CN110099046A - 超融合服务器的网络跳变方法和系统 - Google Patents
超融合服务器的网络跳变方法和系统 Download PDFInfo
- Publication number
- CN110099046A CN110099046A CN201910277732.8A CN201910277732A CN110099046A CN 110099046 A CN110099046 A CN 110099046A CN 201910277732 A CN201910277732 A CN 201910277732A CN 110099046 A CN110099046 A CN 110099046A
- Authority
- CN
- China
- Prior art keywords
- network
- jump
- message
- selector
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000001788 irregular Effects 0.000 claims abstract description 22
- 230000006854 communication Effects 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims abstract description 12
- 238000005538 encapsulation Methods 0.000 claims description 24
- 230000003044 adaptive effect Effects 0.000 claims description 19
- 230000000737 periodic effect Effects 0.000 claims description 18
- 238000013461 design Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000000151 deposition Methods 0.000 claims 2
- 238000004422 calculation algorithm Methods 0.000 abstract description 26
- 230000009191 jumping Effects 0.000 abstract description 6
- 230000008569 process Effects 0.000 abstract description 6
- 230000002159 abnormal effect Effects 0.000 description 13
- 238000012986 modification Methods 0.000 description 13
- 230000004048 modification Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 3
- 101100388299 Arabidopsis thaliana DTX54 gene Proteins 0.000 description 2
- 101100294133 Arabidopsis thaliana NIC2 gene Proteins 0.000 description 2
- PWHVEHULNLETOV-UHFFFAOYSA-N Nic-1 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC2=C3)C1C2=CC=C3C(C)C1OC(O)C2(C)OC2(C)C1 PWHVEHULNLETOV-UHFFFAOYSA-N 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- GWWNCLHJCFNTJA-UHFFFAOYSA-N nicandrenone-2 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC23C)C1C3CCC2(O)C(C)C1OC(O)C2(C)OC2(C)C1 GWWNCLHJCFNTJA-UHFFFAOYSA-N 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- WYDFSSCXUGNICP-UHFFFAOYSA-N 24-methylenecholesta-5,7-dien-3beta-ol Natural products C1C2(C)OC2(C)C(O)OC1C(C)C1C2(C)CCC3C4(C)C(=O)C=CCC4(O)C4OC4C3C2CC1 WYDFSSCXUGNICP-UHFFFAOYSA-N 0.000 description 1
- 101100388291 Arabidopsis thaliana DTX49 gene Proteins 0.000 description 1
- 101100388300 Arabidopsis thaliana DTX55 gene Proteins 0.000 description 1
- 101100294134 Arabidopsis thaliana NIC3 gene Proteins 0.000 description 1
- WYDFSSCXUGNICP-CDLQDMDJSA-N C[C@@H]([C@H]1CC[C@H]2[C@@H]3[C@@H]4O[C@@H]4[C@@]4(O)CC=CC(=O)[C@]4(C)[C@H]3CC[C@]12C)[C@H]1C[C@]2(C)O[C@]2(C)C(O)O1 Chemical compound C[C@@H]([C@H]1CC[C@H]2[C@@H]3[C@@H]4O[C@@H]4[C@@]4(O)CC=CC(=O)[C@]4(C)[C@H]3CC[C@]12C)[C@H]1C[C@]2(C)O[C@]2(C)C(O)O1 WYDFSSCXUGNICP-CDLQDMDJSA-N 0.000 description 1
- 101100268840 Danio rerio chrna1 gene Proteins 0.000 description 1
- 208000033748 Device issues Diseases 0.000 description 1
- 235000000177 Indigofera tinctoria Nutrition 0.000 description 1
- 101150065731 NIC1 gene Proteins 0.000 description 1
- 230000004308 accommodation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 229940097275 indigo Drugs 0.000 description 1
- COHYTHOBJLSHDF-UHFFFAOYSA-N indigo powder Natural products N1C2=CC=CC=C2C(=O)C1=C1C(=O)C2=CC=CC=C2N1 COHYTHOBJLSHDF-UHFFFAOYSA-N 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种超融合服务器的网络跳变方法和系统,在超融合服务器网络中,将网络划分为多个层次并对各网络层次进行异构。Underlay网络异构跳变,能够防御DDOS攻击和网络窃听。Overlay网络异构跳变,能够防御网络窃听并保护内部网络逻辑结构。通信参数跳变完成网络信息伪装和信息隐蔽。不同网络层次的异构,在网络安全当中分别完成独立的跳变过程,当整个跳变系统运行时,增加了网络的随机性,安全性和隐蔽性。三个层面结合算法进行随机组合,随机周期跳变时,整个超融合服务器网络将变为一个多变化、无规律的看似随机的节点在网络中伪装隐蔽起来,让攻击者难以发现其踪迹和规律,同时也无法组织连续有效的攻击。
Description
技术领域
本发明涉及超融合虚拟化网络技术领域,具体地,涉及一种超融合服务器的网络跳变方法和系统,尤其是涉及网络虚拟化技术,网络跳变的方法。
背景技术
现有超融合服务器集群以及集群虚拟化网络,主要侧重于服务器集群的虚拟化网络的隔离,以及虚拟化网络与物理网络进行联通。保证多个虚拟机网络间能够进行有效隔离,使多个虚拟网络能够通过相同的物理网络来承载,并且相同虚拟网络间能够互联互通。对于来自网络的安全威胁缺乏有效的防御手段,在安全性方面,主要来自两方面的安全性问题。一方面,针对超融合服务器的拒绝服务攻击,将造成转发平面失效或者转发路径中断,严重影响超融合服务器数据的正常转发,降低网络数据传输的可靠性;另一方面,针对转发数据的窃听攻击通过数据截获、重组分析等手段获取敏感有用信息,破坏转发数据的机密性。
专利文献CN 108055232A公开了一种高速轻量级拟态虚拟网构建方法,包括拟态虚拟网络构建方法和可控网络跳变与迁移方法,为解决基于拟态虚拟网的主动网络防御提供了方法途径,其构建基础是基于容器和SDN交换机实体网络进行跳变,定义可控网络跳变和迁移方法,用户通过系统运维接口设定跳变与迁移相关参数,同时IDS日志等外界信息也作为可控网络跳变和迁移方法的决策依据;变化控制流程通过综合用户设定和外界信息做出决策,并通过协调器对容器和网络结构进行调整,需要先抽象节点为逻辑对象进行存储后再调用。由此可知,所述方法在对虚拟网络、非实体网络无法进行跳变,也无法进行实时跳变计算。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种超融合服务器的网络跳变方法和系统。
根据本发明提供的一种超融合服务器的网络跳变方法,包括:
Underlay网络跳变步骤:构建Underlay网络,通过物理网卡进行异构,在报文转发时选择不同物理网卡,实现无规律的周期性的Underlay网络跳变;
Overlay网络跳变步骤:将报文进行数据帧形式的封装后,通过隧道进行传输,异构多个交换机,并在多个交换机之间设置异构的Overlay网络隧道,在报文转发时选择不同的交换机,实现无规律的周期性的Overlay网络跳变;
通信参数跳变步骤:在发送端对报文的通信参数进行修改,在接收端对修改后的报文进行逆向解析,实现无规律的周期性的通信参数跳变。
优选地,所述的超融合服务器的网络跳变方法,还包括随机跳变设计步骤:生成网络跳变的随机数,在独立的控制器上通过北向接口将随机数配置到网络选择器中,Underlay网络跳变、Overlay网络跳变、通信参数跳变通过网络选择器进行网络跳变选择。
优选地,所述网络跳变选择通过以下步骤实现:
跳变计算步骤:控制器自适应计算跳变周期,在一个跳变周期到期时,控制器运用随机数选择一个物理网卡或者一个交换机成为网络选择器的下一跳;
跳变查询步骤:虚拟机通信时发送报文到网络选择器,网络选择器查询转发流表,若存在转发流表记录,则按照转发流表记录进行转发,若不存在转发流表记录,则将报文发送至控制器;
跳变执行步骤:控制器接收报文后,根据随机数计算出网络选择器对通信参数执行的跳变动作,控制器将转发流表记录、转发端口、跳变动作通过openflow协议下发至网络选择器,在网络选择器上形成转发流表;
通信修改步骤:虚拟机持续发送报文,网络选择器查找转发流表进行信息匹配,命中后按照已匹配的流表规则进行报文转发,并按照转发流表的跳变动作对通信参数字段进行修改,跳变形成跳变报文;
报文封装步骤:网络选择器将跳变报文发送至交换机在Overlay网络隧道进行封装,交换机将封装后报文发送给网络选择器;
报文发送步骤:网络选择器根据转发流表将封装后报文发送给物理网卡,由Underlay网络发送给目的服务器。
根据本发明提供的一种超融合服务器的网络跳变系统,包括:
Underlay网络跳变模块:构建Underlay网络,通过物理网卡进行异构,在报文转发时选择不同物理网卡,实现无规律的周期性的Underlay网络跳变;
Overlay网络跳变模块:将报文进行数据帧形式的封装后,通过隧道进行传输,异构多个交换机,并在多个交换机之间设置异构的Overlay网络隧道,在报文转发时选择不同的交换机,实现无规律的周期性的Overlay网络跳变;
通信参数跳变模块:在发送端对报文的通信参数进行修改,在接收端对修改后的报文进行逆向解析,实现无规律的周期性的通信参数跳变。
优选地,所述的超融合服务器的网络跳变系统,还包括随机跳变设计模块:生成网络跳变的随机数,在独立的控制器上通过北向接口将随机数配置到网络选择器中,Underlay网络跳变、Overlay网络跳变、通信参数跳变通过网络选择器进行网络跳变选择。
优选地,所述网络跳变选择通过以下模块实现:
跳变计算模块:控制器自适应计算跳变周期,在一个跳变周期到期时,控制器运用随机数选择一个物理网卡或者一个交换机成为网络选择器的下一跳;
跳变查询模块:虚拟机通信时发送报文到网络选择器,网络选择器查询转发流表,若存在转发流表记录,则按照转发流表记录进行转发,若不存在转发流表记录,则将报文发送至控制器;
跳变执行模块:控制器接收报文后,根据随机数计算出网络选择器对通信参数执行的跳变动作,控制器将转发流表记录、转发端口、跳变动作通过openflow协议下发至网络选择器,在网络选择器上形成转发流表。
优选地,所述网络跳变选择还通过以下模块实现:
通信修改模块:虚拟机持续发送报文,网络选择器查找转发流表进行信息匹配,命中后按照已匹配的流表规则进行报文转发,并按照转发流表的跳变动作对通信参数字段进行修改,跳变形成跳变报文;
报文封装模块:网络选择器将跳变报文发送至交换机在Overlay网络隧道进行封装,交换机将封装后报文发送给网络选择器;
报文发送模块:网络选择器根据转发流表将封装后报文发送给物理网卡,由Underlay网络发送给目的服务器。
优选地,所述控制器自适应计算跳变周期是根据监测的网络状态进行自适应动态调整跳变周期的数值;所述控制器是分布式SDN控制器;所述网络选择器是分布式SDN交换机。
优选地,所述通信参数包括报文的IP源/目的地址、MAC源/目的地址、TCP/IP协议、端口号中的任一种或任多种。
与现有技术相比,本发明具有如下的有益效果:
1)从安全性方面,对于面临的拒绝服务攻击(DDOS),在攻击发生时,能够保护超融合服务器及其内部的虚拟网络,保证网络数据转发成功率。
2)对于转发数据的网络窃听,提出一种基转发平面随机跳变和通信参数加密跳变的策略,有效对数据进行了隐蔽、加密和伪装,增加转发层数据传输的可靠性和机密性。
3)当三个随机跳变的层面整合时,整个超融合服务器网络将变为一个多变化、无规律的看似随机的节点在网络中伪装隐蔽起来,让攻击者难以发现其踪迹和规律,同时也无法形成有效的攻击,更好的保护网络安全和服务连续性。
4)通过本地有效的实验证明,虚拟机用户在整个转发过程中都是无感知的,既提高了网络安全性,又在用户体验有良好表现。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为超融合服务器的跳变框架示意图;
图2为Underlay网络跳变原理示意图;
图3为Overlay网络跳变原理示意图;
图4为通信参数跳变原理示意图;
图5为Underlay网络与Overlay网络的层次示意图;
图6为超融合服务器的跳变数据流示意图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
根据本发明提供的一种超融合服务器的网络跳变方法,包括:
Underlay网络跳变步骤:构建Underlay网络,通过物理网卡进行异构,在报文转发时选择不同物理网卡,实现无规律的周期性的Underlay网络跳变;
Overlay网络跳变步骤:将报文进行数据帧形式的封装后,通过隧道进行传输,异构多个交换机,并在多个交换机之间设置异构的Overlay网络隧道,在报文转发时选择不同的交换机,实现无规律的周期性的Overlay网络跳变;
通信参数跳变步骤:在发送端对报文的通信参数进行修改,在接收端对修改后的报文进行逆向解析,实现无规律的周期性的通信参数跳变。
具体地,所述的超融合服务器的网络跳变方法,还包括随机跳变设计步骤:生成网络跳变的随机数,在独立的控制器上通过北向接口将随机数配置到网络选择器中,Underlay网络跳变、Overlay网络跳变、通信参数跳变通过网络选择器进行网络跳变选择。
具体地,所述网络跳变选择通过以下步骤实现:
跳变计算步骤:控制器自适应计算跳变周期,在一个跳变周期到期时,控制器运用随机数选择一个物理网卡或者一个交换机成为网络选择器的下一跳;
跳变查询步骤:虚拟机通信时发送报文到网络选择器,网络选择器查询转发流表,若存在转发流表记录,则按照转发流表记录进行转发,若不存在转发流表记录,则将报文发送至控制器;
跳变执行步骤:控制器接收报文后,根据随机数计算出网络选择器对通信参数执行的跳变动作,控制器将转发流表记录、转发端口、跳变动作通过openflow协议下发至网络选择器,在网络选择器上形成转发流表;
通信修改步骤:虚拟机持续发送报文,网络选择器查找转发流表进行信息匹配,命中后按照已匹配的流表规则进行报文转发,并按照转发流表的跳变动作对通信参数字段进行修改,跳变形成跳变报文;
报文封装步骤:网络选择器将跳变报文发送至交换机在Overlay网络隧道进行封装,交换机将封装后报文发送给网络选择器;
报文发送步骤:网络选择器根据转发流表将封装后报文发送给物理网卡,由Underlay网络发送给目的服务器。
根据本发明提供的一种超融合服务器的网络跳变系统,包括:
Underlay网络跳变模块:构建Underlay网络,通过物理网卡进行异构,在报文转发时选择不同物理网卡,实现无规律的周期性的Underlay网络跳变;
Overlay网络跳变模块:将报文进行数据帧形式的封装后,通过隧道进行传输,异构多个交换机,并在多个交换机之间设置异构的Overlay网络隧道,在报文转发时选择不同的交换机,实现无规律的周期性的Overlay网络跳变;
通信参数跳变模块:在发送端对报文的通信参数进行修改,在接收端对修改后的报文进行逆向解析,实现无规律的周期性的通信参数跳变。
具体地,所述的超融合服务器的网络跳变系统,还包括随机跳变设计模块:生成网络跳变的随机数,在独立的控制器上通过北向接口将随机数配置到网络选择器中,Underlay网络跳变、Overlay网络跳变、通信参数跳变通过网络选择器进行网络跳变选择。
具体地,所述网络跳变选择通过以下模块实现:
跳变计算模块:控制器自适应计算跳变周期,在一个跳变周期到期时,控制器运用随机数选择一个物理网卡或者一个交换机成为网络选择器的下一跳;
跳变查询模块:虚拟机通信时发送报文到网络选择器,网络选择器查询转发流表,若存在转发流表记录,则按照转发流表记录进行转发,若不存在转发流表记录,则将报文发送至控制器;
跳变执行模块:控制器接收报文后,根据随机数计算出网络选择器对通信参数执行的跳变动作,控制器将转发流表记录、转发端口、跳变动作通过openflow协议下发至网络选择器,在网络选择器上形成转发流表。
具体地,所述网络跳变选择还通过以下模块实现:
通信修改模块:虚拟机持续发送报文,网络选择器查找转发流表进行信息匹配,命中后按照已匹配的流表规则进行报文转发,并按照转发流表的跳变动作对通信参数字段进行修改,跳变形成跳变报文;
报文封装模块:网络选择器将跳变报文发送至交换机在Overlay网络隧道进行封装,交换机将封装后报文发送给网络选择器;
报文发送模块:网络选择器根据转发流表将封装后报文发送给物理网卡,由Underlay网络发送给目的服务器。
具体地,所述控制器自适应计算跳变周期是根据监测的网络状态进行自适应动态调整跳变周期的数值;所述控制器是分布式SDN控制器;所述网络选择器是分布式SDN交换机。
具体地,所述通信参数包括报文的IP源/目的地址、MAC源/目的地址、TCP/IP协议、端口号中的任一种或任多种。
本发明提供的超融合服务器的网络跳变系统,可以通过超融合服务器的网络跳变方法的步骤流程实现。本领域技术人员可以将超融合服务器的网络跳变方法理解为所述超融合服务器的网络跳变系统的优选例。
本发明是在超融合服务器网络中,将网络划分为多个层次并对各网络层次进行异构。不同网络层次的异构,在网络安全当中分别完成独立的跳变过程,当整个跳变系统运行时,增加了网络的随机性、安全性和隐蔽性。Underlay网络异构跳变,能够防御DDOS攻击和网络窃听。Overlay网络异构跳变,能够防御网络窃听并保护内部网络逻辑结构。通信参数跳变完成网络信息伪装和信息隐蔽。通信参数包括报文的IP源/目的地址,MAC源/目的地址,TCP/IP协议,端口号等等;当三个层面结合算法进行随机组合,随机周期跳变时,整个超融合服务器网络将变为一个多变化、无规律的看似随机的节点在网络中伪装隐蔽起来,让攻击者难以发现其踪迹和规律,同时也无法组织连续有效的攻击。
本发明中,如图5所示,Underlay是当前数据中心网路基础转发架构的网络,只要数据中心网络上任意两点路由可达即可,指的是物理基础层。其包含了一切现有的传统网络技术。Overlay技术是在现有的物理网络之上构建的一个虚拟网络,上层应用只与虚拟网络相关。它是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,使得应用能在物理网络上承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。
超融合服务器上包含虚拟机、网络选择器、异构的虚拟交换机、异构的物理网卡,内部网络的虚拟交换设备由异构的控制器分别控制。各个vSwitch运行不同的Overlay协议,形成异构Overlay隧道网络,各个物理网卡连接到异构的物理网络。将超融合服务器的网络跳变划分为3个层次,分别是Underlay网络跳变、Overlay网络跳变和通信参数跳变。其中,Underlay网络是底层网络,由物理设备和物理链路组成,负责物理网络的互联互通。超融合服务器的物理网卡连接到不同的、异构的Underlay网络中,在报文转发时由网络选择器选择不同物理网卡,实现无规律的周期性Underlay网络的跳变。Overlay网络基于隧道技术实现,通过隧道技术将原生态的二层数据帧报文进行封装后通过隧道进行传输从而实现大二层网络。超融合服务器内部异构多个vSwitch交换机,在各vSwitch间设置异构的Overlay网络隧道,在报文转发时由网络选择器选择不同的vSwitch,实现无规律的周期性Overlay网络的跳变。通信参数跳变主要是使用跳变算法在发送端通过算法对报文内容进行修改,在接收端通过算法逆向解析为原始报文的过程,从而保护网络信息、拓扑被截获后不被攻击者分析。以下列举主要通信参数的修改(并未穷举罗列出全部通信参数):A)设置VLAN ID、VLAN优先级,剥离VLAN头;B)修改源MAC地址、目的MAC地址;C)修改源IPv4地址、目的IPv4地址、ToS位;D)修改源TCP/IP端口、目的TCP/IP端口。
Underlay网络、Overlay网络和通信参数的跳变,都需要网络选择器来实现。网络选择器由独立的控制器控制完成报文的转发选择和随机周期性跳变选择。
设计网络跳变随机数算法,在控制器上通过北向接口开发网络跳变模块,定期更新配置到网络选择器,实现Underlay网络、Overlay网络和网络通信参数的跳变。
网络跳变模块与网络选择器主要实现以下功能:
1)Underlay网络和Overlay网络的跳变周期策略
跳变周期自适应调整策略指网络跳变周期Tei随网络的异常自适应动态变化这就实现了Tei≠Tei-1,这保证了网络跳变周期的动态性。跳变周期拉伸策略指延长网络跳变周期Tei的开放时间,时间区间用Tbi表示,用以接收网络延迟数据包,提高数据传输的可靠性。
2)通信参数的随机跳变
网络跳变的随机性需要实时随机数做保证。Linux内核随机数生成器是Linux操作系统内核的重要组成部分,该生成器从物理设备获取环境的随机噪声,从理论上返回难于预测的真随机数。在发送端将随机数用于对发送报文的随机修改,在接收端用于接受报文的还原,从而实现对报文内容的隐蔽和伪装。
3)网络保活监测
在控制器开发网络状态模块,定期向网络选择器下发查询动作,从网络选择器周期性收集流表、流量相关信息,对网络进行监测,设定保活阈值,一旦发现网络异常或者触动阈值,网络跳变模块即刻修改跳变周期,然后完成网络跳变,同时将该异常网络的状态进行标记,后续跳变不选择该网络。当监测该网络恢复正常时,重新将其网络的状态标记为正常,后续跳变可以重新选择该网络。
如图1所示,超融合服务器的网络结构示意图中,是Underlay+Overlay+通信参数混合跳变的网络基础样式示意图。以左边虚线框为例,整个虚线框看做一个超融合服务器,其中对网络部分进行了示意图展示,可以理解为是基础网络结构,主要是超融合服务器的网络逻辑结构展示,它是实现三个层面跳变的逻辑体现。
其中,Public Network是一个大的概念,接入的方式非常多,可以是电信、联通、移动等等不同的ISP(网络运营商),也可以是集团公司的专线等等。各个ISP的接入方式也各有不同。虽然不同的ISP都能接入到同一个互联网,但是设备、网络信息、网络参数、转发跳数等等都是非常迥异的,是天然异构的。NIC表示超融合服务器上的物理网卡,它负责报文在underlay层面的转发。要实现underlay层面的跳变,就需要由不同的NIC来转发。在跳变环境中,物理网络的异构设想是将各个NIC连接到异构的物理网络中去,比如:NIC1连接到运营商网络1,NIC2连接到运营商网络2,NIC3连接到专线等等。当服务器将下一跳转发经过跳变后选择到不同的NIC时,由于物理网络的异构性,从而实现Underlay网络的异构跳变;另外,图1中的vSwitch表示内部虚拟交换机,使用不同的虚拟交换机技术来实现vSwitch本身的异构,并且在每个vSwitch上部署一个互不同的Overlay协议。每一个vSwitch+Overlay协议代表了一个Overlay网络平面,由此实现Overlay网络的异构隧道,给Overlay跳变提供基础。
如图2所示,在Underlay跳变网络简要示意图中,1个Overlay网络+2个异构Underlay网络的逻辑抽象和展示,其中只画了Network2,并没有再在超融合服务器上画出NIC2和对应的划线连接,因为2个还是3个异构网络的示意图,并不影响读者理解Underlay跳变网络的设计意图。Tunnel是隧道的意思,是Overlay网络的实现基础。Overlay的意思就是指摆脱了物理基础网络的束缚,但是总是需要协议支撑的,支撑的协议的统称叫做隧道协议,包括Vxlan协议,Gre协议,Geneve协议等等。在vSwitch上部署隧道协议,实现Overlay。Overlay网络并不关心底层物理网络结构,只要物理网络间能够路由连通即可。
如图3所示,Overlay网路跳变示意图中,1个Underlay网络+2个Overlay异构网络的逻辑抽象和展示,演化了从Vxlan隧道网络跳变到Gre隧道网络的跳变示意。其中,Vxlan的vSwitch和Gre的vSwitch是异构的vSwitch,不是同一个。
如图1、图4、图6所示,跳变框架和通信参数跳变示意图中,网络跳变通过以下步骤实现:
步骤1):控制器D根据跳变周期算法,自适应的计算跳变周期。在某个周期到期时,控制器D运用随机数算法,随机选择一个vSwitch成为网络选择器(近端)的下一跳;
步骤2):同上,控制器D随机选择一个物理网卡成为网络选择器(远端)的下一跳;
步骤3):虚拟机通信时发送报文到网络选择器(近端),网络选择器查询转发流表,如果存在流表则按照流表对报文进行转发;如果不存在流表,就将首个报文上送给控制器D;
步骤4):控制器D接收到报文后根据随机数算法,计算出需要网络选择器对通信参数执行的跳变动作;
步骤5):控制器D将转发流表、转发端口和跳变动作等信息通过openflow的安全通道下发到网络选择器,在网络选择器上形成转发流表;
步骤6):虚拟机持续发送通信报文,报文发送到网络选择器(近端)时,网络选择器(近端)查找流表进行信息匹配,命中后按照匹配的流表规则进行转发,在报文离开出口前按照流表的跳变动作规则对通信参数字段进行修改,跳变成新的报文;
步骤7):网络选择器(近端)将跳变后报文发送给vSwitch_X进行Overlay隧道的封装操作。完成封装后,vSwitch_X将封装后报文发送给网络选择器(远端);
步骤8):网络选择器(远端)根据流表将报文发送给物理网卡,由Underlay网络发送给目的超融合服务器;
步骤9):在目的端超融合服务器进行以上步骤的反向操作,然后将报文交给虚拟机即完成虚拟机报文的通信过程。
图中的设备介绍如下:
控制器A/B/C:相互异构的分布式虚拟SDN交换机的控制器,分别控制虚拟交换机vSwitch_1/2/3;
vSwitch_1/2/3:相互异构的分布式SDN交换机,支持OpenFlow协议。
控制器D:分布式SDN控制器,通过北向接口扩展跳变周期算法、随机数算法、异或加密算法等模块;
跳变周期算法模块:根据监测的网络状态进行自适应动态调整跳变周期值;
随机数算法:计算每一个跳变周期中网络选择器(近端)下一跳vSwitch;计算每一条跳变周期中网络选择器(远端)下一跳物理网卡;计算每一个跳变周期中报文的通信参数跳变随机值;
异或加密算法:根据随机数算法模块计算出的随机值对通信参数进行异或加/解密,将计算结果返回控制器D;
网络选择器:分布式SDN交换机,支持OpenFlow协议;
VM_A/B:超融合服务器上运行的虚拟机;
NIC_1/2/3:超融合服务器的物理网卡;
混合跳变:Underlay、Overlay和通信参数跳变的混合叠加。
混合网络跳变的周期策略采用的是自适应调整策略Tei。Tei随网络的异常自适应动态变化这就实现了Tei≠Tei-1,这保证了网络跳变周期的动态性。跳变周期拉伸策略指延长网络跳变周期Tei的开放时间,时间区间用Tbi表示,用以接收网络延迟数据包,提高数据传输的可靠性。
下面给出面向网络跳变环境的网络异常度量方法,并以其度量值为依据进行跳变周期的自适应调整。
网络异常是跳变周期进行自适应调整的基础,网络流量异常检测技术经过了几十年的不断发展,从最初的简单方法迅速发展到有统计分析、神经网络、机器学习、数据挖掘等多种算法。任阳阳等人提出的基于非广延熵的网络异常检测方法,通过存储多维网络属性信息,对其中的源IP地址、目的IP地址、源端口号和目的端口号,这4个属性以及数据包的字节数进行非广延熵的计算及归一化处理,得到非广延熵值;然后搭建非广延熵值图谱;进行非广延熵符号化处理;通过非广延熵模式匹配;输出异常检测结果。该非广延熵的网络异常检测算法引入的非广延熵计算方法和归一化处理,在一定程度上能够直观、准确、高效地表征网络流量的变化趋势,方便了网络异常攻击的分析和形象化表示,提高系统检测异常的效率,降低误检率。
在混合网络跳变的周期Tei的动态调整策略中,当检测到网络异常,则认为网络中发生攻击的概率较大,超融合系统中的控制器就缩小网络的跳变周期,且随着网络异常状态持续时间的增长,网络跳变周期的减小速度相应地增加,这样可以降低攻击者成功探测和利用系统漏洞的概率,就保证了数据传输的安全性;当超融合系统未检测到网络异常时,则认为网络被攻击者攻击的概率较小,此时控制器就缓慢增加网络跳变的周期,且随着网络无异常状态的持续时间的增长,网络跳变周期的增长速度也相应增加,以保证数据传输的质量。
网络通信参数跳变的随机性需要实时随机数做保证,在超融合系统中采用Linux内核随机数发生器作为随机数源。Linux内核随机数生成器是Linux操作系统内核的重要组成部分,该生成器从物理设备获取环境的随机噪声,返回难于预测的随机数。该生成器的应用场景涵盖于需要较高安全性的协议栈,如TCP序列号生成、DNS报文ID生成、TLS/SSL加密等需要高质量随机数的场景。
Linux内核随机数生成器通过从计算环境中收集“环境噪音”等外部攻击者难以获取的信息,然后把它们用于随机数的生成,就可以确保产生的随机序列难以被预测。来自环境的随机性来源包括键盘、鼠标和物理中断,以及其他非确定性特别强和难以被预测的事件,把这些来源的随机性需要加入到“熵池”中。在加入熵的过程中,还会根据实际情况计算随机数产生器的内部状态中的熵值,即该熵值代表该系统的随机程度,侧面反映该系统此刻的安全性。对随机序列的获取是通过对熵池进行哈希计算得到。使用哈希算法,是为了避免熵池的内部状态直接被外部获取,从而直接对后面的随机数进行预测。当输出随机序列时,需要保证从随机发生器返回的随机序列小于熵池内部状态的熵值,熵池的熵值也要进行相应地降低。Linux内核随机数生成器有三个熵池组成,分别是Input pool,Blockingpool和Nonblocking pool。每个熵池都有自己的熵值计数器,用于保存熵池的随机程度。如果有环境噪音流入,会先直接进入Input pool中,同时会测量该环境噪音的熵值,并更新其计数器。Blocking pool和Nonblocking pool会根据具体需求,向input pool拉取熵,此时它们的熵值计数器也要有相应的增减。有两种方法可以从熵池中获取随机序列。一种是通过特殊的字符设备文件,另一种是通过内核导出的随机数接口。
在图1中,控制器D不能控制图中的任何vSwitch,它只负责控制网络选择器。随机选择一个vSwitch成为网络选择器(近端)的下一跳是指:当网络选择器转发报文时,网络选择器需要知道下一跳出口是哪个vSwitch。由于这里有3个出口,就对应了3个vSwitch,因此需要进行选择。具体选哪个,怎么选,都是由控制器根据算法选出来的,选出来的是下一跳,这个下一跳就对应着某个vSwitch。控制器并不能控制下一跳vSwitch,仅仅是选择将报文交给它的下一跳。控制器A/B/C/D主要在于异构,每个控制器支持的协议和功能都大致相同,只是实现方式上有差异,就好像电信、移动、联通之间的关系,都是运营商,提供相同的服务。
在图4中,对于传输的报文,在封装前,将虚拟机报文的通信参数,按照控制器计算的跳变算法进行修改操作,将报文的IP、MAC和端口等信息进行改变后再转发给接口封装,让网络侦听者无法获得到真实的内部网络结构和主机信息。通信参数跳变能够对主机信息进行有效的伪装,保护其真实信息不被攻击者获取。通信参数跳变的实现借助于两个方面,一是网络跳变随机数产生算法;二是Openflow协议支持。
网络跳变随机数产生算法:在网络跳变模块中,使用产生的随机数对通信参数进行异或加密,并且由控制器形成转发流表下发给网络选择器,网络选择器将加密后的报文转发给下一跳。
Openflow协议支持:网络选择器支持Openflow协议,通过Openflow支持的‘指令’功能做报文修改。指令确定修改的‘动作’,‘动作’指导网络选择器执行具体的修改。
Openflow协议支持的主要‘动作’有:设置VLAN ID、VLAN优先级,剥离VLAN头;修改源MAC地址、目的MAC地址;修改源IP地址、目的IP地址、ToS位;修改源TCP/UDP端口、目的TCP/UDP端口。
通信参数跳变的流程:网络选择器将接收到的首个虚拟机报文上送给控制器,报文在控制器网络跳变模块中根据随机数算法进行计算,计算出需要网络选择器对通信参数执行的跳变动作。控制器将跳变动作、转发流表和转发端口等信息通过openflow的安全通道下发到网络选择器,在网络选择器上形成转发流表。网络选择器对后续接收到的虚拟机报文,按照流表进行匹配和转发。网络选择器在出端口将报文的通信参数字段修改为控制器下发的随机值,将原报文跳变成新的报文。
在本发明的一个实施例中,网络选择器通过使用SDN交换机来实现,在SDN控制器的北向API开发网络跳变模块。该模块与控制器进行配合,当报文上交控制器时都经过该模块进行一次计算,模块将计算结果通知控制器,控制器结合SDN的机制将流表下发给SDN交换机,完成OPENFLOW流表的下发。
在本发明的一个实施例中,在超融合服务器中搭建整机异构网络。物理网卡采用异构方式,连接到异构的Underlay平面中,保证整个Underlay平面的异构和抗攻击性,一旦感知发现某平面存在攻击,根据跳变算法即刻跳变到其他稳定的网络中。对vSwitch进行异构,采用例如OVN,POFSwitch,Indigo等等;vSwitch的控制器也采用异构的方式,例如OVNController,OpendayLight,FloodLight等等。对Overlay隧道进行异构,例如VXLAN,GRE,GENEVE等等。
在本发明的一个实施例中,网络异常是跳变周期进行自适应调整的基础,网络流量异常检测技术经过了几十年的不断发展,从最初的简单方法迅速发展成种类繁多的各种算法,成为保证网络安全不可或缺的方法。异常检测方法主要有统计分析、神经网络、机器学习、数据挖掘等多种方法。基于非广延熵的网络异常检测方法,通过存储九属性网络数据信息,对其中的源IP地址、目的IP地址、源端口号和目的端口号,这4个属性以及数据包的字节数进行非广延熵的计算及归一化处理,得到非广延熵值;然后搭建非广延熵值图谱;进行非广延熵符号化处理;通过非广延熵模式匹配;输出异常检测结果。该非广延熵的网络异常检测算法引入的非广延熵计算方法和归一化处理,在一定程度上能够直观、准确、高效地表征网络流量的变化趋势,方便了网络异常攻击的分析和形象化表示,提高系统检测异常的效率,降低误检率。
在本发明的一个实施例中,网络跳变的随机性需要实时随机数做保证。Linux内核随机数生成器是Linux操作系统内核的重要组成部分,该生成器从物理设备获取环境的随机噪声,从理论上返回难于预测的真随机数。该生成器的应用场景涵盖于具有较高安全性的协议栈,防止被黑客等进行爆破,如TCP序列号生成、DNS报文ID生成、TLS/SSL加密之类需要难以被预测的随机数场景。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (10)
1.一种超融合服务器的网络跳变方法,其特征在于,包括:
Underlay网络跳变步骤:构建Underlay网络,通过物理网卡进行异构,在报文转发时选择不同物理网卡,实现无规律的周期性的Underlay网络跳变;
Overlay网络跳变步骤:将报文进行数据帧形式的封装后,通过隧道进行传输,异构多个交换机,并在多个交换机之间设置异构的Overlay网络隧道,在报文转发时选择不同的交换机,实现无规律的周期性的Overlay网络跳变;
通信参数跳变步骤:在发送端对报文的通信参数进行修改,在接收端对修改后的报文进行逆向解析,实现无规律的周期性的通信参数跳变。
2.根据权利要求1所述的超融合服务器的网络跳变方法,其特征在于,还包括随机跳变设计步骤:生成网络跳变的随机数,在独立的控制器上通过北向接口将随机数配置到网络选择器中,Underlay网络跳变、Overlay网络跳变、通信参数跳变通过网络选择器进行网络跳变选择。
3.根据权利要求2所述的超融合服务器的网络跳变方法,其特征在于,所述网络跳变选择通过以下步骤实现:
跳变计算步骤:控制器自适应计算跳变周期,在一个跳变周期到期时,控制器运用随机数选择一个物理网卡或者一个交换机成为网络选择器的下一跳;
跳变查询步骤:虚拟机通信时发送报文到网络选择器,网络选择器查询转发流表,若存在转发流表记录,则按照转发流表记录进行转发,若不存在转发流表记录,则将报文发送至控制器;
跳变执行步骤:控制器接收报文后,根据随机数计算出网络选择器对通信参数执行的跳变动作,控制器将转发流表记录、转发端口、跳变动作通过openflow协议下发至网络选择器,在网络选择器上形成转发流表。
4.根据权利要求2所述的超融合服务器的网络跳变方法,其特征在于,所述网络跳变选择还通过以下步骤实现:
通信修改步骤:虚拟机持续发送报文,网络选择器查找转发流表进行信息匹配,命中后按照已匹配的流表规则进行报文转发,并按照转发流表的跳变动作对通信参数字段进行修改,跳变形成跳变报文;
报文封装步骤:网络选择器将跳变报文发送至交换机在Overlay网络隧道进行封装,交换机将封装后报文发送给网络选择器;
报文发送步骤:网络选择器根据转发流表将封装后报文发送给物理网卡,由Underlay网络发送给目的服务器。
5.一种超融合服务器的网络跳变系统,其特征在于,包括:
Underlay网络跳变模块:构建Underlay网络,通过物理网卡进行异构,在报文转发时选择不同物理网卡,实现无规律的周期性的Underlay网络跳变;
Overlay网络跳变模块:将报文进行数据帧形式的封装后,通过隧道进行传输,异构多个交换机,并在多个交换机之间设置异构的Overlay网络隧道,在报文转发时选择不同的交换机,实现无规律的周期性的Overlay网络跳变;
通信参数跳变模块:在发送端对报文的通信参数进行修改,在接收端对修改后的报文进行逆向解析,实现无规律的周期性的通信参数跳变。
6.根据权利要求5所述的超融合服务器的网络跳变系统,其特征在于,还包括随机跳变设计模块:生成网络跳变的随机数,在独立的控制器上通过北向接口将随机数配置到网络选择器中,Underlay网络跳变、Overlay网络跳变、通信参数跳变通过网络选择器进行网络跳变选择。
7.根据权利要求6所述的超融合服务器的网络跳变系统,其特征在于,所述网络跳变选择通过以下模块实现:
跳变计算模块:控制器自适应计算跳变周期,在一个跳变周期到期时,控制器运用随机数选择一个物理网卡或者一个交换机成为网络选择器的下一跳;
跳变查询模块:虚拟机通信时发送报文到网络选择器,网络选择器查询转发流表,若存在转发流表记录,则按照转发流表记录进行转发,若不存在转发流表记录,则将报文发送至控制器;
跳变执行模块:控制器接收报文后,根据随机数计算出网络选择器对通信参数执行的跳变动作,控制器将转发流表记录、转发端口、跳变动作通过openflow协议下发至网络选择器,在网络选择器上形成转发流表。
8.根据权利要求6所述的超融合服务器的网络跳变系统,其特征在于,所述网络跳变选择还通过以下模块实现:
通信修改模块:虚拟机持续发送报文,网络选择器查找转发流表进行信息匹配,命中后按照已匹配的流表规则进行报文转发,并按照转发流表的跳变动作对通信参数字段进行修改,跳变形成跳变报文;
报文封装模块:网络选择器将跳变报文发送至交换机在Overlay网络隧道进行封装,交换机将封装后报文发送给网络选择器;
报文发送模块:网络选择器根据转发流表将封装后报文发送给物理网卡,由Underlay网络发送给目的服务器。
9.根据权利要求3所述的超融合服务器的网络跳变方法或者根据权利要求7所述的超融合服务器的网络跳变系统,其特征在于,所述控制器自适应计算跳变周期是根据监测的网络状态进行自适应动态调整跳变周期的数值;所述控制器是分布式SDN控制器;所述网络选择器是分布式SDN交换机。
10.根据权利要求1所述的超融合服务器的网络跳变方法或者根据权利要求5所述的超融合服务器的网络跳变系统,其特征在于,所述通信参数包括报文的IP源/目的地址、MAC源/目的地址、TCP/IP协议、端口号中的任一种或任多种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910277732.8A CN110099046B (zh) | 2019-04-08 | 2019-04-08 | 超融合服务器的网络跳变方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910277732.8A CN110099046B (zh) | 2019-04-08 | 2019-04-08 | 超融合服务器的网络跳变方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110099046A true CN110099046A (zh) | 2019-08-06 |
| CN110099046B CN110099046B (zh) | 2021-05-11 |
Family
ID=67444431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910277732.8A Active CN110099046B (zh) | 2019-04-08 | 2019-04-08 | 超融合服务器的网络跳变方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110099046B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111464341A (zh) * | 2020-03-19 | 2020-07-28 | 烽火通信科技股份有限公司 | 一种Overlay业务配置方法及装置 |
| CN111510465A (zh) * | 2020-06-30 | 2020-08-07 | 之江实验室 | 一种基于混合数据类型工业协议的拟态裁决方法及裁决器 |
| CN112039915A (zh) * | 2020-09-08 | 2020-12-04 | 中国石油大学(华东) | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
| CN112272192A (zh) * | 2020-11-18 | 2021-01-26 | 北京知道未来信息技术有限公司 | 一种域名爆破方法、装置、存储介质及电子设备 |
| CN112559736A (zh) * | 2020-10-21 | 2021-03-26 | 山东亦贝数据技术有限公司 | 一种随机消息智能分发系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104853003A (zh) * | 2015-04-30 | 2015-08-19 | 中国人民解放军国防科学技术大学 | 一种基于Netfilter的地址、端口跳变通信实现方法 |
| CN104869116A (zh) * | 2015-05-12 | 2015-08-26 | 中国人民解放军信息工程大学 | 电信网信令安全主动防护方法 |
| CN106657066A (zh) * | 2016-12-23 | 2017-05-10 | 中国电子科技集团公司第三十研究所 | 一种网络管理平面地址的随机跳变方法及装置 |
| US20180069786A1 (en) * | 2016-09-02 | 2018-03-08 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Randomized route hopping in software defined networks |
| CN107809367A (zh) * | 2017-11-07 | 2018-03-16 | 锐捷网络股份有限公司 | 一种sdn网络的设备上线方法及sdn控制器、网络设备 |
-
2019
- 2019-04-08 CN CN201910277732.8A patent/CN110099046B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104853003A (zh) * | 2015-04-30 | 2015-08-19 | 中国人民解放军国防科学技术大学 | 一种基于Netfilter的地址、端口跳变通信实现方法 |
| CN104869116A (zh) * | 2015-05-12 | 2015-08-26 | 中国人民解放军信息工程大学 | 电信网信令安全主动防护方法 |
| US20180069786A1 (en) * | 2016-09-02 | 2018-03-08 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Randomized route hopping in software defined networks |
| CN106657066A (zh) * | 2016-12-23 | 2017-05-10 | 中国电子科技集团公司第三十研究所 | 一种网络管理平面地址的随机跳变方法及装置 |
| CN107809367A (zh) * | 2017-11-07 | 2018-03-16 | 锐捷网络股份有限公司 | 一种sdn网络的设备上线方法及sdn控制器、网络设备 |
Non-Patent Citations (1)
| Title |
|---|
| 王宇航: "一种基于SDN的地址跳变主动防御技术的研究与实现", 《信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111464341A (zh) * | 2020-03-19 | 2020-07-28 | 烽火通信科技股份有限公司 | 一种Overlay业务配置方法及装置 |
| CN111464341B (zh) * | 2020-03-19 | 2022-11-18 | 烽火通信科技股份有限公司 | 一种Overlay业务配置方法及装置 |
| CN111510465A (zh) * | 2020-06-30 | 2020-08-07 | 之江实验室 | 一种基于混合数据类型工业协议的拟态裁决方法及裁决器 |
| CN112039915A (zh) * | 2020-09-08 | 2020-12-04 | 中国石油大学(华东) | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
| CN112559736A (zh) * | 2020-10-21 | 2021-03-26 | 山东亦贝数据技术有限公司 | 一种随机消息智能分发系统及方法 |
| CN112272192A (zh) * | 2020-11-18 | 2021-01-26 | 北京知道未来信息技术有限公司 | 一种域名爆破方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110099046B (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110099046A (zh) | 超融合服务器的网络跳变方法和系统 | |
| EP2890079B1 (en) | Attack mitigation using learning machines | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| Albanese et al. | A moving target defense mechanism for manets based on identity virtualization | |
| Dao et al. | MAEC-X: DDoS prevention leveraging multi-access edge computing | |
| Srinivasan | Detection of Black Hole Attack Using Honeypot Agent-Based Scheme with Deep Learning Technique on MANET. | |
| Umamaheswari et al. | Enhanced ANTSEC framework with cluster based cooperative caching in mobile ad hoc networks | |
| CN113225255A (zh) | 一种基于触发生成机制的sdn随机路由跳变方法 | |
| US20220417269A1 (en) | Edge-based polymorphic network with advanced agentless security | |
| Peng et al. | ADVICE: Towards adaptive scheduling for data collection and DDoS detection in SDN | |
| Sharma et al. | Attack prevention methods for DDOS attacks in MANETs | |
| Komninos et al. | LIDF: Layered intrusion detection framework for ad-hoc networks | |
| Liu et al. | Netobfu: A lightweight and efficient network topology obfuscation defense scheme | |
| Dhingra et al. | A study of RPL attacks and defense mechanisms in the internet of things network | |
| CN110121866A (zh) | 检测和抑制环路 | |
| Nourildean et al. | Mobile ad hoc network improvement against jammers for video applications using riverbed modeler (v17. 5) | |
| Liu et al. | AntiTomo: Network topology obfuscation against adversarial tomography-based topology inference | |
| Nowak et al. | Cognitive routing for improvement of IoT security | |
| Wang et al. | A Secured Protocol for IoT Devices in Tactical Networks | |
| Chen et al. | Neuronet: An adaptive infrastructure for network security | |
| Liu et al. | AEH-MTD: Adaptive moving target defense scheme for SDN | |
| Jiang et al. | Credible Link Flooding Attack Detection and Mitigation: A Blockchain-Based Approach | |
| CN110601878B (zh) | 一种构建隐身网络的方法 | |
| Pimpalkar et al. | Detection and defense mechanisms against DDoS attacks: A review | |
| Toony et al. | MULTI-BLOCK: A novel ML-based intrusion detection framework for SDN-enabled IoT networks using new pyramidal structure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |