CN110868429A - Bgp路由协议安全防护方法及装置 - Google Patents

Bgp路由协议安全防护方法及装置 Download PDF

Info

Publication number
CN110868429A
CN110868429A CN201911329805.XA CN201911329805A CN110868429A CN 110868429 A CN110868429 A CN 110868429A CN 201911329805 A CN201911329805 A CN 201911329805A CN 110868429 A CN110868429 A CN 110868429A
Authority
CN
China
Prior art keywords
bgp
safety
network
rule
data packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911329805.XA
Other languages
English (en)
Inventor
陈景
王彤
胥斌
韩志亮
张素梅
沈慧婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Nettai Technology Development Co Ltd
Original Assignee
Beijing Nettai Technology Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Nettai Technology Development Co Ltd filed Critical Beijing Nettai Technology Development Co Ltd
Priority to CN201911329805.XA priority Critical patent/CN110868429A/zh
Publication of CN110868429A publication Critical patent/CN110868429A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种BGP路由协议安全防护方法及装置。方法包括:对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。本发明实施例提供的方法及装置,统一安全管理平台能够在BGP数据包的交互过程中实时生成BGP安全防护规则,并把规则实时下发给路由安全防火墙,以使得路由安全防火墙根据规则阻断TCP连接,达到及时阻断非法BGP数据包的传输,保证路由器的安全。

Description

BGP路由协议安全防护方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种BGP路由协议安全防护方法及装置。
背景技术
路由器是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。它能够理解不同的协议,例如某个局域网使用的以太网协议,因特网使用的TCP/IP协议。这样,路由器可以分析各种不同类型网络传来的数据包的目的地址,把非TCP/IP网络的地址转换成TCP/IP地址,或者反之;再根据选定的路由算法把各数据包按最佳路线传送到指定位置。所以路由器可以把非TCP/IP网络连接到因特网上。
边界网关协议(Border Gateway Protocol,BGP)是运行于TCP上的一种自治系统的路由协议,现有技术中路由器部署环境要么没有对BGP协议进行防护,要么配置的防护规则无法根据网络中流量的实时变化而变化,导致防护规则具有滞后性,不能及时阻断攻击,导致网络安全得不到保障。
发明内容
针对现有技术存在的问题,本发明实施例提供一种BGP路由协议安全防护方法及装置。
第一方面,本发明实施例提供一种BGP路由协议安全防护方法,包括:
对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;
将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
进一步地,所述路由监测探针位于所述网络中的自治域内部或不同的自治域间,所述路由安全防火墙位于所述网络中的自治域内部或不同的自治域间。
进一步地,所述BGP安全防护规则包括:源IP、目的IP、源端口、目的端口、BGP消息类型、动作;其中,所述动作为放行或阻止。
进一步地,对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则,包括:
对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,得到分析结果;
若所述分析结果为异常,则生成BGP安全防护规则且所述安全防护规则中的动作为阻止。
进一步地,若所述安全防护规则中的动作为阻止,则所述相应操作为断开操作。
第二方面,本发明实施例提供一种BGP路由协议安全防护方法,包括:
接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;
根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
第三方面,本发明实施例提供一种BGP路由协议安全防护装置,包括:
分析模块,用于对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;
发送模块,用于将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
第四方面,本发明实施例提供一种BGP路由协议安全防护装置,包括:
接收模块,用于接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;
防护模块,用于根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
第五方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面或第二方面所提供的方法的步骤。
第六方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面或第二方面所提供的方法的步骤。
本发明实施例提供的BGP路由协议安全防护方法及装置,统一安全管理平台能够在BGP数据包的交互过程中实时生成BGP安全防护规则,并把规则实时下发给路由安全防火墙,以使得路由安全防火墙根据规则阻断TCP连接,达到及时阻断非法BGP数据包的传输,保证路由器的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种BGP路由协议安全防护方法流程图;
图2为本发明另一实施例提供的一种BGP路由协议安全防护方法流程图;
图3为本发明实施例提供的一种BGP路由协议安全防护装置的结构示意图;
图4为本发明另一实施例提供的一种BGP路由协议安全防护装置的结构示意图;
图5为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种BGP路由协议安全防护方法流程图,该方法的执行主体为统一安全管理平台,如图1所述,该方法包括:
步骤101,对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;
步骤102,将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
具体地,路由监测探针用于监听网络中的路由数据包,并记录下网络中不同路由数据包的交互过程,在本发明实施例中,路由数据包为BGP数据包。
在本发明实施例中,在网络的不同位置处部署路由监测探针。例如,在自治域边界和不同的自治域间以旁路模式部署路由监测探针。其中,自治域是由单个组织管理的大型网络或网络组。自治域边界指的是自治域的出口,在自治域边界旁路部署路由监测探针指的是,路由监测探针从自治域的出口镜像出一份流量(也即BGP数据包),这部分流量是复制出来的。在不同的自治域间以旁路模式部署路由监测探针,以得到不同的自治域间的BGP数据包。
进一步地,路由监测探针将监听到的BGP数据包发送至统一安全管理平台,其中,统一安全管理平台为用于管理路由监测探针的平台,负责分析部署于不同位置处的路由监测探针采集到的BGP数据包。
以下对关联分析及规则生成的过程进行具体说明:
统一安全管理平台对一次交互里面消息类型type字段做关联分析,例如:消息类型为1(open message)的BGP数据包没处理完之前不允许发送消息类型为2(updatemessage)的BGP数据包,如果统一安全管理平台根据接收到的连续的BGP数据包发现不是如前所述,则判定消息类型异常,这样的交互可视为高危操作并生成BGP安全防护规则。生成规则过程为:从BGP数据包里面解析出源IP、目的IP、源端口、目的端口、BGP消息类型、动作(放行/阻止)。
统一安全管理平台生成BGP安全防护规则后,将该规则下发至位于网络中不同位置处的路由安全防火墙。需要说明的是,路由安全防火墙也位于网络中的自治域内部或不同的自治域间。
路由安全防火墙接收到BGP安全防护规则后,根据规则检查BGP数据包,如果命中规则,并且规则动作是阻止,则给请求方(BGP数据包的发送方)发送TCP连接重置报文,以断开当前TCP连接,保证路由器的安全。需要说明的是,路由器支持的BGP数据包是基于TCP连接来传输的,如果可以判断传输BGP数据包为高危操作,则断开TCP连接后,就不会再有基于此条TCP连接传输的BGP数据包送到路由器上,以保证路由器的安全。
需要说明的是,从BGP数据包中解析出源IP、目的IP、源端口、目的端口、BGP消息类型这几个字段,若解析出的上述字段与BGP安全防护规则中的上述字段匹配,则认定为命中规则。
本发明实施例提供的方法,统一安全管理平台能够在BGP数据包的交互过程中实时生成BGP安全防护规则,并把规则实时下发给路由安全防火墙,以使得路由安全防火墙根据规则阻断TCP连接,达到及时阻断非法BGP数据包的传输,保证路由器的安全。
基于上述任一实施例,所述路由监测探针位于所述网络中的自治域内部或不同的自治域间,所述路由安全防火墙位于所述网络中的自治域内部或不同的自治域间。
基于上述任一实施例,所述BGP安全防护规则包括:源IP、目的IP、源端口、目的端口、BGP消息类型、动作;其中,所述动作为放行或阻止。
基于上述任一实施例,对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则,包括:
对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,得到分析结果;
若所述分析结果为异常,则生成BGP安全防护规则且所述安全防护规则中的动作为阻止。
基于上述任一实施例,若所述安全防护规则中的动作为阻止,则所述相应操作为断开操作。
图2为本发明另一实施例提供的一种BGP路由协议安全防护方法流程图,该方法的执行主体为路由安全防火墙,如图2所示,该方法包括:
步骤201,接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;
步骤202,根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
具体地,在网络的不同位置处均布置有路由监测探针,例如,在自治域边界部署路由监测探针以镜像出网络出口处的流量(也即BGP数据包),在不同的自治域间部署路由监测探针以得到不同的自治域间的BGP数据包。
进一步地,路由监测探针将监听到的路由数据包发送至统一安全管理平台,其中,统一安全管理平台为用于管理路由监测探针的平台,负责分析部署于不同位置处的路由监测探针采集到的BGP数据包,生成BGP安全防护规则。
统一安全管理平台生成BGP安全防护规则后,将该规则下发至位于网络中不同位置处的路由安全防火墙。需要说明的是,路由安全防火墙也位于网络中的自治域内部或不同的自治域间。
路由安全防火墙接收到BGP安全防护规则后,根据规则检查BGP数据包,如果命中规则,并且规则动作是阻止,则给请求方发送TCP连接重置报文,以断开当前TCP连接,保证路由器的安全。需要说明的是,路由器支持的BGP数据包是基于TCP连接来传输的,如果可以判断传输BGP数据包为高危操作,则断开TCP连接后,就不会再有基于此条TCP连接传输的BGP数据包送到路由器上,以保证路由器的安全。
本发明实施例提供的方法,统一安全管理平台能够在BGP数据包的交互过程中实时生成BGP安全防护规则,并把规则实时下发给路由安全防火墙,以使得路由安全防火墙根据规则阻断TCP连接,达到及时阻断非法BGP数据包的传输,保证路由器的安全。
图3为本发明实施例提供的一种BGP路由协议安全防护装置的结构示意图,该装置为统一安全管理平台,如图3所示,该装置包括:
分析模块301,用于对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;发送模块302,用于将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
具体地,本发明实施例提供的装置具体用于执行上述统一安全管理平台方法端实施例,本发明实施例对此不再进行赘述。本发明实施例提供的装置,能够在BGP数据包的交互过程中实时生成BGP安全防护规则,并把规则实时下发给路由安全防火墙,以使得路由安全防火墙根据规则阻断TCP连接,达到及时阻断非法BGP数据包的传输,保证路由器的安全。
图4为本发明另一实施例提供的一种BGP路由协议安全防护装置的结构示意图,该装置为路由安全防火墙,如图4所示,该装置包括:
接收模块401,用于接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;防护模块402,用于根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
具体地,本发明实施例提供的装置具体用于执行上述路由安全防火墙端方法实施例,本发明实施例对此不再进行赘述。本发明实施例提供的装置,能够接收统一安全管理平台发送的BGP安全防护规则,由于规则是在BGP数据包的交互过程中实时生成的,因此路由安全防火墙根据规则阻断TCP连接,达到及时阻断非法BGP数据包的传输,保证路由器的安全。
图5为本发明实施例提供的一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)501、通信接口(Communications Interface)502、存储器(memory)503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信。处理器501可以调用存储在存储器503上并可在处理器501上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。或者,接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
此外,上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。或者,接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种BGP路由协议安全防护方法,其特征在于,包括:
对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;
将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
2.根据权利要求1所述的方法,其特征在于,所述路由监测探针位于所述网络中的自治域内部或不同的自治域间,所述路由安全防火墙位于所述网络中的自治域内部或不同的自治域间。
3.根据权利要求1所述的方法,其特征在于,所述BGP安全防护规则包括:源IP、目的IP、源端口、目的端口、BGP消息类型、动作;其中,所述动作为放行或阻止。
4.根据权利要求3所述的方法,其特征在于,对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则,包括:
对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,得到分析结果;
若所述分析结果为异常,则生成BGP安全防护规则且所述安全防护规则中的动作为阻止。
5.根据权利要求4所述的方法,其特征在于,若所述安全防护规则中的动作为阻止,则所述相应操作为断开操作。
6.一种BGP路由协议安全防护方法,其特征在于,包括:
接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;
根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
7.一种BGP路由协议安全防护装置,其特征在于,包括:
分析模块,用于对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析,根据分析结果生成BGP安全防护规则;
发送模块,用于将所述BGP安全防护规则发送至位于所述网络中不同位置处的路由安全防火墙,以使得所述路由安全防火墙根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
8.一种BGP路由协议安全防护装置,其特征在于,包括:
接收模块,用于接收统一安全管理平台发送的BGP安全防护规则;其中,所述BGP安全防护规则为所述统一安全管理平台根据对位于网络中不同位置处的路由监测探针发送的BGP数据包进行关联分析得到的分析结果所生成的;
防护模块,用于根据所述BGP安全防护规则,对命中的BGP数据包对应的TCP连接进行相应操作。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述方法的步骤。
CN201911329805.XA 2019-12-20 2019-12-20 Bgp路由协议安全防护方法及装置 Pending CN110868429A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911329805.XA CN110868429A (zh) 2019-12-20 2019-12-20 Bgp路由协议安全防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911329805.XA CN110868429A (zh) 2019-12-20 2019-12-20 Bgp路由协议安全防护方法及装置

Publications (1)

Publication Number Publication Date
CN110868429A true CN110868429A (zh) 2020-03-06

Family

ID=69659826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911329805.XA Pending CN110868429A (zh) 2019-12-20 2019-12-20 Bgp路由协议安全防护方法及装置

Country Status (1)

Country Link
CN (1) CN110868429A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111740883A (zh) * 2020-08-11 2020-10-02 杭州海康威视数字技术股份有限公司 连接控制方法、系统、装置及电子设备
CN115883088A (zh) * 2023-01-10 2023-03-31 中国人民解放军61660部队 基于bgp路由的自治域安全参数更新方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130074174A1 (en) * 2011-09-20 2013-03-21 Time Warner Cable Inc. Firewall access control with border gateway protocol attributes
CN103442008A (zh) * 2013-08-29 2013-12-11 中国科学院计算技术研究所 一种路由安全检测系统及检测方法
CN106161362A (zh) * 2015-04-03 2016-11-23 阿里巴巴集团控股有限公司 一种网络应用防护方法与设备
CN107566298A (zh) * 2016-06-30 2018-01-09 华为技术有限公司 一种生成表项的方法和设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130074174A1 (en) * 2011-09-20 2013-03-21 Time Warner Cable Inc. Firewall access control with border gateway protocol attributes
CN103442008A (zh) * 2013-08-29 2013-12-11 中国科学院计算技术研究所 一种路由安全检测系统及检测方法
CN106161362A (zh) * 2015-04-03 2016-11-23 阿里巴巴集团控股有限公司 一种网络应用防护方法与设备
CN107566298A (zh) * 2016-06-30 2018-01-09 华为技术有限公司 一种生成表项的方法和设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111740883A (zh) * 2020-08-11 2020-10-02 杭州海康威视数字技术股份有限公司 连接控制方法、系统、装置及电子设备
CN111740883B (zh) * 2020-08-11 2021-01-26 杭州海康威视数字技术股份有限公司 连接控制方法、系统、装置及电子设备
CN115883088A (zh) * 2023-01-10 2023-03-31 中国人民解放军61660部队 基于bgp路由的自治域安全参数更新方法
CN115883088B (zh) * 2023-01-10 2023-05-12 中国人民解放军61660部队 基于bgp路由的自治域安全参数更新方法

Similar Documents

Publication Publication Date Title
US10084825B1 (en) Reducing redundant operations performed by members of a cooperative security fabric
US11843632B2 (en) Automatic retraining of machine learning models to detect DDoS attacks
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
TWI528761B (zh) 網路訊務處理系統
US9769119B2 (en) Examining and controlling IPv6 extension headers
US11283831B2 (en) Dynamic device isolation in a network
CN101690104A (zh) 基于交换的网络安全
US10795912B2 (en) Synchronizing a forwarding database within a high-availability cluster
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
US10708299B2 (en) Mitigating effects of flooding attacks on a forwarding database
CN112583850B (zh) 网络攻击防护方法、装置及系统
CN110868429A (zh) Bgp路由协议安全防护方法及装置
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Osterweil et al. 20 years of DDoS: A call to action
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
CN101141396B (zh) 报文处理方法和网络设备
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
CN102546387A (zh) 一种数据报文的处理方法、装置及系统
KR20110010050A (ko) 플로우별 동적인 접근제어 시스템 및 방법
SOON et al. NEXT GENERATION SD-WAN WITH IDPS
CN117118714A (zh) 一种基于云网关的安全防护方法、设备及存储介质
KR20110006566A (ko) 네트워크 상의 응용 계층 보호 방법 및 장치
CN111049744A (zh) 分布式路由协议关联分析方法及装置
CN110891002A (zh) 出口服务器流量监控方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200306