CN114467281A - 基于sdn的车载网络入侵应对方法及使用该方法的系统 - Google Patents
基于sdn的车载网络入侵应对方法及使用该方法的系统 Download PDFInfo
- Publication number
- CN114467281A CN114467281A CN202080055869.XA CN202080055869A CN114467281A CN 114467281 A CN114467281 A CN 114467281A CN 202080055869 A CN202080055869 A CN 202080055869A CN 114467281 A CN114467281 A CN 114467281A
- Authority
- CN
- China
- Prior art keywords
- sdn
- packet
- intrusion
- incoming
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000004044 response Effects 0.000 title description 3
- 230000009471 action Effects 0.000 claims abstract description 55
- 238000001514 detection method Methods 0.000 claims abstract description 49
- 238000004891 communication Methods 0.000 claims description 29
- 239000000284 extract Substances 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 16
- 239000008186 active pharmaceutical agent Substances 0.000 description 15
- 230000000875 corresponding effect Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 238000013135 deep learning Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- BCGWQEUPMDMJNV-UHFFFAOYSA-N imipramine Chemical compound C1CC2=CC=CC=C2N(CCCN(C)C)C2=CC=CC=C21 BCGWQEUPMDMJNV-UHFFFAOYSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开提供一种入侵应对系统和方法,用于通过搭载在车载网络(IVN)中的SDN支持交换机和与SDN支持交换机进行通信的SDN控制器来检测和应对车辆入侵,在该方法中SDN支持交换机将数据包输入消息传送到SDN控制器,使入侵检测系统(IDS)判断特定数据包是否是入侵数据包,接收根据判断结果的动作,并且将数据包输出消息传送到SDN支持交换机,以控制特定数据包的流。
Description
技术领域
本公开涉及一种用于检测和阻止对车载网络(IVN)的入侵或攻击的技术。
背景技术
本部分所描述的内容仅为本实施例提供背景信息,并且不构成现有技术。
已经开发出应用车辆到一切事物(V2X)通信和基于网络的自动驾驶相关技术的商用车辆。例如,IEEE 802.11p车载环境无线接入(WAVE)、专用短距离通信(DedicatedShort-Range Communication,DSRC)和V2X技术提供联网及自动车辆(Connected andAutomated Vehicle,CAV)所需的连接性。
为了实现使用多个传感器和摄像头等作为节点的基于网络的自动驾驶系统,需要开发一种可以支持高带宽(high bandwidth)的车载通信协议。传统的基于以太网的网络存在与CAV不完全兼容的问题。因此,已经开发了一种单独的汽车用以太网和一种包括控制器局域网(CAN)、传统以太网和汽车用以太网的“混合网络(hybrid network)”。
另一方面,阻碍应用V2X通信和IVN的商用车辆的开发的因素包括基于入侵通信网络或网络的安全威胁。图1是示出车辆的安全威胁类型的分类的示图。威胁车辆安全的攻击包括特权窃取攻击和非特权窃取攻击、基于攻击源的外部攻击以及针对车辆内部元件的内部攻击。内部攻击通常由攻击者通过物理访问目标车辆来造成明显的破坏,而外部攻击主要使用诸如短距离射频通信、无钥匙进入系统或轮胎压力监测系统的基于传感器的系统,因此其影响力是有限的。然而,随着IVN环境中的车辆内连接性和V2X环境中的车辆间连接性的增加,车辆外部攻击的影响力预计会增加。
因此,正在开发基于控制器局域网(CAN)总线的IVN中的入侵检测方法。作为入侵检测方法之一,已经引入了应用机器学习或深度学习算法的方法,但这些算法需要很高的计算能力来测试流量数据并预测或判断是否发生攻击或入侵。因此,已经提出了一种卸载检测架构(off-load detection architecture)作为替代方案,但是卸载检测架构在与负载(on-load)环境的兼容性方面存在问题。
即使在恰当地检测到攻击或入侵时,如何应对地缓解攻击或入侵也一直是一个问题。先前提出的缓解方法并不是对IVN车辆攻击的恰当替代方案。
换言之,缺乏用于检测和恰当地应对支持V2X和IVN的车辆风险的技术框架的开发。目前,由于车辆系统的计算能力的限制,搭载在车辆中的入侵检测系统(IntrusionDetection System,IDS)仅有限地支持轻量级算法。因此,需要设计一种克服这种计算能力的限制的用于检测入侵并应对的入侵应对系统(Intrusion Response System,IRS)。
发明内容
技术问题
本公开提供一种使用软件定义网络(Software-Defined Networking,SDN)技术来检测和应对对基于以太网的车载网络(IVN)的攻击的方法和使用该方法的系统。
技术方案
根据本公开的一个方面,提供一种用于车载网络(IVN)的入侵应对系统。该入侵应对系统包括:软件定义网络(SDN)支持交换机,安装在车辆的IVN中并且通过参照流表中的与流入的数据包相对应的流条目(flow entry)来控制流入的数据包的数据包流;以及SDN控制器,与SDN支持交换机进行通信,从SDN支持交换机接收流入的数据包,并将与流入的数据包相对应的动作传送到SDN支持交换机。SDN控制器将流入的数据包传送到入侵检测系统(IDS),以判断流入的数据包是否是入侵数据包,从IDS接收根据判断结果的动作,并将接收到的动作作为与流入的数据包相对应的动作传送到SDN支持交换机。
根据本公开的另一方面,提供一种使用搭载在车辆的车载网络(IVN)中的软件定义网络(SDN)支持交换机和设置在车辆外部的SDN控制器检测和应对车辆入侵的方法。该方法包括:由SDN支持交换机将包括从IVN流入的数据包的数据包输入消息(packet-inmessage)传送到SDN控制器;由SDN控制器接收数据包输入消息,并将接收到的数据包输入消息传送到入侵检测系统(IDS);由SDN控制器使IDS判断流入的数据包是否是入侵数据包,并且从IDS接收根据判断结果的动作;由SDN控制器将包括根据判断结果的动作的数据包输出消息(packet-out message)传送到SDN支持交换机;以及由SDN支持交换机基于根据判断结果的动作来控制流入的数据包的数据包流。
根据本公开的又一方面,在车辆入侵检测和应对方法中,当发生不存在提取的流条目或提取的流条目已到期的事件时,或者当提取的流条目的动作字段中包括转发到控制器(forward to controller)命令时,执行将数据包输入消息传送到SDN控制器。
有益效果
本公开的SDN支持交换机可以同时监控和阻止流入IVN的流量。也就是说,SDN支持交换机在基于流表监控流入车辆的流量的同时,可以选择性地阻止被识别为攻击的流量。
根据本公开,判断流入车辆的数据包是否是入侵数据包以及执行流控制动作是远程确定而不是在IVN中确定,从而可以基于例如深度学习或人工智能方法的要求高计算性能的高性能检测技术来检测入侵数据包,而不管车辆的内部环境如何,并且可以根据检测结果给出恰当的应对命令。此外,设置在车辆外部的入侵检测系统能够实时更改或更新检测算法或模型,而不管车辆环境如何。
此外,根据本公开,可以在一个地方同时且全面地监控发生在多个车辆中的内部流量。这可以通过收集难以从单个车辆检测到的模糊异常并将收集的异常与其他车辆的正常流量进行比较,实现更精确的攻击检测。
本公开的技术还可以通过将SDN设备添加到设置在现有的基于以太网的车辆中的普通交换机来应用。因此,可以在尽可能减少基于以太网的IVN的拓扑结构的变化的同时应用本公开的技术。
附图说明
图1是示出车辆的安全威胁类型的分类的示图。
图2是示出典型的软件定义网络(SDN)的架构的概念图。
图3示出构成SDN系统的SDN控制器和SDN设备以及构成搭载在SDN设备中的流表(flow table)的流条目的构成字段。
图4是示意性地示出根据本公开的实施例的入侵应对系统的结构的概念图。
图5是示意性地示出根据本公开的实施例的入侵应对系统的操作的概念图。
图6A和图6B是示出根据本公开的实施例的车载网络(IVN)的示例性拓扑结构的示图。
图7A和图7B是示出根据本公开的实施例的入侵应对系统的集中式结构和分布式结构的控制平面拓扑结构的示图。
图8A和图8B是示出根据本公开的实施例的可应用于入侵应对系统的入侵检测系统(IDS)的拓扑结构的示图。
图9A和图9B是示出根据本实施例的事件驱动入侵检测和应对方法的流程图。
图10是示出支持根据本公开的入侵应对系统的有用性的用例场景的示图。
具体实施方式
在下文中,将参照附图详细描述本公开的一些实施例。应当注意的是,在对各个附图中的组件添加附图标记时,相同的附图标记表示相同的组件,尽管这些组件在不同的附图中示出。此外,在本公开的以下描述中,将省略对相关的已知功能和配置的详细描述以免使得本公开的要旨不清楚。
此外,诸如第一、第二、A、B、(a)、(b)等的各种术语仅用于区分一个组件与另一组件,而不是用于暗示或指示组件的本质、顺序或次序。在整个本说明书中,当一个部件“包括”或“包括有”组件时,除非另有明确说明,否则意味着该部件进一步包括其他组件,而不排除包括其他组件。此外,说明书中记载的“单元”、“模块”等术语是指用于处理至少一种功能或操作的一个或多个单元,其可以通过硬件、软件或硬件和软件的组合来实现。
下面参照附图给出的详细描述旨在解释本发明的示例性实施例,而不仅是示出可以根据本发明实施的实施例。
本公开涉及一种使用软件定义网络(SDN)技术来检测和应对对基于以太网的车载网络(IVN)的攻击的入侵应对方法和入侵应对系统。
SDN是一种技术,其将诸如交换机和路由器的网络设备的控制部分与网络设备的数据传送部分分离,向外部提供可以定义网络设备的功能的开放接口,并通过开放接口利用编程的软件设置、控制和管理各种网络路径。
图2是示出典型的SDN的架构的概念图。SDN架构被定义为三层,包括应用层、控制层和基础结构层(infrastructure layer)。应用层、控制层和基础结构层也分别称为应用平面、控制平面和基础结构平面(或数据平面)。各层通过开放接口(open interface)相互通信。被称为“北向API(northbound API)”的应用层和控制层之间的开放接口是能够开发具有各种功能的应用并与其他运行工具通信的API,北向API中一般使用Restful API。被称为“南向API(southbound API)”的控制层和基础结构层之间的开放接口是用于转发控制、信息收集等的接口,并且可以包括例如OpenFlow、OF-config、Netconf等。
图3示出包括SDN控制器和SDN设备的SDN系统,以及包括在搭载在SDN设备中的流表中的流条目的字段。SDN控制器是逻辑实体(entity),设置在SDN系统的控制平面上,并且SDN设备是硬件设备,设置在数据平面上。搭载在SDN设备中的流表包括以下三个主要字段以处理SDN设备接收到的数据包。主要字段包括定义流的包头信息(packet headerinformation)(规则(RULE)字段)、指示如何处理数据包的动作(ACTION)字段以及表示每个流的统计数据的STATS字段。控制器可以使用包括注册新流或删除流的功能的南向API在交换机中创建流表。
图4是示意性地示出根据本公开的实施例的入侵应对系统的结构的概念图。
如上所述,本公开的入侵应对系统400利用SDN技术。由于SDN是一种虚拟化架构,因此不需要在物理上将其部件设置在相同的位置。根据本公开的入侵应对系统400,将具有SDN支持交换机(简称为SDN交换机(SDN Switch))410的车载网络(IVN)设置在SDN系统的数据平面上,将SDN控制器420设置在SDN系统的控制平面上,并且将入侵检测系统(IDS)430设置在SDN系统的应用平面上。
入侵应对系统400从IVN中分离出逻辑或物理实体,该逻辑或物理实体通过分析发生流量的车辆的状态和流量来判断是否存在入侵,并根据判断结果确定应对。IDS 430的操作主体可以不同于SDN控制器420的操作主体。
设置在IVN中的SDN支持交换机410基于流表来控制发生在IVN中的流量或流入IVN的流量。设置在车辆外部通过V2I通信与车辆连接的SDN控制器420可以从SDN支持交换机410接收可疑流量,并根据来自IDS 430的关于接收到的流量是否是与攻击者的入侵相关的流量的判断结果来确定SDN支持交换机410针对可疑流量的动作。
图5是示意性地示出根据本公开的实施例的入侵应对系统的操作的概念图。
(步骤1)对车辆的攻击:发生对车辆的攻击。该攻击可能是内部攻击(例如,来自被破坏的ECU的格式错误的数据包)或外部攻击(例如,通过V2V通信从因特网或附近车辆尝试攻击)。
(步骤2)收集流量信息:SDN支持交换机410收集来自车辆内部或外部的数据包,并且收集的数据包通过SDN控制器420传送到外部IDS。
(步骤3)入侵检测:IDS 430使用各种检测方法分析流入的数据包。IDS 430可以根据需要选择性地将检测到的攻击信息传送到另一个IDS(未示出)或分析系统,以做出更准确的决定。另一个IDS(未示出)或分析系统可以执行深入的数据包检查、网络取证(forensic)、识别攻击的根本原因、在IDS 430中建立和分配一些对策等。
(步骤4)部署动作:SDN控制器420从IDS 430接收根据对入侵的判断或判断结果的动作。
(步骤5)入侵应对:SDN支持交换机410部署数据包控制操作(例如,丢弃数据包、转发到目的地节点、暂时阻断输入源等)。
在下文中,将详细描述所提出的入侵应对系统400中的SDN支持交换机410、SDN控制器420和IDS 430的功能和操作。
SDN支持交换机410搭载在车辆中并且控制流入车辆的IVN或V2X通信的所有流量或数据包(下文统称为“数据包”)的流。SDN支持交换机410可以是SDN交换机或与SDN设备组合以在SDN环境中操作的普通交换机,然而其不限于此。例如,根据本实施例的SDN支持交换机410可以是任何交换机,只要该交换机能够控制在车辆的IVN中或在V2X环境中生成的数据包的流并且能够与控制平面的SDN控制器420进行通信即可。
SDN支持交换机410使用流表控制流入SDN支持交换机410的数据包。根据本实施例的一个方面,SDN支持交换机410将诸如端口信息的数据包相关数据与流表中的每个流条目的规则字段进行匹配,并提取或引用与特定数据包匹配的流条目。这种匹配根据与SDN支持交换机410和SDN控制器420之间的通信协议相对应的南向API的规范(specification)而变化。例如,如图4所示,流条目的规则字段可以包括交换机端口(Switch port)、MAC源(Macsrc)、以太网类型(Eth type)、VLAN ID、IP源(IP src)等。在这种情况下,可以通过相对于规则字段的规范的全部匹配、在预设范围内匹配或者预设数量以上的匹配来建立数据包数据和流条目之间的匹配。在这种情况下,可能有多个流条目与特定数据包匹配。
当存在与流入的数据包匹配的流条目时,SDN支持交换机410提取流条目并执行流条目的动作字段的命令。根据本实施例的一个方面,当存在与流入的数据包匹配的多个流条目时,SDN支持交换机410可以利用包括在每个流条目中的优先级字段(priority field)在多个流条目中提取具有最高优先级的流条目。
将流入SDN支持交换机410的所有数据包传送到SDN控制器420可能导致隐私侵犯和资源浪费。因此,根据本实施例的一个方面,SDN支持交换机410可以应用事件驱动检测方法,在该方法中仅当特定事件发生时才传送数据包。“事件”是指不能仅使用流表进行数据包控制的情况,例如不存在与流入的数据包匹配的流条目的情况以及匹配的流条目的有效期已到期(expire)的情况。当这样的事件发生时,SDN支持交换机410假定流入的数据包是尚未被入侵应对系统400判断或检查的新入侵数据包,并丢弃(drop)流入的数据包或将流入的数据包传送到SDN控制器420以进行入侵检测。当事件发生时,可以通过在流表中提取具有最低优先级的表未命中条目(table-miss entry)并执行包括在表未命中条目中的动作字段中的转发到控制器命令来实现数据包传送。数据包传送可以通过将数据包输入消息传送到SDN支持交换机410来实现,该数据包输入消息包括流入的数据包的全部或部分和与流入的数据包相关联的数据并且按照SDN支持交换机410和SDN控制器420所应用的接口生成。稍后将参照图9A和图9B详细描述事件驱动入侵检测方法。
根据本实施例的另一方面,通过配置与特定数据包匹配的流条目的动作字段以包括转发到控制器命令,可以将对应的数据包传送到SDN控制器420进行监控。
流条目不仅包括上述的规则字段和动作字段,而且可以进一步包括统计字段(图4的STATS字段)。统计字段是收集或计算有关数据包的统计数据并存储的字段,并且可以包括计数器字段(counter field)。计数器字段记录流条目的规则字段与流入的数据包匹配的数量,在某些情况下,该数量可以累积增加或以预设周期初始化。计数器字段可以包括匹配计数器(match counter),该匹配计数器被设置为在预定参考值内计数与流入的数据包匹配的数量,或者计数器字段还可以包括字节计数器(bytes counter),该字节计数器被设置为计数匹配数据包的每秒字节数。
SDN支持交换机410可以仅在接收到来自SDN控制器420的消息时更新流表。在与SDN控制器420的通信(例如,基于南向API的通信)被断开时或直到在冷启动(例如,发动机启动)时恢复与SDN控制器420的连接,SDN支持交换机410在故障安全模式(fail-safemode)下操作。SDN支持交换机410可以在故障安全模式下基于由车辆制造商设置为默认的流表来控制数据包流。在这种情况下,SDN支持交换机410作为普通交换机(common switch)来操作。
SDN控制器420从SDN支持交换机410接收数据包并将接收的数据包传送到IDS430,并从IDS 430接收入侵数据包判断结果和相应的动作并将接收的结果和动作传送到SDN支持交换器410。具体地,根据本实施例的一个方面,SDN控制器420接收按照与SDN支持交换机410的通信中所使用的接口(例如,南向API)的规范生成并且包括数据包的全部或部分的数据包输入消息。SDN控制器420将接收到的数据包输入消息转换为符合用于与IDS430通信的接口(例如,北向API)的规范,并将转换后的消息传送到IDS 430。SDN控制器420接收与来自IDS 430的数据包流相关的动作并生成数据包输出消息。SDN控制器420将数据包输出消息传送到SDN支持交换机410,使得SDN支持交换机410可以更新流表或控制与数据包输出消息相对应的流入的数据包的流。
SDN控制器420可以是用于SDN的专用控制器,或者是与SDN设备结合以在SDN环境中操作的通用控制器,然而其不限于此。例如,根据本实施例的SDN控制器420可以包括任何控制器,只要该控制器能够管理在IVN或V2X环境中生成的数据包并且能够与SDN支持交换机410或搭载有SDN支持交换机410的车辆进行通信即可。
SDN控制器420可以根据从IDS 430接收到的数据包是否是入侵数据包的判断结果或动作生成能够过滤掉相应数据包的新规则,并且可以进一步将生成的新规则包括在数据包输出消息中。这样的新规则可以通过从IDS 430或外部设备接收来生成。
根据本实施例的另一方面,SDN控制器420可以使用搭载在一个或多个车辆中的一个或多个SDN支持交换机410来执行诸如OpenFlow的基于南向API的连接的维护、流表管理或数据包统计收集。SDN控制器420还可以使用一个或多个IDS(例如图4中的430)来执行诸如ad-hoc API、RESTful API或其他编程接口的基于北向API的连接的维护。
SDN控制器420的操作使用OpenFlow作为示例来描述。
当最初与SDN支持交换机410连接时,SDN控制器420在接收到具有OpenFlow规范中的标识符和数据路径ID(DPID)的OFPT_HELLO消息时建立会话。
当发生表未命中(table miss)时,例如当流表中没有流条目与流入的数据包匹配时,SDN支持交换机410将OFPT_PACKET_IN消息传送到SDN控制器420。OFPT_PACKET_IN消息包括导致表未命中的流入的数据包。在接收到OFPT_PACKET_IN消息之后,SDN控制器将包括OFPT_PACKET_IN消息和对OFPT_PACKET_IN消息的应对(例如,动作)的OFPT_PACKET_OUT消息传送到SDN支持交换机410。在传送OFPT_PACKET_OUT消息之前,SDN控制器420可以请求IDS 430判断包括在OFPT_PACKET_IN消息中的流入的数据包是否是入侵数据包。
SDN控制器420可以向IDS 430或SDN支持交换机410请求流统计数据。例如,SDN控制器420可以定期监测每个车辆的IVN以判断是否存在网络异常,并且通过诸如OFPMP_FLOW、OFPMP_AGGREGATE或OFPMP_TABLE的消息向SDN支持交换机410或搭载SDN支持交换机410的车辆请求单个流条目、多个流条目或流表的统计数据。因此,SDN控制器420可以接收时间戳,该时间戳记录IVN上的数据包数量、字节数量以及每个流条目与流入的数据包的匹配时间等。
IDS 430与SDN控制器420进行通信,从SDN控制器420接收数据包或包括该数据包的数据包输入消息,判断该数据包是否是入侵数据包,根据该数据包是否是入侵数据包来确定对该数据包的动作,并且将动作传送到SDN控制器420。例如,根据本实施例的一个方面,当目标数据包被判断为入侵数据包时,IDS 430可以将丢弃目标数据包的丢弃命令确定为动作。根据本实施例的另一方面,在相同情况下,IDS 430可以将针对该数据包类型的丢弃和转发到控制器命令确定为动作。该动作使SDN支持交换机410丢弃IVN中的该数据包类型并将该数据包类型转发到SDN控制器420,使得SDN控制器420能够监控该数据包类型。
在下文中,分别参照图6A、图6B、图7A、图7B、图8A和图8B描述所提出的入侵应对系统的数据平面、控制平面和应用平面的示例性拓扑结构。
图6A和图6B是示出根据本公开的实施例的IVN的示例性拓扑结构的示图。
图6A示出具有混合结构的IVN的示例性拓扑结构。示出的IVN包括各种以太网设备、信息娱乐(infortainment)设备、一个或多个电子控制单元(ECU)、以及包括连接到这些设备的SDN交换机的基于以太网的LAN。通常,诸如高级驾驶辅助系统(ADAS)和多媒体的高速数据应用可以通过基于以太网的LAN连接到SDN交换机。此外,示出的IVN包括用于诸如要求消息优先级的动力传动系统的不适合使用以太网的某些应用的传统CAN总线(legacyCAN bus)。传统CAN总线可以通过支持以太网和CAN总线之间的通信的ETH-CAN网关(ETH-CAN gateway)连接到SDN支持交换机。SDN交换机可以通过V2I通信调制解调器与包括位于远程的SDN控制器420的其他设备、服务器、系统等进行通信。
图6B示出基于以太网的IVN的示例性拓扑结构。示出的IVN包括3个交换机(即交换机1、交换机2和基础交换机3)以及九个ECU。应注意的是,交换机的数量或ECU设备的数量可以根据配置拓扑结构的方法而变化。为了保证ECU生成的所有数据包都通过交换机传送到最终目的地节点,每个ECU必须单独连接到交换机,并且多个ECU不占用一条总线路线。
交换机1和交换机2是具有激活的SDN功能的SDN支持交换机。这两个交换机通过负责车辆与外部基础设施之间的通信(即V2I通信)的无线调制解调器(wireless modem)连接到SDN控制器。当与SDN控制器建立连接时,交换机1和交换机2根据从SDN控制器接收到的动作处理ECU1至ECU6的数据包,并且不能自行确定每个数据包的动作。然而,当与SDN控制器的连接由于无线调制解调器故障而被断开时,交换机1和交换机2像稍后将描述的基础交换机3一样工作。因此,基于根据本实施例的入侵应对系统400的车辆即使在紧急情况下也可以保持正常操作(例如,故障安全操作),并且允许选择性地应用入侵应对系统400的每个功能。
根据从SDN控制器接收到的命令或动作,交换机1和交换机2可以阻止被认为是攻击的数据包,而不将该数据包转发到其他ECU,此外,交换机1或交换机2可以将该数据包传送到SDN控制器进行后期分析。由外部入侵检测系统来执行判断数据包是否对应于攻击者的入侵。
基础交换机3不是根据本实施例的SDN支持交换机,而是已被现有车辆应用的执行MAC地址学习(MAC address learning)的传统交换机。当基础交换机3知道由ECU7至ECU9传送的数据包的目的地时,基础交换机3将数据包转发到特定端口,并且当基础交换机3不知道目的地时,基础交换机3将数据包广播(broadcast)到所有端口。基础交换机3不支持用于入侵检测/应对的数据包信息收集功能,并且不从诸如SDN控制器的外部设备接收指定用于控制数据包流的动作。
图7A和图7B是示出根据本公开的实施例的入侵应对系统的集中式结构和分布式结构的控制平面拓扑结构的示图。
通常,设置在控制平面上的SDN控制器可以向多个车辆内的SDN交换机传送数据以及从多个车辆内的SDN交换机接收数据。图7A示出一种集中式结构,其中单个SDN控制器管理所有车辆数据包。本公开的IDS可以只用一个SDN控制器就可以实现预期的目的,但考虑到时延(latency)和负载均衡(load balancing),也可以安装并操作多个SDN控制器。图7B示出一种分布式结构,其中若干基地SDN控制器中的每一个都管理物理上或逻辑上靠近该SDN控制器的一个或多个车辆。例如,SDN控制器可以在每个基地的边缘云服务器(Edgecloud server)或雾服务器(fog server)中实现。每个基地的SDN控制器可以与物理上或逻辑上靠近SDN控制器的车辆进行主要通信,并将其结果传送给集中式SDN控制器。在集中式架构中,单个SDN控制器使用北向API执行与IDS 430的通信,而在分布式架构中,集中式SDN控制器使用北向API执行与IDS 430的通信。
图8A和图8B是示出根据本公开的实施例的可应用于入侵应对系统的IDS的拓扑结构的示图。
最近提出的基于深度学习的IDS需要更多例如GPU的资源来获得精确的检测结果。搭载在车辆中的计算系统具有驾驶所需的最低性能,因此该计算系统不适合操作基于深度学习的IDS。设置在车辆外部的IDS在计算入侵检测算法时不再需要考虑车载性能问题。因此,所提出的入侵应对系统可以采用操作诸如图8A中所示的深度学习算法的需要高计算能力的精确入侵检测算法的IDS。
在所提出的入侵应对系统中,可以同时操作多个IDS。每个IDS负责针对特定协议的入侵检测(例如,针对SSH的IDS 1、针对AVTP的IDS 2、针对UDP的IDS 3),可选地,如图8B所示,可以使用利用操作不同的检测算法的若干IDS的检测结果的集成(Ensemble)方法。
将IDS设置在车辆外部而不是设置在IVN内部在入侵应对系统的操作中提供了很大的灵活性。无论被分析车辆的位置或状态如何,IDS都可以被实时更新。例如,即使待分析的车辆正在行驶,IDS也可以动态地添加、重新配置或去除入侵检测模型或算法。此外,如果在单个车辆中引入新功能或发现针对单个车辆的新攻击模式,操作员(或服务提供商)可以使用相关的数据更新检测模型。
图9A和图9B是示出根据本实施例的事件驱动入侵检测和应对方法的流程图。
当触发事件(例如,从IVN流入的数据包的表未命中或与流入的数据包匹配的流条目到期)发生时,事件驱动算法丢弃数据包,阻止来自相应源的流量,然后对数据包流进行后期分析,从而能够正确地应对攻击。
图9A示出SDN支持交换机410和SDN控制器420执行事件驱动入侵检测的过程。
如图9A中可以看出的,当应用根据本实施例的入侵应对系统400的车辆(例如,CAV)开始行驶时,数据包从IVN或V2X环境流入SDN支持交换机410(S900)。
SDN支持交换机410判断是否在搭载的流表中存在具有与流入的数据包匹配的规则字段的流条目(S902)。
当存在匹配的流条目时,SDN支持交换机410判断是否在匹配的流条目的动作字段命令中包括数据包丢弃命令(S904),当不存在数据包丢弃命令时,SDN支持交换机410执行动作字段的命令而不丢弃数据包(S906)。
当存在数据包丢弃命令时,SDN支持交换机410丢弃数据包并阻止相应的流量(S912)。
当不存在与流入的数据包匹配的流条目时或当匹配的流条目到期而最终不存在匹配的流条目时,SDN支持交换机410将包括诸如端口编号的事件信息和包括相应数据包的数据包输入消息传送到设置在车辆外部的SDN控制器420(S910),丢弃相应数据包,并阻止来自相应源的流量(S912)。
SDN控制器420从SDN支持交换机410接收数据包输入消息(S920),并将接收到的数据包输入消息传送到IDS 430(S922)。
SDN控制器420判断是否基于黑名单执行事件驱动入侵检测(S924),并且当基于黑名单执行事件驱动入侵检测时,SDN控制器420将包括已经包括在数据包输入消息中的数据包和包括转发动作的数据包输出消息传送到SDN支持交换机410(S926,S952)。在基于黑名单的入侵检测中,当某个数据包发生表未命中时,认为该数据包不包括在黑名单中并被优先转发。在这种情况下,在该数据包稍后被判断为入侵数据包后才识别攻击并且丢弃该数据包。
当事件驱动入侵检测不基于黑名单时,即当基于白名单执行事件驱动入侵检测时,SDN控制器420不会将数据包输出消息传送到SDN支持交换机410(S928),而是在等待来自IDS 430的判断结果后将包括根据判断结果确定的动作的数据包输出消息传送到SDN支持交换机410(S952)。根据需要,数据包输出消息可以进一步包括已经包括在数据包输入消息中的数据包。在基于白名单的入侵检测中,当某个数据包发生表未命中时,该数据包被认为不包括在白名单中,并且稍后根据判断结果控制数据包流。
SDN支持交换机410接收数据包输出消息(S960)并更新流表(S962)。这种更新可以包括添加新的流条目,更新到期流条目的到期信息或流条目的每个字段,或者如果没有要更新的新内容,则保持流表不变。
当接收到的数据包输出消息中包括数据包时(S964),SDN支持交换机410根据包括在数据包输出消息中的动作来控制数据包流(S966)。
图9B示出IDS 430执行事件驱动入侵检测的过程。
IDS 430从SDN控制器420接收数据包输入消息(S930)并执行入侵检测(S932)。
当判断为在数据包输入消息中包括的数据包不是入侵数据包时(S934),如果入侵检测基于黑名单(S936),则IDS 430不指定针对该数据包的动作(S937)。这是因为在步骤S926和S952中SDN控制器420已经传送了包括转发动作的数据包输出消息。在这种情况下,IDS 430不将判断结果传送到SDN控制器420。
如果入侵检测不基于黑名单(S936),也就是说,如果入侵检测基于白名单,则IDS430将转发命令包括在动作中(S938)。
当判断为包括在数据包输入消息中的数据包是入侵数据包时(S934),IDS 430将丢弃命令包括在针对该数据包的动作中(S940)。
IDS 430将针对数据包的动作传送到SDN控制器S420作为判断结果(S942)。这里,传送数据可以包括数据包本身、与数据包相关联的数据、判断结果等。
图10是示出支持根据本公开的入侵应对系统的有用性的用例场景的示图。
(1)每当检测到攻击时,所有车辆通过云服务器或雾服务器上的SDN控制器将检测到的攻击信息传送到IDS。在这种情况下,路侧单元(RSU)可以中继相邻车辆和每个服务器之间的通信。RSU的通信方法可以基于近场通信(NFC)、低功率蓝牙(BLE)、无线局域网(WIFI)、超宽带(UWB)、射频、红外数据通讯(IrDA)、Zigbee、LTE或5G。
(2)当作为应用本公开的入侵应对系统或方法的车辆之一的某个车辆受到攻击时,搭载在该车辆(a)中的IDS将攻击流量信息或疑似攻击的数据包传送到云服务器或雾服务器。
(3)云服务器或雾服务器上的SDN控制器将攻击流量信息或数据包传送到IDS,并且IDS对数据进行分析。如果判断为存在攻击,则IDS通过SDN控制器将绕行该车辆(a)的警告命令传送到附近的每个车辆。
(4)当车辆对车辆(V2V)通信被激活时,该车辆(a)可以与相邻车辆共享其状态。
(5)当允许外部设备进行远程控制时,外部设备可以根据云服务器或雾服务器的请求控制该车辆(a)减速和牵引行驶。
尽管图5、图9A和图9B中描述了顺序地执行每个过程,但这仅仅是说明本公开的实施例的技术思想。换言之,在不脱离本公开的实施例的本质特征的情况下,本公开的实施例所属领域的技术人员可以进行各种修改和变化以便应用,例如通过改变在图5、图9A和图9B中描述的顺序来执行过程或者并行执行每个过程的一个或多个过程,并且因此,本公开不限于图5、图9A和图9B的时序顺序。
本文所述的系统和方法的各种实施方式可以通过数字电子电路、集成电路、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、计算机硬件、固件、软件和/或其组合来实现。这些各种实施方式可以包括作为在可编程系统上可运行的一个或多个计算机程序的实施方式。可编程系统包括至少一个可编程处理器(其可以是专用处理器或通用处理器),其被联接以从存储系统、至少一个输入设备以及至少一个输出设备接收数据和指令,并向存储系统、至少一个输入设备以及至少一个输出设备传送数据和指令。计算机程序(也称为程序、软件、软件应用或代码)包括用于可编程处理器的指令并存储在“计算机可读介质”中。
计算机可读记录介质包括由存储计算机系统可读的数据的所有类型的记录设备。计算机可读记录介质可以是诸如ROM、CD-ROM、磁带、软盘、存储卡、硬盘、磁光盘和存储设备的非易失性或非暂时性介质,并且可以进一步包括诸如数据传送介质的暂时性介质。此外,计算机可读记录介质可以分布在连接网络的计算机系统中,并且计算机可读代码可以以分布式方式存储和运行。
本文描述的系统和技术的各种实施方式可以由可编程计算机实现。这里,计算机包括可编程处理器、数据存储系统(包括易失性存储器、非易失性存储器或其他类型的存储系统,或其组合)以及至少一个通信接口。例如,可编程计算机可以是服务器、网络设备、机顶盒、嵌入式设备、计算机扩展模块、个人计算机、便携式计算机、个人数据助理(PDA)、云计算系统和移动设备中的一种。
以上描述仅是描述本实施例的技术思想,本实施例所属领域的技术人员能够在不超出本实施例的基本特征的情况下进行各种修改和变化。因此,本实施例旨在描述而不是限制本实施例的技术思想,并且本实施例的技术思想的范围不受这些实施例的限制。本实施例的保护范围应由所附权利要求书来解释,在其等同范围内的技术思想均应理解为包含在本实施例的权利范围内。
附图标记说明
400:入侵应对系统
410:SDN支持交换机
420:SDN控制器
430:入侵检测系统(IDS)
相关申请的交叉引用
本申请要求于2019年7月31日提交的申请号为10-2019-0093503的韩国专利申请以及于2020年7月30日提交的申请号为10-2020-0095518的韩国专利申请的优先权的权益,这些韩国专利申请的全部内容通过引用并入本文。
Claims (12)
1.一种入侵应对系统,其为用于车载网络(IVN)的入侵应对系统,其特征在于,所述入侵应对系统包括:
软件定义网络(SDN)支持交换机,安装在车辆的IVN中并且通过参照流表中的与流入的数据包相对应的流条目来控制所述流入的数据包的数据包流;以及
SDN控制器,与SDN支持交换机进行通信,从所述SDN支持交换机接收所述流入的数据包,并将与所述流入的数据包相对应的动作传送到所述SDN支持交换机,
其中,所述SDN控制器将所述流入的数据包传送到入侵检测系统(IDS),以判断所述流入的数据包是否是入侵数据包,从IDS接收根据判断结果的动作,并将接收到的动作作为与所述流入的数据包相对应的动作传送到所述SDN支持交换机。
2.根据权利要求1所述的入侵应对系统,其特征在于,
所述流条目包括规则字段、动作字段和计数器字段,
所述SDN支持交换机将所述流入的数据包的数据与所述流表中的每个流条目的规则字段进行匹配,提取匹配数量或匹配范围大于或等于预定参考值的流条目,更新提取的流条目的计数器字段,并根据提取的流条目的动作字段控制所述流入的数据包的流。
3.根据权利要求1所述的入侵应对系统,其特征在于,
当所述SDN支持交换机与所述SDN控制器之间的通信连接时,所述SDN支持交换机从所述SDN控制器接收动作并更新所述流表,并且
当所述SDN支持交换机与所述SDN控制器之间的通信断开时或者当所述车辆冷启动时,所述SDN支持交换机作为普通交换机基于预设的流表来控制所述流入的数据包。
4.一种入侵应对方法,其为使用搭载在车载网络(IVN)中的软件定义网络(SDN)支持交换机和设置在车辆外部的SDN控制器检测和应对车辆入侵的方法,其特征在于,所述方法包括:
由SDN支持交换机将包括从IVN流入的数据包的数据包输入消息传送到所述SDN控制器;
由所述SDN控制器接收所述数据包输入消息,并将接收到的数据包输入消息传送到入侵检测系统(IDS);
由所述SDN控制器使IDS判断所述流入的数据包是否是入侵数据包,并且从所述IDS接收根据判断结果的动作;
由所述SDN控制器将包括根据所述判断结果的动作的数据包输出消息传送到所述SDN支持交换机;以及
由所述SDN支持交换机基于根据所述判断结果的动作来控制所述流入的数据包的数据包流。
5.根据权利要求4所述的入侵应对方法,其特征在于,进一步包括:
由所述SDN支持交换机从流表中提取与所述流入的数据包匹配的流条目。
6.根据权利要求5所述的入侵应对方法,其特征在于,
所述流条目包括规则字段,
提取与所述流入的数据包匹配的流条目包括:
将所述流入的数据包的数据与每个流条目的规则字段进行匹配,提取匹配数量或匹配范围大于或等于预定参考值的流条目。
7.根据权利要求6所述的入侵应对方法,其特征在于,
所述流条目进一步包括优先级字段,
提取与所述流入的数据包匹配的流条目包括:
基于被提取的每个流条目的优先级字段来提取与所述流入的数据包匹配的一个流条目。
8.根据权利要求6所述的入侵应对方法,其特征在于,
当发生不存在提取的流条目或提取的流条目已到期的事件时,或者当提取的流条目的动作字段中包括转发到控制器命令时,执行将数据包输入消息传送到所述SDN控制器。
9.根据权利要求8所述的入侵应对方法,其特征在于,
将数据包输入消息传送到所述SDN控制器包括:当所述事件发生时丢弃所述流入的数据包;并且
当判断为所述流入的数据包不是入侵数据包时,所述数据包输出消息进一步包括所述流入的数据包。
10.根据权利要求9所述的入侵应对方法,其特征在于,
当所述流入的数据包是入侵数据包时,所述数据包输出消息进一步包括用于提取所述流入的数据包的新规则。
11.根据权利要求4所述的入侵应对方法,其特征在于,进一步包括:
在所述SDN控制器从所述IDS接收根据判断结果的动作之前,由所述SDN控制器将包括所述流入的数据包和用于命令转发所述流入的数据包的动作的数据包输出消息传送到SDN支持交换机。
12.根据权利要求4所述的入侵应对方法,其特征在于,进一步包括:
由所述SDN支持交换机基于所述数据包输出消息更新流表。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20190093503 | 2019-07-31 | ||
KR10-2019-0093503 | 2019-07-31 | ||
KR10-2020-0095518 | 2020-07-30 | ||
KR1020200095518A KR20210015704A (ko) | 2019-07-31 | 2020-07-30 | 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템 |
PCT/KR2020/010141 WO2021020934A1 (ko) | 2019-07-31 | 2020-07-31 | 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114467281A true CN114467281A (zh) | 2022-05-10 |
Family
ID=74230395
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080055869.XA Pending CN114467281A (zh) | 2019-07-31 | 2020-07-31 | 基于sdn的车载网络入侵应对方法及使用该方法的系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220278994A1 (zh) |
CN (1) | CN114467281A (zh) |
DE (1) | DE112020003655T5 (zh) |
WO (1) | WO2021020934A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112193A (zh) * | 2022-10-18 | 2023-05-12 | 贵州师范大学 | 一种基于深度学习的轻量级车载网络入侵检测方法 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11368382B2 (en) * | 2019-10-04 | 2022-06-21 | Nxp B.V. | Communications device and method of communications |
CN113259200B (zh) * | 2021-05-18 | 2022-06-17 | 东风汽车集团股份有限公司 | 车载以太网交换机硬件测试方法、装置、设备及存储介质 |
DE102022116152A1 (de) | 2022-06-29 | 2024-01-04 | Audi Aktiengesellschaft | Verfahren zum Überwachen eines Datenverkehrs eines Kraftfahrzeugs und Kraftfahrzeug mit meinem Angriffserkennungssystem |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140112187A1 (en) * | 2012-10-23 | 2014-04-24 | Electronics And Telecommunications Research Institute | Apparatus for flow-based network monitoring and network monitoring system |
KR20140051776A (ko) * | 2012-10-23 | 2014-05-02 | 한국전자통신연구원 | 플로우 기반의 네트워크 모니터링을 위한 장치 및 네트워크 모니터링 시스템 |
WO2015023537A2 (en) * | 2013-08-16 | 2015-02-19 | Interdigital Patent Holdings, Inc. | Methods and apparatus for hash routing in software defined networking |
KR101553264B1 (ko) * | 2014-12-11 | 2015-09-15 | 한국과학기술정보연구원 | 네트워크 침입방지 시스템 및 방법 |
KR20160063158A (ko) * | 2014-11-26 | 2016-06-03 | 쿨클라우드(주) | Sdn 기반의 트래픽 분배 가능한 네트워크 시스템 |
CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
CN109618283A (zh) * | 2019-01-23 | 2019-04-12 | 湖南大学 | 一种基于sdn的车载自组织网移动切换系统及方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017069736A1 (en) * | 2015-10-20 | 2017-04-27 | Hewlett Packard Enterprise Development Lp | Sdn controller assisted intrusion prevention systems |
KR101855742B1 (ko) * | 2016-10-12 | 2018-05-10 | 아토리서치(주) | 소프트웨어 정의 네트워킹에서의 목적지 기반 패킷 전송 제어 방법 및 장치 |
KR20180058594A (ko) * | 2016-11-24 | 2018-06-01 | 쿨클라우드(주) | Sdn/tap 어플리케이션 |
US11330087B2 (en) * | 2017-11-16 | 2022-05-10 | Intel Corporation | Distributed software-defined industrial systems |
WO2019111638A1 (ja) | 2017-12-06 | 2019-06-13 | 日本板硝子株式会社 | 光学フィルタ及び撮像装置 |
US20190233665A1 (en) | 2018-02-01 | 2019-08-01 | Xerox Corporation | Anti-Bacterial Aqueous Ink Compositions Comprising Water Soluble Sodio-Sulfonated Polyester |
-
2020
- 2020-07-31 DE DE112020003655.3T patent/DE112020003655T5/de active Pending
- 2020-07-31 WO PCT/KR2020/010141 patent/WO2021020934A1/ko active Application Filing
- 2020-07-31 CN CN202080055869.XA patent/CN114467281A/zh active Pending
- 2020-07-31 US US17/631,836 patent/US20220278994A1/en active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140112187A1 (en) * | 2012-10-23 | 2014-04-24 | Electronics And Telecommunications Research Institute | Apparatus for flow-based network monitoring and network monitoring system |
KR20140051776A (ko) * | 2012-10-23 | 2014-05-02 | 한국전자통신연구원 | 플로우 기반의 네트워크 모니터링을 위한 장치 및 네트워크 모니터링 시스템 |
WO2015023537A2 (en) * | 2013-08-16 | 2015-02-19 | Interdigital Patent Holdings, Inc. | Methods and apparatus for hash routing in software defined networking |
KR20160063158A (ko) * | 2014-11-26 | 2016-06-03 | 쿨클라우드(주) | Sdn 기반의 트래픽 분배 가능한 네트워크 시스템 |
KR101553264B1 (ko) * | 2014-12-11 | 2015-09-15 | 한국과학기술정보연구원 | 네트워크 침입방지 시스템 및 방법 |
CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
CN109618283A (zh) * | 2019-01-23 | 2019-04-12 | 湖南大学 | 一种基于sdn的车载自组织网移动切换系统及方法 |
Non-Patent Citations (2)
Title |
---|
ALWAYSSIMPLE: "关于SDN流表匹配顺序问题", Retrieved from the Internet <URL:https://blog.csdn.net/qq_34039018/article/details/88562102> * |
龚俭;金磊;: "基于SDN技术的网络入侵阻断系统设计", 华中科技大学学报(自然科学版), no. 11, pages 6 - 11 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112193A (zh) * | 2022-10-18 | 2023-05-12 | 贵州师范大学 | 一种基于深度学习的轻量级车载网络入侵检测方法 |
CN116112193B (zh) * | 2022-10-18 | 2023-07-28 | 贵州师范大学 | 一种基于深度学习的轻量级车载网络入侵检测方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2021020934A1 (ko) | 2021-02-04 |
DE112020003655T5 (de) | 2022-06-15 |
US20220278994A1 (en) | 2022-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114467281A (zh) | 基于sdn的车载网络入侵应对方法及使用该方法的系统 | |
US10200404B2 (en) | Behavioral white labeling | |
EP3424183B1 (en) | System and method for dataplane-signaled packet capture in ipv6 environment | |
US9497118B2 (en) | Communication system, communication device, controller, and method and program for controlling forwarding path of packet flow | |
KR20210015704A (ko) | 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템 | |
US20200274851A1 (en) | Full featured packet-based automotive network security gateway | |
US20120023552A1 (en) | Method for detection of a rogue wireless access point | |
US20180139173A1 (en) | Method and apparatus for implementing a fibre channel zone policy | |
EP3448001B1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
EP2915288B1 (en) | Ip packet transmission using vehicular transport | |
US20170041246A1 (en) | Application identification and overlay provisioning as a service | |
Singh et al. | ML-based approach to detect DDoS attack in V2I communication under SDN architecture | |
US8955049B2 (en) | Method and a program for controlling communication of target apparatus | |
CN114208116A (zh) | 基于sdn的车载网络入侵应对方法及使用该方法的系统 | |
Todorova et al. | DDoS attack detection in SDN-based VANET architectures | |
JPWO2020137304A1 (ja) | 統計情報生成装置、統計情報生成方法、および、プログラム | |
US11330017B2 (en) | Method and device for providing a security service | |
Sharma | Towards artificial intelligence assisted software defined networking for internet of vehicles | |
US10841278B2 (en) | Zero latency gateway | |
Amari et al. | Securing software-defined vehicular network architecture against ddos attack | |
CN108270645B (zh) | 一种sdn网络隔离性检测方法 | |
EP3921988B1 (en) | Detecting short duration attacks on connected vehicles | |
CN107733718B (zh) | 一种用于大规模sdn网络的安全隔离性检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |