CN108156079A - 一种基于云服务平台的数据包转发系统及方法 - Google Patents
一种基于云服务平台的数据包转发系统及方法 Download PDFInfo
- Publication number
- CN108156079A CN108156079A CN201711498009.XA CN201711498009A CN108156079A CN 108156079 A CN108156079 A CN 108156079A CN 201711498009 A CN201711498009 A CN 201711498009A CN 108156079 A CN108156079 A CN 108156079A
- Authority
- CN
- China
- Prior art keywords
- data packet
- cluster
- target
- address
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于云服务平台的数据包转发系统及方法。本发明中的云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成;若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;核心路由器用于在接收到数据包时,对所述数据包进行解析,以确定与所述数据包对应的源集群和目标集群;根据源集群和目标集群从策略路由图中确定转发路径,可从更多的维度将数据包转发至目标集群;目标集群用于对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备,各个终端设备有效地对数据包进行恶意流量清理,能够有效避免局域网内各个终端设备之间的攻击蔓延。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于云服务平台的数据包转发系统及方法。
背景技术
目前云服务平台在数据包转发过程中可能存在恶意流量数据,而现有技术,针对恶意流量数据的处理,一种做法是通过硬件防火墙等物理设备在内网的物理安全区域的网络出口,每个物理安全域的边界会通过硬件防火墙等物理设备来监测恶意流量,但是通过物理防火墙等设备虽然在一定程度上能够有效清理恶意流量,但是成本较高,并且使用硬件防火墙等物理设备在配置网络整体架构过程中结果比较复杂,硬件与硬件直接的交互周期比较长。另一种做法是使用云平台内部的虚拟机安全组功能,这种做法可以过滤东西向的流量,但是只能实现最简单的acl访问控制规则,不能进行恶意流量清洗和审计,也不能有效防御没被acl隔离的内部服务器之间的攻击蔓延。
发明内容
本发明提出一种基于云服务平台的数据包转发系统及方法,旨在解决目前云服务平台中的恶意流量数据不能有效被清理的问题。
为实现上述目的,本发明提供一种基于云服务平台的数据包转发系统,所述云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器与各集群分别相连;所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;
所述核心路由器,用于在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;
所述核心路由器,还用于根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至所述目标集群;
所述目标集群,用于在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备。
优选地,所述目标集群配置有上网行为管理软件;
相应地,所述目标集群,还用于在接收所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,在流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的终端设备。
优选地,所述目标集群还配置有虚拟机防火墙;
相应地,所述目标集群,还用于在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备。
优选地,所述核心路由器,还用于根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群,所述中转集群配置有所述上网行为管理软件和所述虚拟机防火墙;
相应地,所述中转集群,还用于在接收所述核心路由器发送的数据包时,通过所述中转集群的上网行为管理软件对所述数据包进行流量监测,获取流量监测结果;
所述中转集群,还用于在流量监测结果中包括异常行为数据时,通过所述中转集群的虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至所述目标集群。
可选地,所述目标集群还包括预设杀毒软件;
所述目标集群,还用于在接收到所述数据包时,通过所述预设杀毒软件对所述数据包进行病毒查杀,将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。
此外,为实现上述目的,本发明还提出一种基于云服务平台的数据包转发方法,所述云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器与各集群分别相连;所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;
相应地,所述方法包括:
所述核心路由器在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;
所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至所述目标集群;
所述目标集群在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备。
优选地,所述目标集群在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备,具体包括:
所述目标集群在接收所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,获取流量监测结果;
所述目标集群在所述流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的终端设备。
优选地,所述通过所述上网行为管理软件对所述数据包进行流量监测,获取流量监测结果之后,还包括:
所述目标集群在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备。
优选地,所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径之后,所述方法还包括:
所述核心路由器通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群;
所述中转集群在接收所述核心路由器发送的所述数据包时,通过中转集群的上网行为管理软件对所述数据包进行流量监测;
所述中转集群在流量监测结果中包括异常行为数据时,通过中转集群的虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至所述目标集群。
可选地,所述方法还包括:
所述目标集群在接收到所述数据包时,通过所述预设杀毒软件对所述数据包进行病毒查杀,将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。
附图说明
图1为本发明一种基于云服务平台的数据包转发系统第一实施例的结构框图;
图2为本发明一实施例中云服务平台的安全域分区结构示意图;
图3为本发明一实施例中策略路由图的示意图;
图4为本发明一实施例中一种基于云服务平台的数据包转发系统运作时的结构框图;
图5为本发明一种基于云服务平台的数据包转发方法第一实施例流程示意图;
图6为本发明一种基于云服务平台的数据包转发方法第二实施例流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明一种基于云服务平台的数据包转发系统第一实施例的结构框图。
如图1所示,所述云服务平台包括核心路由器10和多个不同业务类型的集群01,各集群01由若干个终端设备组成,所述核心路由器10与各集群01分别相连;所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群01;
可理解的是,所述云服务平台的一个集群可表征为一个安全域,本实施中,在各个设备运行前,所述云服务平台的管理人员可以对整个云服务平台的架构进行编排,例如管理人员可通过核心路由器搜集局域网中各个终端设备的IP地址,将这些终端设备按照IP地址范围被划分至各不同业务类型的安全域,例如参考图2,所述云服务平台可将若干个终端设备按照IP地址范围被划分至各不同业务类型的集群(即安全域),本实施例中以5种类型的安全域为例进行说明,这5种类型安全域分别是:内网办公域、核心服务域、对外服务域、运维管理域、互联网出口域,各个安全域具有不同IP地址的终端设备,不同安全域中的终端设备中配置了与其安全域所对应业务类型的应用软件。相应地,本实施例中的对外服务域、运维管理域、互联网出口域这些安全域(即集群)云服务平台的管理人员可以对其重命名,或者增加更多的安全域,最大支持32个安全域。
所述核心路由器10,用于在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群20,确定与所述目的IP地址对应的目标集群30;
所述核心路由器,还用于根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至所述目标集群;
可理解的是,所述核心路由器与各个安全域(即集群)进行网络连接,所述核心路由器上会预先配置策略路由功能;参考图4,本实施例以从一个源集群20转发到一个目标集群30为例进行说明;首先所述核心路由器在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;在具体实现中,核心路由器会根据所述数据包的源IP地址、目的IP地址以及协议或应用等附件信息,确定这些IP地址所对应的终端设备之间的业务关系,再根据策略路由图生成转发路径,参考图3,即根据策略路由的规则匹配转发路径,这些转发路径不同于当前路由表中的转发路径,这些转发路径在数据包由源集群转发至目标集群的时候发生作用,不改变核心路由器本身的路由表中任何内容;如果能匹配上,则根据策略路由来转发,否则按照路由表中转发路径来进行转发。
在具体实现中,内网办公域或核心服务器均可作为源集群,核心服务域、内网办公域,需要划分这些区域防护的IP范围,不同区域的IP范围不能重复,所有IP范围必须从租户的引流网段中选择。
本实施例以内网办公域作为源集群,互联网出口域作为目标集群30为例进行说明。在核心路由器接收到数据包时,对所述数据包进行解析,经过解析获得所述数据包的源IP地址属于源集群中的某台终端设备Y,目的IP地址属于目标集群中的某台终端设备M,此时核心路由器会根据终端设备Y以及终端设备M的配置信息从策略路由图中确定转发路径;如图3所示,图3中的策略路由图中一共有四条路径,这四条路径分别是:由内网办公域到互联网出口域、由内网办公域到对外服务域再到互联网出口域、由内网办公域到对外服务域最后到互联网出口域、由内网办公域到运维管理域最后到互联网出口域、由内网办公域到运维管理域再到对外服务域最后到互联网出口域;核心路由器会根据策略路由的规则从所示策略路由图的上述四条路径匹配出符合实际情况的转发路径。
所述目标集群30,用于在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备。
可理解的是,基于上述分区分域后的云服务平台,为了防止恶意流量,可在目标集群的服务节点(即一个专门用于检测恶意流量的终端设备)中融入软件虚拟化技术(包括计算、网络、存储、安全等虚拟化),而每一个单元节点可以通过网络聚合起来,实现模块化的无缝横向扩展,构建统的资源池;通过虚拟化安全软件对数据包进行检测,在检测结果达到预设标准时,说明该数据包不存在恶意流量,将所述数据包发送至与所述目标IP地址对应的终端设备。
本实例中的云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器与各集群分别相连;若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;核心路由器用于在接收到数据包时,对所述数据包进行解析,以确定与所述数据包对应的源集群和目标集群;根据源集群和目标集群从策略路由图中确定转发路径,可从更多的维度将数据包转发至目标集群;目标集群用于对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备,各个终端设备有效地对数据包进行恶意流量清理,能够有效避免局域网内各个终端设备之间的攻击蔓延。
基于上述图1所示的实施例,提出本发明一种基于云服务平台的数据包转发系统第二实施例。
本实施例中,所述目标集群配置有上网行为管理软件;
相应地,所述目标集群30,还用于在接收所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,在流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的终端设备。
所述目标集群30,还用于在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备;在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备;
可理解的是,目前针对恶意流量数据的处理,一种做法是通过硬件防火墙等物理安全设备在内网的物理安全区域的网络出口,每个物理安全域的边界会通过硬件防火墙等物理设备来监测恶意流量,但是通过物理防火墙等设备虽然在一定程度上能够有效清理恶意流量,但是成本较高,而且这些硬件物理设备线路布置好了数据包的流量路径就基本固定不能更改。
而本实施例中可在目标集群的服务节点(即一个专门用于检测恶意流量的终端设备)上设置如上网行为管理软件、虚拟化下一代防火墙、软件堡垒机以及杀毒软件等虚拟化安全软件对所述数据包进行流量监测,获取流量监测结果,进行恶意数据包流量清理。
在具体实现中,以互联网出口域作为目标集群为例进行说明,可在互联网出口域设置上网行为管理软件和虚拟机防火墙;互联网出口域在接收经过所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,在流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的互联网出口域中的终端设备;在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备。
当然本实施例在也可以在源集群设置上设置上网行为管理软件和虚拟机防火墙,以内网办公域作为源集群进行说明,内网办公域将数据包转发到互联网出口域的过程中,数据包的走向为:先经过内网办公域的上网行为管理软件,然后经过内网办公域的虚拟机防火墙,将内网办公域流量清晰后的数据包发送至互联网出口域,使得数据包经过互联网出口域的上网行为管理软件,然后经过互联网出口域的虚拟机防火墙,最后数据包传到互联网。当然云平台的管理员如果想减轻各个安全软件的运行压力,上述数据包的流量走向用户也可以自行设置,比如可以设置为先为:先经过内网办公域的上网行为管理软件,将内网办公域流量清晰后的数据包发送至互联网出口域,使得数据包经过互联网出口域的虚拟机防火墙,最后数据包传到互联网;进而实现自动编排数据包流量路径。
进一步地,所述核心路由器10,还用于根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群,所述中转集群配置有所述上网行为管理软件和所述虚拟机防火墙;
相应地,所述中转集群,还用于在接收所述核心路由器发送的数据包时,通过所述中转集群的上网行为管理软件对所述数据包进行流量监测,获取流量监测结果;在流量监测结果中包括异常行为数据时,通过所述中转集群的虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至所述目标集群。
可理解的是,核心路由器根据策略路由图生成转发路径肯定会有从源集群转发到一个或多个中转集群,再有中转集群转发到目标集群的路径。例如参考图3,以生成的转发路径为内网办公域到对外服务域最后到互联网出口域为例进行说明,所述内网办公域为源集群,对外服务域为中转集群,互联网出口域为中转集群。
进一步地,所述目标集群,还用于在接收到所述数据包时,通过所述预设杀毒软件对所述数据包进行病毒查杀,将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。
在具体实现中,可在对外服务域配置有虚拟专用网络VPN、上网行为管理软件和虚拟机防火墙;可在互联网出口域可以配置下一代虚拟化防火墙,下一代虚拟化防火墙可以集成IPS入侵检测检测系统、外机杀毒软件、漏洞扫描系统,可以实现黑客的防御攻击,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,进行能够有效地对数据包的恶意流量进行清理。例如,互联网出口域扫描出来0day的漏洞,云平台就可以在虚拟化下一代防火墙上开启对应的网络安全策略和入侵防护策略。另外下一代防火墙发现的失陷主机和僵尸网络,云内安全监测终端可以直接通过虚拟化下一代防火墙上进行杀毒,使得各终端设备从整体上建立了一套紧密无缝的安全防御体系;使用虚拟化安全软件,成本比物理安全设备低很多,并且速度比物理安全设备要快。
进一步地,基于上述系统结构,提出本发明一种基于云服务平台的数据包转发方法的实施例。
图5为本发明一种基于云服务平台的数据包转发方法第一实施例流程示意图;
本实施例中,所述云服务平台包括核心路由器10和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器10与各集群分别相连;所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;
可理解的是,所述云服务平台的一个集群可表征为一个安全域,本实施中,在各个设备运行前,所述云服务平台的管理人员可以对整个云服务平台的架构进行编排,例如管理人员可通过核心路由器搜集局域网中各个终端设备的IP地址,将这些终端设备按照IP地址范围被划分至各不同业务类型的安全域,例如参考图2,所述云服务平台可将若干个终端设备按照IP地址范围被划分至各不同业务类型的集群(即安全域),本实施例中以5种类型的安全域为例进行说明,这5种类型安全域分别是:内网办公域、核心服务域、对外服务域、运维管理域、互联网出口域,各个安全域具有不同IP地址的终端设备,不同安全域中的终端设备中配置了与其安全域所对应业务类型的应用软件。相应地,本实施例中的对外服务域、运维管理域、互联网出口域这些安全域(即集群)云服务平台的管理人员可以对其重命名,或者增加更多的安全域,最大支持32个安全域。
相应地,所述基于云服务平台的数据包转发方法包括:
S10:所述核心路由器在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;
S20:所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至所述目标集群;
可理解的是,所述核心路由器与各个安全域(即集群)进行网络连接,所述核心路由器上会预先配置策略路由功能;首先所述核心路由器在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;在具体实现中,核心路由器会根据所述数据包的源IP地址、目的IP地址以及协议或应用等附件信息,确定这些IP地址所对应的终端设备之间的业务关系,再根据策略路由图生成转发路径,参考图3,即根据策略路由的规则匹配转发路径,这些转发路径不同于当前路由表中的转发路径,这些转发路径在数据包由源集群转发至目标集群的时候发生作用,不改变核心路由器本身的路由表中任何内容;如果能匹配上,则根据策略路由来转发,否则按照路由表中转发路径来进行转发。
在具体实现中,内网办公域或核心服务器均可作为源集群,核心服务域、内网办公域,需要划分这些区域防护的IP范围,不同区域的IP范围不能重复,所有IP范围必须从租户的引流网段中选择。本实施例以内网办公域作为源集群,互联网出口域作为目标集群30为例进行说明。在核心路由器接收到数据包时,对所述数据包进行解析,经过解析获得所述数据包的源IP地址属于源集群中的某台终端设备Y,目的IP地址属于目标集群中的某台终端设备M,此时核心路由器会根据终端设备Y以及终端设备M的配置信息从策略路由图中确定转发路径;如图3所示,图3中的策略路由图中一共有四条路径,这四条路径分别是:由内网办公域到互联网出口域、由内网办公域到对外服务域再到互联网出口域、由内网办公域到对外服务域最后到互联网出口域、由内网办公域到运维管理域最后到互联网出口域、由内网办公域到运维管理域再到对外服务域最后到互联网出口域;核心路由器会根据策略路由的规则从所示策略路由图的上述四条路径匹配出符合实际情况的转发路径,将数据包从终端设备Y转发至终端设备M。
S30:所述目标集群在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备。
可理解的是,基于上述分区分域后的云服务平台,为了防止恶意流量,可在目标集群的服务节点(即一个专门用于检测恶意流量的终端设备)中融入软件虚拟化技术(包括计算、网络、存储、安全等虚拟化),而每一个单元节点可以通过网络聚合起来,实现模块化的无缝横向扩展,构建统的资源池;通过虚拟化安全软件对数据包进行检测,在检测结果达到预设标准时,说明该数据包不存在恶意流量,将所述数据包发送至与所述目标IP地址对应的终端设备。
本实例中的云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器与各集群分别相连;若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;核心路由器用于在接收到数据包时,对所述数据包进行解析,以确定与所述数据包对应的源集群和目标集群;根据源集群和目标集群从策略路由图中确定转发路径,可从更多的维度将数据包转发至目标集群;目标集群用于对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备,各个终端设备有效地对数据包进行恶意流量清理,能够有效避免局域网内各个终端设备之间的攻击蔓延。
进一步地,图6为本发明一种基于云服务平台的数据包转发方法第二实施例流程示意图,基于上述图5的本发明一种基于云服务平台的数据包转发方法第一实施例,提出本发明一种基于云服务平台的数据包转发方法第二实施例。
本实施例中,所述目标集群配置有上网行为管理软件;
相应地,所述步骤30,具体包括:
S301:所述目标集群在接收所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,获取流量监测结果;
可理解的是,目前针对恶意流量数据的处理,一种做法是通过硬件防火墙等物理安全设备在内网的物理安全区域的网络出口,每个物理安全域的边界会通过硬件防火墙等物理设备来监测恶意流量,但是通过物理防火墙等设备虽然在一定程度上能够有效清理恶意流量,但是成本较高,而且这些硬件物理设备线路布置好了数据包的流量路径就基本固定不能更改。
而本实施例中可在目标集群的服务节点(即一个专门用于检测恶意流量的终端设备)上设置如上网行为管理软件、虚拟化下一代防火墙、软件堡垒机以及杀毒软件等虚拟化安全软件对所述数据包进行流量监测,获取流量监测结果,若流量监测结果中不包括异常行为数据,则只需步骤S302,若流量监测结果中包括异常行为数据,则执行步骤S302`。
同时,由于本实施例的云平台管理人员对数据包的流量走向路径预先进行设置,即可以设置在各个安全域(即集群)内部将数据包流量选择性地引入各虚拟化安全软件,比使用物理安全设备的灵活性更高。
S302:所述目标集群在所述流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的终端设备;
S302`:所述目标集群在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备;
在具体实现中,以互联网出口域作为目标集群为例进行说明,可在互联网出口域设置上网行为管理软件和虚拟机防火墙;互联网出口域在接收经过所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,在流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的互联网出口域中的终端设备;在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备。
当然本实施例在也可以在源集群设置上设置上网行为管理软件和虚拟机防火墙,以内网办公域作为源集群进行说明,内网办公域将数据包转发到互联网出口域的过程中,数据包的走向为:先经过内网办公域的上网行为管理软件,然后经过内网办公域的虚拟机防火墙,将内网办公域流量清晰后的数据包发送至互联网出口域,使得数据包经过互联网出口域的上网行为管理软件,然后经过互联网出口域的虚拟机防火墙,最后数据包传到互联网。当然云平台的管理员如果想减轻各个安全软件的运行压力,上述数据包的流量走向用户也可以自行设置,比如可以设置为先为:先经过内网办公域的上网行为管理软件,将内网办公域流量清晰后的数据包发送至互联网出口域,使得数据包经过互联网出口域的虚拟机防火墙,最后数据包传到互联网;进而实现自动编排数据包流量路径。
进一步地,所述S301之后,还包括:
所述核心路由器通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群;
所述中转集群在接收所述核心路由器发送的所述数据包时,通过中转集群的上网行为管理软件对所述数据包进行流量监测;在流量监测结果中包括异常行为数据时,通过中转集群的虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至所述目标集群。
可理解的是,核心路由器根据策略路由图生成转发路径肯定会有从源集群转发到一个或多个中转集群,再有中转集群转发到目标集群的路径。例如参考图3,以生成的转发路径为内网办公域到对外服务域最后到互联网出口域为例进行说明,所述内网办公域为源集群,对外服务域为中转集群,互联网出口域为中转集群。
进一步地,所述方法还包括:
所述目标集群在接收到所述数据包时,通过所述预设杀毒软件对所述数据包进行病毒查杀,将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。
在具体实现中,可在对外服务域配置有虚拟专用网络VPN、上网行为管理软件和虚拟机防火墙;可在互联网出口域可以配置下一代虚拟化防火墙,下一代虚拟化防火墙可以集成IPS入侵检测检测系统、外机杀毒软件、漏洞扫描系统,可以实现黑客的防御攻击,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,进行能够有效地对数据包的恶意流量进行清理。例如,互联网出口域扫描出来0day的漏洞,云平台就可以在虚拟化下一代防火墙上开启对应的网络安全策略和入侵防护策略。另外下一代防火墙发现的失陷主机和僵尸网络,云内安全监测终端可以直接通过虚拟化下一代防火墙上进行杀毒,使得各终端设备从整体上建立了一套紧密无缝的安全防御体系;使用虚拟化安全软件,成本比物理安全设备低很多,并且速度比物理安全设备要快。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于云服务平台的数据包转发系统,其特征在于,所述云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器与各集群分别相连;所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群;
所述核心路由器,用于在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;
所述核心路由器,还用于根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至所述目标集群;
所述目标集群,用于在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备。
2.如权利要求1所述的系统,其特征在于,所述目标集群配置有上网行为管理软件;
相应地,所述目标集群,还用于在接收所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,在流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的终端设备。
3.如权利要求2所述的系统,其特征在于,所述目标集群还配置有虚拟机防火墙;
相应地,所述目标集群,还用于在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备。
4.如权利要求1所述的系统,其特征在于,所述核心路由器,还用于根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群,所述中转集群配置有所述上网行为管理软件和所述虚拟机防火墙;
相应地,所述中转集群,还用于在接收所述核心路由器发送的数据包时,通过所述中转集群的上网行为管理软件对所述数据包进行流量监测,获取流量监测结果;
所述中转集群,还用于在流量监测结果中包括异常行为数据时,通过所述中转集群的虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至所述目标集群。
5.如权利要求1~4中任一项所述的系统,其特征在于,所述目标集群还包括预设杀毒软件;
所述目标集群,还用于在接收到所述数据包时,通过所述预设杀毒软件对所述数据包进行病毒查杀,将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。
6.一种基于云服务平台的数据包转发方法,其特征在于,所述云服务平台包括核心路由器和多个不同业务类型的集群,各集群由若干个终端设备组成,所述核心路由器与各集群分别相连;所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群,所述方法包括:
所述核心路由器在接收到数据包时,对所述数据包进行解析,获得所述数据包的源IP地址和目的IP地址,确定与所述源IP地址对应的源集群,确定与所述目的IP地址对应的目标集群;
所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径;通过所述转发路径将所述数据包发送至所述目标集群;
所述目标集群在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备。
7.如权利要求6所述的方法,其特征在于,所述目标集群在接收到所述数据包时,对所述数据包进行检测,在检测结果达到预设标准时,将所述数据包发送至与所述目标IP地址对应的终端设备,具体包括:
所述目标集群在接收所述核心路由器发送的数据包时,通过所述上网行为管理软件对所述数据包进行流量监测,获取流量监测结果;
所述目标集群在所述流量监测结果中不包括异常行为数据时,将所述数据包发送至与所述目标IP地址对应的终端设备。
8.如权利要求7所述的方法,其特征在于,所述通过所述上网行为管理软件对所述数据包进行流量监测,获取流量监测结果之后,还包括:
所述目标集群在流量监测结果中包括异常行为数据时,通过所述虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至与所述目标IP地址对应的终端设备。
9.如权利要求6所述的方法,其特征在于,所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径之后,所述方法还包括:
所述核心路由器通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群;
所述中转集群在接收所述核心路由器发送的所述数据包时,通过中转集群的上网行为管理软件对所述数据包进行流量监测;
所述中转集群在流量监测结果中包括异常行为数据时,通过中转集群的虚拟机防火墙对所述数据包进行流量过滤,将过滤后的数据包转发至所述目标集群。
10.如权利要求6-9中任一项所述的方法,其特征在于,所述方法还包括:
所述目标集群在接收到所述数据包时,通过所述预设杀毒软件对所述数据包进行病毒查杀,将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711498009.XA CN108156079B (zh) | 2017-12-29 | 2017-12-29 | 一种基于云服务平台的数据包转发系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711498009.XA CN108156079B (zh) | 2017-12-29 | 2017-12-29 | 一种基于云服务平台的数据包转发系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108156079A true CN108156079A (zh) | 2018-06-12 |
CN108156079B CN108156079B (zh) | 2021-08-13 |
Family
ID=62460697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711498009.XA Active CN108156079B (zh) | 2017-12-29 | 2017-12-29 | 一种基于云服务平台的数据包转发系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108156079B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108984289A (zh) * | 2018-07-19 | 2018-12-11 | 北京车联天下信息技术有限公司 | 优先级控制方法、装置及车联网服务平台 |
CN109450690A (zh) * | 2018-11-20 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 快速锁定组网内失陷主机的方法和装置 |
CN111431763A (zh) * | 2020-03-18 | 2020-07-17 | 紫光云技术有限公司 | Sdn控制器的一种连通性检测方法 |
CN113132293A (zh) * | 2019-12-30 | 2021-07-16 | 中国移动通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐系统 |
CN113726883A (zh) * | 2021-08-30 | 2021-11-30 | 北京百度网讯科技有限公司 | 云数据处理方法、相关装置及计算机程序产品 |
CN114070889A (zh) * | 2021-11-10 | 2022-02-18 | 北京百度网讯科技有限公司 | 配置方法、流量转发方法、设备、存储介质及程序产品 |
Citations (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070002896A1 (en) * | 2005-06-20 | 2007-01-04 | Sbc Knowledge Ventures Lp | Method and apparatus for reshaping cell-based traffic |
CN1917514A (zh) * | 2006-01-18 | 2007-02-21 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
CN102143042A (zh) * | 2010-07-09 | 2011-08-03 | 华为技术有限公司 | 虚拟集群路由器系统及其流量分担方法、控制器和子路由器 |
CN102215136A (zh) * | 2010-04-01 | 2011-10-12 | 中国科学院计算技术研究所 | 流量拓扑生成方法和装置 |
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理系统和方法 |
CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
CN105187395A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于接入路由器进行恶意软件网络行为检测的方法及系统 |
CN105391771A (zh) * | 2015-10-16 | 2016-03-09 | 张陵 | 一种面向多租户的云网络架构 |
CN105681313A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种针对虚拟化环境的流量检测系统及方法 |
CN106027466A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 一种身份证云认证系统及读卡系统 |
CN106357622A (zh) * | 2016-08-29 | 2017-01-25 | 北京工业大学 | 基于软件定义网络的网络异常流量检测防御系统 |
CN106850432A (zh) * | 2017-01-04 | 2017-06-13 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
CN107196939A (zh) * | 2017-05-22 | 2017-09-22 | 南京邮电大学 | 一种适用于sdn网络的混合包标记溯源系统和方法 |
CN107205007A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种云环境下Web防火墙透明模式数据流传输方法 |
CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
CN107493276A (zh) * | 2017-08-08 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
-
2017
- 2017-12-29 CN CN201711498009.XA patent/CN108156079B/zh active Active
Patent Citations (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070002896A1 (en) * | 2005-06-20 | 2007-01-04 | Sbc Knowledge Ventures Lp | Method and apparatus for reshaping cell-based traffic |
CN1917514A (zh) * | 2006-01-18 | 2007-02-21 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
CN102215136A (zh) * | 2010-04-01 | 2011-10-12 | 中国科学院计算技术研究所 | 流量拓扑生成方法和装置 |
CN102143042A (zh) * | 2010-07-09 | 2011-08-03 | 华为技术有限公司 | 虚拟集群路由器系统及其流量分担方法、控制器和子路由器 |
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理系统和方法 |
CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
CN105187395A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于接入路由器进行恶意软件网络行为检测的方法及系统 |
CN105391771A (zh) * | 2015-10-16 | 2016-03-09 | 张陵 | 一种面向多租户的云网络架构 |
CN106027466A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 一种身份证云认证系统及读卡系统 |
CN105681313A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种针对虚拟化环境的流量检测系统及方法 |
CN107205007A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种云环境下Web防火墙透明模式数据流传输方法 |
CN106357622A (zh) * | 2016-08-29 | 2017-01-25 | 北京工业大学 | 基于软件定义网络的网络异常流量检测防御系统 |
CN106850432A (zh) * | 2017-01-04 | 2017-06-13 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
CN107196939A (zh) * | 2017-05-22 | 2017-09-22 | 南京邮电大学 | 一种适用于sdn网络的混合包标记溯源系统和方法 |
CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
CN107493276A (zh) * | 2017-08-08 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
Non-Patent Citations (1)
Title |
---|
仇江徽: "基于NetHogs的云环境下的流量监控的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108984289A (zh) * | 2018-07-19 | 2018-12-11 | 北京车联天下信息技术有限公司 | 优先级控制方法、装置及车联网服务平台 |
CN109450690A (zh) * | 2018-11-20 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 快速锁定组网内失陷主机的方法和装置 |
CN109450690B (zh) * | 2018-11-20 | 2022-01-25 | 杭州安恒信息技术股份有限公司 | 快速锁定组网内失陷主机的方法和装置 |
CN113132293A (zh) * | 2019-12-30 | 2021-07-16 | 中国移动通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐系统 |
CN111431763A (zh) * | 2020-03-18 | 2020-07-17 | 紫光云技术有限公司 | Sdn控制器的一种连通性检测方法 |
CN111431763B (zh) * | 2020-03-18 | 2021-07-27 | 紫光云技术有限公司 | Sdn控制器的一种连通性检测方法 |
CN113726883A (zh) * | 2021-08-30 | 2021-11-30 | 北京百度网讯科技有限公司 | 云数据处理方法、相关装置及计算机程序产品 |
CN113726883B (zh) * | 2021-08-30 | 2024-05-28 | 北京百度网讯科技有限公司 | 云数据处理方法、相关装置及计算机程序产品 |
CN114070889A (zh) * | 2021-11-10 | 2022-02-18 | 北京百度网讯科技有限公司 | 配置方法、流量转发方法、设备、存储介质及程序产品 |
CN114070889B (zh) * | 2021-11-10 | 2023-11-14 | 北京百度网讯科技有限公司 | 配置方法、流量转发方法、设备、存储介质及程序产品 |
Also Published As
Publication number | Publication date |
---|---|
CN108156079B (zh) | 2021-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108156079A (zh) | 一种基于云服务平台的数据包转发系统及方法 | |
US9591011B2 (en) | Techniques for separating the processing of clients' traffic to different zones in software defined networks | |
Alsmadi et al. | Security of software defined networks: A survey | |
Lim et al. | A SDN-oriented DDoS blocking scheme for botnet-based attacks | |
Chowdhary et al. | Dynamic game based security framework in SDN-enabled cloud networking environments | |
US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
WO2002101516A2 (en) | Method and apparatus for distributed network security | |
Oktian et al. | Mitigating denial of service (dos) attacks in openflow networks | |
US20160255012A1 (en) | Method for mitigation of unauthorized data transfer over domain name service (dns) | |
Beraud et al. | Using cyber maneuver to improve network resiliency | |
Gao et al. | Defending against Packet-In messages flooding attack under SDN context | |
CN108322417A (zh) | 网络攻击的处理方法、装置和系统及安全设备 | |
Achbarou et al. | Securing cloud computing from different attacks using intrusion detection systems | |
Osman et al. | Sandnet: Towards high quality of deception in container-based microservice architectures | |
Demırcı et al. | Virtual security functions and their placement in software defined networks: A survey | |
JP2019213182A (ja) | ネットワーク防御装置およびネットワーク防御システム | |
Sattar et al. | A delay-based countermeasure against the discovery of default rules in firewalls | |
Chang et al. | Cloud-clustered firewall with distributed SDN devices | |
Czubak et al. | Algorithmic complexity vulnerability analysis of a stateful firewall | |
Khirwadkar | Defense against network attacks using game theory | |
Narwal et al. | Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud | |
Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
Tan et al. | Area-Dividing route mutation in moving target defense based on SDN | |
Schmidt et al. | A malware detector placement game for intrusion detection | |
Ahn et al. | Netshifter: a comprehensive multi-dimensional network obfuscation and deception solution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200612 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Applicant after: SANGFOR TECHNOLOGIES Inc. Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park A1 building five floor Applicant before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |