CN107925627A - 使用软件定义网络对数据进行路由的系统和方法 - Google Patents
使用软件定义网络对数据进行路由的系统和方法 Download PDFInfo
- Publication number
- CN107925627A CN107925627A CN201680047309.3A CN201680047309A CN107925627A CN 107925627 A CN107925627 A CN 107925627A CN 201680047309 A CN201680047309 A CN 201680047309A CN 107925627 A CN107925627 A CN 107925627A
- Authority
- CN
- China
- Prior art keywords
- network
- network equipment
- flow path
- data
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一些实施方式中提供了系统和方法,其用于:确定用于将数据从第一网络装置路由至第二网络装置的包括多个网络装置的数据流路径;为网络装置确定一个或更多个流规则,所述一个或更多个流规则指定用于接收数据的输入、用于输出数据的输出以及指示网络装置的角色的角色标签,其中,用于网络装置中的第一网络装置的一个或更多个流规则的角色标签指示源角色;向网络装置分发所述一个或更多个流规则;确定数据流路径上的恶意活动;至少部分基于第一网络装置的角色标签来确定第一网络装置是源;以及向第一网络装置发送阻挡流规则以禁止恶意数据的路由。
Description
相关申请的交叉引用
本申请要求于2015年6月26日提交的印度申请No.3212/CHE/2015的权益,其公开通过引用并入本文,如同全文阐述一样。
技术领域
本申请总体上涉及计算机网络,并且更具体地涉及使用软件定义网络(SDN:Software-defined Network)对数据进行路由的系统和方法。
背景技术
软件定义网络是允许网络管理员通过低级功能的抽取来管理网络服务的网络架构。软件定义网络可包括将做出关于将业务发送到何处的决策的系统(控制平面)与将业务转发到所选目的地的底层系统(数据平面)分开。在软件定义网络(SDN)中,网络智能可逻辑上集中在维持网络的全局视角的基于软件的SDN控制器中,其对应用和策略引擎而言看起来是单个逻辑交换机。网络控制可以是可直接编程的,因为其与转发功能分开。从转发功能抽取控制可允许网络管理员动态地调节全网络的业务以满足变化的需求。例如,SDN可允许网络管理者经由可不依赖于专有软件的动态、自动化的SDN应用来非常快速地配置、管理、保护和优化网络资源。
附图说明
图1是示出根据一个或更多个实施方式的示例计算机网络环境的框图。
图2是示出根据一个或更多个实施方式的示例流规则表的表。
图3是示出根据一个或更多个实施方式的向网络装置分发流规则的示例方法的流程图。
图4是示出根据一个或更多个实施方式的向网络装置分发更新的流规则的示例方法的流程图。
图5是示出根据一个或更多个实施方式的对数据进行路由的示例方法的流程图。
图6是描绘根据一个或更多个实施方式的示例计算机系统的框图。
尽管实施方式易于进行各种修改和替代,但是其特定实施方式作为示例示出在附图中并且将在本文中详细描述。附图可能未按比例。然而,应该理解,附图及其详细描述并非旨在将实施方式限于所公开的特定形式,而是相反,本发明要涵盖落入由所附权利要求书限定的本发明的精神和范围内的所有修改、等同物和替代。
具体实施方式
现在将在下文中参照示出示例性实施方式的附图更充分地描述本发明实施方式。然而,实施方式可按照许多不同的形式来提供,不应被解释为限于本文所阐述的所示实施方式。相反,提供这些示例性实施方式以使得本公开将透彻和完整并且将向本领域技术人员充分地传达本公开的范围。
如下面更详细地讨论的,在一些实施方式中提供了使用软件定义网络(SDN)对数据进行路由的系统和方法。在一些实施方式中,可将角色标签附加到流规则(或者说与流规则关联),并且可使用这些角色标签来有效地识别数据流路径的源网络装置。此外,在一些实施方式中,可为源网络装置生成更新的流规则(例如,阻挡流规则)并下载到源网络装置,以例如禁止恶意数据流入SDN中和/或流过SDN。尽管为了例示,某些实施方式在SDN的背景下讨论,但是实施方式可与任何合适类型的数据和数据网络一起使用。
当通过开放标准实现时,SDN可简化网络设计和操作,因为可由SDN控制器代替多个供应商特定装置和协议提供指令。OpenFlowTM协议是构建SDN解决方案的基础元素。OpenFlowTM是在SDN架构的控制层与转发层之间定义的供应商中立标准通信接口。在SDN中,根据OpenFlowTM协议操作可包括由诸如路由器和交换机的网络装置(ND)执行的数据路径功能,同时包括高级路由决策的控制功能被移至诸如网络服务器的单独的SDN控制器。ND和SDN控制器可经由OpenFlowTM协议进行通信。在一些情况下,ND的数据路径功能的流规则可包括驻留在ND上的、规定如何将数据路由穿过ND的流规则。SDN控制器可维护分发给相应ND的流规则的表。
在一些情况下,识别网络上的活动的源可以是有益的。例如,如果在网络上检测到恶意活动,则可有益的是,SDN控制器确定该活动的源以使得可采取适当的动作,例如禁止恶意活动的源在网络上传送数据。不幸的是,确定活动源可能并不简单。例如,如果在经过ND的数据流的下游检测到恶意活动(例如,由防火墙),则SDN控制器可能必须参与附加处理(例如,进行多次查找、查询ND等)来确定恶意活动源。
在一些实施方式中,SDN可包括SDN控制器以及一个或更多个网络装置(ND)。例如,SDN可包括工作为SDN控制器的网络服务器以及用于跨网络对数据进行路由的一个或更多个ND(包括路由器和/或交换机)。ND可执行从SDN控制器接收到的指令以提供跨路径(在本文中也被称为“数据流路径”)的数据流。指令可按照由SDN控制器计算或以其它方式确定的规则(在本文中也被称为“流规则”)的形式传送,其被下载(或以其它方式传送)到ND以便于执行。例如,响应于被委派生成从第一主机装置(例如,第一用户计算机)到第二主机装置(例如,第二用户计算机)的数据流的任务,SDN控制器可确定穿过四个ND的流路径(例如,ND1→ND2→ND4→防火墙→ND5的流路径)。参照图1(下面更详细地描述),例如,流路径可包括到ND1的第一接口的输入(例如,用于接收要从第一主机装置路由的数据)和来自ND1的第二接口的输出、到ND2的第二接口的输入和来自ND2的第四接口的输出、到ND4的第一接口的输入和来自ND4的第二接口的输出(其中路由数据穿过防火墙)、到ND4的第四接口的输入和来自ND4的第三接口的输出、到ND5的第三接口的输入和来自ND5的第一接口的输出(例如,用于将路由的数据发送到第二主机装置)。
在这种路由配置中,第一主机装置可被称为数据流的“源主机装置”,第二主机装置可被称为数据流的“目的地主机装置”。SDN控制器可为数据流路径中的各个ND生成对应的流规则(或多个流规则)。例如,SDN控制器可为ND1生成第一流规则,该第一流规则包括指示ND1将在其第一接口接收到的数据(例如,来自第一主机装置)路由至其第二接口的动作集。在上述数据流路径中,这可适应经由ND1从第一主机装置到ND2的数据路由。类似地,SDN控制器可为ND2生成第二流规则,第二流规则包括指示ND2将在其第二接口接收到的数据(例如,来自ND1)路由至其第四接口的动作集。在上述流路径中,这可适应经由ND2从ND1到ND4的数据路由。这些流规则可被下载到各个相应的ND以便于执行。例如,第一流规则可被下载到ND1上,并且ND1可执行第一流规则,使得在ND1的第一接口上从第一主机装置接收到的任何数据被输出到ND1的第二接口。
在一些实施方式中,SDN控制器可维护包括流规则的流规则表。参照图2(下面更详细地描述),例如,SDN控制器可存储用于第一数据流路径的流规则表,该流规则表包括:第一条目,包括用于ND1的第一流规则;第二条目,包括用于ND2的第二流规则;第三条目和第四条目,包括用于ND4的第三流规则和第四流规则;以及第五条目,包括用于ND5的第五流规则。在一些实施方式中,用于数据流路径的各个流规则表和流规则可与可唯一地识别流的对应流ID关联。例如,用于第一数据流路径的上述流规则表和五个流规则可各自与同一流ID关联。如下面更详细地描述的,这种流ID可使得SDN控制器能够确定与包括流ID的请求或其它消息关联的数据流路径。例如,如果防火墙在数据流路径中检测到恶意数据,则防火墙可生成指示与流ID关联的恶意活动的消息。SDN控制器可使用流ID来识别对应的数据流路径(以及关联的流规则表和/或流规则)。流ID可基于来自分组的报头的字段(例如,媒体访问控制(MAC)地址、IP地址、传输控制协议(TCP)端口、虚拟局域网(VLAN)ID等)的子集的组合来唯一地标识流路径。在一些实施方式中,流ID可包括源媒体访问控制(MAC)地址、目的地MAC地址、源IP地址和/或目的地IP地址中的一个或更多个的组合。例如,第一流路径的流ID可包括第一主机装置的MAC地址(例如,fa:16:3e:01:61:e8)、第二主机装置的MAC地址(例如,fa:16:3e:01:54:a3)、第一主机装置的IP地址(例如,10.0.0.10)和第二主机装置的IP地址(例如,10.0.0.20)。即,例如,第一流路径的流ID可以是“fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20”。
在一些实施方式中,可动态地更新流规则以重新配置数据的路由。例如,如果SDN控制器确定从第一主机装置到第二主机装置的数据流路径应该包括ND3而不是ND4(例如,如果ND3被确定为不可靠或不可操作的),则SDN控制器可为第二数据流路径生成更新的流规则集,该第二数据流路径与上述流路径类似,但是提供穿过ND3的数据路由。例如,这可包括生成更新的流规则集,其将数据从ND2的第三接口路由到ND3的第二接口中并从ND3的第一接口离开并且进入ND5的第二接口中。按照类似于上述的方式,SDN控制器可生成包括用于第二流路径的流规则的流规则表,并且可将更新的流规则下载到相应ND,以将相应ND配置成提供更新的数据流路径。在一些实施方式中,SDN控制器可简单地允许现有流规则(已存储在ND上)到期。例如,SDN可将用于第二流路径的更新的流规则下载到相应的ND1、ND2、ND3和ND4,并且可允许已被写到ND1、ND2、ND4和ND5的用于第一流路径的现有流规则到期。在一些实施方式中,SDN控制器可删除已存储在ND上的现有流规则(或者以其它方式禁止其执行)。例如,SDN可将用于第二流路径的更新的流规则下载到相应的ND1、ND2、ND3和ND4,并且SDN可指示ND1、ND2、ND4和ND5中的一些或全部删除已存储在其上的用于第一流路径的现有流规则。
在一些实施方式中,可配置流规则以禁止数据流。例如,如果SDN控制器确定第一主机装置正在向第二主机装置发送恶意数据,则SDN控制器可生成“阻挡”流规则以使得ND1(源ND)阻挡(或丢弃)来自第一主机装置的、以第二主机装置为目的地的数据。例如,阻挡流规则可包括指示ND1阻挡(或丢弃)在与第一主机装置的源和第二主机装置的目的地关联的第一接口上接收到的数据的动作集。可采用这种流规则来例如防止恶意数据在网络中穿过源ND(例如,ND1)。例如,SDN控制器可将阻挡流规则下载到ND1,并且ND1可执行该规则以阻挡(或丢弃)从第一主机装置接收到的、以第二主机装置为目的地的所有数据,使得所述数据甚至不被路由至ND2。
在一些实施方式中,ND及其流规则可与数据流路径中的角色关联。源角色可指示关联的ND和/或流规则是数据流路径的源(例如,ND是数据流路径中的第一ND和/或规则是数据流路径中的第一流规则)。目的地角色可指示关联的ND是数据流路径的目的地ND(例如,ND是数据流路径中的最后ND和/或规则是数据流路径中的最后流规则)。中间角色可指示关联的ND和/或流规则是数据流路径的中间ND(例如,ND在数据流路径中介于第一ND与最后ND之间和/或规则在数据流路径中介于第一流规则与最后流规则之间)。例如,关于第一数据流路径,ND1(以及与之关联的第一流规则)可与“源”角色关联,ND2和ND4中的每一个(以及与之关联的第二、第三和第四流规则)可与“中间”角色关联,并且ND5(以及与之关联的第五流规则)可与“目的地”角色关联。
在一些实施方式中,流规则可包括角色或者说与角色关联。例如,流规则可包括与流规则关联的角色的标签(也被称为“角色标签”)或者相似指示。关于第一数据流路径,例如,第一流规则可包括角色标签“S”(指示源角色),第二、第三和第四流规则可包括角色标签“I”(指示中间角色),第五流规则可包括角色标签“D”(指示目的地角色)。在一些实施方式中,角色标签可被包括在数据流路径的流规则表中。再参照图2(下面更详细地描述),用于第一数据流路径的第一、第二、第三、第四和第五流规则的流规则表的各个条目例如可分别包括角色标签S、I、I、I和D。在一些实施方式中,角色标签可与下载到ND的流规则一起被包括。例如,SDN可将第一流规则下载到ND1,该第一流规则包括ND标志符(例如,1)、输入接口(例如,1)、源MAC地址(例如,fa:16:3e:01:61:e8)、目的地MAC地址(例如,fa:16:3e:01:54:a3)、源IP地址(例如,10.0.0.10)、目的地IP地址(例如,10.0.0.20)、动作(例如,发送到接口2)和角色标签(例如,S)。
在一些实施方式中,可使用分发给ND的流规则来生成流规则表。例如,如果SDN控制器变得不可操作,并且第二SDN控制器(例如,备用SDN控制器)被委派了处理SDN的控制职责的任务,则第二SDN控制器可向各个ND查询存储在其上的流规则,并且可构造对应的流规则表。这些可包括例如当第一SDN控制器变得不可操作时复制与存储在第一SDN控制器上的一个或更多个流规则表相同或相似的一个或更多个流规则表。例如,第二SDN控制器可使用从ND1接收到的第一流规则、从ND2接收到的第二流规则、从ND4接收到的第三和第四流规则以及从ND5接收到的第五流规则来构造流规则表(例如,类似于图2中所示的)。
在一些实施方式中,可使用角色标签来标识数据流路径的源ND,并且可生成流规则并将其分发到ND。例如,如果防火墙在第一数据流路径中检测到恶意数据,则防火墙可生成警示消息并将其发送到SDN控制器(和/或与之关联的SDN应用),该警示消息指示恶意活动并包括指示潜在恶意数据的警示数据(例如,被怀疑是恶意的分组的报头字段)。响应于接收到警示消息,SDN控制器(和/或SDN应用)可从警示消息提取警示数据流ID,确定与警示数据对应的流ID(例如,与被怀疑是恶意的分组的报头字段对应的流ID),并且参考流规则ID到流规则表的映射以利用使用警示消息确定的流ID来识别第一数据流路径的流规则表。然后,SDN控制器可在流规则表的条目中搜索第一数据流路径以识别包括源角色标签(例如,S)(或者与之关联)的表的流规则。作为搜索的结果,SDN控制器可将第一流规则(与ND1关联)识别为与源角色标签(例如,S)关联,从而将ND1识别为使用警示消息确定的流ID所指示的第一数据流路径的源ND。SDN控制器可进一步将第一主机装置识别为数据流路径的源装置,并且将第二主机装置识别为数据流路径的目的地装置。响应于将ND1识别为第一数据流路径的源ND,SDN控制器可生成流规则以使得ND1(源ND)阻挡(或丢弃)从第一主机装置接收到的、以第二主机装置为目的地的数据。例如,流规则可包括指示ND阻挡(或丢弃)在与第一主机装置的源和第二主机装置的目的地关联的第一接口上接收到的数据的动作集。例如,可采用这种流规则来防止恶意数据在网络中穿过源ND(例如,ND1)。例如,SDN控制器可将该规则下载到ND1,并且ND1可执行该规则以阻挡(或丢弃)从第一主机装置接收到的、以第二主机装置为目的地的所有数据,使得所述数据甚至不被路由到ND2。
图1是示出根据一个或更多个实施方式的示例计算机网络环境(“环境”)的框图。该环境可包括软件定义网络(SDN)100,SDN 100包括彼此在通信上联接的SDN控制系统101(例如,包括SDN控制器102和一个或更多个SDN应用103)和/或一个或更多个网络装置(ND)104(例如,网络装置104a、104b、104c、104d和104e,本文中也分别被称为ND1、ND2、ND3、ND4和ND5)。该环境还可包括一个或更多个主机装置106(例如,主机装置106a和106b)和/或网络安全系统108(例如,防火墙),其可以是SDN控制系统101的一部分。如本文所述,在一些实施方式中,SDN控制系统101可被配置用于沿一个或更多个数据流路径110对数据进行路由。例如,SDN控制系统101可被配置用于经由第一流路径110a(例如,穿过ND1、ND2、ND4和ND5)和/或第二数据流路径110b(例如,穿过ND1、ND2、ND3和ND5)将数据从主机装置106a路由至主机装置106b。
在一些实施方式中,SDN控制器102可包括任何种类的计算机装置。例如,SDN控制器102可包括网络服务器。在一些实施方式中,SDN控制器102可包括与本文中至少关于图6所描述的计算机系统1000相似的一个或更多个计算机系统。在一些实施方式中,SDN控制器102是逻辑上集中的实体,其负责(i)将来自SDN应用层(例如,SDN应用103)的需求向下转移到SDN数据路径(例如,ND 104)并且(ii)向SDN应用103提供网络的抽象视图(可包括统计数据和事件)。SDN控制器102可包括一个或更多个北向接口(NBI)代理、SDN控制逻辑以及控制到数据平面接口(CDPI)驱动器等。在一些实施方式中,SDN控制器102可包括用于生成流规则124、生成流规则表126、生成流ID到流规则表的映射128、将流规则124下载到相应ND 104等的程序或其它逻辑。在一些实施方式中,SDN控制器102可采用用于与SDN控制系统101的其它装置(例如,ND 104)通信的一个或更多个合适的协议(例如,OpenFlowTM协议、网络配置协议(NETCONF)等)。
在一些实施方式中,SDN应用103可包括经由北向接口(NBI)明确地、直接地和/或以编程方式将其网络要求和期望的网络行为传送给SDN控制器102的程序。SDN应用103可包括例如SDN应用逻辑以及一个或更多个NBI应用程序接口(API)库。SDN应用103可包括例如用于网络虚拟化、网络监测、入侵检测(IDS)、流量平衡(负载平衡的SDN等同)等的程序。在一些实施方式中,SDN应用103可被存储在数据仓库122中。在一些实施方式中,SDN应用103可由SDN控制器102执行以提供本文中关于SDN控制器102和/或SDN应用103所描述的功能中的一些或全部。在一些实施方式中,SDN应用103可由任何种类的计算机装置执行,诸如SDN控制系统101的一个或更多个应用服务器。
在一些实施方式中,ND 104可包括用于对信号进行路由的装置,例如交换机或路由器。在一些实施方式中,ND 104可包括与本文中至少关于图6所描述的计算机系统1000相似的一个或更多个计算机系统。ND 104可被称为“SDN数据路径”。ND 104可包括在其所通告的转发和数据处理能力上曝露可见性和无竞争的控制的逻辑网络装置。逻辑表示可涵盖物理基层资源的全部或子集。ND 104可包括控制到数据平面接口(CDPI)代理以及一个或更多个业务转发引擎和零个或更多个业务处理功能的集合。这些引擎和功能可包括ND 104的外部接口或内部业务处理或终止功能之间的简单转发。一个或更多个ND 104可被包含在单个(物理)网络元件中——作为一个单元管理的通信资源的集成的物理组合。ND 104也可跨多个物理网络元件来定义。
在一些实施方式中,主机装置106可包括能够经由SDN控制系统101通信的各种种类的计算机装置。主机装置106可包括例如台式计算机、膝上型计算机、移动电话(例如,智能电话)、服务器等。在一些实施方式中,主机装置106可包括与本文中至少关于图6所描述的计算机系统1000相似的一个或更多个计算机系统。
在一些实施方式中,网络安全系统108可包括用于改进SDN控制系统101的安全性的一个或更多个组件(例如,硬件和/或软件)。网络安全系统108可包括例如防病毒系统、防间谍软件系统、防火墙系统(例如,阻挡对网络的非授权访问)、入侵防御系统(IPS)(例如,识别诸如零日或零小时攻击的快速传播的威胁)、虚拟专用网络(VPN)(例如,提供安全的远程访问)等。在一些实施方式中,网络安全系统108可在通信上联接到一个或更多个SDN应用103。例如,如本文所述,防火墙网络安全系统108可向SDN应用103发送指示在SDN控制系统101的数据流路径110上发生恶意活动的警示消息。如本文中进一步描述的,这些警示消息可由SDN应用103处理,SDN应用103可将对应消息传送给SDN控制器102,并且SDN控制器102可生成并分发一个或更多个流规则124以禁止恶意活动。
在一些实施方式中,SDN控制器102可包括(或者说可访问)数据仓库122。数据仓库122可存储一个或更多个流规则124、一个或更多个流规则表126、流ID到流规则表的映射128等。
在一些实施方式中,流规则124可包括指定数据如何由ND 104路由的规则。例如,流规则124可指定ND 104在ND 104的第一接口接收数据并且在ND 104的第二接口上输出数据。这种流规则124可被下载到ND 104并驻留在ND 104上(例如,存储在ND 104的存储器或其它位置中),并且可由ND 104执行以使得经由第一接口接收到的数据在ND 104的第二接口上被输出。在一些实施方式中,流规则124可包括ND标志符(例如,指示要采用流规则124的ND 104)、输入接口(例如,用于接收数据的ND的接口)、流ID(例如,唯一地标识流规则124所对应的数据流路径110的一个或更多个值)、动作集(例如,定义所接收的数据如何被路由或以其它方式处置的指令)和/或角色标签(例如,标识与规则关联的角色,诸如源(S)、中间(I)或目的地(D))。在一些实施方式中,为数据流路径110设定的流规则包括定义数据流路径110的流规则124中的一些或全部。在一些实施方式中,流规则表126可包括由SDN控制器102管理的流规则124中的一些或全部的列表。用于特定数据流路径110的流规则表126可包括例如为该数据流路径110设定的流规则的列表。
图2示出了根据一个或更多个实施方式的示例流规则表126a。表126a包括五个条目200(例如,条目200a、200b、200c、200d和200e),这些条目定义了对应流规则124(例如,流规则124a、124b、124c、124d和124e)的至少一部分。各个流规则124包括ND标志符202、输入接口204、流ID(ID)206、动作集208和角色标签210。流ID 206可以是一个或更多个值的组合,诸如源MAC地址、目的地MAC地址、源IP地址和/或目的地IP地址中的一个或更多个的组合(例如,fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20)。流规则表126a可包括:第一条目200a,包括用于ND1 104a的第一流规则124a;第二条目200b,包括用于ND2104b的第二流规则124b;第三和第四条目200c和200d,包括用于ND4 104d的第三流规则124c和第四流规则124d;以及第五条目200e,包括用于ND5 104e的第五流规则124e。在一些实施方式中,可提供一个或更多个流规则124(包括角色标签210)中的一些或全部以指示流所经过的网络装置104,以及各个网络装置104的角色。例如,响应于观看流路径110a中的网络装置104的用户请求,可向用户呈现与图2的流规则表126a相似的表,其至少包括第一列的ND标志符202(指示相应网络装置104)和最后一列的角色标签210(指示网络装置104的相应角色)。
在一些实施方式中,流ID到流规则表的映射128可包括一个或更多个流ID 206到存储在数据仓库122中的一个或更多个对应流规则表126的映射或关联。例如,流ID到流规则表的映射128可包括“fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20”的流ID 206到图2所示的表126a的映射(或关联)。因此,例如,如果SDN控制器102例如被委派请求具有“fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20”的流ID 206的流路径110的任务,则SDN控制器102可从数据仓库122快速地检索表126a。可为数据流路径110的任何数量的流ID 206和数据流路径110的对应流规则表126提供类似的映射。
图3是示出根据一个或更多个实施方式的将流规则分发到ND的示例方法300的流程图。方法300通常可包括:确定数据流路径(框302);生成与数据流路径对应的一个或更多个数据流规则(框304);以及将所述一个或更多个数据流规则分发到网络装置(框306)。在一些实施方式中,关于方法300所描述的操作中的一些或全部可由SDN控制器102和/或一个或更多个SDN应用103执行。
在一些实施方式中,确定数据流路径(框302)可包括SDN控制器102确定在两个或更多个主机装置106之间对数据进行路由的流路径。例如,确定数据流路径可包括SDN控制器102确定用于将数据从主机装置106a路由至主机装置106b的第一流路径110a(例如,穿过ND1、ND2、ND4和ND5)(例如,ND1→ND2→ND4→防火墙→ND5的数据流路径)。数据流路径可包括到ND1 104a的第一接口的输入(例如,用于接收要从第一主机装置106a路由的数据)和来自ND1 104a的第二接口的输出、到ND2 104b的第二接口104b的输入和来自ND2 104b的第四接口的输出、到ND4 104d的第一接口的输入和来自ND4 104d的第二接口的输出(其中,路由穿过网络安全系统108)、到ND4 104d的第四接口的输入和来自ND4 104d的第三接口的输出、到ND5 104e的第三接口的输入和来自ND5 104e的第一接口的输出(例如,用于将路由的数据提供给第二主机装置106b)。在这种路由配置中,第一主机装置106a可被称为数据流路径110a的“源主机装置”,并且第二主机装置106b可被称为数据流路径110a的“目的地主机装置”。
在一些实施方式中,生成与数据流路径对应的一个或更多个数据流规则(框304)可包括SDN控制器102为数据流路径中的各个ND 104生成对应流规则(或多个流规则)124。例如,关于第一数据流路径110a,SDN控制器102可生成用于ND1 104a的第一流规则124a。第一流规则124a可包括指示ND1 104a将在其第一接口(例如,从主机装置106a)接收到的数据路由至其第二接口的动作集208。在数据流路径110a中,这可适应经由ND1 104a从第一主机装置106a到ND2 104b的数据路由。类似地,SDN控制器102可生成用于ND2 104b的第二流规则124b,第二流规则124b包括指示ND2将在其第二接口(例如,从ND1 104a)接收到的数据路由至其第四接口的动作集208。在数据流路径110a中,这可适应经由ND2 104b从ND1 104a到ND4 104d的数据路由。SDN控制器102可按照类似的方式为数据流路径110a中的各个ND 104生成流规则124。例如,SDN控制器102可生成用于ND4 104d的第三流规则124c和第四流规则124d以及用于ND4 104e的第五流规则124e。在一些实施方式中,各个流规则124可包括角色标签210或者与流规则124关联的角色的类似指示。关于第一数据流路径110a,例如,第一流规则124a可包括“S”(指示源角色)的角色标签210,第二流规则124b、第三流规则124c和第四流规则124d可包括“I”(指示中间角色)的角色标签210,并且第五流规则124e可包括“D”(指示目的地角色)的角色标签210。在一些实施方式中,SDN控制器102可本地(例如,在数据仓库122中)存储一个或更多个流规则124。例如,SDN控制器102可生成与关于图2示出和描述的表126a相同或相似的流规则表126并将其存储在数据仓库122中。
在一些实施方式中,将一个或更多个数据流规则分发到网络装置(框306)可包括SDN控制器102将一个或更多个流规则124下载(或者以其它方式提供)到各个相应ND 104。例如,SDN控制器102可将第一流规则124a下载到ND1 104a,将第二流规则124b下载到ND2104b,将第三流规则124c和第四流规则124d下载到ND4104d,并将第五流规则124e下载到ND5 104E。在一些实施方式中,角色标签210可与下载到ND的流规则124一起被包括。例如,SDN控制器102可将第一流规则124a下载到ND1 104a,第一流规则124a包括ND标志符202(例如,1)、输入接口204(例如,1)、包括源MAC地址(例如,fa:16:3e:01:61:e8)、目的地MAC地址(例如,fa:16:3e:01:54:a3)、源IP地址(例如,10.0.0.10)、目的地IP地址(例如,10.0.0.20)的数据流ID 106、动作集208(例如,发送到接口2)以及角色标签210(例如,S)。如本文所述,各个ND 104可执行相应的流规则124以配置ND 104以提供对应数据流路径110的至少一段。例如,ND 104a、104b、104d和104e可执行相应流规则124a、124b、124c、124d和124e,以沿数据流路径110a将数据从第一主机装置106a路由至第二主机装置106b。
图4是示出根据一个或更多个实施方式的用于将更新的流规则分发到网络装置的示例方法400的流程图。方法400通常可包括:接收与数据流路径关联的恶意活动的指示(框402);使用一个或更多个角色标签来识别数据流路径的源网络装置(框404);为源网络装置生成一个或更多个更新的数据流规则,以禁止与恶意活动关联的数据流(框406);以及将更新的数据流规则分发到源网络装置(框408)。在一些实施方式中,关于方法400所描述的操作中的一些或全部可由SDN控制器102和/或一个或更多个SDN应用103执行。
在一些实施方式中,接收与数据流路径关联的恶意活动的指示(框402)可包括SDN控制器102和/或SDN应用103接收与数据流路径110关联的恶意活动的指示。例如,如果网络安全系统108在第一数据流路径110a中检测到恶意数据,则网络安全系统108可生成警示消息并发送给SDN应用103。该警示消息可指示恶意活动并且包括指示第一数据流路径110a的数据流ID 206(例如,fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20)的警示数据。SDN应用103可向SDN控制器102发送对应的警示消息,其指示恶意活动和/或包括SDN控制器102阻挡该数据流穿过数据流路径110a的请求。即,SDN控制器102可接收警示消息,该警示消息可包括阻挡与恶意活动关联的数据流路径110a的流的请求。
在一些实施方式中,使用一个或更多个角色标签来识别数据流路径的源网络装置(框404)可包括SDN控制器102至少部分地基于与数据流路径110的流规则124关联的一个或更多个角色标签210来识别与“源”角色关联的数据流路径110的流规则124和/或网络装置104。例如,响应于接收到指示恶意活动和/或包括SDN控制器102阻挡数据流路径110a的流的请求的警示消息,SDN控制器102可使用该警示消息来确定流ID 206(例如,fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20),并且参考流ID到流规则表的映射128使用流ID 206来识别第一数据流路径110a的流规则表126(例如,图2所示的表126a)。然后,SDN控制器102可在流规则表126a的条目中搜索第一数据流路径110a以识别表126a的包括源角色标签210(或者与之关联)的流规则124(例如,表126a的包括值为“S”的角色标签210的流规则124a)。作为搜索的结果,SDN控制器102可将第一流规则124a(与ND1 104a关联)识别为与源角色标签210(例如,S)关联,并且可将ND1 104a识别为第一数据流路径110a的源ND 104。
在一些实施方式中,为源网络装置生成一个或更多个更新的数据流规则以禁止与恶意活动关联的数据流(框406)可包括SDN控制器102生成一个或更多个更新的流规则124,更新的流规则124可被下载到源ND 104并由源ND 104执行以禁止经由数据流经数据流路径110。例如,响应于将ND1 104a识别为第一数据流路径110a的源ND 104,SDN控制器102可生成阻挡流规则124以使得ND1 104a阻挡(或丢弃)从第一主机装置106a接收到的、以第二主机装置106b为目的地的数据。例如,阻挡流规则124可包括“1”的ND标志符202、“1”的输入接口204、“fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20”的流ID 206、指示ND1 104a阻挡(或丢弃)在与主机装置106a关联的第一接口上接收到并以主机装置106b为目的地的数据的动作集208、以及“S”的角色标签210。例如,可采用这种阻挡流规则124以防止恶意数据穿过SDN控制系统101中的源ND 104(例如,ND1 104a)。
在一些实施方式中,将更新的数据流规则分发到源网络装置(框408)可包括SDN控制器102将流规则124下载(或者以其它方式传送)到源ND 104。例如,SDN控制器102可将阻挡流规则124(例如,具有上述特性)下载到ND1 104a。如本文所述,ND1 104a可执行阻挡规则124以使得阻挡(或丢弃)从第一主机装置106a接收到的、以第二主机装置106b为目的地的所有数据。因此,这些数据甚至可能未被路由至ND2 104b。
图5是示出根据一个或更多个实施方式的对数据进行路由的示例方法500的流程图。方法500通常可包括:接收一个或更多个流规则(框502);根据所述一个或更多个流规则对数据进行路由(框504);接收一个或更多个更新的流规则以禁止与恶意活动关联的数据流(框506);以及根据所述一个或更多个更新的流规则对数据进行路由以禁止与恶意活动关联的数据流(框508)。在一些实施方式中,关于方法500所描述的操作中的一些或全部可由一个或更多个ND 104执行。
在一些实施方式中,接收一个或更多个流规则(框502)可包括ND 104从SDN控制器102接收一个或更多个流规则124。例如,ND1 104a可从SDN控制器102接收第一流规则124a,并且可本地(例如,在ND1 104a的存储器中)存储或以其它方式保留流规则124a。因此,流规则124a可驻留在ND1上。
在一些实施方式中,根据一个或更多个流规则对数据进行路由(框504)可包括ND104根据从SDN控制器102接收到的一个或更多个流规则124对数据进行路由。例如,ND1104a可执行第一流规则124a,从而使ND1 104a将在其第一接口(例如,从第一主机装置106a)接收的数据路由至其第二接口以便于输出(例如,输出到ND2)。在上述数据流路径110a中,这可适应经由ND1 104a从第一主机装置106a到ND2 104b的数据路由。
在一些实施方式中,接收一个或更多个更新的流规则以禁止与恶意活动关联的数据流(框506)可包括ND 104从SDN控制器102接收一个或更多个阻挡流规则124。例如,ND1104a可从SDN控制器102接收阻挡流规则124,并且可本地(例如,在ND1 104a的存储器中)存储或以其它方式保留流规则124。因此,阻挡流规则124可驻留在ND1上。阻挡流规则124可包括“1”的ND标志符202、“1”的输入接口204、“fa:16:3e:01:61:e8;fa:16:3e:01:54:a3;10.0.0.10;10.0.0.20”的流ID 206、指示ND1 104a阻挡(或丢弃)在与主机装置106a关联的第一接口上接收到的、以主机装置106b为目的地的数据的动作集208以及角色标签“S”。
在一些实施方式中,根据一个或更多个更新的流规则对数据进行路由以禁止与恶意活动关联的数据流(框508)可包括ND 104根据从SDN控制器102接收到的一个或更多个阻挡流规则124对数据进行路由。例如,ND1 104a可执行阻挡流规则124,从而使ND1 104a阻挡(或丢弃)从第一主机装置106a接收到的、以第二主机装置106b为目的地的所有数据。因此,这些数据甚至可能未被路由至ND2 104b。
因此,在一些实施方式中提供了使用软件定义网络(SDN)100对数据进行路由的系统和方法。在一些实施方式中,角色标签210可被附加到流规则124(或者与之关联),并且可使用这些角色标签210来有效地标识数据流路径110的源网络装置104。此外,在一些实施方式中,可为源网络装置104生成更新的流规则124(例如,阻挡流规则124)(并下载到源网络装置104)以例如禁止恶意数据流入SDN控制系统101中和/或流过SDN控制系统101。
图6是描绘根据一个或更多个实施方式的示例计算机系统(或“计算机”)1000的框图。计算机1000可包括服务器、网络路由器、网络交换机、台式计算机、膝上型计算机、平板计算机、移动电话(例如,智能电话)、个人数字助理(PDA)、媒体播放器、游戏机、车载计算机等。计算机1000可包括处理器1002以及联接到处理器1002的非暂时性计算机可读介质(例如,存储器1004)。存储器1004可包括可由处理器1002执行的指令1006。
处理器1002可提供处理能力以执行计算机1000的操作系统、程序、用户界面以及其它功能。处理器1002可包括一个或更多个处理器,并且可包括微处理器、专用集成电路(ASIC)或其任何组合。在一些实施方式中,处理器1002可包括一个或更多个精简指令集计算机(RISC)处理器,诸如实现高级RISC机器(ARM)指令集的那些RISC处理器。另外,处理器1002可包括单核处理器和多核处理器,并且可包括图形处理器、视频处理器和相关芯片组。可采用多个处理器以提供本文所描述的技术的并行或顺序执行。本文所描述的处理(例如,逻辑流程)可由处理器1002执行,处理器1002执行一个或更多个计算机程序以通过操作输入的数据并生成对应的输出来执行功能。
存储器1004(可包括一个或更多个有形的非暂时性计算机可读存储介质)可包括可由处理器1002以及计算机1000的其它组件访问的易失性存储器和非易失性存储器。存储器1004可存储各种信息,并且可用于各种目的。例如,存储器1004可存储可执行计算机代码,诸如用于计算机1000的固件、用于计算机1000的操作系统以及用于提供计算机1000的功能的任何其它程序或其它可执行代码。处理器1002可被配置为或者可执行指令1006以执行本文详细描述的方法和处理。例如,存储器1004可存储用于执行本文中关于SDN控制器102、SDN应用103、网络装置104和/或主机装置106所描述的功能中的一些或全部的指令或其它逻辑。
如上所述,存储器1004可包括诸如随机存取存储器(RAM)的易失性存储器。存储器1004还可包括诸如只读存储器(ROM)、闪存、硬盘驱动器、其它合适的光学、磁或固态存储介质或其任何组合的非易失性存储器。存储器1004可存储诸如媒体(例如,音乐和视频文件)、软件(例如,用于在计算机1000上实现功能)、用户偏好信息、支付交易信息、无线连接信息、联系人信息(例如,地址簿)以及其它合适的数据。
显示控制器1012可联接到处理器1002和显示装置(例如,显示器1014)。在一些实施方式中,显示器1014可包括液晶显示器(LCD)、有机发光二极管(OLED)显示器或者其它显示器类型。在一些实施方式中,显示器1014可包括触摸屏。显示器1014可显示由计算机1000的处理器1002执行的用户界面(例如,图形用户界面)。显示器1014还可显示各种指示物以向用户提供反馈,诸如电力状态、呼叫状态、存储器状态、网络状态等。如上所述,在一些实施方式中,如当外部装置连接到计算机1000时,可提供指令1006以经由显示控制器1012在显示器1014上显示视觉通知。
无线控制器1016可联接到处理器1002、射频(RF)接口1018(例如,收发器)和/或无线天线1020。在一些实施方式中,无线控制器1016可实现任何合适的通信标准、协议和技术,包括以太网、全球移动通信系统(GSM)、增强数据GSM环境(EDGE)、3G网络(例如,基于IMT-2000标准)、高速下行链路分组接入(HSDPA)、宽带码分多址(W-CDMA)、码分多址(CDMA)、时分多址(TDMA)、4G网络(例如,IMT高级、长期演进高级(LTE高级)等)、蓝牙、无线保真(Wi-Fi)(例如,IEEE 802.11标准)、互联网协议语音(VoIP)、Wi-Max或者任何其它合适的通信标准、协议和技术。图10还描绘了输入/输出(I/O)接口1022。I/O接口1022可包括多个接口,并且可使能计算机1000的各种组件与处理器1002之间的通信。I/O接口1022可实现各种类型的接口,例如外围组件互连(PCI)接口、通用串行总线(USB)接口、Thunderbolt接口、火线(IEEE-1394)接口等。I/O接口1022可包括可与诸如互联网、内联网、蜂窝电话网络、广域网(WAN)、局域网(LAN)、城域网(MAN)或其它网络的网络通信的网络接口。在一些实施方式中,这种网络接口可实现用于网络通信的以太网。外部装置1024可联接到计算机1000。外部装置1024可经由有线接口物理地联接到计算机1000,或者可经由无线接口无线地联接到计算机1000。外部装置1024可包括多个装置,并且可包括输入装置、输出装置或者输入/输出装置。在一些实施方式中,外部装置1024可包括固态驱动器(也称为“闪存驱动器”)(例如,拇指驱动器)、键盘、鼠标、相机(例如,网络摄像头)、麦克风、游戏控制器(例如,游戏手柄、操纵杆等)、轨迹球、脚踏板、头戴式显示器、便携式硬盘驱动器、便携式DVD驱动器、打印机、扫描仪、一体机以及其它合适的装置。在一些实施方式中,外部装置1024可包括存储在外部装置1024的存储器上的标识符1026。在一些实施方式中,标识符1026可由存储在外部装置1024的存储器上的固件提供。标识符1026可包括外部装置1024的类型的标识(诸如,外部装置1024是不是键盘、鼠标、闪存驱动器等)。在一些实施方式中,标识符1026可包括制造商标识符、产品名称、产品线或其任何组合。
在一些实施方式中,计算机系统1000的组件中的一些或全部可被包括在系统封装或片上系统(SOC)中。例如,处理器1002、显示控制器1012、存储器1004和无线控制器1016可被包括在系统封装或片上系统(SOC)装置1028中(例如,集成到集成电路上)。电源1030可联接到片上系统装置1028。此外,显示器1014、RF接口1018、无线天线1020和电源1030可在片上系统装置1028的外部。显示器1014、RF接口1018、无线天线1020和电源1030中的每一个可联接到片上系统装置1028的组件(例如,接口或控制器)。
将理解,本文所描述的处理和方法是可根据本文所描述的技术采用的处理和方法的示例实施方式。所述处理和方法可被修改以方便其实现和使用的变化。所述处理和方法以及其中所提供的操作的顺序可改变,并且各种元件可被添加、重新排序、组合、省略、修改等。所述处理和方法的部分可在软件、硬件或其组合中实现。所述处理和方法的部分中的一些或全部可由本文所描述的一个或更多个处理器/模块/应用实现。
对于本领域技术人员而言,本公开的各个方面的进一步的修改和另选实施方式将由于本描述而显而易见的。因此,本描述将被解释为仅是例示性的,是为了教导本领域技术人员实现实施方式的一般方式。将理解,本文所示出和描述的实施方式的形式将被视为实施方式的示例。对于本文所示出和描述的那些,元件和材料可被替换,部件和处理可被颠倒或省略,并且实施方式的某些特征可独立地使用,所有这些对于本领域技术人员而言在受益于实施方式的描述之后将显而易见。在不脱离以下权利要求书中所描述的实施方式的精神和范围的情况下,可对本文所描述的元件进行改变。本文所使用的标题仅是为了组织目的,并非意在用于限制描述的范围。
因此,在一些实施方式中提供了一种网络控制器系统。该系统可包括处理器以及包括程序指令的存储器,所述程序指令可由处理器执行以:确定用于将数据从第一网络装置路由至第二网络装置的数据流路径,其中,该数据流路径包括多个网络装置;至少为网络装置中的第一网络装置确定一个或更多个流规则,所述流规则指定网络装置的用于接收数据的输入、网络装置的用于输出数据的输出以及指示网络装置在数据流路径中的角色的角色标签,其中,用于网络装置中的第一网络装置的一个或更多个流规则的角色标签指示源角色;至少向数据流路径的网络装置中的第一网络装置分发为网络装置确定的一个或更多个流规则;确定数据流路径上的恶意活动;至少部分地基于第一网络装置的角色标签来确定第一网络装置是数据流路径的源;以及响应于确定第一网络装置是数据流路径的源,向第一网络装置发送阻挡流规则以禁止第一网络装置对恶意数据进行路由。
在一些情况下,所述程序指令还可由处理器执行以(或者方法还可包括):向网络装置中的一个或更多个发送对存储在网络装置上的数据流路径的一个或更多个流规则的请求;从网络装置中的所述一个或更多个接收数据流路径的一个或更多个流规则;以及利用所接收的数据流路径的一个或更多个流规则为数据流路径生成流规则表。
第一网络装置可以是从数据流路径中的第一网络装置接收数据的网络装置。用于网络装置中的第二网络装置的一个或更多个流规则的角色标签可指示目的地角色。第二网络装置可以是数据流路径中将数据路由至第二网络装置的最后网络装置。用于网络装置中的一个或更多个网络装置的一个或更多个流规则的角色标签可指示中间角色。网络装置中的所述一个或更多个网络装置可在数据流路径中位于第一网络装置与最后网络装置之间。
网络控制器系统可包括用于包括网络装置的软件定义网络(SDN)的网络控制器。所述程序指令还可由处理器执行以将用于网络装置的一个或更多个流规则存储在用于SDN的所述网络控制器的存储器中。网络控制器可包括服务器。网络装置中的至少一个可包括网络交换机或网络路由器中的至少一个。阻挡流规则可包括流规则,该流规则包括阻挡或丢弃从第一网络装置接收到的数据的动作。
确定数据流路径上的恶意活动可包括接收数据流路径上的恶意数据的路由的指示。数据流路径上的恶意数据的路由的指示可接收自网络安全系统。网络安全系统可包括防火墙系统、防病毒系统、防间谍软件系统或入侵防御系统(IPS)中的至少一个。
数据流路径可与流标识符(ID)关联,并且确定数据流路径上的恶意数据的路由可包括接收与流ID关联的恶意活动的指示。流ID可包括第一网络装置的标识。流ID可包括第一网络装置的媒体访问控制(MAC)地址或第一网络装置的互联网协议(IP)地址中的至少一个。流ID可包括第二网络装置的标识。流ID可包括:第一网络装置的媒体访问控制(MAC)地址或第一网络装置的互联网协议(IP)地址中的至少一个;以及第二网络装置的MAC地址或第二网络装置的IP地址中的至少一个。所述程序指令还可由处理器执行以(或者方法还可包括):响应于接收到查看数据流路径中的网络装置的请求,呈现数据流路径中的网络装置的列表,该列表包括指示网络装置的相应角色的角色标签。
在一些实施方式中,提供了一种存储有计算机可执行程序指令的非暂时性计算机可读存储介质,所述程序指令可由计算机执行以:确定用于将数据从第一网络装置路由至第二网络装置的数据流路径,其中,该数据流路径包括多个网络装置;至少为网络装置中的第一网络装置确定一个或更多个流规则,所述流规则指定网络装置的用于接收数据的输入、网络装置的用于输出数据的输出以及指示网络装置在数据流路径中的角色的角色标签,其中,用于网络装置中的第一网络装置的一个或更多个流规则的角色标签指示源角色;至少向数据流路径的网络装置中的第一网络装置分发为网络装置确定的一个或更多个流规则;确定数据流路径上的恶意活动;至少部分地基于第一网络装置的角色标签来确定第一网络装置是数据流路径的源;以及响应于确定第一网络装置是数据流路径的源,向第一网络装置发送阻挡流规则以禁止第一网络装置对恶意数据进行路由。
在一些情况下,所述程序指令还可由处理器执行以:向网络装置中的一个或更多个发送对存储在网络装置上的数据流路径的一个或更多个流规则的请求;从网络装置中的所述一个或更多个接收数据流路径的一个或更多个流规则;以及利用所接收的数据流路径的一个或更多个流规则,为数据流路径生成流规则表。
第一网络装置可以是从数据流路径中的第一网络装置接收数据的网络装置。用于网络装置中的第二网络装置的一个或更多个流规则的角色标签可指示目的地角色。第二网络装置可以是数据流路径中将数据路由至第二网络装置的最后网络装置。用于网络装置中的一个或更多个网络装置的一个或更多个流规则的角色标签可指示中间角色。网络装置中的所述一个或更多个网络装置可在数据流路径中位于第一网络装置与最后网络装置之间。
网络控制器系统可包括用于包括网络装置的软件定义网络(SDN)的网络控制器。所述程序指令还可由处理器执行以将用于网络装置的一个或更多个流规则存储在用于SDN的所述网络控制器的存储器中。网络控制器可包括服务器。网络装置中的至少一个可包括网络交换机或网络路由器中的至少一个。阻挡流规则可包括流规则,该流规则包括阻挡或丢弃从第一网络装置接收到的数据的动作。
确定数据流路径上的恶意活动可包括接收数据流路径上的恶意数据的路由的指示。数据流路径上的恶意数据的路由的指示可接收自网络安全系统。网络安全系统可包括防火墙系统、防病毒系统、防间谍软件系统或入侵防御系统(IPS)中的至少一个。
数据流路径可与流标识符(ID)关联,并且确定数据流路径上的恶意数据的路由可包括接收与流ID关联的恶意活动的指示。流ID可包括第一网络装置的标识。流ID可包括第一网络装置的媒体访问控制(MAC)地址或第一网络装置的互联网协议(IP)地址中的至少一个。流ID可包括第二网络装置的标识。流ID可包括:第一网络装置的媒体访问控制(MAC)地址或第一网络装置的互联网协议(IP)地址中的至少一个;以及第二网络装置的MAC地址或第二网络装置的IP地址中的至少一个。所述程序指令还可由处理器执行以:响应于接收到查看数据流路径中的网络装置的请求,呈现数据流路径中的网络装置的列表,所述列表包括指示网络装置的相应角色的角色标签。
在一些实施方式中,提供了一种用于对数据进行路由的方法。该方法可包括:确定用于将数据从第一网络装置路由至第二网络装置的数据流路径,其中,该数据流路径包括多个网络装置;至少为网络装置中的第一网络装置确定一个或更多个流规则,所述流规则指定网络装置的用于输出数据的输出以及指示网络装置在数据流路径中的角色的角色标签,其中,用于网络装置中的第一网络装置的一个或更多个流规则的角色标签指示源角色;至少向数据流路径的网络装置中的第一网络装置分发为网络装置确定的一个或更多个流规则;确定数据流路径上的恶意活动;至少部分地基于第一网络装置的角色标签来确定第一网络装置是数据流路径的源;以及响应于确定第一网络装置是数据流路径的源,向第一网络装置发送阻挡流规则以禁止第一网络装置对恶意数据进行路由。
在一些情况下,该方法还包括:向网络装置中的一个或更多个发送对存储在网络装置上的数据流路径的一个或更多个流规则的请求;从网络装置中的所述一个或更多个接收数据流路径的一个或更多个流规则;以及利用所接收的数据流路径的一个或更多个流规则为数据流路径生成流规则表。
第一网络装置可以是从数据流路径中的第一网络装置接收数据的网络装置。用于网络装置中的第二网络装置的一个或更多个流规则的角色标签可指示目的地角色。第二网络装置可以是数据流路径中将数据路由至第二网络装置的最后网络装置。用于网络装置中的一个或更多个网络装置的一个或更多个流规则的角色标签可指示中间角色。网络装置中的所述一个或更多个网络装置可在数据流路径中位于第一网络装置与最后网络装置之间。
网络控制器系统可包括用于包括网络装置的软件定义网络(SDN)的网络控制器。所述程序指令还可由处理器执行以将用于网络装置的一个或更多个流规则存储在用于SDN的所述网络控制器的存储器中。网络控制器可包括服务器。网络装置中的至少一个可包括网络交换机或网络路由器中的至少一个。阻挡流规则可包括流规则,该流规则包括阻挡或丢弃从第一网络装置接收到的数据的动作。
确定数据流路径上的恶意活动可包括接收数据流路径上的恶意数据的路由的指示。数据流路径上的恶意数据的路由的指示可接收自网络安全系统。网络安全系统可包括防火墙系统、防病毒系统、防间谍软件系统或入侵防御系统(IPS)中的至少一个。
数据流路径可与流标识符(ID)关联,并且确定数据流路径上的恶意数据的路由可包括接收与流ID关联的恶意活动的指示。流ID可包括第一网络装置的标识。流ID可包括第一网络装置的媒体访问控制(MAC)地址或第一网络装置的互联网协议(IP)地址中的至少一个。流ID可包括第二网络装置的标识。流ID可包括:第一网络装置的媒体访问控制(MAC)地址或第一网络装置的互联网协议(IP)地址中的至少一个;以及第二网络装置的MAC地址或第二网络装置的IP地址中的至少一个。该方法还包括:响应于接收到查看数据流路径中的网络装置的请求,呈现数据流路径中的网络装置的列表,所述列表包括指示网络装置的相应角色的角色标签。
如贯穿本申请所使用的,词语“可(may)”在容许的意义上(即,意指有可能)而非强制的意义上(即,意指必须)使用。词语“包括”和“包含”意指包括但不限于此。如贯穿本申请所使用的,单数形式包括复数项,除非内容清楚地另外指示。因此,例如,对“元件”的引用可包括两个或更多个元件的组合。如贯穿本申请所使用的,短语“基于”并不将关联的操作限制为仅仅基于特定项目。因此,例如,“基于”数据A处理可包括至少部分地基于数据A并且至少部分地基于数据B处理,除非内容清楚地另外指示。如贯穿本申请所使用的,术语“来自(from)”并不将关联的操作限制为直接来自。因此,例如,接收“来自”实体的项可包括接收直接来自实体的项目或者间接(例如,经由中间实体)来自实体的项目。除非明确地另外指出,否则从讨论显而易见的是,将理解,贯穿本说明书使用诸如“处理”、“计算”、“确定”等的术语是指诸如专用计算机或类似的专用电子处理/计算装置的特定设备的动作或处理。在本说明书的上下文中,专用计算机或类似的专用电子处理/计算装置能够操纵或变换信号,所述信号通常被表示成存储器、寄存器或其它信息存储装置、传输装置或者专用计算机或类似的专用电子处理/计算装置的显示装置内的物理、电子或磁量。
Claims (24)
1.一种网络控制器系统,该网络控制器系统包括:
处理器;以及
存储器,该存储器包含程序指令,所述程序指令能够由所述处理器执行以:
确定用于将数据从第一网络装置路由至第二网络装置的数据流路径,其中,所述数据流路径包括多个网络装置;
至少为所述网络装置中的所述第一网络装置确定一个或更多个流规则,所述一个或更多个流规则指定所述网络装置的用于接收数据的输入、所述网络装置的用于输出数据的输出以及指示所述网络装置在所述数据流路径中的角色的角色标签,其中,用于所述网络装置中的第一网络装置的一个或更多个流规则的所述角色标签指示源角色;
至少向所述数据流路径的所述网络装置中的所述第一网络装置分发为所述网络装置确定的所述一个或更多个流规则;
确定所述数据流路径上的恶意活动;
至少部分地基于所述第一网络装置的所述角色标签来确定所述第一网络装置是所述数据流路径的源;以及
响应于确定所述第一网络装置是所述数据流路径的源,向所述第一网络装置发送阻挡流规则以禁止所述第一网络装置对恶意数据进行路由。
2.根据权利要求1所述的系统,所述程序指令还能够由所述处理器执行以:
向所述网络装置中的一个或更多个网络装置发送对存储在所述网络装置上的所述数据流路径的所述一个或更多个流规则的请求;
从所述网络装置中的所述一个或更多个网络装置接收所述数据流路径的一个或更多个流规则;以及
利用所接收的所述数据流路径的一个或更多个流规则,为所述数据流路径生成流规则表。
3.根据权利要求1所述的系统,其中,所述第一网络装置是从所述数据流路径中的第一网络装置接收数据的网络装置。
4.根据权利要求1所述的系统,其中,用于所述网络装置中的第二网络装置的一个或更多个流规则的所述角色标签指示目的地角色。
5.根据权利要求4所述的系统,其中,所述第二网络装置是所述数据流路径中将数据路由至所述第二网络装置的最后网络装置。
6.根据权利要求4所述的系统,其中,用于所述网络装置中的一个或更多个网络装置的一个或更多个流规则的所述角色标签指示中间角色。
7.根据权利要求4所述的系统,其中,所述网络装置中的所述一个或更多个网络装置在所述数据流路径中位于所述第一网络装置与所述最后网络装置之间。
8.根据权利要求1所述的系统,其中,所述网络控制器系统包括用于包括所述网络装置的软件定义网络(SDN)的控制器。
9.根据权利要求8所述的系统,所述程序指令还能够由所述处理器执行以:
将用于所述网络装置的所述一个或更多个流规则存储在用于所述SDN的所述控制器的存储器中。
10.根据权利要求8所述的系统,其中,所述网络控制器包括服务器,并且其中,所述网络装置中的至少一个网络装置包括网络交换机或网络路由器中的至少一个。
11.根据权利要求1所述的系统,其中,所述阻挡流规则包括包含阻挡或丢弃从所述第一网络装置接收到的数据的动作的流规则。
12.根据权利要求1所述的系统,其中,确定所述数据流路径上的所述恶意活动包括接收所述数据流路径上的恶意数据的路由的指示。
13.根据权利要求12所述的系统,其中,从网络安全系统接收恶意活动的所述指示。
14.根据权利要求13所述的系统,其中,所述网络安全系统包括防火墙系统、防病毒系统、防间谍软件系统或入侵防御系统(IPS)中的至少一个。
15.根据权利要求1所述的系统,
其中,所述数据流路径与流标识符(ID)关联,并且
其中,确定所述数据流路径上的恶意数据的所述路由包括接收与所述流ID关联的恶意活动的指示。
16.根据权利要求15所述的系统,其中,所述流ID包括所述第一网络装置的标识。
17.根据权利要求16所述的系统,其中,所述流ID包括所述第一网络装置的媒体访问控制(MAC)地址或所述第一网络装置的互联网协议(IP)地址中的至少一个。
18.根据权利要求16所述的系统,其中,所述流ID包括所述第二网络装置的标识。
19.根据权利要求16所述的系统,其中,所述流ID包括:
所述第一网络装置的媒体访问控制(MAC)地址或所述第一网络装置的互联网协议(IP)地址中的至少一个;以及
所述第二网络装置的MAC地址或所述第二网络装置的IP地址中的至少一个。
20.根据权利要求1至19中任一项所述的系统,所述程序指令还能够由所述处理器执行以:
接收查看所述数据流路径中的网络装置的请求;以及
响应于接收到查看所述数据流路径中的网络装置的请求,提供所述数据流路径中的网络装置的列表,所述列表包括指示网络装置的相应角色的角色标签。
21.一种存储有计算机可执行程序指令的非暂时性计算机可读存储介质,所述程序指令能够由计算机执行以:
确定用于将数据从第一网络装置路由至第二网络装置的数据流路径,其中,所述数据流路径包括多个网络装置;
为所述网络装置中的每一个网络装置确定一个或更多个流规则,所述一个或更多个流规则指定所述网络装置的用于接收数据的输入、所述网络装置的用于输出数据的输出以及指示所述网络装置在所述数据流路径中的角色的角色标签,其中,用于所述网络装置中的第一网络装置的一个或更多个流规则的所述角色标签指示源角色;
向所述数据流路径的所述网络装置中的每一个网络装置分发为所述网络装置确定的所述一个或更多个流规则;
确定所述数据流路径上的恶意活动;
至少部分基于所述第一网络装置的所述角色标签,确定所述第一网络装置是所述数据流路径的源;以及
响应于确定所述第一网络装置是所述数据流路径的源,向所述第一网络装置发送阻挡流规则以禁止所述第一网络装置对恶意数据进行路由。
22.根据权利要求21所述的介质,其中,所述第一网络装置从所述数据流路径中的第一网络装置接收数据,并且其中,所述网络装置中的至少一个网络装置包括网络交换机或网络路由器中的至少一个。
23.一种用于对数据进行路由的方法,该方法包括:
确定用于将数据从第一网络装置路由至第二网络装置的数据流路径,其中,所述数据流路径包括多个网络装置;
为所述网络装置中的每一个网络装置确定一个或更多个流规则,所述一个或更多个流规则指定所述网络装置的用于输出数据的输出以及指示所述网络装置在所述数据流路径中的角色的角色标签,其中,用于所述网络装置中的第一网络装置的一个或更多个流规则的所述角色标签指示源角色;
向所述数据流路径的所述网络装置中的每一个网络装置分发为所述网络装置确定的所述一个或更多个流规则;
确定所述数据流路径上的恶意活动;
至少部分基于所述第一网络装置的所述角色标签,确定所述第一网络装置是所述数据流路径的源;以及
响应于确定所述第一网络装置是所述数据流路径的源,向所述第一网络装置发送阻挡流规则以禁止所述第一网络装置对恶意数据进行路由。
24.根据权利要求23所述的方法,其中,所述第一网络装置从所述数据流路径中的第一网络装置接收数据,并且其中,所述网络装置中的至少一个网络装置包括网络交换机或网络路由器中的至少一个。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN3212CH2015 | 2015-06-26 | ||
| IN3212/CHE/2015 | 2015-06-26 | ||
| PCT/US2016/032996 WO2016209426A1 (en) | 2015-06-26 | 2016-05-18 | Systems and methods for routing data using software-defined networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107925627A true CN107925627A (zh) | 2018-04-17 |
Family
ID=57586345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680047309.3A Pending CN107925627A (zh) | 2015-06-26 | 2016-05-18 | 使用软件定义网络对数据进行路由的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11102173B2 (zh) |
| EP (1) | EP3314828A4 (zh) |
| CN (1) | CN107925627A (zh) |
| WO (1) | WO2016209426A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495485A (zh) * | 2018-11-29 | 2019-03-19 | 深圳市永达电子信息股份有限公司 | 支持强制访问控制的全双工防火墙防护方法 |
| CN110505190A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 微分段的部署方法、安全设备、存储介质及装置 |
| CN113452670A (zh) * | 2021-04-30 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 基于sdn网络的网络诈骗封堵方法、装置、设备及介质 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11102173B2 (en) | 2015-06-26 | 2021-08-24 | Mcafee, Llc | Systems and methods for routing data using software-defined networks |
| JP6000501B1 (ja) * | 2016-01-20 | 2016-09-28 | 三菱電機株式会社 | 制御装置、制御プログラムおよび機器制御システム |
| CN106407400B (zh) * | 2016-09-21 | 2019-08-06 | 中国科学院信息工程研究所 | 一种面向流式数据的实时摘要生成方法 |
| CN106357542B (zh) * | 2016-10-12 | 2019-10-18 | 华为技术有限公司 | 提供组播业务的方法和软件定义网络控制器 |
| US10277535B2 (en) * | 2017-03-31 | 2019-04-30 | Hewlett Packard Enterprise Development Lp | Network switch systems including logical switches |
| KR102342734B1 (ko) * | 2017-04-04 | 2021-12-23 | 삼성전자주식회사 | Sdn 제어 장치 및 이의 데이터 패킷의 전송 룰 설정 방법 |
| US10659432B2 (en) | 2017-07-06 | 2020-05-19 | Crowdstrike, Inc. | Network containment of compromised machines |
| US10756956B2 (en) * | 2018-03-05 | 2020-08-25 | Schweitzer Engineering Laboratories, Inc. | Trigger alarm actions and alarm-triggered network flows in software-defined networks |
| US10841509B2 (en) | 2018-10-22 | 2020-11-17 | At&T Intellectual Property I, L.P. | Camera array orchestration |
| FR3087603A1 (fr) * | 2018-10-23 | 2020-04-24 | Orange | Technique de collecte d'informations relatives a un flux achemine dans un reseau |
| JP2020072427A (ja) * | 2018-11-01 | 2020-05-07 | 日本電気株式会社 | ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム |
| US11063862B2 (en) * | 2019-04-18 | 2021-07-13 | Avaya Inc. | Media path engineering for multi-homed devices |
| US11848959B2 (en) * | 2020-05-13 | 2023-12-19 | Nanjing University Of Posts And Telecommunications | Method for detecting and defending DDoS attack in SDN environment |
| US11470038B1 (en) | 2020-05-19 | 2022-10-11 | Marvell Asia Pte Ltd. | Line side multiplexers with protection switching |
| US11888901B2 (en) * | 2021-06-23 | 2024-01-30 | Hewlett Packard Enterprise Development Lp | Enabling restriction on transmission of data packets at ingress network device |
| US20230096394A1 (en) * | 2021-09-27 | 2023-03-30 | Vmware, Inc. | Scalable provenance data display for data plane analysis |
| CN115883490B (zh) * | 2022-11-29 | 2024-09-13 | 电子科技大学 | 基于sdn的分布式计算通信一体化调度方法及相关组件 |
| US20240348549A1 (en) * | 2023-04-11 | 2024-10-17 | Cisco Technology, Inc. | Routable and intent-based service chains |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060206615A1 (en) * | 2003-05-30 | 2006-09-14 | Yuliang Zheng | Systems and methods for dynamic and risk-aware network security |
| US20140137215A1 (en) * | 2012-11-13 | 2014-05-15 | Advanced Micro Devices, Inc. | Data flow processing in a network environment |
| US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
| GB2418563A (en) * | 2004-09-23 | 2006-03-29 | Agilent Technologies Inc | Monitoring for malicious attacks in a communications network |
| CN102263774B (zh) * | 2010-05-24 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种处理源角色信息的方法和装置 |
| US9118571B2 (en) * | 2013-07-08 | 2015-08-25 | Telefonaktiebolaget L M Ericsson (Publ) | Methods of operating load balancing switches and controllers using matching patterns with unrestricted characters |
| US9736041B2 (en) | 2013-08-13 | 2017-08-15 | Nec Corporation | Transparent software-defined network management |
| US9467330B2 (en) * | 2013-10-14 | 2016-10-11 | Hewlett Packard Enterprise Development Lp | Diagnosing connectivity in a network |
| US9288143B2 (en) | 2013-10-14 | 2016-03-15 | Hewlett Packard Enterprise Development Lp | Data flow path determination |
| US9455915B2 (en) * | 2013-12-12 | 2016-09-27 | Broadcom Corporation | Hierarchical congestion control with congested flow identification hardware |
| US11102173B2 (en) | 2015-06-26 | 2021-08-24 | Mcafee, Llc | Systems and methods for routing data using software-defined networks |
-
2016
- 2016-05-18 US US15/739,489 patent/US11102173B2/en active Active
- 2016-05-18 WO PCT/US2016/032996 patent/WO2016209426A1/en unknown
- 2016-05-18 CN CN201680047309.3A patent/CN107925627A/zh active Pending
- 2016-05-18 EP EP16814901.1A patent/EP3314828A4/en not_active Withdrawn
-
2021
- 2021-03-31 US US17/219,691 patent/US11916874B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060206615A1 (en) * | 2003-05-30 | 2006-09-14 | Yuliang Zheng | Systems and methods for dynamic and risk-aware network security |
| US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
| US20140137215A1 (en) * | 2012-11-13 | 2014-05-15 | Advanced Micro Devices, Inc. | Data flow processing in a network environment |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505190A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 微分段的部署方法、安全设备、存储介质及装置 |
| CN109495485A (zh) * | 2018-11-29 | 2019-03-19 | 深圳市永达电子信息股份有限公司 | 支持强制访问控制的全双工防火墙防护方法 |
| CN109495485B (zh) * | 2018-11-29 | 2021-05-14 | 深圳市永达电子信息股份有限公司 | 支持强制访问控制的全双工防火墙防护方法 |
| CN113452670A (zh) * | 2021-04-30 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 基于sdn网络的网络诈骗封堵方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016209426A1 (en) | 2016-12-29 |
| US20180191679A1 (en) | 2018-07-05 |
| EP3314828A4 (en) | 2018-12-19 |
| US11102173B2 (en) | 2021-08-24 |
| EP3314828A1 (en) | 2018-05-02 |
| US20210218706A1 (en) | 2021-07-15 |
| US11916874B2 (en) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107925627A (zh) | 使用软件定义网络对数据进行路由的系统和方法 | |
| US11785466B2 (en) | Method and system for IoT code and configuration using smart contracts | |
| CN104717156B (zh) | 使用网络接口卡管理软件定义网络中的数据流的方法和系统 | |
| Wazirali et al. | SDN-openflow topology discovery: an overview of performance issues | |
| CN103718164B (zh) | 虚拟计算机和服务 | |
| US9317310B2 (en) | Systems and methods for handling virtual machine packets | |
| US20170310611A1 (en) | System and method for automated rendering of service chaining | |
| CN104350467B (zh) | 用于使用sdn的云安全性的弹性实行层 | |
| ES2702097T3 (es) | Sistema y servicio de cortafuegos basado en la nube | |
| CN110419200A (zh) | 虚拟过滤平台中的分组处理器 | |
| EP2920940B1 (en) | Method and device for data flow processing | |
| JP6176245B2 (ja) | 制御装置、通信システム、スイッチ制御方法及びプログラム | |
| CN106487719A (zh) | 经由分组中继使网络功能外部化的系统和方法 | |
| US20170230285A1 (en) | Regulation based switching system for electronic message routing | |
| CN105493445A (zh) | 联网计算环境中的区域防火墙集群 | |
| CN107453992A (zh) | 一种虚拟网络内的数据转发方法及系统 | |
| JPWO2014054768A1 (ja) | 通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラム | |
| US11863455B2 (en) | Cloud based cross domain system—CDSaaS | |
| US11853813B2 (en) | Cloud based cross domain system—CDS with disaggregated parts | |
| Costa et al. | Vulnerabilities and solutions for isolation in FlowVisor-based virtual network environments | |
| US9203741B1 (en) | Managing multi-customer network traffic using lower layer protocol attributes | |
| US12095868B2 (en) | Cloud based cross domain system—virtual data diode | |
| CN105656748A (zh) | 网络中的边信道攻击阻止 | |
| CN106685901A (zh) | 用于处理跨域数据的方法、第一服务器及第二服务器 | |
| CN111200630B (zh) | 基于服务功能链的多租户处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180417 |
|
| WD01 | Invention patent application deemed withdrawn after publication |