CN110225008B - 一种云环境下sdn网络状态一致性验证方法 - Google Patents
一种云环境下sdn网络状态一致性验证方法 Download PDFInfo
- Publication number
- CN110225008B CN110225008B CN201910447818.0A CN201910447818A CN110225008B CN 110225008 B CN110225008 B CN 110225008B CN 201910447818 A CN201910447818 A CN 201910447818A CN 110225008 B CN110225008 B CN 110225008B
- Authority
- CN
- China
- Prior art keywords
- data packet
- flow
- network
- path
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云环境下SDN网络状态一致性验证方法,从网络更新请求和响应两个方面进行验证,包括请求验证、安全规则验证和转发层路径验证;在网络更新请求阶段,通过解析网络状态元数据形成约束空间,并解析安全策略形成安全空间,解析网络更新请求并依次与约束空间和安全空间进行快速验证,实时检测出恶意请求,确保控制器维护正确的全局网络视图,同时保证控制器向转发层下发的流规则与安全策略一致;在网络状态更新响应阶段,通过SDN控制器主动发送探测数据包验证流转发路径,采用OpenFlow的组表方式在探测数据包头部添加标签标记数据包在转发层的实际转发路径,实现了轻量级的数据包转发路径验证及异常路径定位。
Description
技术领域
本发明涉及云环境下虚拟网络安全技术领域,尤其是涉及一种云环境下SDN网络状态一致性验证方法。
背景技术
软件定义网络(Software Defined Networking,SDN)是一种将数据平面与控制平面解耦合,在逻辑上实现集中控制和管理的新型网络架构。SDN的出现为管理云环境下大规模虚拟网络提供了一种有效的解决方案。SDN中一个重要的挑战是保障高层定义的网络功能与底层转发设备配置的一致性,即保证控制层配置的网络功能和策略在转发层得到了相应的实现。SDN是典型的流规则驱动型网络,流规则的合法性和一致性是保证SDN正常且有效运行的基础,由于转发层的网络设备对控制器下发的流规则完全信任,一旦由恶意应用程序提供的流规则或被恶意攻击更改的流规则被执行,将使SDN的安全性面临严重威胁。因此,对流规则的合法性和一致性进行检查,防止恶意和非法流规则的扩散,并确保流规则的正确下发和执行对SDN的安全运行至关重要。
在SDN网络状态更新的整个过程中,依次会面临控制器错误网络视图、流规则与安全规则冲突以及流表分布式拒绝服务(DDoS)攻击或流规则下发延迟等三类安全威胁导致网络状态发生不一致。云环境中,底层网络配置分布在许多终端主机上且终端主机中实现的虚拟网络设备可靠性低于专用的网络设备,更容易遭受各种攻击破坏预期的网络功能,导致转发层与控制层的网络状态不一致。在多租户环境中,转发层错误的网络配置可能将租户私有网络流量暴露给未授权的用户而产生安全漏洞。
目前针对SDN网络状态一致性问题的研究主要分为三类:第一类是针对控制层策略冲突检测及消解,控制层运行着多个自定义或第三方提供的应用,这些应用生成的流规则间可能会出现相互竞争、彼此冲突或覆盖的情况。但控制层的策略正确不能保障转发层转发状态的正确,所以还需对转发层进行监控确保数据正常转发。第二类是针对转发层异常行为进行检测,SDN的灵活机制导致对转发层攻击的防御变得非常复杂,目前对转发层网络状态的研究主要集中在转发行为异常检测及验证上。第三类是针对控制层与转发层网络状态一致性的验证。通过获取两层的网络状态进行全局对比定位出网络状态的不一致。
现有的研究方法存在的缺陷主要有:1)集中解决SDN中单层网络状态不一致,或者某一类攻击导致的网络状态不一致,由于网络中有多种攻击,一种攻击不能保证网络状态的一致性;2)由于云环境下网络状态是灵活多变的,通过获取网络状态进行全局对比定位出网络状态的不一致,不能确保获取到的网络状态是最新的,且进行全局对比会带来巨大的计算和通信开销;3)在云环境中,网络配置分散在多个虚拟网络终端中,依靠终端主机在数据平面上实现网络功能,因此云环境下SDN的实现机制与纯SDN环境中有差别,基于核心的SDN开发技术不能直接用于云平台。
发明内容
本发明所要解决的技术问题是提供一种云环境下SDN网络状态一致性验证方法,实时验证网络更新请求的合法性并确保下发到转发层的流转发路径与控制层定义的转发逻辑的一致性。
为解决上述技术问题,本发明采用的技术方案是:
一种云环境下SDN网络状态一致性验证方法,包括以下步骤:
步骤1:通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息,将这些信息解析形成约束空间;调用应用程序编程接口(API)获取网络中的安全策略,解析形成安全空间;
步骤2:控制器收到流规则请求消息Packet-In时,提取请求数据包中的元数据与约束空间进行对比,如果有冲突,则控制器拒绝该请求;
步骤3:约束空间验证通过后,控制器计算请求数据包的转发路径,在流规则下发前将转发路径信息与安全空间进行对比验证,验证请求的转发路径是否与网络当前的安全策略有冲突,有冲突则验证不通过,控制器不下发流规则,并向管理员发出恶意请求告警;
步骤4:若约束空间验证和安全空间验证都通过,则控制器向转发层下发流规则,同时将流转发路径和根据流转发路径计算出的流转发路径标签存储在流路径表中,存储格式为<header,path(f),tag(f)>,其中header为流f请求的数据包包头信息,path(f)是解析出的流f的路径端口序列,tag(f)是根据路径端口序列计算出的哈希值;
步骤5:构建控制器探测数据包,控制器构造探测数据包需满足两个条件,其一,控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致,其二,探测数据包需要用数据包头部的保留字段标识,且该保留字段必须不属于OpenFlow协议中规定的匹配域;
步骤6:交换机在转发层对探测数据包添加流转发路径标签,从而标记探测数据包的转发路径;即在入口交换机上为探测数据包添加流转发路径标签来记录流转发路径信息,在中间交换机上更新流转发路径标签,当探测数据包转发到出口交换机时,交换机触发Packet-In事件,将探测数据包包头和流转发路径标签上报给控制器;
步骤7:控制器收到出口交换机报告的探测数据包时,快速解析探测数据包头部信息,通过探测数据包头部中的流转发路径标签值与流路径表中tag值进行对比验证,若tag值一致,则验证成功;若控制层接收不到探测数据包的流转发路径标签值且超过设置时间,则判断该流转发路径不一致,将流转发路径标记成异常路径。
进一步的,在步骤4中,存储header时使用二叉决策图形式。
与现有技术相比,本发明的有益效果是:在网络更新请求阶段,本发明解析网络状态元数据形成约束空间,且解析安全策略形成安全空间,解析网络更新请求并依次与约束空间和安全空间进行快速验证,实时检测出恶意请求,确保控制器维护正确的全局网络视图,同时保证控制器向转发层下发的流规则与安全策略一致。在网络状态更新响应阶段,本发明通过SDN的组表方式在数据包头部添加标签标记数据包转发路径,同时控制器主动发送探测包验证路径,实现了轻量级的数据包转发路径验证及异常路径定位。
附图说明
图1是本发明网络状态一致性验证框架图;
图2是本发明中网络更新请求合法性验证过程示意图;
图3是本发明中网络更新响应中转发层路径验证过程示意图。
具体实施方式
本发明实现原理为:在网络更新请求阶段,通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息等,并将这些信息解析形成约束空间。
调用API接口获取网络中的安全策略,解析形成安全空间。在云平台中安全策略以链的形式组织,每条链定义了一系列规则,每个规则定义了匹配数据包集和相关的ACCEPT、DROP及调用其他链的动作。本发明提出的安全链解析算法如下。安全链解析算法顺序的解析一条链包含的所有规则,分别获得数据包的ACCEPT/DROP(SA/SD)空间。安全空间用规则匹配的数据包源信息PSrc和目的信息PDst表示,PSrc由(SrcIP,SrcPort,Protocol)组成,PDst由(DstIP,DstPort)组成。规则由匹配数据包集合(pm)、规则动作(action)和被调用的链(CalledChain)构成。解析完一个新规则后,算法在相关的动作类型空间中增加新的匹配的数据包信息。如果动作是调用另一个链,该算法会递归地遍历调用链并获得它的ACCEPT和DROP空间并相应的更新到安全链的安全空间中。因为链之间的调用关系是一个有向无环图,该算法可以遍历一组安全规则配置中的所有链,且每个链只需遍历一次。每条链解析到的信息的并集组成安全空间,当平台中增加或更新安全规则时,实时解析相应的规则并更新到安全空间里。
算法安全链解析(ParseSecurityChain)
输入:securityChain
输出:sa,sd
通过截取Packet-In请求并解析请求数据包信息,将请求信息与维护的约束空间对比,若是恶意请求,则验证不会通过,拒绝该请求。
若请求验证通过,控制器根据当前网络状态为该请求计算出一条转发路径,在流规则下发前将转发路径信息与安全空间进行对比验证,验证请求的转发路径是否与网络当前的安全策略有冲突。本发明基于头部空间分析(HSA)计算流路径。流f的路径可描述为交换机端口的一个序列,即
验证通过表明流更新请求合理,控制器向转发层下发流规则,同时将转发路径和根据转发路径计算出的流转发路径标签存储在流路径表中。
在网络状态更新响应阶段,通过使用探测数据包验证转发层的实际转发路径来确保控制层的策略正确下发到转发层。实现的原理为:
控制器主动发送探测数据包来完成流转发路径的探测。控制器构造探测数据包时需满足两个要求,首先为了探测数据包的真实转发路径,控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致。其次,用于区分探测数据包与正常探测数据包,探测数据包需要用数据包头部的保留字段标识,且该保留字段必须不属于OpenFlow协议中规定的匹配域,本发明使用服务类型(ToS)字段来区分探测数据包与正常探测数据包。
交换机在转发层对数据包添加标签,从而标记数据包转发的路径。具体地,在入口交换机上为数据包添加标签记录路径信息,在中间交换机上更新标签,当数据包转发到出口交换机时,将数据包头和标签上报给控制器。
控制器收到出口交换机报告的流标签时,使用二叉决策图(BDD)快速解析数据包头部信息,通过验证标签值与流路径表中tag值进行对比,若tag值一致,则验证成功。若不一致,则验证失败,即控制层策略未能正确下发到转发层,数据包转发路径出现了异常,根据流路径表快速定位出异常路径。
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1给出了本发明中网络状态一致性框架。如图1所示,该系统可用于检测网络状态更新中导致网络状态产生不一致的各种安全威胁,确保网络状态的正确更新,基于网络更新请求和网络更新响应两个阶段设计的主要模块包括:请求验证模块(约束空间验证),安全规则验证模块(安全空间验证),转发层路径验证模块。
请求验证模块主要通过截取Packet-In请求并解析数据包信息,与在约束空间中维护的当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息等元数据进行验证,确保网络请求合法。
安全规则验证模块是在网络请求合法性验证通过后,控制器根据当前网络状态为该请求计算出一条转发路径,在流规则下发前将转发路径信息与安全空间进行对比验证,验证请求的转发路径是否与网络当前的安全策略有冲突。
转发层路径验证模块主要是验证控制器发送的流规则是否成功安装在数据平面中,即转发层的实际转发路径是否与控制层下发的转发路径一致。
图2给出了上述请求验证和安全规则验证模块的示意图,该两个模块都是在网络更新请求验证过程中验证的。
由于恶意主机会发出伪造的Packet-In消息毒害控制器网络视图或者欺骗控制器下发恶意流表。控制器收到流规则请求消息Packet-In时,提取数据包中的元数据与约束空间进行对比,如果有冲突,控制器则拒绝该请求。例如,恶意ARP请求时,解析到的IP-MAC绑定信息与约束空间存储的信息不一致,因此控制器会拒绝该请求。
请求验证模块验证通过后控制器计算请求数据包的转发路径,接着验证转发路径是否与安全规则冲突。若转发路径与安全空间冲突,则验证不通过,控制器不下发流规则,并向管理员发出恶意请求告警。
安全规则验证通过表明流更新请求合理,控制器向转发层下发流规则,同时将流转发路径和根据转发路径计算出的流标签存储在流路径表中,存储格式为<header,path(f),tag(f)>,其中header为流f请求的数据包包头信息,path(f)是解析出的流f的转发路径端口序列,tag(f)是根据转发路径端口序列计算出的哈希值。
由于BDD可简洁而唯一的表示出每个字段的布尔值以及这些字段在匹配到某些条件后的相应操作,在存储header时使用BDD形式。
完成网络更新请求合法性的验证后,转发层路径验证模块验证控制层下发的流规则是否正确的安装到了转发层。
图3给出转发层路径验证过程示意图。在控制器向转发层下发流规则后,控制器主动发送探测数据包来完成流转发路径的探测。控制器构造探测数据包时需满足两个要求,首先为了探测数据包的真实转发路径,控制器构造探测数据包的头部匹配域字段要与被探测流的匹配域字段完全一致。其次,用于区分探测数据包与正常探测数据包,探测包需要用数据包头部的保留字段标识,且该保留字段必须不属于OpenFlow协议中规定的匹配域,本发明使用ToS字段来区分探测数据包与正常探测数据包。
控制器获取转发路径上的所有交换机,向第一跳交换机下发组表,组表中的动作为:
1)给探测数据包添加标签
使用哈希函数生成标签tag=hash(pin,switchID,pout),为了避免数据包在转发层发生环路或黑洞等给数据包附上生存时间值(TTL),并初始化为最大路径长度;
2)正常转发数据包
向中间交换机下发组表,组表中的动作为:
2)正常转发数据包
最后在出口交换机或探测数据包TTL为0时,交换机触发Packet-In事件,将探测数据包包头信息及标签信息发送给控制器,标签格式是<header,tag>二元组。
为了不修改OpenFlow协议需将标签存放在OpenFlow支持的包头域中,本发明将标签存放在数据包头虚拟局域网标签(VLAN tag)中。云环境下数据包可能自带有VLAN tag来进行数据包隔离,因此将路径标签添加在支持两层VLAN tag的QinQ帧的外层VLAN包头域中,在添加标签时将VLAN tag域中标签协议标识设为0x88a8。
控制器收到出口交换机报告的流标签时,使用BDD快速解析数据包头部信息,通过验证BDD表示是否有交集来确定数据包包头是否为header∈packet.header,其中header为转发层报告的数据包包头,packet.header为路径表项中存储的数据包包头信息;接着将转发路径标签值与路径表中tag值进行对比,若tag值一致,则验证成功。若不一致,则验证失败,即控制层流规则未能正确下发到转发层,数据包转发路径出现了异常,根据流路径表快速定位出异常路径。
当流规则未能正常下发到转发层时,探测数据包可能不会被转发到出口交换机,控制层接收不到探测数据包的转发路径标签值,因此流标签验证时会设置一个超时时钟,若时钟超时,也判断该流转发路径不一致,将流转发路径标记成异常路径。本发明中时钟时长是根据系统中测试的数据包总体延迟决定的,确保大部分情况下不会产生误报,同时也加快了检测异常的速度。
Claims (2)
1.一种云环境下SDN网络状态一致性验证方法,其特征在于,包括以下步骤:
步骤1:通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息,将这些信息解析形成约束空间;调用应用程序编程接口获取网络中的安全策略,解析形成安全空间;
步骤2:控制器收到流规则请求消息Packet-In时,提取请求数据包中的元数据与约束空间进行对比,如果有冲突,则控制器拒绝该请求;
步骤3:约束空间验证通过后,控制器计算请求数据包的转发路径,在流规则下发前将转发路径信息与安全空间进行对比验证,验证请求的转发路径是否与网络当前的安全策略有冲突,有冲突则验证不通过,控制器不下发流规则,并向管理员发出恶意请求告警;
步骤4:若约束空间验证和安全空间验证都通过,则控制器向转发层下发流规则,同时将流转发路径和根据流转发路径计算出的流转发路径标签存储在流路径表中,存储格式为<header,path(f),tag(f)>,其中header为流f请求的数据包包头信息,path(f)是解析出的流f的路径端口序列,tag(f)是根据路径端口序列计算出的哈希值;
步骤5:构建控制器探测数据包,控制器构造探测数据包需满足两个条件,其一,控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致,其二,探测数据包需要用数据包头部的保留字段标识,且该保留字段必须不属于OpenFlow协议中规定的匹配域;
步骤6:交换机在转发层对探测数据包添加流转发路径标签,从而标记探测数据包的转发路径;即在入口交换机上为探测数据包添加流转发路径标签来记录流转发路径信息,在中间交换机上更新流转发路径标签,当探测数据包转发到出口交换机时,交换机触发Packet-In事件,将探测数据包包头和流转发路径标签上报给控制器;
步骤7:控制器收到出口交换机报告的探测数据包时,快速解析探测数据包头部信息,通过探测数据包头部中的流转发路径标签值与流路径表中tag值进行对比验证,若tag值一致,则验证成功;若控制层接收不到探测数据包的流转发路径标签值且超过设置时间,则判断该流转发路径不一致,将流转发路径标记成异常路径。
2.如权利要求1所述的一种云环境下SDN网络状态一致性验证方法,其特征在于,在步骤4中,存储header时使用二叉决策图形式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910447818.0A CN110225008B (zh) | 2019-05-27 | 2019-05-27 | 一种云环境下sdn网络状态一致性验证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910447818.0A CN110225008B (zh) | 2019-05-27 | 2019-05-27 | 一种云环境下sdn网络状态一致性验证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110225008A CN110225008A (zh) | 2019-09-10 |
CN110225008B true CN110225008B (zh) | 2020-07-31 |
Family
ID=67818511
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910447818.0A Active CN110225008B (zh) | 2019-05-27 | 2019-05-27 | 一种云环境下sdn网络状态一致性验证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110225008B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110601983A (zh) * | 2019-10-15 | 2019-12-20 | 南京信息职业技术学院 | 一种协议无感知源路由转发方法及系统 |
CN111464340B (zh) * | 2020-03-19 | 2022-10-18 | 北京大学深圳研究生院 | 一种网络控制方法、数据转发方法及软件定义网络 |
CN111770389A (zh) * | 2020-03-20 | 2020-10-13 | 深圳宇翊技术股份有限公司 | 一种基于组播和单播混合策略的pis补帧算法 |
CN111865814B (zh) * | 2020-07-31 | 2022-04-29 | 浙江大学 | 一种软件定义网络中异常转发流量的自动化过滤方法 |
CN114201500A (zh) * | 2020-09-02 | 2022-03-18 | 中兴通讯股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN114338568B (zh) * | 2020-09-30 | 2024-03-01 | 中车株洲电力机车研究所有限公司 | 数据流统计方法及以太网交换机 |
CN112367213B (zh) * | 2020-10-12 | 2022-02-25 | 中国科学院计算技术研究所 | 面向sdn网络的策略异常检测方法、系统、装置及存储介质 |
CN112437065B (zh) * | 2020-11-12 | 2022-06-21 | 安徽大学 | Sdn环境下基于图形表示的策略冲突检测及解决方法 |
CN112383555B (zh) * | 2020-11-17 | 2022-06-03 | 宏图智能物流股份有限公司 | 一种物流网络中的网络请求有效性验证方法 |
CN113572726B (zh) * | 2021-06-07 | 2023-04-28 | 中国人民解放军战略支援部队信息工程大学 | 一种多模态网络控制-数据平面一致性校验方法及装置 |
CN113595793B (zh) * | 2021-07-30 | 2023-11-07 | 桂林电子科技大学 | 基于fpga的sdn网络策略一致性的分段验证方法 |
CN115051984B (zh) * | 2021-11-22 | 2023-03-28 | 厦门大学 | 一种分布式数据平面验证方法 |
WO2023115367A1 (zh) * | 2021-12-22 | 2023-06-29 | 北京大学深圳研究生院 | 一种多协议数据传输方法及装置、网络和存储介质 |
CN114866414A (zh) * | 2022-03-24 | 2022-08-05 | 阿里巴巴(中国)有限公司 | 虚拟网络状态确定方法、装置及设备 |
CN114866313B (zh) * | 2022-04-29 | 2024-04-09 | 中移(杭州)信息技术有限公司 | 路径转发验证方法、系统、设备及存储介质 |
CN114884821B (zh) | 2022-06-17 | 2023-07-18 | 北京邮电大学 | 一种自智网络中的多策略冲突规避方法 |
CN117650953B (zh) * | 2024-01-30 | 2024-05-10 | 东北大学 | 一种应用于软件定义网络的轻量级路径验证方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958834A (zh) * | 2010-09-27 | 2011-01-26 | 清华大学 | 支持高速缓存一致的片上网络系统及数据请求方法 |
CN103688497A (zh) * | 2013-09-26 | 2014-03-26 | 华为技术有限公司 | 跨域路径的建立方法及设备 |
CN105282057A (zh) * | 2015-09-11 | 2016-01-27 | 华为技术有限公司 | 流表更新方法、控制器及流表分析设备 |
US9515872B2 (en) * | 2013-03-12 | 2016-12-06 | Dell Products L.P. | Systems and methods for tunnel-free fast rerouting in internet protocol networks |
CN108712308A (zh) * | 2018-06-06 | 2018-10-26 | 郑州云海信息技术有限公司 | 虚拟网络中检测网络设备的方法和装置 |
CN108768769A (zh) * | 2018-05-17 | 2018-11-06 | 南方科技大学 | 控制面和数据面一致性的检测方法、检测系统及交换机 |
CN109039959A (zh) * | 2018-07-27 | 2018-12-18 | 广东工业大学 | 一种sdn网络规则的一致性判断方法及相关装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9288069B2 (en) * | 2013-03-11 | 2016-03-15 | Cisco Technology, Inc. | Loop avoidance technique for the multicast control plane |
TWI528755B (zh) * | 2013-12-06 | 2016-04-01 | 財團法人工業技術研究院 | 軟體定義網路中用於延遲量測之網路控制器、延遲量測系統及延遲量測方法 |
CN104202183B (zh) * | 2014-08-21 | 2017-08-25 | 清华大学深圳研究生院 | 一种解决sdn流级别配置一致性更新的方法和装置 |
CN104980431B (zh) * | 2015-05-14 | 2018-09-21 | 南京大学 | 一种sdn中实现流有序的一致性更新方法 |
US20170012900A1 (en) * | 2015-07-08 | 2017-01-12 | Infinera Corporation | Systems, methods, and apparatus for verification of a network path |
-
2019
- 2019-05-27 CN CN201910447818.0A patent/CN110225008B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958834A (zh) * | 2010-09-27 | 2011-01-26 | 清华大学 | 支持高速缓存一致的片上网络系统及数据请求方法 |
US9515872B2 (en) * | 2013-03-12 | 2016-12-06 | Dell Products L.P. | Systems and methods for tunnel-free fast rerouting in internet protocol networks |
CN103688497A (zh) * | 2013-09-26 | 2014-03-26 | 华为技术有限公司 | 跨域路径的建立方法及设备 |
CN105282057A (zh) * | 2015-09-11 | 2016-01-27 | 华为技术有限公司 | 流表更新方法、控制器及流表分析设备 |
CN108768769A (zh) * | 2018-05-17 | 2018-11-06 | 南方科技大学 | 控制面和数据面一致性的检测方法、检测系统及交换机 |
CN108712308A (zh) * | 2018-06-06 | 2018-10-26 | 郑州云海信息技术有限公司 | 虚拟网络中检测网络设备的方法和装置 |
CN109039959A (zh) * | 2018-07-27 | 2018-12-18 | 广东工业大学 | 一种sdn网络规则的一致性判断方法及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110225008A (zh) | 2019-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110225008B (zh) | 一种云环境下sdn网络状态一致性验证方法 | |
US11201882B2 (en) | Detection of malicious network activity | |
Dhawan et al. | Sphinx: detecting security attacks in software-defined networks. | |
CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
CN101690101B (zh) | 将分组重定向至网络交换机中的入侵防御服务的方法和系统 | |
US7823204B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
US6487666B1 (en) | Intrusion detection signature analysis using regular expressions and logical operators | |
CN110808865A (zh) | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 | |
CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
CN108632267A (zh) | 一种拓扑污染攻击防御方法和系统 | |
Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
CN111800419B (zh) | 一种SDN环境下DDoS攻击检测系统及方法 | |
CN113709160B (zh) | 基于转发路由完整性验证的软件定义网络拓扑防御方法 | |
Ádám et al. | Artificial neural network based IDS | |
Xiao et al. | Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model | |
Jiang et al. | BSD‐Guard: A Collaborative Blockchain‐Based Approach for Detection and Mitigation of SDN‐Targeted DDoS Attacks | |
Yusupdjanovich et al. | Improvement the schemes and models of detecting network traffic anomalies on computer systems | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
Wang et al. | An efficient scheme for SDN state consistency verification in cloud computing environment | |
TW202008758A (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
Li et al. | Improved automated graph and FCM based DDoS attack detection mechanism in software defined networks | |
Mallissery et al. | Survey on intrusion detection methods | |
Berardi et al. | Security network policy enforcement through a SDN framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |