CN114039764A - 基于软件定义安全的安全服务功能链设计方法及系统 - Google Patents
基于软件定义安全的安全服务功能链设计方法及系统 Download PDFInfo
- Publication number
- CN114039764A CN114039764A CN202111301558.XA CN202111301558A CN114039764A CN 114039764 A CN114039764 A CN 114039764A CN 202111301558 A CN202111301558 A CN 202111301558A CN 114039764 A CN114039764 A CN 114039764A
- Authority
- CN
- China
- Prior art keywords
- security
- safety
- service
- function chain
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000013461 design Methods 0.000 title claims abstract description 18
- 238000013507 mapping Methods 0.000 claims abstract description 13
- 230000006870 function Effects 0.000 claims description 45
- 230000015654 memory Effects 0.000 claims description 28
- 238000001914 filtration Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 9
- 238000012360 testing method Methods 0.000 abstract description 3
- 238000004364 calculation method Methods 0.000 description 5
- 238000010563 solid-state fermentation Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000011176 pooling Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 101150084991 Shc3 gene Proteins 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的一种基于软件定义安全的安全服务功能链设计方法及系统,该方法包括:获取用户安全业务需求;根据用户安全业务需求构建安全服务链策略;为安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;解析获取流指令,通过下发流表的方式进行流量重定向操作。通过根据用户需求构建安全服务功能链,同时根据宿主机的负载情况实现安全资源调度,安全服务功能链规则以OpenFlow流表的方式将网络流分类并依次重定向到相应的安全设备,实现网络流量的动态控制。经测试表明该机制可以有效实现安全服务虚拟化,并根据安全业务需求提供灵活动态的安全防护机制。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于软件定义安全的安全服务功能链设计方法及系统。
背景技术
传统网络的服务链(Service Chain,SC)将满足特定属性的网络数据流牵引经过由多个业务功能服务节点编排组成的服务序列,为传统网络提供了防控恶意攻击的手段。软件定义安全(Software Defined Security,SDS)架构将网络安全设备的控制平面与数据平面进行了解耦,底层抽象为安全资源池里的资源,顶层通过软件定义的方式弹性的编排安全服务来实现灵活的安全防护。
然而随着云计算和软件定义网络(Software DefinedNetwork,SDN)的快速发展,如何快速的重构传统网络的安全解决方案,进而提升网络安全防护的灵活性与效率,成为了亟待解决的问题。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中难以提升网络安全防护的灵活性与效率的缺陷,从而提供一种基于软件定义安全的安全服务功能链设计方法及系统。
第一方面,本发明实施例提供一种基于软件定义安全的安全服务功能链设计方法,包括:获取用户安全业务需求;根据所述用户安全业务需求构建安全服务链策略;为所述安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;解析获取流指令,通过下发流表的方式进行流量重定向操作。
可选地,基于软件定义安全的安全服务功能链设计方法还包括:启动虚拟安全设备。
可选地,所述启动虚拟安全设备时,资源指标调度算法包括:将不符合预设要求的节点过滤掉;计算剩余宿主机资源指标归一化效用值。
可选地,安全控制器北向与安全应用进行数据和安全需求的交互,南向提供对基础安全防护组件的注册、调度的管理,西向与SDN控制器对接,生成需要的逻辑拓扑、数据流的调度指令。
可选地,根据优先级动态编排虚拟安全设备。
第二方面,本发明实施例提供一种基于软件定义安全的安全服务功能链设计系统,包括:采集模块,用于获取用户安全业务需求;构建模块,用于根据所述用户安全业务需求构建安全服务链策略;映射模块,用于为所述安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;处理模块,用于通过下发流表的方式进行流量重定向操作。
第三方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明实施例第一方面所述的基于软件定义安全的安全服务功能链设计方法。
第四方面,本发明实施例提供一种计算机设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例第一方面所述的基于软件定义安全的安全服务功能链设计方法。
本发明技术方案,具有如下优点:
本发明提供的一种基于软件定义安全的安全服务功能链设计方法,包括:获取用户安全业务需求;根据用户安全业务需求构建安全服务链策略;为安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;解析获取流指令,通过下发流表的方式进行流量重定向操作。提出了一种基于软件定义安全的安全防护功能业务链设计机制,该机制根据用户需求构建安全服务功能链,同时根据宿主机的负载情况实现安全资源调度,安全服务功能链规则以OpenFlow流表的方式将网络流分类并依次重定向到相应的安全设备,实现网络流量的动态控制。经测试表明该机制可以有效实现安全服务虚拟化,并根据安全业务需求提供灵活动态的安全防护机制。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中基于软件定义安全的安全服务功能链设计方法的一个具体示例的流程图;
图2为本发明实施例基于SDS的安全服务功能链架构;
图3本发明实施例中基于软件定义安全的安全服务功能链设计系统的原理框图;
图4为本发明实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例提供一种基于软件定义安全的安全服务功能链设计方法,如图1所示,包括如下步骤:
步骤S1:获取用户安全业务需求。
步骤S2:根据用户安全业务需求构建安全服务链策略。
步骤S3:为安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射。
步骤S4:解析获取流指令,通过下发流表的方式进行流量重定向操作。
在一具体实施例中,SDN体系结构是由ONF(Open Networking Foundation,开放网络基金会)提供的白皮书中提出的,该架构是将传统网络架构中的逻辑控制平面和数据转发平面相分离的网络体系架构。控制平面的逻辑控制功能是由控制器实现的,SDN交换机实现数据平面的数据转发功能,这种网络架构通过逻辑上集中的SDN控制器和开放的OpenFlow标准接口,由控制器根据业务逻辑需求以软件定义的方式实现灵活、快速的转发行为,减轻了数据平面的负担,从而提升网络管理的效率和网络性能。SDN的体系架构从下到上可分为三层:基础设施层、控制层和应用层。基础设施层:处于整个架构的底层,由物理或虚拟交换机、路由器等网络元件组成,这些网络元件可由SDN控制器管理和控制来实现数据平面的网络转发等功能,网络元件与控制器之间可通过SSL安全连接通道进行通信,OpenFlow协议是控制器与数据平面设备之间通信交互的最普遍、标准的协议。控制层:控制层由基于软件的SDN控制器组成,提供网络的控制管理以及监控网络转发功能,同时,控制层提供控制器与网络设备之间通信以及控制器与控制器之间通信的编程接口。应用层:由一个或多个终端用户应用(安全应用、可视化应用等)组成,应用层与控制层通过应用程序编程接口(即北向接口)进行交互,用户可通过北向接口实现应用需求的定制化管理,用户无需关心底层网络设备的具体细节即可灵活方便地对网络进行管理,实现网络控制管理的自动化、智能化。
安全资源池:通过安全能力抽象和资源池化,将安全设备抽象为具有安全能力的资源池,提供基础的安全防护能力;安全控制层:安全控制平台北向为安全应用层提供可供编程的API,南向提供安全设备资源池化管理,东西向适配不同的业务管理平台,如基础设施管理平台等;安全应用接口:位于架构的顶层,向安全控制层推送用户定义的安全需求,改变传统的线下交易模式。
在本发明实施例中,基于SDS的安全服务功能链架构可分为四个部分:安全应用接口,实现安全功能的安全资源池,软件定义的安全控制器和软件定义的SDN控制器,如图2所示。
安全应用接口:位于架构的顶层,向安全控制器推送用户定义的安全需求;
安全资源池:由安全防护设备、虚拟化安全防护设备组成,通过安全能力抽象和资源池化,将安全设备抽象为具有安全能力的资源池,提供基础的安全防护能力;
安全控制器:安全控制器北向与安全应用进行数据和安全需求的交互;南向提供对基础安全防护组件的注册、调度的管理;西向与SDN控制器对接,生成需要的逻辑拓扑、数据流的调度指令;
SDN控制器:维护全网视图,监控全网拓扑,根据安全控制器传递的流指令实现网络流量重定向的功能。
安全资源池由安全资源池管理调度器SFMS(Security Fabric ManagerScheduler)提供虚拟安全设备实例生命周期操作接口,包括:启动实例、停止实例、重启实例、删除实例等操作。
本发明提供的一种基于软件定义安全的安全服务功能链设计方法,包括:获取用户安全业务需求;根据用户安全业务需求构建安全服务链策略;为安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;解析获取流指令,通过下发流表的方式进行流量重定向操作。提出了一种基于软件定义安全的安全防护功能业务链设计机制,该机制根据用户需求构建安全服务功能链,同时根据宿主机的负载情况实现安全资源调度,安全服务功能链规则以OpenFlow流表的方式将网络流分类并依次重定向到相应的安全设备,实现网络流量的动态控制。经测试表明该机制可以有效实现安全服务虚拟化,并根据安全业务需求提供灵活动态的安全防护机制。
在一实施例中,基于软件定义安全的安全服务功能链设计方法还包括:启动虚拟安全设备。
在一具体实施例中,启动虚拟安全设备时,资源指标调度算法包括如下步骤:
步骤S01:将不符合预设要求的节点过滤掉。
步骤S02:计算剩余宿主机资源指标归一化效用值。
在本发明实施例中,从安全资源池的业务需求上来看,最重要的业务就是为用户启动虚拟安全设备。为了充分利用安全资源池中宿主机的资源,改善负载平衡,在启动虚拟安全设备时综合考虑三种资源指标(内存、CPU和磁盘空间)调度算法。
调度工作分为两步:首先将不符合要求的节点过滤掉;然后计算剩下的节点,选择最优调度节点。(1)过滤节点:比较每个宿主机节点空闲的内存、CPU、磁盘空间是否大于要启动的虚拟安全设备所占用的内存、CPU、磁盘空间,如若其中一个指标不符合,则将该宿主机节点过滤掉。(2)计算阶段:计算剩余宿主机资源指标归一化效用值。1)MEMmax表示剩余宿主机中最大空闲内存值,MEMmin表示剩余宿主机中最小空闲内存值,空闲内存为X的宿主机其内存归一化效用值Um的计算由公式(1)所示。
Um=(X-MEMnin)/(MEMmax-MEMmin) (1)
2)CPUmax表示剩余宿主机中最大空闲CPU数,CPUmin表示剩余宿主机中最小空闲CPU数,空闲CPU数为Y的宿主机其CPU归一化效用值Uc的计算由公式(2)所示。
Uc=(Y-CPUmin)/(CPUmax-CPUmin) (2)
3)DISKmax表示剩余宿主机中最大空闲磁盘空间值,DISKmin表示剩余宿主机中最小空闲磁盘空间值,空闲磁盘空间为Z的宿主机其磁盘空间的归一化效用值Ud的计算由公式(3)所示。
Ud=(Z-DISKmin)/(DISKmax-DISKmin) (3)
4)综合三项资源指标的效用值,该宿主机节点的综合效用值U的计算由公式(4)所示。
U=Um*W1+Uc*W2+Ud*W3 (4)
其中,W1、W2和W3分别代表三种资源指标(内存、CPU、磁盘空间)对应的权重值且W1+W2+W3=1,U值最大的节点即为要选择的最优调度节点。
在一实施例中,逻辑层面上根据用户安全需求,生成安全服务功能链,SDN控制器为该安全服务功能链选择经过的SSF实例,实现逻辑SSFC到物理转发路径的映射;物理层面上包含Classifier、SFF和SSF组件。Classifier对用户流量进行分类,确定对应逻辑的服务功能链;SFF将封装有对应逻辑服务功能链的数据报文进行逐跳转发;SSF即虚拟安全设备,用于处理收到的数据报文。
在一实施例中,流表下发是由SDN控制器控制,安全控制器将解析的SSFC流指令传递到SDN控制器,SDN控制器获取拓扑并结合安全控制器的流指令,通过下发流表的方式,实现流量重定向操作,使分类后的流量依次经过相应的SSFs再到目标网络。本文的流表规则是通过OpenFlow多级流表的方式实现的。根据SSFC架构,流表下发在Classifier和SFF上,设计如下:Classifier:数据包到达Classifier,首先与table=0的流表匹配,经匹配项(如源IP、目的IP、协议类型、MAC地址等)匹配后进行NSH封装actions={set_nsp,set_nsi,set_nshc,output},set_nsp表示加载链的标识符,set_nsi表示加载虚拟安全设备的次序,set_nshc表示加载元数据,output表示将封装NSH的数据包从OVS的端口出去。SFF:数据包达到SFF后,首先匹配nsp,再匹配nsi,这里使用到了多级流表,流程如下:{(table=0,actions=goto_table:1);(table=1,match=nsp,actions=goto_table:4);(table=4,match=(nsp,nsi),actions=goto_table:10);(table=10,match=(nsp,nsi),actions=output)},不同级别的流表有不同的作用:Table0:将数据包分类并进行NSH封装;Table1:识别数据包经过哪条服务功能链;Table4:数据包的下一跳,即下一跳要经过的虚拟安全设备;Table10:数据包的出口。
在一实施例中,根据优先级动态编排虚拟安全设备。
在一具体实施例中,为了保证所有安全服务链策略正确实施,使得网络流正确的经过安全服务链策略对应的VSA序列进行防护,需要建立完备的策略冲突决策机制。为此,采用优先级对安全服务链策略中的VSA序列进行动态的、合理的编排以解决策略冲突。策略冲突决策节点为用户的安全业务需求构建安全服务链策略后,首先由SDN控制器检索网络中所有交换机上当前正在执行的包含有新构建的安全服务链策略中12元组对应的网络流的流规则,将其删除以触发Packet-in消息。然后,策略冲突决策节点监听所有的Packet-in消息并依次为这些消息描述的所有网络流重构相应的安全服务链策略(该策略由用户下发的安全服务链策略重构所得,经由网络流调度节点、SDN控制器依次处理并转换为流规则后即删除),以此解决策略冲突
第二方面,本发明实施例提供一种基于软件定义安全的安全服务功能链设计系统,如图3所示,包括:
采集模块1,用于获取用户安全业务需求。详细内容参见上述方法实施例中步骤S1的相关描述,在此不再赘述。
构建模块2,用于根据用户安全业务需求构建安全服务链策略。详细内容参见上述方法实施例中步骤S2的相关描述,在此不再赘述。
映射模块3,用于为安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射。详细内容参见上述方法实施例中步骤S3的相关描述,在此不再赘述。
处理模块4,用于通过下发流表的方式进行流量重定向操作。详细内容参见上述方法实施例中步骤S4的相关描述,在此不再赘述。
本发明实施例提供一种计算机设备,如图4所示,该设备可以包括处理器81和存储器82,其中处理器81和存储器82可以通过总线或者其他方式连接,图4以通过总线连接为例。
处理器81可以为中央处理器(Central Processing Unit,CPU)。处理器81还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器82作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器81通过运行存储在存储器82中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的基于软件定义安全的安全服务功能链设计方法。
存储器82可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器81所创建的数据等。此外,存储器82可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器82可选包括相对于处理器81远程设置的存储器,这些远程存储器可以通过网络连接至处理器81。上述网络的实例包括但不限于互联网、企业内部网、企业内网、移动通信网及其组合。
一个或者多个模块存储在存储器82中,当被处理器81执行时,执行如图1-2所示实施例中的基于软件定义安全的安全服务功能链设计方法。
上述计算机设备具体细节可以对应参阅图1-2所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (8)
1.一种基于软件定义安全的安全服务功能链设计方法,其特征在于,包括:
获取用户安全业务需求;
根据所述用户安全业务需求构建安全服务链策略;
为所述安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;
解析获取流指令,通过下发流表的方式进行流量重定向操作。
2.根据权利要求1所述的基于软件定义安全的安全服务功能链设计方法,其特征在于,还包括:启动虚拟安全设备。
3.根据权利要求2所述的基于软件定义安全的安全服务功能链设计方法,其特征在于,所述启动虚拟安全设备时,资源指标调度算法包括:
将不符合预设要求的节点过滤掉;
计算剩余宿主机资源指标归一化效用值。
4.根据权利要求1所述的基于软件定义安全的安全服务功能链设计方法,其特征在于,安全控制器北向与安全应用进行数据和安全需求的交互,南向提供对基础安全防护组件的注册、调度的管理,西向与SDN控制器对接,生成需要的逻辑拓扑、数据流的调度指令。
5.根据权利要求1所述的基于软件定义安全的安全服务功能链设计方法,其特征在于,根据优先级动态编排虚拟安全设备。
6.一种基于软件定义安全的安全服务功能链设计系统,其特征在于,包括:
采集模块,用于获取用户安全业务需求;
构建模块,用于根据所述用户安全业务需求构建安全服务链策略;
映射模块,用于为所述安全服务链选择经过的虚拟安全设备,进行逻辑数据包到物理转发路径的映射;
处理模块,用于通过下发流表的方式进行流量重定向操作。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-5任一所述的基于软件定义安全的安全服务功能链设计方法。
8.一种计算机设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-5任一所述的基于软件定义安全的安全服务功能链设计方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111301558.XA CN114039764A (zh) | 2021-11-04 | 2021-11-04 | 基于软件定义安全的安全服务功能链设计方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111301558.XA CN114039764A (zh) | 2021-11-04 | 2021-11-04 | 基于软件定义安全的安全服务功能链设计方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114039764A true CN114039764A (zh) | 2022-02-11 |
Family
ID=80136345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111301558.XA Pending CN114039764A (zh) | 2021-11-04 | 2021-11-04 | 基于软件定义安全的安全服务功能链设计方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039764A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785548A (zh) * | 2022-03-23 | 2022-07-22 | 中国人民解放军战略支援部队信息工程大学 | 基于加权自适应集成学习的虚拟流量异常检测方法、系统及流量智能监测平台 |
CN115001831A (zh) * | 2022-06-09 | 2022-09-02 | 北京交通大学 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495391A (zh) * | 2018-12-18 | 2019-03-19 | 天津城建大学 | 一种基于sdn的安全服务链系统及数据包匹配转发方法 |
CN111026525A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 云平台虚拟导流技术的调度方法及装置 |
-
2021
- 2021-11-04 CN CN202111301558.XA patent/CN114039764A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495391A (zh) * | 2018-12-18 | 2019-03-19 | 天津城建大学 | 一种基于sdn的安全服务链系统及数据包匹配转发方法 |
CN111026525A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 云平台虚拟导流技术的调度方法及装置 |
Non-Patent Citations (2)
Title |
---|
张奇: "基于 SDN/NFV 的安全服务链自动编排部署框架", 计算机系统应用, no. 03, pages 2 - 5 * |
梁琼瑶;秦华;刘文懋;: "基于软件定义安全的服务功能链设计", 计算机系统应用, no. 08 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785548A (zh) * | 2022-03-23 | 2022-07-22 | 中国人民解放军战略支援部队信息工程大学 | 基于加权自适应集成学习的虚拟流量异常检测方法、系统及流量智能监测平台 |
CN114785548B (zh) * | 2022-03-23 | 2024-04-30 | 中国人民解放军战略支援部队信息工程大学 | 流量智能监测平台 |
CN115001831A (zh) * | 2022-06-09 | 2022-09-02 | 北京交通大学 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
CN115001831B (zh) * | 2022-06-09 | 2023-04-07 | 北京交通大学 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11425004B2 (en) | In-fabric traffic analysis | |
US9602415B2 (en) | Flow based network service insertion | |
KR101703088B1 (ko) | Sdn 기반의 통합 라우팅 방법 및 그 시스템 | |
EP2989751B1 (en) | Network resource matching | |
US10606454B2 (en) | Stage upgrade of image versions on devices in a cluster | |
US9900221B2 (en) | Controlling a topology of a network | |
US9047143B2 (en) | Automation and programmability for software defined networking systems | |
CN109479028B (zh) | 网络接口卡、计算设备以及数据包处理方法 | |
US9584369B2 (en) | Methods of representing software defined networking-based multiple layer network topology views | |
JP6533475B2 (ja) | 管理装置、および、ネットワークサービス管理方法 | |
US20160301631A1 (en) | System and Method for Open vSwitch Virtual Switch that Supports IEEE 802.1p | |
CN114039764A (zh) | 基于软件定义安全的安全服务功能链设计方法及系统 | |
JP2015204614A (ja) | オブジェクト指向のネットワーク仮想化 | |
JP5111256B2 (ja) | 通信システムおよびサーバ装置 | |
CN111654386A (zh) | 一种业务功能链建立方法及系统 | |
CN107819683B (zh) | 安全资源池实现租户业务流量编排的方法、装置及电子设备 | |
CN109743259A (zh) | 一种网络的流量调度方法及装置 | |
US20190199622A1 (en) | Data packet forwarding unit in a data transmission network | |
KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
EP3399424B1 (en) | Using unified api to program both servers and fabric for forwarding for fine-grained network optimizations | |
CN110351135B (zh) | 多dc中的网络设备配置方法及装置 | |
CN114024747A (zh) | 基于软件定义nfv的安全服务链编排部署方法及系统 | |
Amarasinghe et al. | SDN-based Framework for Infrastructure as a Service Clouds | |
JP6897343B2 (ja) | ネットワーク制御システムのためのグラフィカルポリシインタフェース | |
CN113395334B (zh) | 服务功能链在线更新方法、系统及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |