则优化的集成安全系统 | |
| CN107409089A (zh) | 业务功能注册机制和能力索引编制 | |
| CN116055254B (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| JP2024038229A (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| CN100459563C (zh) | 认证网关及其数据处理方法 | |
| US20080056156A1 (en) | Method and System for Providing Network Management Based on Defining and Applying Network Administrative Intents | |
| CN109040037A (zh) | 一种基于策略和规则的安全审计系统 | |
| CN109327342B (zh) | 一种基于任务驱动的自适应sdn仿真系统及仿真平台 | |
| US20020194497A1 (en) | Firewall configuration tool for automated deployment and management of network devices | |
| CN106850324A (zh) | 虚拟网络接口对象 | |
| BRPI0821370B1 (pt) | Método para configurar acls no dispositivo de rede baseado em informações de fluxo | |
| CN108040055A (zh) | 一种防火墙组合策略及云服务安全防护 | |
| CN107181720A (zh) | 一种软件定义网路sdn安全通信的方法及装置 | |
| CN106650425B (zh) | 一种安全沙箱的控制方法及装置 | |
| CN110226155A (zh) | 在主机上收集和处理上下文属性 | |
| JP4120415B2 (ja) | トラフィック制御計算装置 | |
| Haque et al. | DDoS attack monitoring using smart controller placement in software defined networking architecture | |
| Li et al. | SDN-based stateful firewall for cloud | |
| JP2015050717A (ja) | コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム | |
| Xu et al. | Identifying SDN state inconsistency in OpenStack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20171117 |
|
| WW01 | Invention patent application withdrawn after publication |