CN112202814B - 一种路由交换设备内生安全动态防护功能的处理方法 - Google Patents

一种路由交换设备内生安全动态防护功能的处理方法 Download PDF

Info

Publication number
CN112202814B
CN112202814B CN202011215808.3A CN202011215808A CN112202814B CN 112202814 B CN112202814 B CN 112202814B CN 202011215808 A CN202011215808 A CN 202011215808A CN 112202814 B CN112202814 B CN 112202814B
Authority
CN
China
Prior art keywords
message
chip
strategy
filtering
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011215808.3A
Other languages
English (en)
Other versions
CN112202814A (zh
Inventor
吴海涛
王宏
谢卫
杨素梅
梁文婷
杨玉发
胡贵
华铭轩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202011215808.3A priority Critical patent/CN112202814B/zh
Publication of CN112202814A publication Critical patent/CN112202814A/zh
Application granted granted Critical
Publication of CN112202814B publication Critical patent/CN112202814B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种路由交换设备内生安全动态防护功能的处理方法,依靠路由交换设备内部的交换芯片与多核处理器实现安全防护,包括:对报文2‑7层内容进行检测和识别,根据分类结果实施精细化安全控制策略;交换芯片针对报文2‑4层完成报文过滤和攻击防御功能;多核处理器针对报文3‑7层内容进行检测,完成深度安全防御检测,并向交换芯片主动下发安全控制策略,最终由交换芯片执行完成。交换芯片与多核处理器协作,实现了报文内容的深层次检测,并能够针对性的主动执行安全控制策略,大大提升了路由交换设备主动防护能力。采用一次检测、匹配、多次复用的方式,大大减小了对系统性能的影响,避免引入部分安全防护设备导致处理性能瓶颈的风险。

Description

一种路由交换设备内生安全动态防护功能的处理方法
技术领域
本发明涉及通信网络安全技术领域,尤其涉及一种路由交换设备内生安全动态防护功能的处理方法。
背景技术
传统的路由交换设备重点关注路由处理及数据转发等功能,仅提供很弱的安全防护功能。例如AAA认证功能仅能解决基本的用户登录访问安全问题,ACL过滤功能仅能针对报文4层及以下内容进行五元组匹配过滤。随着网络的应用规模扩大,出现了越来越多的网络攻击、数据窃取、破坏等安全问题,正是由于网络所存在的诸多不安全因素,使得网络建设和使用者必须采用相应的网络安全技术来堵塞安全漏洞,提供安全的通信服务,防火墙设备孕育而生。防火墙设备特有网络安全功能能够从不同的角度保证网络信息不受侵犯,但由于防火墙大部分都设置在网络数据流的关键路径上,通过访问控制的方式来将系统内部与外部隔离开,对于恶意的代码(如木马、病毒、缓冲区溢出)攻击以及其它来自内部的攻击等,防火墙束手无策。加之防火墙设备大都采用被动的静态防护,系统欠缺遭受入侵攻击后快速恢复能力。
在早期网络安全部署中,路由交换设备与防火墙设备串接在网络中是一种比较常见的安全防护措施,这样分离式的安全防护部署能够在一定程度上具备较全面的防护能力,但在基于应用层的网络攻击防御、网络精细化管理、主动防御的时效性、动态策略联动方面有所欠缺,部分安全防护设备的性能瓶颈也会严重影响网络性能和效率,同时增加了网络的维护成本。因此在路由交换设备上提供内生安全动态防护功能有助于解决上述问题,是有益且必要的。
发明内容
为了解决上述问题,本发明提出一种路由交换设备内生安全动态防护功能的处理方法,在传统路由交换设备中利用交换芯片与多核处理器协作,提供一种主动防护方法,通过多核处理器并行分析业务流经过网络设备需要匹配的状态和特征,实现网络中各应用业务流高速的自动识别和分类,业务流属性与安全策略条件匹配后向交换芯片主动下发安全控制策略,以较小的转发性能损失实现主动防护功能。
本发明的一种路由交换设备内生安全动态防护功能的处理方法,依靠路由交换设备内部的交换芯片与多核处理器实现安全防护,安全防护包括:对报文2-7层内容进行检测和识别,根据分类结果实施精细化安全控制策略;交换芯片针对报文2-4层完成报文过滤和攻击防御功能;多核处理器针对报文3-7层内容进行检测,完成深度安全防御检测,并向交换芯片主动下发安全控制策略,最终由交换芯片执行完成。
进一步的,交换芯片与多核处理器采用PCIe总线连接,实现协议报文交互、交换芯片配置下发功能;交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致,一一对应,内部业务端口采用Serdes总线连接,实现业务报文的交互;多核处理器中控制平面与数据平面相互独立,实现设备管理与报文处理的高效并行运作。
进一步的,交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能;多核处理器针对报文3-7层内容完成自动识别和分类,报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略,交换芯片执行包括转发、丢弃和限速的安全防护功能;内生安全防护功能主要包括报文过滤及控制策略、入侵检测防御策略和访问限制策略。
进一步的,所述报文过滤及控制策略包括:通过匹配ACL条件结合安全控制策略对报文实施过滤及控制;过滤策略主要基于报包中五元组和报文传递的方向信息,所述五元组包括IP层协议号、源/目的IP地址、源/目的端口号;安全控制策略主要包括转发、限速和丢弃。
进一步的,所述报文过滤及控制策略包括以下步骤:
步骤11:报文进入交换芯片,判断报文过滤策略是否使能,若未使能则进行步骤12操作;若使能则进行步骤13操作;
步骤12:交换芯片进入转发处理直至结束;
步骤13:交换芯片针对报文4层及以下内容进行基于五元组匹配,若失败则进入转发处理直至结束,否则进行步骤14操作;
步骤14:交换芯片执行安全控制策略,直至结束。
进一步的,所述入侵检测防御策略包括:通过分析、比对网络流量特征识别出攻击行为,并通过响应方式对其进行实时中止;
所述入侵检测防御策略包括以下步骤:
步骤21:交换芯片接收报文,针对报文4层及以下内容进行基于五元组匹配,若失败则进行步骤23操作,否则进行步骤22操作;
步骤22:交换芯片执行安全控制策略,直至结束;
步骤23:交换芯片判断是否使能所述入侵检测防御策略,若使能则进行步骤24操作,否则进入转发处理直至结束;
步骤24:交换芯片将报文交由多核处理器处理;
步骤25:多核处理器并行工作,针对报文3-7层数据内容与攻击报文特征库进行比对,若匹配成功则进行步骤26操作,否则进入转发处理直至结束;
步骤26:多核处理器针对报文向交换芯片主动下发相关匹配条件及安全控制策略,并将报文交由交换芯片处理,进行步骤21操作。
进一步的,步骤25中,所述攻击报文特征库以单条规则为单位构建而成;首先解析规则并按不同报文类型建立规则树,将报文与规则树进行匹配,若发现存在某条规则与该报文匹配,则表示发现入侵攻击;若未匹配的成功,则表示此报文正常。
进一步的,报文与规则树进行匹配时,采用Boyer-Moore算法作为特征库匹配算法,处理过程包括:设文本串为T,模式串为P;先将T与P进行左对齐,然后按照从右到左的顺序进行匹配,若是某一趟不匹配时,则通过优先计算坏字符跳转值以及好后缀跳转值,取其二者中的较大跳转长度k作为模式串向右移动的距离,直到整个匹配过程的结束。
进一步的,访问限制策略主要包括:特定网站的访问过滤、特定应用的过滤及限速控制;通过对网络流量中统一资源定位符进行匹配,实现允许或禁止用户访问某些网页资源;通过分析、比对网络流量行为特征识别出此条会话属于哪种应用,并通过响应方式对其进行实时控制,从而实现网络带宽的合理分配。
进一步的,访问限制策略与入侵检测防御策略相似,主要差别在于报文3-7层数据内容及会话行为的特征识别:特定网站的访问过滤主要针对报文中统一资源定位符的关键字段,实现特定网站的访问限制;特定应用的识别主要包括:基于协议的识别,通过包括帧类型、IP协议号、TCP/IP端口、载荷命令的内容对标准协议进行识别;基于内容的识别,通过对报文内容进行分析和模式匹配,结合应用指纹实现应用识别;基于内容+行为识别,通过报文序列对会话行为进行分析、识别。
本发明的有益效果在于:交换芯片与多核处理器协作,实现了报文内容的深层次检测,并能够针对性的主动执行安全控制策略,大大提升了路由交换设备主动防护能力;采用一次检测、匹配、多次复用的方式,大大减小了对系统性能的影响,避免引入部分安全防护设备导致处理性能瓶颈的风险。
本发明与传统路由交换设备相比,具备的主要技术优势:
(1)路由交换设备内生安全性:交换芯片与多核处理器协作,实现路由交换及动态安全防护功能,较好的解决传统路由交换设备与防火墙设备难以协同造成效率低、管控难等问题,既确保接入网络的路由交换设备可靠性,也满足路由交换设备高性能安全防护的需求。
(2)降低网络维护成本:交换芯片与多核处理器协作,实现动态安全防护功能,无需额外防火墙设备,提高整个安全防护过程效率,降低了网络维护成本,利于网络的扩展。
(3)安全防护功能可区分协议承载的不同应用,利于网络精细化管理。
(4)本发明大幅提升了传统路由交换设备的主动防护能力,保证整个网络的高安全性和高可靠性要求,适用于军队通信高安全需求场景,同时在防范网络信息攻击等高安全目标领域也有重要应用前景。
附图说明
图1基于交换芯片与多核处理器协作的内生安全防护架构示意图;
图2报文过滤及控制示意图;
图3报文过滤及控制处理流程示意图;
图4 入侵检测防御处理流程示意图;
图5访问限制功能处理流程示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出了一种路由交换设备内生安全防护方法,其中内生是指摒弃外置的安全设备,依靠路由交换设备内部的交换芯片与多核处理器实现安全防护功能。安全防护主要包括:对报文2-7层内容进行检测和识别,根据分类结果实施精细化安全控制策略。交换芯片针对报文的2-4层完成报文过滤、攻击防御防等功能;多核处理器针对报文3-7层内容进行检测,完成深度安全防御检测,并向交换芯片主动下发安全控制策略,最终由交换芯片执行完成。交换芯片与多核处理器协作的内生安全防护架构如图1所示。
在本发明的一个优选实施例中,交换芯片与多核处理器采用PCIe总线连接,实现协议报文交互、交换芯片配置下发等功能;交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致,一一对应,内部业务端口采用Serdes总线连接,实现业务报文的交互;多核处理器中控制平面与数据平面相互独立,实现设备管理与报文处理的高效并行运作。
交换芯片针对报文的2-4层完成ACL基于五元组的过滤及控制、防DoS攻击、防CPU攻击等功能;多核处理器针对报文3-7层内容完成自动识别和分类,报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略,交换芯片执行转发、丢弃、限速等安全防护功能,保证整个通信网络的高安全性和高可靠性。
基于上述路由交换设备内生安全防护方法,内生安全防护功能主要包括报文过滤及控制、入侵检测防御何访问限制,具体如下。
(1)报文过滤及控制功能
1)报文过滤及控制基本原理是:通过匹配ACL条件结合安全控制策略对报文实施过滤及控制。过滤策略主要是基于报包中五元组(IP层协议号、源/目的IP地址、源/目的端口号)和报文传递的方向等信息,控制主要包括转发、限速、丢弃等。如图2所示为报文过滤及控制示意图。
2)如图3所示,报文过滤及控制详细处理流程:
步骤11:报文进入交换芯片,判断报文过滤策略是否使能,若未使能则进行步骤12操作;若使能则进行步骤13操作;
步骤12:交换芯片进入转发处理直至结束;
步骤13:交换芯片针对报文OSI 4层及以下内容进行基于五元组匹配,若失败则进入转发处理直至结束,否则进行步骤14操作;
步骤14:交换芯片执行相关安全控制策略(如转发、限速、丢弃等),直至结束。
(2)入侵检测防御功能
1)入侵检测防御基本原理是:通过分析、比对网络流量特征可识别出攻击行为,并通过一定的响应方式对其进行实时中止,从而保护企业信息系统免受侵害。
2)如图4所示,入侵检测防御详细处理流程:
步骤21:交换芯片接收报文,针对报文OSI 4层及以下内容进行基于五元组匹配,若失败则进行步骤23操作,否则进行步骤22操作;
步骤22:交换芯片执行相关安全控制策略(如转发、限速、丢弃等),直至结束;
步骤23:交换芯片判断是否使能入侵检测防御安全策略,若使能则进行步骤24操作,否则进入转发处理直至结束;
步骤24:交换芯片将报文交由多核处理器处理;
步骤25:多核处理器并行工作,针对报文OSI L3-L7层数据内容与攻击报文特征库进行比对,若匹配成功则进行步骤26操作,否则进入转发处理直至结束;
步骤26:为提高安全检测效率,做到一次检测多次复用,多核处理器针对报文向交换芯片主动下发相关匹配条件及安全控制策略(如丢弃等),并将报文交由交换芯片处理,进行步骤21操作。
3)攻击报文特征库
攻击报文特征库以单条规则为单位构建而成。首先解析规则并按不同报文类型建立规则树,将报文与规则树进行匹配,若发现存在某条规则与该报文匹配,则表示发现入侵攻击;若未匹配的成功,则表示此报文正常。
4)特征库匹配算法
特征库匹配算法采用BM(Boyer-Moore)算法,被认为是常规应用中效率最高的字符串精确匹配(Exact String Matching)算法。其时间复杂度可达到亚线性,且对于没有规律的模式匹配串,其最差情况下也仅需3n次比较。
BM算法处理过程:设文本串为T,模式串为P。先将T与P进行左对齐,然后按照从右到左的顺序进行匹配,若是某一趟比较不匹配时,BM算法则通过优先计算坏字符(Bad-character)跳转值以及好后缀(Good-suffix)跳转值,取其二者中的较大跳转长度k作为模式串向右移动的距离,直到整个匹配过程的结束。
(3)访问限制功能
1)访问限制功能主要包括特定网站的访问过滤、特定应用的过滤及限速控制等,基本原理:通过对网络流量中统一资源定位符URL(Uniform Resource Locator)进行匹配,实现允许或禁止用户访问某些网页资源,达到规范上网行为的目的;通过分析、比对网络流量行为特征可识别出此条会话属于哪种应用(如QQ、MSN等),并通过一定的响应方式对其进行实时控制,从而实现网络带宽的合理分配。
2)如图5所示为访问限制功能处理流程示意图,访问限制详细处理流程与入侵检测防御基本相同,详见入侵检测防御详细处理流程,主要差别在于报文OSI L3-L7层数据内容及会话行为的特征识别:
(i) 特定网站的访问过滤主要针对报文中URL关键字段,实现特定网站的访问限制;
(ii) 特定应用的识别主要包括:基于协议的识别,通过帧类型、IP协议号、TCP/IP端口、载荷命令等内容对标准协议进行识别(如FTP、HTTP、SMTP等应用);基于内容的识别,通过对报文内容进行分析和模式匹配,结合应用指纹实现应用识别(如PPLive、QQ、MSN等应用);基于内容+行为识别,通过报文序列对会话行为进行分析、识别(如Thunder、Emule等动态协商应用)。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (8)

1.一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,依靠路由交换设备内部的交换芯片与多核处理器实现安全防护,安全防护包括:对报文2-7层内容进行检测和识别,根据分类结果实施精细化安全控制策略;交换芯片针对报文2-4层完成报文过滤和攻击防御功能;多核处理器针对报文3-7层内容进行检测,完成深度安全防御检测,并向交换芯片主动下发安全控制策略,最终由交换芯片执行完成内生安全防护功能,所述内生安全防护功能包括报文过滤及控制策略、入侵检测防御策略和访问限制策略;
所述报文过滤及控制策略包括以下步骤:
步骤11:报文进入交换芯片,判断报文过滤策略是否使能,若未使能则进行步骤12操作;若使能则进行步骤13操作;
步骤12:交换芯片进入转发处理直至结束;
步骤13:交换芯片针对报文4层及以下内容进行基于五元组匹配,若失败则进入转发处理直至结束,否则进行步骤14操作;
步骤14:交换芯片执行安全控制策略,直至结束;
所述入侵检测防御策略包括:通过分析、比对网络流量特征识别出攻击行为,并通过响应方式对其进行实时中止;所述入侵检测防御策略包括以下步骤:
步骤21:交换芯片接收报文,针对报文4层及以下内容进行基于五元组匹配,若失败则进行步骤23操作,否则进行步骤22操作;
步骤22:交换芯片执行安全控制策略,直至结束;
步骤23:交换芯片判断是否使能所述入侵检测防御策略,若使能则进行步骤24操作,否则进入转发处理直至结束;
步骤24:交换芯片将报文交由多核处理器处理;
步骤25:多核处理器并行工作,针对报文3-7层数据内容与攻击报文特征库进行比对,若匹配成功则进行步骤26操作,否则进入转发处理直至结束;
步骤26:多核处理器针对报文向交换芯片主动下发相关匹配条件及安全控制策略,并将报文交由交换芯片处理,进行步骤21操作。
2.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,交换芯片与多核处理器采用PCIe总线连接,实现协议报文交互、交换芯片配置下发功能;交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致,一一对应,内部业务端口采用Serdes总线连接,实现业务报文的交互;多核处理器中控制平面与数据平面相互独立,实现设备管理与报文处理的高效并行运作。
3.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能;多核处理器并行工作,针对报文3-7层内容完成自动识别和分类,报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略,交换芯片执行包括转发、丢弃和限速的安全防护功能。
4.根据权利要求3所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,所述报文过滤及控制策略包括:通过匹配ACL条件结合安全控制策略对报文实施过滤及控制;过滤策略主要基于报包中五元组和报文传递的方向信息,所述五元组包括IP层协议号、源/目的IP地址、源/目的端口号;安全控制策略主要包括转发、限速和丢弃。
5.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,步骤25中,所述攻击报文特征库以单条规则为单位构建而成;首先解析规则并按不同报文类型建立规则树,将报文与规则树进行匹配,若发现存在某条规则与该报文匹配,则表示发现入侵攻击;若未匹配的成功,则表示此报文正常。
6.根据权利要求5所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,报文与规则树进行匹配时,采用Boyer-Moore算法作为特征库匹配算法,处理过程包括:设文本串为T,模式串为P;先将T与P进行左对齐,然后按照从右到左的顺序进行匹配,若是某一趟不匹配时,则通过优先计算坏字符跳转值以及好后缀跳转值,取其二者中的较大跳转长度k作为模式串向右移动的距离,直到整个匹配过程的结束。
7.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,访问限制策略主要包括:特定网站的访问过滤、特定应用的过滤及限速控制;通过对网络流量中统一资源定位符进行匹配,实现允许或禁止用户访问某些网页资源;通过分析、比对网络流量行为特征识别出此条会话属于哪种应用,并通过响应方式对其进行实时控制,从而实现网络带宽的合理分配。
8.根据权利要求7所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,访问限制策略与入侵检测防御策略相似,主要差别在于报文3-7层数据内容及会话行为的特征识别:特定网站的访问过滤主要针对报文中统一资源定位符的关键字段,实现特定网站的访问限制;特定应用的识别主要包括:基于协议的识别,通过包括帧类型、IP协议号、TCP/IP端口、载荷命令的内容对标准协议进行识别;基于内容的识别,通过对报文内容进行分析和模式匹配,结合应用指纹实现应用识别;基于内容+行为识别,通过报文序列对会话行为进行分析、识别。
CN202011215808.3A 2020-11-04 2020-11-04 一种路由交换设备内生安全动态防护功能的处理方法 Active CN112202814B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011215808.3A CN112202814B (zh) 2020-11-04 2020-11-04 一种路由交换设备内生安全动态防护功能的处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011215808.3A CN112202814B (zh) 2020-11-04 2020-11-04 一种路由交换设备内生安全动态防护功能的处理方法

Publications (2)

Publication Number Publication Date
CN112202814A CN112202814A (zh) 2021-01-08
CN112202814B true CN112202814B (zh) 2022-02-08

Family

ID=74034392

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011215808.3A Active CN112202814B (zh) 2020-11-04 2020-11-04 一种路由交换设备内生安全动态防护功能的处理方法

Country Status (1)

Country Link
CN (1) CN112202814B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113885474A (zh) * 2021-09-30 2022-01-04 株洲中车时代电气股份有限公司 控制网络及列车
CN114584338B (zh) * 2021-12-31 2024-03-26 网络通信与安全紫金山实验室 基于Nftables的白盒交换机安全防护方法、装置及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2224645A1 (en) * 2008-01-25 2010-09-01 Huawei Technologies Co., Ltd. A method and equipment for transmitting a message based on the layer-2 tunnel protocol
CN101883054A (zh) * 2010-07-09 2010-11-10 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
EP1986396B1 (en) * 2002-01-30 2013-04-03 Huawei Technologies Co., Ltd. System and implementation method of controlled multicast
CN103188157A (zh) * 2011-12-28 2013-07-03 迈普通信技术股份有限公司 一种路由器设备
CN104506484A (zh) * 2014-11-11 2015-04-08 中国电子科技集团公司第三十研究所 一种私有协议分析与识别方法
CN105224692A (zh) * 2015-11-03 2016-01-06 武汉烽火网络有限责任公司 支持多核处理器的sdn多级流表并行查找的系统及方法
CN105337890A (zh) * 2014-07-16 2016-02-17 杭州迪普科技有限公司 一种控制策略生成方法以及装置
CN107277080A (zh) * 2017-08-23 2017-10-20 深信服科技股份有限公司 一种基于安全即服务的互联网风险管理方法及系统
CN110505161A (zh) * 2019-09-24 2019-11-26 杭州迪普科技股份有限公司 一种报文处理方法及设备
CN111131093A (zh) * 2019-12-16 2020-05-08 北京计算机技术及应用研究所 一种计算芯片和交换芯片三线互连的七层交换系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101854335A (zh) * 2009-03-30 2010-10-06 华为技术有限公司 一种过滤的方法、系统及网络设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1986396B1 (en) * 2002-01-30 2013-04-03 Huawei Technologies Co., Ltd. System and implementation method of controlled multicast
EP2224645A1 (en) * 2008-01-25 2010-09-01 Huawei Technologies Co., Ltd. A method and equipment for transmitting a message based on the layer-2 tunnel protocol
CN101883054A (zh) * 2010-07-09 2010-11-10 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN103188157A (zh) * 2011-12-28 2013-07-03 迈普通信技术股份有限公司 一种路由器设备
CN105337890A (zh) * 2014-07-16 2016-02-17 杭州迪普科技有限公司 一种控制策略生成方法以及装置
CN104506484A (zh) * 2014-11-11 2015-04-08 中国电子科技集团公司第三十研究所 一种私有协议分析与识别方法
CN105224692A (zh) * 2015-11-03 2016-01-06 武汉烽火网络有限责任公司 支持多核处理器的sdn多级流表并行查找的系统及方法
CN107277080A (zh) * 2017-08-23 2017-10-20 深信服科技股份有限公司 一种基于安全即服务的互联网风险管理方法及系统
CN110505161A (zh) * 2019-09-24 2019-11-26 杭州迪普科技股份有限公司 一种报文处理方法及设备
CN111131093A (zh) * 2019-12-16 2020-05-08 北京计算机技术及应用研究所 一种计算芯片和交换芯片三线互连的七层交换系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
"A New Architecture for Network Intrusion Detection and Prevention";Anne James等;《IEEE Access》;20190131;第7卷;18558-18573 *
"A router based packet filtering scheme for defending against DoS attacks";Ning Lu等;《China Communications》;20141128;第11卷(第10期);136-146 *
"内生安全路由交换平台设计";陈南洋等;《通信技术》;20200910;第53卷(第9期);2328-2333 *
"基于动态策略联动响应的网络安全防护技术";张振华;《工业控制计算机》;20130325;第26卷(第3期);42-44 *
"综合安全网关产品的设计与实现";邓见光等;《计算机工程与设计》;20121016;第33卷(第10期);3788-3791+3796 *

Also Published As

Publication number Publication date
CN112202814A (zh) 2021-01-08

Similar Documents

Publication Publication Date Title
Mishra et al. Defense mechanisms against DDoS attack based on entropy in SDN-cloud using POX controller
Sahoo et al. Toward secure software-defined networks against distributed denial of service attack
Imran et al. Toward an optimal solution against denial of service attacks in software defined networks
Choi et al. A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment
US8661522B2 (en) Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
KR101812403B1 (ko) SDN에서의 DoS공격 방어시스템 및 이의 구현방법
Mubarakali et al. Security challenges in internet of things: Distributed denial of service attack detection using support vector machine‐based expert systems
Chiba et al. A survey of intrusion detection systems for cloud computing environment
Xu et al. An enhanced saturation attack and its mitigation mechanism in software-defined networking
CN112202814B (zh) 一种路由交换设备内生安全动态防护功能的处理方法
CN111800401B (zh) 业务报文的防护方法、装置、系统和计算机设备
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
Patgiri et al. Preventing ddos using bloom filter: A survey
Murtuza et al. Mitigation and detection of DDoS attacks in software defined networks
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
Jeyanthi Internet of things (IoT) as interconnection of threats (IoT)
KR102685997B1 (ko) 유해 ip 판단 방법
Mohammadi et al. Software defined network-based HTTP flooding attack defender
Nisa et al. TPAAD: Two‐phase authentication system for denial of service attack detection and mitigation using machine learning in software‐defined network
US20180331957A1 (en) Policy Enforcement Based on Host Value Classification
Gonçalves et al. A protection system against HTTP flood attacks using software defined networking
Khandare et al. A Survey on HTTP Flooding—A Distributed Denial of Service Attack
Satyanarayana et al. Detection and mitigation of DDOS based attacks using machine learning algorithm
Jesudoss et al. A proficient DDoS overflow attack discovery and avoidance scheme
Zhang et al. A Survey of SDN Data Plane Attacks and Defense Strategies

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant