CN115296842B - 业务流量的编排方法、装置、应用交付设备及介质 - Google Patents
业务流量的编排方法、装置、应用交付设备及介质 Download PDFInfo
- Publication number
- CN115296842B CN115296842B CN202210734505.5A CN202210734505A CN115296842B CN 115296842 B CN115296842 B CN 115296842B CN 202210734505 A CN202210734505 A CN 202210734505A CN 115296842 B CN115296842 B CN 115296842B
- Authority
- CN
- China
- Prior art keywords
- session
- service
- resource pool
- service flow
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000012545 processing Methods 0.000 claims abstract description 14
- 230000005540 biological transmission Effects 0.000 claims description 66
- 230000006870 function Effects 0.000 claims description 51
- 238000004590 computer program Methods 0.000 claims description 12
- 239000002071 nanotube Substances 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Traffic Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了业务流量的编排方法、装置、应用交付设备及介质,方法包括:接收来自终端设备的业务流量;当确定需要对业务流量进行安全防护时,根据业务流量生成安全服务链;安全服务链用于指示业务流量按照预设的顺序经过一个或多个目标安全资源池,每个目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;将业务流量引到安全服务链对应的目标安全资源池进行处理;通过上述方式,业务流量每经过一个目标安全资源池进行处理后会流回到应用交付设备,再由应用交付设备将其转发至下一个节点的安全资源池,改变了现有的安全功能组件串行模式,能够为不同的业务流量配置不同的安全服务链,灵活性较强,避免安全功能组件消耗不必要的性能。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种业务流量的编排方法、装置、应用交付设备及介质。
背景技术
用户侧的终端设备发送的业务流量在被应用服务器接收之前,需要经过安全功能组件的处理,其中,安全功能组件的功能可以包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。现有技术中,不同安全功能的安全功能组件被串联部署,请参阅图1所示,在图示安全架构中,不同类型的业务流量均需要依次经过所有的安全功能组件,灵活性较差,导致安全功能组件消耗了不必要的性能,带来资源浪费。另外,当其中一个安全功能组件出现故障时,需要进行更换,影响业务流量的处理。
发明内容
本发明的目的在于提供一种业务流量的编排方法、装置、应用交付设备及介质,以解决现有技术中无法针对不同的业务流量提供不同的安全服务链的技术问题。
本发明的技术方案如下:提供一种业务流量的编排方法,包括:
接收来自终端设备的业务流量;
当确定需要对所述业务流量进行安全防护时,根据所述业务流量生成对应的安全服务链;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分;
将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。
本发明的另一技术方案如下:提供一种业务流量的编排装置,包括:
接收模块,用于接收来自终端设备的业务流量;
生成模块,用于当确定需要对所述业务流量进行安全防护时,根据所述业务流量生成对应的安全服务链;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分;
编排模块,用于将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。
本发明的另一技术方案如下:提供一种应用交付设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述业务流量的编排方法的步骤。
本发明的另一技术方案如下:提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述业务流量的编排方法的步骤。
本发明的业务流量的编排方法、装置、应用交付设备及介质,接收来自终端设备的业务流量;当确定需要对所述业务流量进行安全防护时,根据所述业务流量生成对应的安全服务链;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个的目标安全资源池为全部安全资源池中的至少一部分;将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理;通过上述方式,业务流量每经过一个安全资源池进行处理后会流回到应用交付设备,再由应用交付设备将其转发至下一个节点的安全资源池,改变了现有的安全功能组件串行模式,能够为不同的业务流量配置不同的安全服务链,灵活性较强,避免安全功能组件消耗不必要的性能。
附图说明
图1为现有技术中流量编排的原理示意图;
图2为本发明的业务流量的编排方法的应用环境图;
图3为本发明第一实施例的业务流量的编排方法的流程示意图;
图4为本发明第二实施例的业务流量的编排方法的流程示意图;
图5为本发明第二实施例的业务流量的编排方法的应用示例图;
图6为本发明第三实施例的业务流量的编排装置的结构示意图;
图7为本发明第四实施例的应用交付设备的结构示意图;
图8为本发明第五实施例的计算机可读存储介质的结构示意图。
具体实施方式
下面结合附图和实施方式对本发明作进一步说明。
本发明提供的业务流量的编排方法可以应用在如图2所示的应用环境的应用交付设备中,本发明中一个应用交付设备可以对应一个服务端设备,也可以对应多个服务端设备,其中,该应用交付设备分别与该终端设备和该服务端设备通过网络进行通信。其中,该终端设备可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。该应用交付设备可以用独立的服务器或者是多个服务器组成的服务器集群来实现,该服务端设备也可以用独立的应用服务器或者是多个应用服务器组成的应用服务器集群来实现。上述的网络可以是外网或内网。
该应用交付设备同时与多个安全资源池进行通信,与现有技术中将各安全资源池按照一定的顺序串接于终端设备与服务端设备之间的网络中不同,在本发明中各安全资源池采用旁路部署(又称为旁挂)的方式,安全资源池没有直接设于终端设备与服务端设备之间的网络中,多个安全资源池通过旁路部署的方式接入终端设备与服务端设备之间的网络,在图2所示的可选应用场景中,该应用交付设备设于终端设备与服务端设备之间,各安全资源池通过与应用交付设备之间建立传输链路的方式接入终端设备与服务端设备之间的网络。不同的安全资源池对应不同的安全功能,每个安全资源池包括具有相同的安全功能的至少一个安全功能组件,安全资源池是对一种安全能力的抽象,每一个安全设备资源池都代表一种安全能力,可以将多个具有相同安全功能的安全功能组件统一纳管起来,安全资源池中的安全功能组件可以为物理的安全功能组件或虚拟的安全功能组件。例如,将具有FW(Firewall,防火墙)功能的安全功能组件形成FW安全资源池;将具有WAF(WebApplication Firewall,Web应用防护系统)功能的安全功能组件形成WAF安全资源池,其中,WAF为通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的系统;将具有IPS(Intrusion Prevention System,入侵防御系统)功能的安全功能组件形成IPS安全资源池,其中,IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
应用交付设备,又称为AD(Application Delivery)设备或负载均衡设备,其解决方案可以是对应用数据进行端到端的分析、调度、保护、加密和优化。
图3是本发明一实施例的业务流量的编排方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图3所示的流程顺序为限。本实施例以该方法应用于应用交付设备为例进行说明,该业务流量的编排方法包括如下步骤:
S10,接收来自终端设备的业务流量。
其中,在一个具体的应用场景中,该服务端设备可以对应一个应用程序,例如,支付宝、微信或新浪微博等应用程序,该服务端设备是该应用程序的专门服务系统,用户可以通过操作安装于终端设备上的应用程序向服务端设备发送业务流量。终端设备发送的业务流量不会直接到达服务端设备,而是被应用交付设备接收。
S20,当确定需要对所述业务流量进行安全防护时,根据所述业务流量生成对应的安全服务链;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分。
在一个可选的实施方式中,接收到来自终端设备的业务流量后,确定是否需要对所述业务流量进行安全防护,当确定需要对所述业务流量进行安全防护时,根据所述业务流量生成对应的安全服务链;当确定不需要对所述业务流量进行安全防护时,将所述业务流量发送至服务端设备。
在一个可选的实施方式中,确定是否需要对所述业务流量进行安全防护具体包括:基于预设的服务链匹配策略确定是否需要对所述业务流量进行安全防护,所述服务链匹配策略包括业务流量的请求特征与安全资源池之间的匹配关系。在一些实施方式中,业务流量的请求特征的特征类型可以包括但不限于交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号、域名或URL路径。例如,针对源端口号这一特征类型,请求特征是源端口号为80时,对应的安全资源池为WAF安全资源池;请求特征是源端口号为21时,对应的安全资源池为IPS安全资源池。服务链匹配策略用于记录不同业务流量的请求特征与不同安全资源池的匹配关系。具体地,在基于预设的服务链匹配策略确定是否需要对所述业务流量进行安全防护时,获取接收到的业务流量的一个或多个待匹配请求特征,将每个待匹配请求特征与服务链匹配策略中记录的请求特征进行匹配,若至少一个待匹配请求特征匹配成功,则确定需要对所述业务流量进行安全防护;若全部待匹配请求特征均匹配失败,则确定不需要对所述业务流量进行安全防护。
在一个可选的实施方式中,根据所述业务流量生成对应的安全服务链,包括:
S111,根据预设的服务链匹配策略获取业务流量的每个请求特征对应的目标安全资源池;
其中,服务链匹配策略具体参见以上描述。
S112,根据所述请求特征的特征类型在预设的匹配策略链中的排列顺序确定该安全服务链的处理顺序;
其中,匹配策略链包括不同的特征类型的排列顺序,例如,匹配策略链为源端口号-源IP-目的IP-目的端口号,则源端口号80对应的WAF安全资源池排在第一位,目的端口号A对应的IPS安全资源池排在第二位,得到的安全服务链为WAF安全资源池-IPS安全资源池。
在一个可选的实施方式中,生成安全服务链时,为每个目标安全资源池配置一个安全功能组件,在步骤S112之后,还包括:S113,为该安全服务链中各节点匹配对应的安全功能组件,根据该安全功能组件的设备信息对该安全服务链中对应节点进行标记。
S30,将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。
其中,可以按照安全服务链中各目标安全资源池的排列顺序,依次将业务流量引到各目标安全资源池,前一个目标安全资源池对业务流量进行处理后将业务流量发送至应用交付设备,应用交付设备再将该业务流量引到下一个目标安全资源池。
其中,目标安全资源池对业务流量进行对应的安全防护处理,安全防护处理可以为对业务流量进行监控,安全防护处理还可以为对业务流量进行清洗。
本实施例的业务流量的编排方法中,业务流量每经过一个目标安全资源池进行处理后会流回到应用交付设备,再由应用交付设备将其转发至下一个节点的目标安全资源池,改变了现有的安全功能组件串行模式,能够为不同的业务流量配置不同的安全服务链,灵活性较强,避免安全功能组件消耗不必要的性能。
在一个可选的实施方式中,在步骤S30之后,还包括:
S40,将经过所述安全服务链中全部所述目标安全资源池处理的业务流量发送至服务端设备。
其中,当业务流量经过所有目标安全资源池处理后,再经应用交付设备发送至对应的服务端设备。
在一个可选的实施方式中,步骤S20具体包括如下步骤:
S21,通过对应的传输链路将所述业务流量发送到所述目标安全资源池;所述目标安全资源池用于选择其纳管的至少一个安全组件对所述业务流量进行处理;
S22,通过所述传输链路接收经过所述目标安全资源池处理的业务流量。
在本实施方式中,应用交付设备与不同的安全资源池之间分别设有传输链路,应用交付设备通过与安全资源池之间的传输链路发送业务流量至安全资源池以及接收从安全资源池返回的业务流量,当业务流量从该传输链路流入时,应用交付设备确定业务流量来自与该传输链路对应的安全资源池。例如,应用交付设备与FW安全资源池之间设有第一传输链路,应用交付设备与IPS安全资源池之间设有第二传输链路,若业务流量从第一传输链路流入,应用交付设备确定该业务流量的发送方为FW安全资源池;若业务流量从第二传输链路流入,应用交付设备确定该业务流量的发送方为IPS安全资源池。
在一些实施方式中,应用交付设备包括至少一个第一网口,安全资源池中每个安全功能组件包括至少一个第二网口,第一网口可以为物理网络接口或虚拟网络接口,第二网口可以为物理网络接口或虚拟网络接口,应用交付设备的其中一个第一网口与安全功能组件的其中一个第二网口之间形成的通信通道即为传输链路。每条传输链路上除了应用交付设备和安全功能组件外,还可以包括设于应用交付设备和安全功能组件之间的交换机,安全资源池中每个安全功能组件的传输链路均与该安全资源池对应,通过安全资源池中任意一个安全功能组件与应用交付设备之间的传输链路可以指向该安全资源池。
在本实施方式中,根据不同的接收链路确定业务流量在安全服务链上所处节点,在编排过程中,无需对业务流量的连接信息进行修改,提高了编排效率。
在一个可选的实施方式中,步骤S10具体包括:
通过预设的用户链路接收终端设备发送的业务流量。
在本实施方式中,应用交付设备通过用户链路接收从用户侧发送的业务流量,当业务流量是从用户链路流入应用交付设备时,应用交付设备确定该业务流量来自用户侧,是首次流入应用交付设备,需要为该业务流量生成对应的安全服务链。在本实施方式中,来自同一终端设备的不同业务类型的业务流量可以分别对应不同的安全服务链,例如,同一个用户通过同一终端设备分别发送了支付业务类型的第一业务流量以及下载业务类型的第二业务流量,第一业务流量和第二业务流量可以分别对应不同的安全服务链。在本实施方式中,来自不同终端设备的不同用户类型的业务流量可以分别对应不同的安全服务链,例如,管理员用户A通过第一终端设备发送第三业务流量,普通用户B通过第二终端设备发送第四业务流量,由于第三业务流量和第四业务流量对应不同用户类型,第三业务流量和第四业务流量可以分别对应不同的安全服务链。因此,本实施方式可以基于不同业务类型以及不同用户类型动态调度具有不同安全功能的安全资源池形成安全服务链。并且,不同的安全服务链中一个或多个目标安全资源池均可以是旁挂接入网络的全部安全资源池中的一部分。进一步地,应用交付设备可以将业务流量和安全服务链建立关联关系,也可以将安全服务链封装到业务流量中。
相应地,步骤S21具体包括:
S211,根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池,所述接收链路为所述用户链路或所述传输链路;
其中,应用交付设备通过接收链路确定业务流量的发送设备,再根据发送设备在安全服务链中的位置确定当前节点的目标安全资源池。在一个可选的实施方式中,步骤S130具体包括:根据该接收链路确定该业务流量的发送设备,该发送设备为该终端设备或该目标安全资源池;当该发送设备为该终端设备时,确定该当前节点的目标安全资源池为该安全服务链中第一个目标安全资源池;当该发送设备为该目标安全资源池时,确定该当前节点的目标安全资源池为该安全服务链中该发送设备的下一节点的目标安全资源池。
S212,将所述业务流量发送至所述当前节点的目标安全资源池,以使所述当前节点的目标安全资源池对所述业务流量进行处理。
其中,目标安全资源池接收业务流量,对业务流量进行处理,将处理后的业务流量通过与应用交付设备之间的传输链路返回。
在一个可选的实施方式中,应用交付设备中可以部署有至少一个虚拟服务,虚拟服务与服务端设备一一对应,该虚拟服务可以作为该服务端设备的虚拟主机或虚拟服务器,当终端设备向服务端设备发送业务流量时,业务流量发送至对应的虚拟服务,每个虚拟服务与用户侧之间设置有用户链路,每个虚拟服务与不同的安全资源池之间分别设置有对应的传输链路,每个虚拟服务可以单独作为执行主体执行上述步骤S10至S30。
在一个可选的实施方式中,步骤S20中根据业务流量生成对应的安全服务链之前,还包括:对该业务流量进行解密操作。进一步地,该解密操作可以为SSL卸载,通过SSL卸载将将HTTPS请求的业务流量转换为HTTP请求的业务流量。
图4是本发明另一实施例的业务流量的编排方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图4所示的流程顺序为限。该方法应用于应用交付设备,该业务流量的编排方法包括如下步骤:
S210,通过预设的用户链路接收终端设备发送的具有新连接信息的业务流量时,建立与该业务流量关联的会话,根据该新连接信息以及该用户链路的链路信息对该会话进行标记。
其中,业务流量中携带有连接信息,在一个可选的实施方式中,该连接信息包括源IP、源端口号、目的IP以及目的端口号,不同的业务流量可能携带有相同的连接信息。在本实施例中,可以根据连接信息生成安全服务链,两个业务流量的连接信息相同时,安全服务链也相同,可以采用相同的编排步骤进行处理。在本实施例中,按照连接信息为业务流量建立会话,对会话进行跟踪标记,后续出现相同连接信息的业务流量,可以直接获取对应会话,根据会话对业务流量进行编排。在本实施例中,会话包括至少一个标记信息。
在本步骤中,通过预设的用户链路接收到终端设备发送的业务流量时,获取业务流量的连接信息,将获取的连接信息与应用交付设备中存储的会话进行匹配;若匹配失败,则确定该业务流量的连接信息为新连接信息。此时,需要为该新连接信息建立会话。
在本步骤中,将新连接信息和用户链路的链路信息添加至会话中,后续步骤中,当应用交付设备接收到业务流量时,若业务流量的连接信息与该会话的连接信息匹配且该业务流量是从用户链路被接收的,将该业务流量识别为该会话的流量,按照该会话进行编排。
S220,根据该新连接信息生成对应的安全服务链,根据该安全服务链对该会话进行标记,该安全服务链指示该业务流量按照预设的顺序经过一个或多个的目标安全资源池,每个该目标安全资源池包括具有相同的安全功能的至少一个安全功能组件。在一个可选的实施方式中,安全服务链的生成方式具体参见上述实施例,与上述实施例不同的是,本实施例中,请求特征是根据连接信息获取的,例如,当连接信息包括源IP、源端口号、目的IP以及目的端口号时,请求特征分别对应源IP、源端口号、目的IP以及目的端口号。本领域技术人员应当理解,还可以根据任何其他可行的方式生成安全服务链。
在本实施例中,将安全服务链添加至会话中,后续步骤中,当应用交付设备接收到业务流量时,若业务流量的连接信息与该会话的连接信息匹配且该业务流量是从用户链路被接收的,将该业务流量识别为该会话的流量,会话中标记的安全服务链为该业务流量的安全服务链,无需再生成。
S230,通过预设的传输链路接收该目标安全资源池返回的该业务流量,当确定与该业务流量关联的该会话不具有与该传输链路匹配的子会话时,建立该会话的子会话,根据该传输链路的链路信息对该子会话进行标记。
其中,业务流量是从传输链路流回应用交付设备的,该业务流量不会被识别为会话的流量,需要为该业务流量建立新的会话,该新的会话为步骤S210中所建立的会话的子会话,该子会话能够通过与会话的关联关系获取会话中记录的安全服务链,该子会话记录有传输链路的链路信息。应用交付设备通过业务流量的连接信息匹配关联的会话,再根据业务流量流回的传输链路在会话的子会话中进行匹配,若匹配失败,则确定与该业务流量关联的该会话不具有与该传输链路匹配的子会话,需要建立子会话并将该传输链路的链路信息添加至该子会话中进行记录。
S240,根据该安全服务链以及接收链路确定该业务流量的当前节点的目标安全资源池,该接收链路为该用户链路或该传输链路,根据该当前节点的目标安全资源池的设备信息对该业务流量的当前会话进行标记,该当前会话为与该业务流量的连接信息以及该接收链路匹配的该会话或该子会话。
其中,确定当前节点的目标安全资源池的方式具体参见第一实施例的描述,在确定当前节点的目标安全资源池后,将当前节点的目标安全资源池的设备信息添加至当前会话中进行记录,当前会话为前述的会话或子会话,当前会话同时与连接信息和接收链路匹配,业务流量作为当前会话的流量,按照当前会话进行编排。在一个可选的实施方式中,当前节点的目标安全资源池的设备信息可以为目标安全资源池中所分配的具体执行操作的安全功能组件的设备信息。
S250,将该业务流量发送至该当前节点的目标安全资源池,以使该当前节点的目标安全资源池对该业务流量进行处理。
在第一个可选的实施方式中,在步骤S250之后还包括如下步骤:
S260,根据该业务流量的连接信息、该当前节点的目标安全资源池的传输链路、以及该业务流量的当前会话建立对应的期望连接。
相应地,步骤S240中,通过预设的传输链路接收目标安全资源池返回的业务流量,确定与该业务流量关联的会话不具有与该传输链路匹配的子会话时,建立该会话的子会话,包括:
S241,通过预设的传输链路接收该目标安全资源池返回的该业务流量;
S242,根据该业务流量的连接信息以及该传输链路获取对应的期望连接;
S243,确定与该业务流量关联的会话不具有与该传输链路匹配的子会话时,建立期望连接中当前会话的子会话。
在本实施方式中,根据期望连接触发子会话的建立,新建立的子会话为期望连接中记录的当前会话的子会话,若期望连接中记录的当前会话为某个会话的子会话,则新建立的子会话为期望连接中记录的当前会话的子会话,同时,期望连接中记录的当前会话和新建立的子会话均作为同一个会话的子会话。
在第二个可选的实施方式中,在步骤S250之后还包括如下步骤:
S270,通过预设的用户链路接收终端设备发送的业务流量,根据该业务流量的连接信息获取对应会话,将获取的会话作为该业务流量的当前会话。
其中,可以根据当前会话对该业务流量进行编排,以增加编排效率。
在第三个可选的实施方式中,在步骤S250之后还包括如下步骤:
S280,通过预设的传输链路接收该目标安全资源池返回的该业务流量,根据该业务流量的连接信息获取对应的会话,根据该传输链路的链路信息获取该会话的对应子会话,将获取的该子会话作为该业务流量的当前会话。
其中,可以根据当前会话对该业务流量进行编排,以增加编排效率。
在第四个可选的实施方式中,在步骤S240之后、步骤S250之前还包括如下步骤:
S250’,确定该业务流量的接收链路对应的目标安全资源池为该安全服务链中最后一个目标安全资源池时,将该业务流量发送至该连接信息对应的服务端设备,根据该服务端设备的设备信息对该业务流量的该当前会话进行标记。
下面以图5为例对本实施例的方法流程进行举例说明:
终端设备发送的具有新连接信息的第一业务流量通过用户链路vlan1进入应用交付设备,创建第一会话H1,随后进行SSL卸载,随后进行策略匹配生成安全服务链为IPS安全资源池-WAF安全资源池,将第一业务流量编排至IPS安全资源池,第一会话H1结束。
IPS安全资源池将第一业务流量通过传输链路vlan2返回应用交付设备中,创建第二会话H2,第二会话H2为第一会话H1的子会话,第二会话H2延续第一会话H1中的安全服务链,将第一业务流量编排至WAF安全资源池,第二会话H2结束。
WAF安全资源池将第一业务流量通过传输链路vlan3返回应用交付设备中,创建第三会话H3,第三会话H3为第二会话H2的子会话,第三会话H3也为第一会话H1的子会话,第三会话H3延续第一会话H1中的安全服务链,将第一业务流量转发至真实的服务端设备。
后续步骤中,通过用户链路vlan1进入应用交付设备的第二业务流量与第一业务流量具有相同的连接信息时,可以直接被识别为第一会话H1的流量,按照第一会话H1进行编排;第二业务流量从vlan2返回应用交付设备中,可以直接被识别为第二会话H2的流量,按照第二会话H2进行编排;第二业务流量从vlan3返回应用交付设备中,可以直接被识别为第三会话H3的流量,按照第三会话H3进行编排。
本发明一实施例提供一种业务流量的编排装置,该业务流量的编排装置与上述实施例中业务流量的编排方法一一对应。如图6所示,该业务流量的编排装置100包括:接收模块11、生成模块12以及编排模块13,其中,接收模块11,用于接收来自终端设备的业务流量;生成模块12,用于当确定需要对所述业务流量进行安全防护时,根据所述业务流量生成对应的安全服务链;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分;编排模块13,用于将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。
在一些实施方式中,该生成模块12还用于:基于预设的服务链匹配策略确定是否需要对所述业务流量进行安全防护,所述服务链匹配策略包括业务流量的请求特征与安全资源池之间的匹配关系。
在一些实施方式中,所述全部安全资源池以旁路部署的方式接入网络。
在一些实施方式中,该编排模块13还用于:通过对应的传输链路将所述业务流量发送到所述目标安全资源池;所述目标安全资源池用于选择其纳管的至少一个安全组件对所述业务流量进行处理;通过所述传输链路接收经过所述目标安全资源池处理的业务流量。
在一些实施方式中,该编排模块13还用于:将经过所述安全服务链中全部所述目标安全资源池处理的业务流量发送至服务端设备。
在一些实施方式中,该接收模块11还用于:通过预设的用户链路接收终端设备发送的业务流量;相应地,该编排模块13还用于:根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池,所述接收链路为所述用户链路或所述传输链路;将所述业务流量发送至所述当前节点的目标安全资源池,以使所述当前节点的目标安全资源池对所述业务流量进行处理。
在一些实施方式中,该接收模块11还用于:通过预设的用户链路接收终端设备发送的具有新连接信息的业务流量时,建立与所述业务流量关联的会话,根据所述新连接信息以及所述用户链路的链路信息对所述会话进行标记;相应地,该生成模块12还用于:根据所述新连接信息生成对应的安全服务链,根据所述安全服务链对所述会话进行标记;相应地,该编排模块13还用于:当确定与所述业务流量关联的所述会话不具有与所述传输链路匹配的子会话时,建立所述会话的子会话,根据所述传输链路的链路信息对所述子会话进行标记。
在一些实施方式中,该编排模块13还用于:根据所述当前节点的目标安全资源池的设备信息对所述业务流量的当前会话进行标记,所述当前会话为与所述业务流量的连接信息以及所述接收链路匹配的所述会话或所述子会话。
在一些实施方式中,该编排模块13还用于:通过预设的用户链路接收终端设备发送的业务流量,根据所述业务流量的连接信息获取对应所述会话,将获取的所述会话作为所述业务流量的当前会话。
在一些实施方式中,该编排模块13还用于:通过预设的传输链路接收所述目标安全资源池返回的所述业务流量,根据所述业务流量的连接信息获取对应的所述会话,根据所述传输链路的链路信息获取所述会话的对应所述子会话,将获取的所述子会话作为所述业务流量的当前会话。
在一些实施方式中,该编排模块13还用于:根据所述业务流量的连接信息、所述当前节点的目标安全资源池的传输链路、所述业务流量的所述当前会话建立对应的期望连接;该编排模块13还用于:通过预设的传输链路接收所述目标安全资源池返回的所述业务流量;根据所述业务流量的连接信息以及所述传输链路获取对应的所述期望连接;确定与所述业务流量关联的所述会话不具有与所述传输链路匹配的子会话时,建立所述期望连接中所述当前会话的子会话。
在一些实施方式中,该编排模块13还用于:确定所述业务流量的接收链路对应的目标安全资源池为所述安全服务链中最后一个目标安全资源池时,将所述业务流量发送至所述连接信息对应的服务端设备,根据所述服务端设备的设备信息对所述业务流量的所述当前会话进行标记。
在一些实施方式中,该编排模块13还用于:根据所述接收链路确定所述业务流量的发送设备,所述发送设备为所述终端设备或所述目标安全资源池;当所述发送设备为所述终端设备时,确定所述当前节点的目标安全资源池为所述安全服务链中第一个目标安全资源池;当所述发送设备为所述目标安全资源池时,确定所述当前节点的目标安全资源池为所述安全服务链中所述发送设备的下一节点的目标安全资源池。
在一些实施方式中,该生成模块12还用于:对所述业务流量进行解密操作,所述解密操作包括SSL卸载。
其中上述的“第一”和“第二”的意义仅在于将不同的对象加以区分,并不用于限定哪个模块/单元的优先级更高或者其它的限定意义。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本发明中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式。
图7是本发明一实施例的应用交付设备的结构示意图。如图7所示,该应用交付设备70包括处理器71及和处理器71耦接的存储器72。
存储器72存储有用于实现上述任一实施例的业务流量的编排方法的程序指令。
处理器71用于执行存储器72存储的程序指令以进行业务流量的编排。
其中,处理器71还可以称为CPU(Central Processing Unit,中央处理单元)。处理器71可能是一种集成电路芯片,具有信号的处理能力。处理器71还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
参阅图8,图8为本发明一实施例的计算机可读存储介质80的结构示意图,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中业务流量的编排方法的步骤。该计算机可读存储介质80存储有能够实现上述所有方法的计算机程序81,所述存储介质可以是非易失性,也可以是易失性。其中,该计算机程序81可以以软件产品的形式存储在上述存储介质中。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性和/或易失性的计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。
Claims (16)
1.一种业务流量的编排方法,其特征在于,包括:
接收来自终端设备的业务流量,当通过预设的用户链路接收终端设备发送的具有新连接信息的业务流量时,建立与所述业务流量关联的会话,根据所述新连接信息以及所述用户链路的链路信息对所述会话进行标记;
当确定需要对所述业务流量进行安全防护时,根据所述新连接信息生成对应的安全服务链,根据所述安全服务链对所述会话进行标记;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分;
将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理;
通过传输链路接收经过所述目标安全资源池处理的业务流量;
当确定与所述业务流量关联的会话不具有与所述传输链路匹配的子会话时,建立所述会话的子会话,根据所述传输链路的链路信息对所述子会话进行标记。
2.根据权利要求1所述的业务流量的编排方法,其特征在于,所述当确定需要对所述业务流量进行安全防护时,根据所述新连接信息生成对应的安全服务链,根据所述安全服务链对所述会话进行标记之前,还包括:
基于预设的服务链匹配策略确定是否需要对所述业务流量进行安全防护,所述服务链匹配策略包括业务流量的请求特征与安全资源池之间的匹配关系。
3.根据权利要求1所述的业务流量的编排方法,其特征在于,所述全部安全资源池以旁路部署的方式接入网络。
4.根据权利要求1所述的业务流量的编排方法,其特征在于,所述将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理,包括:
通过对应的传输链路将所述业务流量发送到所述目标安全资源池;所述目标安全资源池用于选择其纳管的至少一个安全组件对所述业务流量进行处理。
5.根据权利要求4所述的业务流量的编排方法,其特征在于,所述通过传输链路接收经过所述目标安全资源池处理的业务流量之后,还包括:
将经过所述安全服务链中全部所述目标安全资源池处理的业务流量发送至服务端设备。
6.根据权利要求4所述的业务流量的编排方法,其特征在于,
所述通过对应的传输链路将所述业务流量发送到所述目标安全资源池,包括:
根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池,所述接收链路为所述用户链路或所述传输链路;
将所述业务流量发送至所述当前节点的目标安全资源池,以使所述当前节点的目标安全资源池对所述业务流量进行处理。
7.根据权利要求6所述的业务流量的编排方法,其特征在于,所述根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池之后,还包括:
根据所述当前节点的目标安全资源池的设备信息对所述业务流量的当前会话进行标记,所述当前会话为与所述业务流量的连接信息以及所述接收链路匹配的所述会话或所述子会话。
8.根据权利要求7所述的业务流量的编排方法,其特征在于,所述方法还包括:
通过预设的用户链路接收终端设备发送的业务流量,根据所述业务流量的连接信息获取对应所述会话,将获取的所述会话作为所述业务流量的当前会话。
9.根据权利要求7所述的业务流量的编排方法,其特征在于,所述方法还包括:
通过预设的传输链路接收所述目标安全资源池返回的所述业务流量,根据所述业务流量的连接信息获取对应的所述会话,根据所述传输链路的链路信息获取所述会话的对应所述子会话,将获取的所述子会话作为所述业务流量的当前会话。
10.根据权利要求7所述的业务流量的编排方法,其特征在于,所述将所述业务流量发送至所述当前节点的目标安全资源池,以使所述当前节点的目标安全资源池对所述业务流量进行处理之后,还包括:
根据所述业务流量的连接信息、所述当前节点的目标安全资源池的传输链路、以及所述业务流量的所述当前会话建立对应的期望连接;
相应地,所述通过预设的传输链路接收所述目标安全资源池返回的所述业务流量,确定与所述业务流量关联的所述会话不具有与所述传输链路匹配的子会话时,建立所述会话的子会话,包括:
通过预设的传输链路接收所述目标安全资源池返回的所述业务流量;
根据所述业务流量的连接信息以及所述传输链路获取对应的所述期望连接;
确定与所述业务流量关联的所述会话不具有与所述传输链路匹配的子会话时,建立所述期望连接中所述当前会话的子会话。
11.根据权利要求7所述的业务流量的编排方法,其特征在于,所述方法还包括:
确定所述业务流量的接收链路对应的目标安全资源池为所述安全服务链中最后一个目标安全资源池时,将所述业务流量发送至所述连接信息对应的服务端设备,根据所述服务端设备的设备信息对所述业务流量的所述当前会话进行标记。
12.根据权利要求6所述的业务流量的编排方法,其特征在于,所述根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池,包括:
根据所述接收链路确定所述业务流量的发送设备,所述发送设备为所述终端设备或所述目标安全资源池;
当所述发送设备为所述终端设备时,确定所述当前节点的目标安全资源池为所述安全服务链中第一个目标安全资源池;
当所述发送设备为所述目标安全资源池时,确定所述当前节点的目标安全资源池为所述安全服务链中所述发送设备的下一节点的目标安全资源池。
13.根据权利要求1所述的业务流量的编排方法,其特征在于,所述当确定需要对所述业务流量进行安全防护时,根据所述新连接信息生成对应的安全服务链,根据所述安全服务链对所述会话进行标记之前,还包括:
对所述业务流量进行解密操作,所述解密操作包括SSL卸载。
14.一种业务流量的编排装置,其特征在于,包括:
接收模块,用于接收来自终端设备的业务流量,当通过预设的用户链路接收终端设备发送的具有新连接信息的业务流量时,建立与所述业务流量关联的会话,根据所述新连接信息以及所述用户链路的链路信息对所述会话进行标记;
生成模块,用于当确定需要对所述业务流量进行安全防护时,根据所述新连接信息生成对应的安全服务链,根据所述安全服务链对所述会话进行标记;所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池,每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件;所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分;
编排模块,用于将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理;通过传输链路接收经过所述目标安全资源池处理的业务流量;当确定与所述业务流量关联的会话不具有与所述传输链路匹配的子会话时,建立所述会话的子会话,根据所述传输链路的链路信息对所述子会话进行标记。
15.一种应用交付设备,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至13中任一项所述业务流量的编排方法的步骤。
16.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至13中任一项所述业务流量的编排方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210734505.5A CN115296842B (zh) | 2022-06-27 | 2022-06-27 | 业务流量的编排方法、装置、应用交付设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210734505.5A CN115296842B (zh) | 2022-06-27 | 2022-06-27 | 业务流量的编排方法、装置、应用交付设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115296842A CN115296842A (zh) | 2022-11-04 |
| CN115296842B true CN115296842B (zh) | 2024-08-16 |
Family
ID=83820629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210734505.5A Active CN115296842B (zh) | 2022-06-27 | 2022-06-27 | 业务流量的编排方法、装置、应用交付设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296842B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
| CN114024746A (zh) * | 2021-11-04 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 网络报文的处理方法、虚拟交换机以及处理系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009782B2 (en) * | 2013-08-19 | 2015-04-14 | Freescale Semiconductor, Inc. | Steering traffic among multiple network services using a centralized dispatcher |
| CN103905447B (zh) * | 2014-04-01 | 2017-06-27 | 华为技术有限公司 | 业务链路选择控制方法以及设备 |
| JP2017518710A (ja) * | 2014-06-17 | 2017-07-06 | 華為技術有限公司Huawei Technologies Co.,Ltd. | サービスフロー処理方法、装置、およびデバイス |
| US9756016B2 (en) * | 2014-10-30 | 2017-09-05 | Alcatel Lucent | Security services for end users that utilize service chaining |
| US9762402B2 (en) * | 2015-05-20 | 2017-09-12 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
| WO2019015786A1 (en) * | 2017-07-21 | 2019-01-24 | Instaply France | SYSTEM AND METHOD FOR COORDINATING PRODUCTS AND SERVICES FOR CLIENTS |
| CN107920023B (zh) * | 2017-12-29 | 2021-01-19 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
| CN108199958B (zh) * | 2017-12-29 | 2021-04-09 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
| US11558353B2 (en) * | 2018-02-06 | 2023-01-17 | Nokia Technologies Oy | Method, apparatus, and computer readable medium for providing security service for data center |
| CN112272166A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种流量处理方法、装置、设备及机器可读存储介质 |
| CN112822037B (zh) * | 2020-12-30 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
| CN114090244B (zh) * | 2021-11-16 | 2024-03-19 | 中国联合网络通信集团有限公司 | 一种服务编排方法、装置、系统及存储介质 |
| CN114244576A (zh) * | 2021-11-24 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种云环境下的流量防护方法及装置 |
-
2022
- 2022-06-27 CN CN202210734505.5A patent/CN115296842B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
| CN114024746A (zh) * | 2021-11-04 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 网络报文的处理方法、虚拟交换机以及处理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115296842A (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8284664B1 (en) | Redirecting data units to service modules based on service tags and a redirection table | |
| ES2702097T3 (es) | Sistema y servicio de cortafuegos basado en la nube | |
| CN110754066A (zh) | 网络路径选择 | |
| US9515992B2 (en) | Network environment separation | |
| US10887347B2 (en) | Network-based perimeter defense system and method | |
| US10778551B2 (en) | Identifying sources of packet drops in a service function chain environment | |
| WO2020086714A1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| CN114531263B (zh) | 网络与安全服务的安全功能之间的流元数据交换的方法、系统与介质 | |
| US10530681B2 (en) | Implementing forwarding behavior based on communication activity between a controller and a network device | |
| CN117376032B (zh) | 安全服务调度方法和系统、电子设备、存储介质 | |
| JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| Durante et al. | A model for the analysis of security policies in service function chains | |
| Tudosi et al. | Secure network architecture based on distributed firewalls | |
| Seeber et al. | Improving network security through SDN in cloud scenarios | |
| CN115296842B (zh) | 业务流量的编排方法、装置、应用交付设备及介质 | |
| US10547532B2 (en) | Parallelization of inline tool chaining | |
| EP3136679B1 (en) | Method and communication system | |
| CN116684289A (zh) | 一种流量编排方法、电子设备及装置 | |
| Anbarsu et al. | Software-Defined Networking for the Internet of Things: Securing home networks using SDN | |
| US10616094B2 (en) | Redirecting flow control packets | |
| Bensalah et al. | A novel approach for improving MPLS VPN security by adopting the software defined network paradigm | |
| CN117938728B (zh) | 服务器集群中边缘节点的路由方法、装置、设备及介质 | |
| WO2023222028A1 (zh) | 一种网络编程技术处理方法、系统及存储介质 | |
| Iurian et al. | A SYN FLOODING DDoS ATTACK DETECTION IN P4-BASED PROGRAMMABLE NETWORKS | |
| Rehák et al. | Agent methods for network intrusion detection and response |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |