JP2016537898A - 悪意ある攻撃の検出方法および装置 - Google Patents
悪意ある攻撃の検出方法および装置 Download PDFInfo
- Publication number
- JP2016537898A JP2016537898A JP2016533066A JP2016533066A JP2016537898A JP 2016537898 A JP2016537898 A JP 2016537898A JP 2016533066 A JP2016533066 A JP 2016533066A JP 2016533066 A JP2016533066 A JP 2016533066A JP 2016537898 A JP2016537898 A JP 2016537898A
- Authority
- JP
- Japan
- Prior art keywords
- switch
- source host
- controller
- flow entry
- trigger processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims description 49
- 230000002159 abnormal effect Effects 0.000 claims abstract description 201
- 238000012545 processing Methods 0.000 claims abstract description 196
- 230000005540 biological transmission Effects 0.000 claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 42
- 230000001960 triggered effect Effects 0.000 claims abstract description 11
- 230000032683 aging Effects 0.000 claims description 25
- 238000010586 diagram Methods 0.000 description 21
- 238000012795 verification Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 9
- 238000012546 transfer Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 5
- 230000002547 anomalous effect Effects 0.000 description 3
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/24—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using dedicated network management hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
ホストAは、ホストAに接続されているスイッチ1にデータパケットを送信しており、データパケットの宛先ホストはホストCであるとともに、SDNネットワークはホストCを含んでいないものとする。
スイッチ1は、スイッチのローカルフローテーブルからデータパケットのフローエントリを検索し、ホストCはSDNネットワーク内にないので、スイッチ1は、データパケットのフローエントリを見つけることができず、コントローラにPacket-inメッセージを送信する。
コントローラは、Packet-inメッセージを受信し、SDNネットワークからホストCを検索する。ホストCはSDNネットワーク内にないので、コントローラは、ホストCを見つけることができず、その後、コントローラは、Packet-inメッセージを破棄し、データパケットについてのフローエントリをスイッチ1に配信しない。
第1のスイッチによって送信されたPacket-inメッセージを、コントローラによって、受信するステップであって、Packet-inメッセージは、第1のスイッチがフローエントリを見つけていないデータパケットの送信元ホスト識別子および宛先ホスト識別子を含む、ステップと、
宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、第1のスイッチに異常フローエントリを、コントローラによって、送信するステップであって、異常フローエントリが送信元ホスト識別子を含む、ステップと、
第1のスイッチによって送信されたトリガ処理カウントを、コントローラによって、受信するステップであって、異常フローエントリがタイムアウトした後に、トリガ処理カウントが第1のスイッチによって送信され、トリガ処理カウントは異常フローエントリがトリガされた回数である、ステップと、
悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、トリガ処理カウントに従い、コントローラによって、判定するステップとを含む。
トリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを、コントローラによって、算出するステップと、
トリガ処理レートがレート閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップとを含む。
トリガ処理カウントがカウント閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップを含む。
送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されているかどうかを、コントローラによって、判定し、されていない場合には、第1のスイッチに異常フローエントリを送信するステップを、コントローラによって、行うステップをさらに含む。
第1のスイッチ内の最終フローテーブルが送信元ホスト識別子照合領域を含む精密照合テーブルであると判定した場合には、第1のスイッチに第1の命令を、コントローラによって、送信するステップであって、第1の命令は、第1のスイッチが最終フローテーブルに異常フローエントリを記憶することができるように、精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして設定するように第1のスイッチに命令するために使用される、ステップをさらに含む。
第1のスイッチ内の最終フローテーブルが精密照合テーブルであるとともに、送信元ホスト識別子照合領域を含むワイルドカードテーブルが第1のスイッチ内に存在していると判定した場合には、第1のスイッチに第2の命令を、コントローラによって、送信するステップであって、第2の命令は、第1のスイッチが最終フローテーブルに異常フローエントリを記憶することができるように、最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように第1のスイッチに命令するために使用される、ステップをさらに含む。
悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されていると、トリガ処理カウントに従って、判定した場合には、第1のスイッチに第3の命令を、コントローラによって、送信するステップであって、第3の命令は、送信元ホストからのデータパケットを抑制するように第1のスイッチに命令するために使用される、ステップをさらに含む。
データパケットに対応するフローエントリが見つからないと判定された場合には、コントローラにPacket-inメッセージを、第1のスイッチによって、送信するステップであって、Packet-inメッセージは、データパケットの送信元ホスト識別子および宛先ホスト識別子を含む、ステップと、
異常フローエントリを、第1のスイッチによって、受信して保存するステップであって、宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、異常フローエントリがコントローラによって送信される、ステップと、
異常フローエントリのトリガ処理カウントを、異常フローエントリの時効時間内に、第1のスイッチによって、受信して、コントローラが、悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、トリガ処理カウントに従って、判定することができるように、異常フローエントリがタイムアウトした後に、コントローラにトリガ処理カウントを送信するステップとを含む。
コントローラによって送信された第1の命令を、第1のスイッチによって、受信するステップと、最終ローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、第1の命令に従って、設定するステップをさらに含む、または、
コントローラによって送信された第2の命令を、第1のスイッチによって、受信するステップと、第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するステップをさらに含む。
最終フローテーブルに異常フローエントリを、第1のスイッチによって、保存するステップを含む。
コントローラによって送信された第3の命令を、第1のスイッチによって、受信するステップであって、悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されていると、トリガ処理カウントに従って、判定した場合には、第3の命令がコントローラによって送信される、ステップと、
送信元ホストからのデータパケットを、第3の命令に従い、第1のスイッチによって、抑制するステップとをさらに含む。
第1のスイッチによって送信されたPacket-inメッセージを受信するように構成される、第1の受信ユニットであって、Packet-inメッセージは、第1のスイッチがフローエントリを見つけていないデータパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第1の受信ユニットと、
第1の受信ユニットによって受信した宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定された場合には、第1のスイッチに異常フローエントリを送信するように構成される、第1の送信ユニットであって、異常フローエントリは、送信元ホスト識別子を含み、
第1の受信ユニットは、第1のスイッチによって送信されたトリガ処理カウントを受信するようにさらに構成され、トリガ処理カウントは、異常フローエントリがタイムアウトした後に、第1のスイッチによって送信され、トリガ処理カウントは、異常フローエントリがトリガされた回数である、第1の送信ユニットと、
悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、第1の受信ユニットによって受信したトリガ処理カウントに従って、判定するように構成される、検出ユニットとを備える。
第1の受信ユニットによって受信したトリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを算出し、
トリガ処理レートがレート閾値より大きいかどうかを判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと判定するように特に構成される。
トリガ処理カウントがカウント閾値より大きいかどうかを判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するように特に構成される。
送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されているかどうかを判定し、されていない場合には、異常フローエントリを第1のスイッチに送信するように送信ユニットをトリガするように構成される、判定ユニットをさらに備える。
第1のスイッチ内の最終フローテーブルが精密照合テーブルであるとともに、送信元ホスト識別子照合領域を含むワイルドカードテーブルが第1のスイッチ内に存在していると判定された場合には、第1のスイッチに第2の命令を送信するようにさらに構成され、第2の命令は、第1のスイッチが最終フローテーブルに異常フローエントリを記憶することができるように、最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように第1のスイッチに命令するために使用される。
悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されていると、トリガ処理カウントに従って、判定された場合には、第1のスイッチに第3の命令を送信するようにさらに構成され、第3の命令は、送信元ホストからのデータパケットを抑制するように第1のスイッチに命令するために使用される。
データパケットに対応するフローエントリが見つからないと判定された場合には、コントローラにPacket-inメッセージを送信するように構成される、第2の送信ユニットであって、Packet-inメッセージは、データパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第2の送信ユニットと、
異常フローエントリを受信するように構成される、第2の受信ユニットであって、宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、異常フローエントリがコントローラによって送信される、第2の受信ユニットと、
第2の受信ユニットによって受信した異常フローエントリを保存するように構成される、記憶ユニットと、
異常フローエントリのトリガ処理カウントを、記憶ユニットによって保存されている異常フローエントリの時効時間内に、記録するように構成される、カウント記録ユニットとを備え、
第2の送信ユニットは、コントローラが、悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、トリガ処理カウントに従って、判定することができるように、記憶ユニットによって保存されている異常フローエントリがタイムアウトした後に、カウント記録ユニットによって記録されているトリガ処理カウントをコントローラに送信するようにさらに構成される。
装置は、最終ローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、第1の命令に従って、設定するように構成される、設定ユニットをさらに備える、または、
第2の受信ユニットは、コントローラによって送信された第2の命令を受信するようにさらに構成され、
装置は、第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように構成される、設定ユニットをさらに備える。
装置は、送信元ホストからのデータパケットを抑制するように構成される、制御ユニットをさらに備える。
トリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを、コントローラによって、算出するステップと、
トリガ処理レートがレート閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップとを含んでいてもよい。
トリガ処理カウントがカウント閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップを含んでいてもよい。
第1のスイッチによって送信されたPacket-inメッセージを受信するように構成される、第1の受信ユニット610であって、Packet-inメッセージは、第1のスイッチがフローエントリを見つけていないデータパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第1の受信ユニット610と、
第1の受信ユニット610によって受信した宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定された場合には、第1のスイッチに異常フローエントリを送信するように構成される、第1の送信ユニット620であって、異常フローエントリは、送信元ホスト識別子を含み、
第1の受信ユニット610は、第1のスイッチによって送信されたトリガ処理カウントを受信するようにさらに構成され、トリガ処理カウントは、異常フローエントリがタイムアウトした後に、第1のスイッチによって送信され、トリガ処理カウントは、異常フローエントリがトリガされた回数である、第1の送信ユニット620と、
悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、第1の受信ユニット610によって受信したトリガ処理カウントに従って、判定するように構成される、検出ユニット630とを備える。
第1の受信ユニットによって受信したトリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを算出し、
トリガ処理レートがレート閾値より大きいかどうかを判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと判定するように特に構成されてもよい。
トリガ処理カウントがカウント閾値より大きいかどうかを判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、さもなければ、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するように特に構成されてもよい。
送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されているかどうかを判定し、されていない場合には、異常フローエントリを第1のスイッチに送信するように送信ユニットをトリガするように構成される、判定ユニットをさらに備えていてもよい。
悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されていると、トリガ処理カウントに従って、判定された場合には、第1のスイッチに第3の命令を送信するようにさらに構成され、第3の命令は、送信元ホストからのデータパケットを抑制するように第1のスイッチに命令するために使用される。
データパケットに対応するフローエントリが見つからないと判定された場合には、コントローラにPacket-inメッセージを送信するように構成される、第2の送信ユニット710であって、Packet-inメッセージは、データパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第2の送信ユニット710と、
コントローラによって送信された異常フローエントリを受信するように構成される、第2の受信ユニット720であって、宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、異常フローエントリがコントローラによって送信される、第2の受信ユニット720と、
第2の受信ユニット720によって受信した異常フローエントリを保存するように構成される、記憶ユニット730と、
異常フローエントリのトリガ処理カウントを、記憶ユニット730によって保存されている異常フローエントリの時効時間内に、記録するように構成される、カウント記録ユニット740とを備え、
第2の送信ユニット710は、コントローラが、悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、トリガ処理カウントに従って、判定することができるように、記憶ユニットによって保存されている異常フローエントリがタイムアウトした後に、コントローラにトリガ処理カウントを送信するようにさらに構成される。
装置は、最終ローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、第1の命令に従って、設定するように構成される、設定ユニットをさらに備える、または、
第2の受信ユニット720は、コントローラによって送信された第2の命令を受信するようにさらに構成されてもよく、
装置は、第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように構成される、設定ユニットをさらに備える。
装置は、送信元ホストからのデータパケットを抑制するように構成される、制御ユニットをさらに備えていてもよい。
プロセッサ910は、トランシーバ930によって受信した第1の命令に従って最終ローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして設定するようにさらに構成されてもよい、または、
トランシーバ930は、コントローラによって送信された第2の命令を受信するようにさらに構成されてもよいし、
プロセッサ910は、トランシーバ930によって受信した第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するようにさらに構成されてもよい。
610 第1の受信ユニット
620 第1の送信ユニット
630 検出ユニット
700 悪意ある攻撃の検出装置
710 第2の送信ユニット
720 第2の受信ユニット
730 記憶ユニット
740 カウント記録ユニット
800 コントローラ
810 プロセッサ
820 メモリ
830 トランシーバ
840 バス
900 第1のスイッチ
910 プロセッサ
920 メモリ
930 トランシーバ
940 バス
トリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを、コントローラによって、算出するステップと、
トリガ処理レートがレート閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、または、トリガ処理レートがレート閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップとを含む。
トリガ処理カウントがカウント閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、または、トリガ処理カウントがカウント閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップを含む。
送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されているかどうかを、コントローラによって、判定し、送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されていない場合には、第1のスイッチに異常フローエントリを送信するステップを、コントローラによって、行うステップをさらに含む。
コントローラによって送信された第1の命令を、第1のスイッチによって、受信するステップと、最終フローテーブルであるローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、第1の命令に従って、設定するステップをさらに含む、または、
コントローラによって送信された第2の命令を、第1のスイッチによって、受信するステップと、第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するステップをさらに含む。
第1の受信ユニットによって受信したトリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを算出し、
トリガ処理レートがレート閾値より大きいかどうかを判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると判定する、または、トリガ処理レートがレート閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと判定するように特に構成される。
トリガ処理カウントがカウント閾値より大きいかどうかを判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると判定する、または、トリガ処理カウントがカウント閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと判定するように特に構成される。
送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されているかどうかを判定し、送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されていない場合には、異常フローエントリを第1のスイッチに送信するように第1の送信ユニットをトリガするように構成される、判定ユニットをさらに備える。
データパケットに対応するフローエントリが見つからないと判定された場合には、コントローラにPacket-inメッセージを送信するように構成される、第2の送信ユニットであって、Packet-inメッセージは、データパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第2の送信ユニットと、
異常フローエントリを受信するように構成される、第2の受信ユニットであって、宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、異常フローエントリがコントローラによって送信される、第2の受信ユニットと、
第2の受信ユニットによって受信した異常フローエントリを保存するように構成される、記憶ユニットと、
異常フローエントリのトリガ処理カウントを、記憶ユニットによって保存されている異常フローエントリの時効時間内に、記録するように構成される、カウント記録ユニットとを備え、
第2の送信ユニットは、コントローラが、悪意ある攻撃が送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、トリガ処理カウントに従って、判定することができるように、記憶ユニットによって保存されている異常フローエントリがタイムアウトした後に、カウント記録ユニットによって記録されているトリガ処理カウントをコントローラに送信するようにさらに構成される。
装置は、最終フローテーブルであるローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、第1の命令に従って、設定するように構成される、設定ユニットをさらに備える、または、
第2の受信ユニットは、コントローラによって送信された第2の命令を受信するようにさらに構成され、
装置は、第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように構成される、設定ユニットをさらに備える。
装置は、送信元ホストからのデータパケットを抑制するように構成される、制御ユニットをさらに備える。
トリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを、コントローラによって、算出するステップと、
トリガ処理レートがレート閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、または、トリガ処理レートがレート閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップとを含んでいてもよい。
トリガ処理カウントがカウント閾値より大きいかどうかを、コントローラによって、判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると、コントローラによって、判定する、または、トリガ処理カウントがカウント閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと、コントローラによって、判定するステップを含んでいてもよい。
第1の受信ユニット610によって受信したトリガ処理カウントおよび異常フローエントリの時効時間に従って異常フローエントリのトリガ処理レートを算出し、
トリガ処理レートがレート閾値より大きいかどうかを判定し、トリガ処理レートがレート閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると判定する、または、トリガ処理レートがレート閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと判定するように特に構成されてもよい。
トリガ処理カウントがカウント閾値より大きいかどうかを判定し、トリガ処理カウントがカウント閾値より大きい場合には、悪意ある攻撃が送信元ホストから開始されていると判定する、または、トリガ処理カウントがカウント閾値より大きくない場合には、悪意ある攻撃が送信元ホストから開始されていないと判定するように特に構成されてもよい。
送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されているかどうかを判定し、送信元ホスト識別子によって示されている送信元ホストの異常フローエントリが第1のスイッチに配信されていない場合には、異常フローエントリを第1のスイッチに送信するように第1の送信ユニット620をトリガするように構成される、判定ユニットをさらに備えていてもよい。
装置は、最終フローテーブルであるローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、第1の命令に従って、設定するように構成される、設定ユニットをさらに備える、または、
第2の受信ユニット720は、コントローラによって送信された第2の命令を受信するようにさらに構成されてもよく、
装置は、第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように構成される、設定ユニットをさらに備える。
装置は、送信元ホストからのデータパケットを抑制するように構成される、制御ユニットをさらに備えていてもよい。
プロセッサ910は、トランシーバ930によって受信した第1の命令に従って最終フローテーブルであるローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして設定するようにさらに構成されてもよい、または、
トランシーバ930は、コントローラによって送信された第2の命令を受信するようにさらに構成されてもよいし、
プロセッサ910は、トランシーバ930によって受信した第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するようにさらに構成されてもよい。
Claims (23)
- 悪意ある攻撃の検出方法であって、
第1のスイッチによって送信されたPacket-inメッセージを、コントローラによって、受信するステップであって、前記Packet-inメッセージは、前記第1のスイッチがフローエントリを見つけていないデータパケットの送信元ホスト識別子および宛先ホスト識別子を含む、ステップと、
前記宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、前記第1のスイッチに異常フローエントリを、前記コントローラによって、送信するステップであって、前記異常フローエントリが前記送信元ホスト識別子を含む、ステップと、
前記第1のスイッチによって送信されたトリガ処理カウントを、前記コントローラによって、受信するステップであって、前記異常フローエントリがタイムアウトした後に、前記トリガ処理カウントが前記第1のスイッチによって送信され、前記トリガ処理カウントは前記異常フローエントリがトリガされた回数である、ステップと、
悪意ある攻撃が前記送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、前記トリガ処理カウントに従い、前記コントローラによって、判定するステップとを含む、方法。 - 悪意ある攻撃が前記送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、前記トリガ処理カウントに従い、前記コントローラによって、判定するステップは、
前記トリガ処理カウントおよび前記異常フローエントリの時効時間に従って前記異常フローエントリのトリガ処理レートを、前記コントローラによって、算出するステップと、
前記トリガ処理レートがレート閾値より大きいかどうかを、前記コントローラによって、判定し、前記トリガ処理レートが前記レート閾値より大きい場合には、悪意ある攻撃が前記送信元ホストから開始されていると、前記コントローラによって、判定する、さもなければ、悪意ある攻撃が前記送信元ホストから開始されていないと、前記コントローラによって、判定するステップとを含む、請求項1に記載の方法。 - 悪意ある攻撃が前記送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、前記トリガ処理カウントに従い、前記コントローラによって、判定するステップは、
前記トリガ処理カウントがカウント閾値より大きいかどうかを、前記コントローラによって、判定し、前記トリガ処理カウントが前記カウント閾値より大きい場合には、悪意ある攻撃が前記送信元ホストから開始されていると、前記コントローラによって、判定する、さもなければ、悪意ある攻撃が前記送信元ホストから開始されていないと、前記コントローラによって、判定するステップを含む、請求項1に記載の方法。 - 前記第1のスイッチに異常フローエントリを、前記コントローラによって、送信するステップの前に、
前記送信元ホスト識別子によって示されている前記送信元ホストの異常フローエントリが前記第1のスイッチに配信されているかどうかを、前記コントローラによって、判定し、されていない場合には、前記第1のスイッチに異常フローエントリを送信するステップを、前記コントローラによって、行うステップをさらに含む、請求項1から3のいずれか一項に記載の方法。 - 前記第1のスイッチ内の最終フローテーブルが送信元ホスト識別子照合領域を含む精密照合テーブルであると判定した場合には、前記第1のスイッチに第1の命令を、前記コントローラによって、送信するステップであって、前記第1の命令は、前記第1のスイッチが前記最終フローテーブルに前記異常フローエントリを記憶することができるように、前記精密照合テーブルを前記送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして設定するように前記第1のスイッチに命令するために使用される、ステップをさらに含む、請求項1から4のいずれか一項に記載の方法。
- 前記第1のスイッチ内の最終フローテーブルが精密照合テーブルであるとともに、送信元ホスト識別子照合領域を含むワイルドカードテーブルが前記第1のスイッチ内に存在していると判定した場合には、前記第1のスイッチに第2の命令を、前記コントローラによって、送信するステップであって、前記第2の命令は、前記第1のスイッチが前記最終フローテーブルに前記異常フローエントリを記憶することができるように、前記最終フローテーブルとなるように送信元ホスト識別子照合領域を含む前記ワイルドカードテーブルを調整するように前記第1のスイッチに命令するために使用される、ステップをさらに含む、請求項1から4のいずれか一項に記載の方法。
- 前記異常フローエントリの優先度は、前記第1のスイッチ内のフローエントリの最低優先度である、請求項1から6のいずれか一項に記載の方法。
- 悪意ある攻撃が前記送信元ホスト識別子によって示されている前記送信元ホストから開始されていると、前記トリガ処理カウントに従って、判定した場合には、前記第1のスイッチに第3の命令を、前記コントローラによって、送信するステップであって、前記第3の命令は、前記送信元ホストからのデータパケットを抑制するように前記第1のスイッチに命令するために使用される、ステップをさらに含む、請求項1から7のいずれか一項に記載の方法。
- 悪意ある攻撃の検出方法であって、
データパケットに対応するフローエントリが見つからないと判定された場合には、コントローラにPacket-inメッセージを、第1のスイッチによって、送信するステップであって、前記Packet-inメッセージは、前記データパケットの送信元ホスト識別子および宛先ホスト識別子を含む、ステップと、
異常フローエントリを、前記第1のスイッチによって、受信して保存するステップであって、前記宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、前記異常フローエントリが前記コントローラによって送信される、ステップと、
前記異常フローエントリのトリガ処理カウントを、前記異常フローエントリの時効時間内に、前記第1のスイッチによって、受信して、前記コントローラが、悪意ある攻撃が前記送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、前記トリガ処理カウントに従って、判定することができるように、前記異常フローエントリがタイムアウトした後に、前記コントローラに前記トリガ処理カウントを送信するステップとを含む、方法。 - 前記コントローラによって送信された第1の命令を、前記第1のスイッチによって、受信するステップと、最終ローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、前記第1の命令に従って、設定するステップをさらに含む、または、
前記コントローラによって送信された第2の命令を、前記第1のスイッチによって、受信するステップと、前記第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するステップをさらに含む、請求項9に記載の方法。 - 異常フローエントリを、前記第1のスイッチによって、保存するステップは、
前記最終フローテーブルに前記異常フローエントリを、前記第1のスイッチによって、保存するステップを含む、請求項10に記載の方法。 - 前記コントローラによって送信された第3の命令を、前記第1のスイッチによって、受信するステップであって、悪意ある攻撃が前記送信元ホスト識別子によって示されている前記送信元ホストから開始されていると、前記トリガ処理カウントに従って、判定した場合には、前記第3の命令が前記コントローラによって送信される、ステップと、
前記送信元ホストからのデータパケットを、前記第3の命令に従い、前記第1のスイッチによって、抑制するステップとをさらに含む、請求項9から11のいずれか一項に記載の方法。 - 悪意ある攻撃の検出装置であって、
第1のスイッチによって送信されたPacket-inメッセージを受信するように構成される、第1の受信ユニットであって、前記Packet-inメッセージは、前記第1のスイッチがフローエントリを見つけていないデータパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第1の受信ユニットと、
前記第1の受信ユニットによって受信した前記宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定された場合には、前記第1のスイッチに異常フローエントリを送信するように構成される、第1の送信ユニットであって、前記異常フローエントリは、前記送信元ホスト識別子を含み、
前記第1の受信ユニットは、前記第1のスイッチによって送信されたトリガ処理カウントを受信するようにさらに構成され、前記トリガ処理カウントは、前記異常フローエントリがタイムアウトした後に、前記第1のスイッチによって送信され、前記トリガ処理カウントは、前記異常フローエントリがトリガされた回数である、第1の送信ユニットと、
悪意ある攻撃が前記送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、前記第1の受信ユニットによって受信した前記トリガ処理カウントに従って、判定するように構成される、検出ユニットとを備える、装置。 - 前記検出ユニットは、
前記第1の受信ユニットによって受信した前記トリガ処理カウントおよび前記異常フローエントリの時効時間に従って前記異常フローエントリのトリガ処理レートを算出し、
前記トリガ処理レートがレート閾値より大きいかどうかを判定し、前記トリガ処理レートが前記レート閾値より大きい場合には、悪意ある攻撃が前記送信元ホストから開始されていると判定する、さもなければ、悪意ある攻撃が前記送信元ホストから開始されていないと判定するように特に構成される、請求項13に記載の装置。 - 前記検出ユニットは、
前記トリガ処理カウントがカウント閾値より大きいかどうかを判定し、前記トリガ処理カウントが前記カウント閾値より大きい場合には、悪意ある攻撃が前記送信元ホストから開始されていると、前記コントローラによって、判定する、さもなければ、悪意ある攻撃が前記送信元ホストから開始されていないと、前記コントローラによって、判定するように特に構成される、請求項13に記載の装置。 - 前記送信元ホスト識別子によって示されている前記送信元ホストの異常フローエントリが前記第1のスイッチに配信されているかどうかを判定し、されていない場合には、異常フローエントリを前記第1のスイッチに送信するように前記送信ユニットをトリガするように構成される、判定ユニットをさらに備える、請求項13から15のいずれか一項に記載の装置。
- 前記第1の送信ユニットは、前記第1のスイッチ内の最終フローテーブルが送信元ホスト識別子照合領域を含む精密照合テーブルであると判定された場合には、前記第1のスイッチが前記最終フローテーブルに前記異常フローエントリを記憶することができるように、前記精密照合テーブルを前記送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして設定するように前記第1のスイッチに命令するようにさらに構成される、請求項13から16のいずれか一項に記載の装置。
- 前記第1の送信ユニットは、
前記第1のスイッチ内の最終フローテーブルが精密照合テーブルであるとともに、送信元ホスト識別子照合領域を含むワイルドカードテーブルが前記第1のスイッチ内に存在していると判定された場合には、前記第1のスイッチに第2の命令を送信するようにさらに構成され、前記第2の命令は、前記第1のスイッチが前記最終フローテーブルに前記異常フローエントリを記憶することができるように、前記最終フローテーブルとなるように送信元ホスト識別子照合領域を含む前記ワイルドカードテーブルを調整するように前記第1のスイッチに命令するために使用される、請求項13から16のいずれか一項に記載の装置。 - 前記第1の送信ユニットは、
悪意ある攻撃が前記送信元ホスト識別子によって示されている前記送信元ホストから開始されていると、前記トリガ処理カウントに従って、判定された場合には、前記第1のスイッチに第3の命令を送信するようにさらに構成され、前記第3の命令は、前記送信元ホストからのデータパケットを抑制するように前記第1のスイッチに命令するために使用される、請求項13から18のいずれか一項に記載の装置。 - 悪意ある攻撃の検出装置であって、
データパケットに対応するフローエントリが見つからないと判定された場合には、コントローラにPacket-inメッセージを送信するように構成される、第2の送信ユニットであって、前記Packet-inメッセージは、前記データパケットの送信元ホスト識別子および宛先ホスト識別子を含む、第2の送信ユニットと、
異常フローエントリを受信するように構成される、第2の受信ユニットであって、前記宛先ホスト識別子によって示されているホストがSDNネットワーク内に存在していないと判定した場合には、前記異常フローエントリが前記コントローラによって送信される、第2の受信ユニットと、
前記第2の受信ユニットによって受信した前記異常フローエントリを保存するように構成される、記憶ユニットと、
前記異常フローエントリのトリガ処理カウントを、前記記憶ユニットによって保存されている前記異常フローエントリの時効時間内に、記録するように構成される、カウント記録ユニットとを備え、
前記第2の送信ユニットは、前記コントローラが、悪意ある攻撃が前記送信元ホスト識別子によって示されている送信元ホストから開始されているかどうかを、前記トリガ処理カウントに従って、判定することができるように、前記記憶ユニットによって保存されている前記異常フローエントリがタイムアウトした後に、前記カウント記録ユニットによって記録されている前記トリガ処理カウントを前記コントローラに送信するようにさらに構成される、装置。 - 前記第2の受信ユニットは、前記コントローラによって送信された第1の命令を受信するようにさらに構成され、
前記装置は、最終ローカル精密照合テーブルを送信元ホスト識別子照合領域のみを照合する精密照合テーブルとして、前記第1の命令に従って、設定するように構成される、設定ユニットをさらに備える、または、
前記第2の受信ユニットは、前記コントローラによって送信された第2の命令を受信するようにさらに構成され、
前記装置は、前記第2の命令に従って最終フローテーブルとなるように送信元ホスト識別子照合領域を含むワイルドカードテーブルを調整するように構成される、設定ユニットをさらに備える、請求項20に記載の装置。 - 前記記憶ユニットは、前記最終フローテーブルに前記異常フローエントリを保存するように特に構成される、請求項21に記載の装置。
- 前記第2の受信ユニットは、前記第1のスイッチによって送信された第3の命令を受信するようにさらに構成され、
前記装置は、前記送信元ホストからのデータパケットを抑制するように構成される、制御ユニットをさらに備える、請求項20から22のいずれか一項に記載の装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310596661.0 | 2013-11-22 | ||
CN201310596661.0A CN104660565B (zh) | 2013-11-22 | 2013-11-22 | 恶意攻击的检测方法和装置 |
PCT/CN2014/085989 WO2015074451A1 (zh) | 2013-11-22 | 2014-09-05 | 恶意攻击的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016537898A true JP2016537898A (ja) | 2016-12-01 |
JP6186655B2 JP6186655B2 (ja) | 2017-08-30 |
Family
ID=53178900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016533066A Active JP6186655B2 (ja) | 2013-11-22 | 2014-09-05 | 悪意ある攻撃の検出方法および装置 |
Country Status (7)
Country | Link |
---|---|
US (2) | US10313375B2 (ja) |
EP (2) | EP3570516B1 (ja) |
JP (1) | JP6186655B2 (ja) |
CN (2) | CN108667853B (ja) |
CA (1) | CA2931145C (ja) |
RU (1) | RU2647646C2 (ja) |
WO (1) | WO2015074451A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017526368A (ja) * | 2014-08-29 | 2017-09-14 | ボード・オブ・リージエンツ,ザ・ユニバーシテイ・オブ・テキサス・システム | 腫瘍の治療のための、キヌレニンを枯渇させる酵素の投与 |
WO2022249451A1 (ja) * | 2021-05-28 | 2022-12-01 | 日本電信電話株式会社 | スイッチ、ネットワークコントローラ、通信制御方法、及び通信制御プログラム |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3119052B1 (en) | 2014-06-17 | 2018-05-16 | Huawei Technologies Co., Ltd. | Method, device and switch for identifying attack flow in a software defined network |
TW201605198A (zh) | 2014-07-31 | 2016-02-01 | 萬國商業機器公司 | 智慧網路管理裝置以及管理網路的方法 |
EP3297228A4 (en) * | 2015-06-30 | 2018-06-13 | Huawei Technologies Co., Ltd. | Flow table ageing method, switch and controller |
CN106487756B (zh) * | 2015-08-28 | 2019-12-06 | 华为技术有限公司 | 一种检测交换机信息泄露的方法及装置 |
CN105208023B (zh) * | 2015-09-14 | 2018-03-30 | 北京交通大学 | 中心控制器保护方法、设备及系统 |
WO2017119246A1 (ja) * | 2016-01-08 | 2017-07-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法、異常検知装置及び異常検知システム |
CN105554041B (zh) * | 2016-03-01 | 2018-05-25 | 江苏三棱智慧物联发展股份有限公司 | 一种检测基于流表超时机制的分布式拒绝服务攻击的方法 |
WO2017207039A1 (en) * | 2016-06-01 | 2017-12-07 | Huawei Technologies Co., Ltd. | Software defined networking system for distiguishing packet-in messages |
KR101900154B1 (ko) * | 2016-10-17 | 2018-11-08 | 숭실대학교산학협력단 | DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 |
CN106506371A (zh) * | 2016-11-11 | 2017-03-15 | 清华大学 | 基于OpenFlow协议的ID/Locator分离的IP移动性处理方法及装置 |
CN107800711B (zh) * | 2017-06-16 | 2020-08-11 | 南京航空航天大学 | 一种OpenFlow控制器抵御DDoS攻击的方法 |
CN107241359B (zh) * | 2017-08-03 | 2020-03-17 | 安捷光通科技成都有限公司 | 一种面向软件定义网络的轻量级网络流量异常检测方法 |
US10581684B2 (en) | 2017-12-06 | 2020-03-03 | Schweitzer Engineering Laboratories, Inc. | Network management via a secondary communication channel in a software defined network |
US10560390B2 (en) * | 2018-03-05 | 2020-02-11 | Schweitzer Engineering Laboratories, Inc. | Time-based network operation profiles in a software-defined network |
CN108650148B (zh) * | 2018-04-16 | 2021-08-13 | 湖南省星岳天璇科技有限公司 | 一种SDN数据流flow-statistics低开销采集方法 |
US11032389B1 (en) * | 2018-08-02 | 2021-06-08 | Juniper Networks, Inc. | Applying application-based policy rules using a programmable application cache |
CN109525495B (zh) * | 2018-12-24 | 2022-03-11 | 广东浪潮大数据研究有限公司 | 一种数据处理装置、方法和fpga板卡 |
CN109831428B (zh) * | 2019-01-29 | 2021-04-20 | 内蒙古大学 | Sdn网络攻击检测及防御的方法和装置 |
CN109617931B (zh) * | 2019-02-20 | 2020-11-06 | 电子科技大学 | 一种SDN控制器的DDoS攻击防御方法及防御系统 |
CN110798442B (zh) * | 2019-09-10 | 2023-01-20 | 广州西麦科技股份有限公司 | 数据注入攻击检测方法及相关装置 |
WO2021107867A1 (en) * | 2019-11-26 | 2021-06-03 | National University Of Singapore | Method of monitoring a communication network to facilitate network fault analysis, and a communication network thereof |
CN111624869B (zh) * | 2020-04-25 | 2023-03-28 | 中国人民解放军战略支援部队信息工程大学 | 自动感知攻击行为方法、系统及以太网交换机 |
CN111800383A (zh) * | 2020-06-02 | 2020-10-20 | 深圳供电局有限公司 | 一种基于SDN的DDos流量检测方法及装置 |
CN111970168A (zh) * | 2020-08-11 | 2020-11-20 | 北京点众科技股份有限公司 | 全链路服务节点的监控方法、装置和存储介质 |
WO2022092788A1 (en) | 2020-10-29 | 2022-05-05 | Samsung Electronics Co., Ltd. | Methods and system for securing a sdn controller from denial of service attack |
CN112968861A (zh) * | 2020-12-25 | 2021-06-15 | 杨世标 | 一种DDoS攻击封堵判定方法和系统 |
CN114666162B (zh) * | 2022-04-29 | 2023-05-05 | 北京火山引擎科技有限公司 | 一种流量检测方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012056816A1 (ja) * | 2010-10-28 | 2012-05-03 | 日本電気株式会社 | ネットワークシステム、及び通信トラフィック制御方法 |
WO2012077259A1 (en) * | 2010-12-10 | 2012-06-14 | Nec Corporation | Communication system, control device, node controlling method and program |
WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
WO2012141086A1 (ja) * | 2011-04-15 | 2012-10-18 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
JP2013201478A (ja) * | 2012-03-23 | 2013-10-03 | Nec Corp | ネットワークシステム、スイッチ、及び通信遅延短縮方法 |
WO2013150925A1 (ja) * | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
WO2013164988A1 (ja) * | 2012-05-01 | 2013-11-07 | 日本電気株式会社 | 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2418563A (en) * | 2004-09-23 | 2006-03-29 | Agilent Technologies Inc | Monitoring for malicious attacks in a communications network |
CN100388684C (zh) * | 2005-01-26 | 2008-05-14 | 华为技术有限公司 | 宽带接入网络中防止点到点协议认证攻击的实现方法 |
JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
DK1872595T3 (da) * | 2006-02-03 | 2012-03-05 | Sigram Schindler Beteiligungs Gmbh | Fremgangsmåde til ændring af arbejdsproceduren for en teknisk telekommunikationsgruppe-platform (TKP) hørende til et telekommunikations-net (TK-net) |
US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
CN101789905A (zh) * | 2010-02-05 | 2010-07-28 | 杭州华三通信技术有限公司 | 防止未知组播攻击cpu的方法和设备 |
KR101574193B1 (ko) * | 2010-12-13 | 2015-12-11 | 한국전자통신연구원 | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 |
CN102195887B (zh) * | 2011-05-31 | 2014-03-12 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络安全设备 |
KR20130030086A (ko) * | 2011-09-16 | 2013-03-26 | 한국전자통신연구원 | 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치 |
JP2013070325A (ja) * | 2011-09-26 | 2013-04-18 | Nec Corp | 通信システム、通信装置、サーバ、通信方法 |
US8711860B2 (en) * | 2011-12-22 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Controller for flexible and extensible flow processing in software-defined networks |
US9210180B2 (en) * | 2012-04-18 | 2015-12-08 | Radware Ltd. | Techniques for separating the processing of clients' traffic to different zones in software defined networks |
US10116696B2 (en) * | 2012-05-22 | 2018-10-30 | Sri International | Network privilege manager for a dynamically programmable computer network |
CN102904975B (zh) * | 2012-09-28 | 2015-06-17 | 华为技术有限公司 | 报文处理的方法和相关装置 |
US9692775B2 (en) * | 2013-04-29 | 2017-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system to dynamically detect traffic anomalies in a network |
-
2013
- 2013-11-22 CN CN201810712113.2A patent/CN108667853B/zh active Active
- 2013-11-22 CN CN201310596661.0A patent/CN104660565B/zh active Active
-
2014
- 2014-09-05 WO PCT/CN2014/085989 patent/WO2015074451A1/zh active Application Filing
- 2014-09-05 RU RU2016124770A patent/RU2647646C2/ru active
- 2014-09-05 EP EP19152206.9A patent/EP3570516B1/en active Active
- 2014-09-05 EP EP14864083.2A patent/EP3073700B1/en active Active
- 2014-09-05 CA CA2931145A patent/CA2931145C/en active Active
- 2014-09-05 JP JP2016533066A patent/JP6186655B2/ja active Active
-
2016
- 2016-05-20 US US15/160,158 patent/US10313375B2/en active Active
-
2019
- 2019-05-17 US US16/415,749 patent/US11637845B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012056816A1 (ja) * | 2010-10-28 | 2012-05-03 | 日本電気株式会社 | ネットワークシステム、及び通信トラフィック制御方法 |
WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
WO2012077259A1 (en) * | 2010-12-10 | 2012-06-14 | Nec Corporation | Communication system, control device, node controlling method and program |
WO2012141086A1 (ja) * | 2011-04-15 | 2012-10-18 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
JP2013201478A (ja) * | 2012-03-23 | 2013-10-03 | Nec Corp | ネットワークシステム、スイッチ、及び通信遅延短縮方法 |
WO2013150925A1 (ja) * | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
WO2013164988A1 (ja) * | 2012-05-01 | 2013-11-07 | 日本電気株式会社 | 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017526368A (ja) * | 2014-08-29 | 2017-09-14 | ボード・オブ・リージエンツ,ザ・ユニバーシテイ・オブ・テキサス・システム | 腫瘍の治療のための、キヌレニンを枯渇させる酵素の投与 |
WO2022249451A1 (ja) * | 2021-05-28 | 2022-12-01 | 日本電信電話株式会社 | スイッチ、ネットワークコントローラ、通信制御方法、及び通信制御プログラム |
Also Published As
Publication number | Publication date |
---|---|
US20160269432A1 (en) | 2016-09-15 |
EP3073700B1 (en) | 2019-07-24 |
CN104660565A (zh) | 2015-05-27 |
EP3073700A4 (en) | 2016-09-28 |
WO2015074451A1 (zh) | 2015-05-28 |
CN108667853A (zh) | 2018-10-16 |
CN108667853B (zh) | 2021-06-01 |
CN104660565B (zh) | 2018-07-20 |
CA2931145A1 (en) | 2015-05-28 |
EP3073700A1 (en) | 2016-09-28 |
RU2016124770A (ru) | 2017-12-27 |
US11637845B2 (en) | 2023-04-25 |
EP3570516B1 (en) | 2023-08-23 |
US20190281081A1 (en) | 2019-09-12 |
US10313375B2 (en) | 2019-06-04 |
JP6186655B2 (ja) | 2017-08-30 |
EP3570516A1 (en) | 2019-11-20 |
RU2647646C2 (ru) | 2018-03-16 |
CA2931145C (en) | 2018-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6186655B2 (ja) | 悪意ある攻撃の検出方法および装置 | |
US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
US11032205B2 (en) | Flow control method and switching device | |
US9819590B2 (en) | Method and apparatus for notifying network abnormality | |
CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
JPWO2011083682A1 (ja) | スイッチネットワークシステム、コントローラ、及び制御方法 | |
CN111245740B (zh) | 配置业务的服务质量策略方法、装置和计算设备 | |
CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
US10117140B2 (en) | Network storage method, switch device, and controller | |
US10148596B2 (en) | Data flow statistics collection method, system, and apparatus | |
WO2014050125A1 (en) | Communication system, control apparatus, terminal, terminal control method, and program | |
CN102546587B (zh) | 防止网关系统会话资源被恶意耗尽的方法及装置 | |
US9906438B2 (en) | Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program | |
JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
US20140376394A1 (en) | Communication apparatus, control apparatus, communication system, communication control method, and computer program | |
KR101707355B1 (ko) | 통신 노드, 통신 시스템, 제어 장치, 패킷 전송 방법 및 프로그램 | |
WO2014034119A1 (en) | Access control system, access control method, and program | |
US9819691B2 (en) | Network monitoring system and method | |
US20140226486A1 (en) | Communication Apparatus, Communication System, Communication Control Method, and Computer Program | |
KR20210066432A (ko) | 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법 | |
US20140233392A1 (en) | Communication apparatus, communication system, communication control method, and program | |
JP2012109905A (ja) | トラフィックモニタ装置およびトラフィックのモニタ方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160720 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170525 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170704 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170713 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6186655 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |