CN110798459B - 一种基于安全功能虚拟化的多安全节点联动防御方法 - Google Patents

一种基于安全功能虚拟化的多安全节点联动防御方法 Download PDF

Info

Publication number
CN110798459B
CN110798459B CN201911010075.7A CN201911010075A CN110798459B CN 110798459 B CN110798459 B CN 110798459B CN 201911010075 A CN201911010075 A CN 201911010075A CN 110798459 B CN110798459 B CN 110798459B
Authority
CN
China
Prior art keywords
safety
network
security
equipment
request information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911010075.7A
Other languages
English (en)
Other versions
CN110798459A (zh
Inventor
李萌
张明明
赵俊峰
夏飞
夏元轶
赵然
冒佳明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority to CN201911010075.7A priority Critical patent/CN110798459B/zh
Publication of CN110798459A publication Critical patent/CN110798459A/zh
Application granted granted Critical
Publication of CN110798459B publication Critical patent/CN110798459B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1021Server selection for load balancing based on client or server locations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1034Reaction to server failures by a load balancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于安全功能虚拟化的多安全节点联动防御方法,所述方法包括如下步骤:获取设备终端向服务器发送的请求信息;判断服务器所在的子网中是否存在安全设备,若存在则请求信息通过安全设备进行检测,若不存在则获取网络系统中负载量最小的安全设备的位置信息,所述请求信息根据位置信息到达安全设备并进行检测,然后返回服务器所在的子网。本发明有助于降低了网络部署及管理的成本,提升了网络安全设备的利用率,加强网络安全设备间的协作。

Description

一种基于安全功能虚拟化的多安全节点联动防御方法
技术领域
本发明涉及网络空间安全技术领域,特别是涉及一种基于安全功能虚拟化的多安全节点联动防御方法。
背景技术
传统的安全接入技术包括对用户身份进行认证、对传输数据进行加密以及在网络边界处部署相应的安全设备等。
虽然现有的安全技术都能够解决存在的一些问题,但是仍然有一些问题没有解决。在传统的网络中,为了保证每个分支网络的安全,需要在该分支网络的进出口处都部署上入侵检测系统、防火墙等网络安全设备,甚至需要在分支网络中每个子网的进出口处也都部署上这些网络安全设备。尽管这样部署可以很好地保证网络的安全,但是随着网络规模的扩大,管理和维护这些网络安全设备也不是一件轻松的事情。在一些网络系统中,一些分支网络是非常繁忙的,需要在其网络边界处部署高性能的网络安全设备,而有一些分支网络却比较空闲,但对于整个网络又是必要的,所以为了保证网络的安全,亦需要部署合适的网络安全设备。这些节点由于访问量有限,因此其利用率也不高,造成了资源的浪费。
部署在网络的边界处的各种网络安全设备,因为一般处在不同的地域位置,且各设备之间缺少必要的接口连接或共同控制平台,因此各个网络安全设备相互独立。这使得它们之间缺少相互的通信,无法协同工作,共同应对网络中存在的安全问题。同时,也无法在某一网络安全设备出现故障时,及时顶上,堵住安全漏洞。
在当前的网络架构中,由于其所使用的网络协议存在安全缺陷而被一些不怀好意的网络用户所利用,发起拒绝服务的攻击,给整个网络系统造成严重的破坏。传统的认证和加密方法很难应对此攻击行为,分布式拒绝服务攻击旳出现而变得无效。
发明内容
针对现有技术的不足,本发明的目的在于提供一种基于安全功能虚拟化的多安全节点联动防御方法,以解决现有技术中存在的网络安全设备间缺少协作的问题。
为解决上述技术问题,本发明所采用的技术方案是:
一种基于安全功能虚拟化的多安全节点联动防御方法,所述方法包括如下步骤:
获取设备终端向服务器发送的请求信息;
判断服务器所在的子网中是否存在安全设备,若存在则请求信息通过安全设备进行检测,若不存在则获取网络系统中负载量最小的安全设备的位置信息,所述请求信息根据位置信息到达安全设备并进行检测,然后返回服务器所在的子网。
进一步的,所述方法还包括如下步骤:
建立网络控制器;
获取网络系统中的安全设备信息;
所述网络控制器根据安全设备信息向交换机下发流表项;
根据所述流表项建立到达安全设备的路由;
所述请求信息根据路由到达安全设备。
进一步的,所述安全设备信息包括设备ID、设备类型、设备位置、安全功能。
进一步的,所述安全设备的检测过程包括:
判断请求信息是否存在异常,若存在则丢掉所述请求信息,并向网络控制器发送异常报告,网络控制器根据异常报告命令交换机删除异常流表项,若不存在则请求信息通过安全设备的检测到达或返回服务器。
进一步的,所述安全设备在网络系统中的设置方法如下:在网络系统中取网络访问量排名前20%的子网设置安全设备。
进一步的,所述安全设备包括防火墙和入侵检测系统。
一种基于安全功能虚拟化的多安全节点联动防御系统,所述系统包括:
获取模块:获取设备终端向子网发送的请求信息;
判断模块:判断服务器所在的子网中是否存在安全设备,若存在则请求信息通过安全设备进行检测,若不存在则获取网络系统中负载量最小的安全设备的位置信息,所述请求信息根据位置信息到达安全设备并进行检测,然后返回服务器所在的子网。
一种基于安全功能虚拟化的多安全节点联动防御系统,所述系统包括处理器和存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据上述所述方法的步骤。
计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述方法的步骤。
与现有技术相比,本发明所达到的有益效果是:
本发明通过将在不同网络系统中的安全设备进行调用,加强网络安全设备间的协作,在某一网络安全设备出现故障时,其它设备能够及时顶上,堵住安全漏洞;本发明降低了网络部署及管理的成本,不需要在所有分支网络的进出口处都部署网络安全设备,即使网络规模的扩大,管理和维护这些网络安全设备的代价也不会过度增加;提升了网络安全设备的利用率,平衡了网络安全设备的的负载,降低资源的浪费。
附图说明
图1是基于安全功能虚拟化的多安全节点联动防御体系图;
图2是安全接入示范图。
具体实施方式
下面结合说明书附图和具体实施对本发明工作原理和技术方案作进一步详细的描述。
1、多安全节点联动防御体系
基于安全功能虚拟化的多安全节点联动防御方法的重点是实现安全功能虚拟化,为了实现对各类接入终端进行安全防护,实现安全防护全面深入、安全策略灵活、部署要边界,有效识别、阻断针对渗透等高级攻击手段,从而构建基于安全功能虚拟化的多安全节点联动防御,每个安全节点能协同作战、互补不足,实现防火墙、入侵检测系统等安全设备之间的有机联动防御。
安全功能虚拟化的核心是构建安全资源池,也就是需要能够把传统的物理安全产品的安全服务能力进行统一的管理和进行按需的再分配,让安全能力与计算能力、存储能力、网络能力等一样成为可以通过软件进行定义和配置管理的一种服务资源。而构建安全资源池必须要考虑承载安全业务的业务单元实体、业务单元使用的计算资源、业务负载度量。
网络安全保障过程本质上是一个获取网络流、分析网络流和控制网络流的过程。传统基于地址学习模式的交换机无法智能地对网络流进行控制,这使得网络安全产品必须在物理拓扑上能够获取和截断网络流。软件定义网络提供的对网络流的智能动态的控制能力,不仅可以在拓扑的部署上提供足够的灵活性,让物理安全产品通过支持软件定义网络的交换机上简单的接入即能够获得所需监控的网络流,而且可以通过对网络流负载的细粒度控制,实现对网络安全业务负载的按需分发。如果某安全设备负载量过大,软件定义网络控制器会为新的访问请求就近选择合适网络安全设备,以确保其网络的安全。
本方案利用软件定义网络实现安全功能虚拟化,以实现多安全节点联动防御,从而解决传统接入网安全解决方案中网络安全设备利用率不高及协同工作少等问题。
如图1所示,基于安全功能虚拟化实现多安全节点联动防御体系使用了虚拟化技术,实现了虚拟链路之间的隔离。
在保证了系统中各个主体的安全通信之后,在软件定义网络架构下,由于控制平面与数据转发平面的分离,软件定义网络控制器可以灵活地控制数据流的走向,调度资源,所以在这里己不再需要在每一个局域网络或信息中心进出口处都部署入侵防御系统或防火墙等安全设备。只要在由多个子网络构成的复杂大型网络系统中几个访问量较大的子网络部署入侵防御系统或防火墙等安全设备就可以,具体的部署方法为:在由N(N为大于0的整数)个子网构成的网络系统中,仅在网络访问量排名前N*20%(数字向上取整)的子网中设置安全设备。
利用软件定义网络的流量调度实现虚拟地将所有入侵防御系统放入安全资源池中,就可以保证整个网络内数据与设备的安全。
安全设备需要进行注册后,方可在该架构中使用。其中,注册信息包括:
(1)设备ID,设备的唯一标识;
(2)设备类型,即该设备提供的主要功能(例如,入侵检测功能或者病毒检测功能);
(3)设备位置,即该设备部署在网络的位置信息;
(4)所支持的功能,即该设备提供了哪些安全功能。
软件定义的网络控制器获取了安全设备的以上信息后,根据这些信息向交换机下发适当的流表项,引导访问未部署安全设备的网络系统的数据流经过己经部署了安全设备的网络系统后再到达所要访问的资源,这样可以大大降低部署安全设备的成本。此外,软件定义的网络控制器还会与安全设备每隔一段时间发送一条同步信息,确保该安全设备仍然在线。所以,当某个安全设备出现掉线的情况时,软件定义的网络控制器将及时下发一些控制命令,修改相应的交换机的流表项,调整流经该安全设备的数据流,确保网络的安全,提高网络安全的可靠性。
2、安全策略
安全策略决定了数据流的处理方式。例如,对于正常的数据流,软件定义的网络控制器会根据安全设备的位置及其空闲程度为其建立最优的路径;而对于攻击流,调度入侵防御系统等安全设备检测后会将这种异常反馈给软件定义的网络控制器,软件定义的网络控制器会向相应的交换机下发控制流,命令其删除异常流表项。
本发明以入侵防御系统为例,假设入侵防御系统安全设备已经向软件定义的网络控制器进行了注册,且位置信息已存储在入侵防御系统的位置信息表中
为了避免一些入侵防御系统负载过重,而另一些入侵防御系统较为空闲,需要制定负载均衡策略,并在软件定义的网络控制器上构建负载均衡模块,用以合理分配各个入侵防御系统的负载量,提高整个入侵防御系统部署环境的利用率。
本发明提出的系统间负载均衡方法包括:
方法1:每个数据流建立时,网络控制器都会随机为其选择一个入侵防御系统设备。该方法是最简单的负载均衡方法,它不需要存储任何数据信息,因而在选择入侵防御系统设备时没有考虑其负载量。
方法2:在每一个时段,网络控制器都会按顺序选择一个入侵防御系统设备负责响应该时段内产生的访问请求。每个入侵防御系统负责响应数据流的时间都是均等的,所以在网络环境稳定的情况下每台入侵防御系统的负载量大致相等。每个入侵防御系统值班的时间是唯一需要存储的信息。
方法3:在该方法中,网络控制器会记录重定向到每个入侵防御系统的数据流的数量。因此,在为新的数据流选择入侵防御系统设备时,控制器总是选择负载量最小的入侵防御系统为其服务。
制定好了策略,执行这些策略的具体流程如下:
步骤1、当设备终端要接入某服务器,首先会向该服务器所在的网络系统发送请求信息;
步骤2、该网络系统接收到设备终端的请求信息后,如果交换机的流表中有相应的流表项,该请求就会直接通过相应的路由经过入侵防御系统安全设备检测无异常后到达服务器,服务器接受请求信息后便可以访问资源;如果交换机的流表中没有相应的流表项,就会将该请求信息转发给软件定义的网络控制器;
步骤3、软件定义的网络控制器接收到该请求信息后,会根据之前部署的策略处理该请求,查询整个网络入侵防御系统部署情况表,判断所请求的服务器所在网络系统中是否己部署了入侵防御系统安全设备,如果其所在的网络系统中部署了入侵防御系统安全设备,则软件定义的网络控制器会向该网络系统中的所有交换机下发流表项,建立路由;如果其所在的网络系统中没有部署入侵防御系统安全设备,则软件定义的网络控制器就会寻找距离该网络系统最近的可用的入侵防御系统安全设备,并分别向此入侵防御系统安全设备和服务器所在的网络系统中的交换机下发流表项,建立路由;
步骤4、路由建立之后,设备终端的请求信息会到达入侵防御系统安全设备,经过入侵防御系统检测后,如果数据流存在异常,入侵防御系统会丢掉攻击包,并向软件定义的网络控制器上报异常,软件定义烦的网络控制器接收到异常报告后,会向相应的交换机下发控制流,命令其删除异常流表项;如果数据流无异常,则请求信息流会到达服务器,服务器接受请求后,设备终端就可以访问资源了。
步骤5、设备终端在访问资源的过程中,会不断与服务器进行信息交互,这些信息也都会经过入侵防御系统安全设备的检测,对其的处理方式如步骤4。
本发明还公布了一种基于安全功能虚拟化的多安全节点联动防御系统,所述系统包括:
获取模块:获取设备终端向子网发送的请求信息;
判断模块:判断服务器所在的子网中是否存在安全设备,若存在则请求信息通过安全设备进行检测,若不存在则获取网络系统中负载量最小的安全设备的位置信息,所述请求信息根据位置信息到达安全设备并进行检测,然后返回服务器所在的子网。
一种基于安全功能虚拟化的多安全节点联动防御系统,所述系统包括处理器和存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据上述所述方法的步骤。
计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述方法的步骤。
3、安全接入示范
系统中集成入侵防御系统/防火墙、VPN、加密和认证等安全组件。接入交换机作为各种接入网的接入点,支持无线网络(LET或WLAN)的设备终端接入,接入方式均采用其所属的接入网的加密认证算法实现。
在开放的无线环境中实现服务器与设备终端之间的保密通信使用虚拟化技术,实现了虚拟链路之间的隔离,保证数据的安全传输。
如图2所示,当正常的设备终端首次接入某个服务器(如Server 2),终端会发出访问请求,Server 2所在的网络中的交换机接收到该请求后,会查询自己的流表,由于该终端首次访问Server 2,所以在交换机的流表中不存在对应的流表项,然后该请求被转发给软件定义网络控制器,软件定义网络控制器根据全网拓扑为该请求建立路由,数据消息通过入侵防御系统检测后便可接入Server 2。若某个设备终端在建立路由后,数据信息被入侵防御系统检测异常而被拒绝访问,同时通知软件定义网络控制器,软件定义网络控制器将会迅速删除该设备的流表信息。
设备终端由于权限不同而被区别对待。软件定义网络控制器会对全网中的资源及用户的权限做统计,当某设备终端接入网络中的某资源时,软件定义网络控制器会查询它们的权限是否匹配,如果设备权限高于资源权限,则下发对应流表项建立路由,否则拒绝访问。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (4)

1.一种基于安全功能虚拟化的多安全节点联动防御方法,其特征在于,所述方法包括如下步骤:
获取设备终端向服务器发送的请求信息;
判断服务器所在的子网中是否存在安全设备,若存在则请求信息通过安全设备进行检测,若不存在则获取网络系统中负载量最小的安全设备的位置信息,所述请求信息根据位置信息到达安全设备并进行检测,然后返回服务器所在的子网;
所述安全设备信息包括设备ID、设备类型、设备位置、安全功能;
所述安全设备的检测过程包括:
判断请求信息是否存在异常,若存在则丢掉所述请求信息,并向网络控制器发送异常报告,网络控制器根据异常报告命令交换机删除异常流表项,若不存在则请求信息通过安全设备的检测到达或返回服务器;
所述安全设备在网络系统中的设置方法如下:在网络系统中取网络访问量排名前20%的子网设置安全设备;
建立网络控制器;
获取网络系统中的安全设备信息;
所述网络控制器根据安全设备信息向交换机下发流表项;
根据所述流表项建立到达安全设备的路由;
所述请求信息根据路由到达安全设备。
2.根据权利要求1所述的一种基于安全功能虚拟化的多安全节点联动防御方法,其特征在于,所述安全设备包括防火墙和入侵检测系统。
3.一种基于安全功能虚拟化的多安全节点联动防御系统,其特征在于,所述系统包括处理器和存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1-2任一项所述方法的步骤。
4.计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-2任一项所述方法的步骤。
CN201911010075.7A 2019-10-23 2019-10-23 一种基于安全功能虚拟化的多安全节点联动防御方法 Active CN110798459B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911010075.7A CN110798459B (zh) 2019-10-23 2019-10-23 一种基于安全功能虚拟化的多安全节点联动防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911010075.7A CN110798459B (zh) 2019-10-23 2019-10-23 一种基于安全功能虚拟化的多安全节点联动防御方法

Publications (2)

Publication Number Publication Date
CN110798459A CN110798459A (zh) 2020-02-14
CN110798459B true CN110798459B (zh) 2022-08-02

Family

ID=69440982

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911010075.7A Active CN110798459B (zh) 2019-10-23 2019-10-23 一种基于安全功能虚拟化的多安全节点联动防御方法

Country Status (1)

Country Link
CN (1) CN110798459B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810348B (zh) * 2020-06-17 2023-04-07 华为技术有限公司 网络安全检测方法、系统、设备及控制器
CN112615754A (zh) * 2021-01-06 2021-04-06 章伟 基于大数据的网络波动安全处理方法和装置
WO2022267564A1 (zh) * 2021-06-26 2022-12-29 华为技术有限公司 报文处理方法、装置、设备、系统及可读存储介质
CN114553670A (zh) * 2022-02-18 2022-05-27 山西清网信息技术有限公司 一种信息化网络安全应急联动系统及方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618379B (zh) * 2015-02-04 2019-06-04 北京天地互连信息技术有限公司 一种面向idc业务场景的安全服务编排方法及网络结构
US10243845B2 (en) * 2016-06-02 2019-03-26 International Business Machines Corporation Middlebox tracing in software defined networks
CN106375384B (zh) * 2016-08-28 2019-06-18 北京瑞和云图科技有限公司 一种虚拟网络环境中镜像网络流量的管理系统和控制方法
CN106453299B (zh) * 2016-09-30 2020-04-07 北京奇虎测腾科技有限公司 网络安全监控方法、装置及云端web应用防火墙
US10623308B2 (en) * 2017-02-17 2020-04-14 Dell Products L.P. Flow routing system
CN107800709B (zh) * 2017-11-06 2019-11-08 杭州迪普科技股份有限公司 一种生成网络攻击检测策略的方法及装置
CN109889363A (zh) * 2018-12-26 2019-06-14 江苏博智软件科技股份有限公司 一种支持任意层次级联部署快速管理终端设备的方法

Also Published As

Publication number Publication date
CN110798459A (zh) 2020-02-14

Similar Documents

Publication Publication Date Title
CN110798459B (zh) 一种基于安全功能虚拟化的多安全节点联动防御方法
US9215237B2 (en) Communication system, control device, communication method, and program
Yang et al. Blockchain-based secure distributed control for software defined optical networking
US9912633B2 (en) Selective IP address allocation for probes that do not have assigned IP addresses
CN110519306B (zh) 一种物联网的设备访问控制方法和装置
US20220150217A1 (en) Firewall rule set composition and decomposition
CN108234677A (zh) 一种面向多区块链平台的区块链网络节点服务装置
CN106059793A (zh) 一种基于平滑重启的路由信息处理方法及装置
Zhang et al. Deployment of intrusion prevention system based on software defined networking
CN107346259A (zh) 一种动态部署安全能力的实现方法
CN108092940A (zh) 一种dns的防护方法及相关设备
CN114422201A (zh) 一种网络靶场大规模用户远程接入方法和系统
CN105704093B (zh) 一种防火墙访问控制策略查错方法、装置及系统
CN117376989A (zh) 可接入线上网络的无线网资源管理系统
Masoumi et al. Dynamic online VNF placement with different protection schemes in a MEC environment
CN110505243A (zh) 网络攻击的处理方法及装置、存储介质、电子装置
RU2576488C1 (ru) СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК
CN108366087B (zh) 一种基于分布式文件系统的iscsi服务实现方法和装置
CN101917414B (zh) Bgp分类网关设备及利用该设备实现网关功能的方法
CN112702311B (zh) 一种基于端口的报文过滤方法和装置
US9590998B2 (en) Network switch with hierarchical security
CN111510435B (zh) 一种网络安全策略迁移方法及装置
CN103888310B (zh) 监控处理方法及系统
CN105681352B (zh) 一种无线网络访问安全管控方法和系统
CN101909021A (zh) Bgp网关设备及利用该设备实现通断网关功能的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant