KR20170106351A - 공격 데이터 패킷 처리 방법, 장치, 및 시스템 - Google Patents

공격 데이터 패킷 처리 방법, 장치, 및 시스템 Download PDF

Info

Publication number
KR20170106351A
KR20170106351A KR1020177020719A KR20177020719A KR20170106351A KR 20170106351 A KR20170106351 A KR 20170106351A KR 1020177020719 A KR1020177020719 A KR 1020177020719A KR 20177020719 A KR20177020719 A KR 20177020719A KR 20170106351 A KR20170106351 A KR 20170106351A
Authority
KR
South Korea
Prior art keywords
data packet
attack
attack data
processing policy
information
Prior art date
Application number
KR1020177020719A
Other languages
English (en)
Inventor
칭화 위
신화 양
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20170106351A publication Critical patent/KR20170106351A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예는 공격 데이터 패킷 처리 방법, 장치, 및 시스템을 제공하고, 이것은 통신 기술 분야에 관련되고, 공격 데이터 패킷이 전송될 때, 공격 데이터 패킷에 의해 점유된 네트워크 대역폭을 제한할 수 있어 정상적인 데이터 패킷의 전송이 보장된다. 이러한 방법은, 관리 노드가, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신하는 단계 - 설명 정보 및 공격 유형은 인지 노드에 의해 송신됨 -; 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계; 및 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 및 정보 처리 정책을 교환기에 송신하는 단계를 포함하고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도곡 교환기에 명령하는데 사용된다. 이러한 방법은 네트워크 보안 유지 기술에 적용된다.

Description

공격 데이터 패킷 처리 방법, 장치, 및 시스템
본 발명은 통신 기술 분야에 관한 것으로, 더욱 상세하게는 공격 데이터 패킷 처리 방법, 장치, 및 시스템에 관한 것이다.
클라우드 기술의 급속한 발전에 따라, 클라우드 기술의 적용에 많은 문제가 발생한다. 예를 들어 클라우드 데이터 센터의 서버(간단히, 클라우드 서버)는 IP(Internet Protocol) 통신 중에 DDoS(distributed denial of service) 공격 및 사기 메시지 공격(fraud message attack)과 같은 다양한 공격 데이터 패킷에 의해 공격받을 수 있다. 따라서 공격 데이터 패킷을 처리하여 클라우드 서버에 대한 보안 통신(secure communication)을 보장하는 것은 클라우드 기술의 핵심 기술 중 하나이다.
현재, 일반적인 공격 데이터 패킷 처리 방식은 다음과 같다.: 클라우드 데이터 센터의 엔터런스 클라우드 서버(entrance cloud server)에 물리적 방화벽을 배치하거나 클라우드 데이터 센터의 각 클라우드 서버에서 실행되는 하이퍼바이저(hypervisor)에 가상 방화벽을 배치하여, 클라우드 서버에 들어가기를 기다리는 모든 데이터 패킷이 물리적/가상 방화벽에 의한 필터링 및 전달을 거치는 것이 보장된다. 따라서 공격 데이터 패킷이 필터링(filtered out)되고 공격 데이터 패킷이 클라우드 서버에 진입하는 것이 방지되어, 클라우드 서버가 보안 통신을 수행할 수 있도록 보장한다. 구체적으로, 작업자에 의해 물리적/가상 방화벽을 위해 구성된 보안 정책에 따라, 물리적/가상 방화벽은, IP 계층에 들어가기를 기다리는 데이터 패킷에 의해 운반되는 IP 계층 시그널링을 식별한다. IP 계층 시그널링이 보안 정책을 준수하지 않으면, 물리적/가상 방화벽이 데이터 패킷을 필터링하여, 공격 데이터 패킷이 클라우드 서버를 공격하는 것을 방지하고, 또한 클라우드 서버가 보안 통신을 수행 할 수 있게 한다.
그러나 전술한, 방화벽을 이용하여 공격 데이터 패킷이 클라우드 서버에 진입하는 것을 방지하기 위한 방법에서, 방화벽만이 공격 데이터 패킷이 클라우드 서버에 진입하는 것을 방지하기 위해 사용될 수 있고, 데이터 패킷을 방화벽으로 전달하는 교환기는 여전히 공격 데이터 패킷을 방화벽으로 전달할 수 있다. 즉, 공격 데이터 패킷은 여전히 네트워크에서 계속 전송된다. 따라서 비정상적인 데이터 패킷은 많은 양의 네트워크 대역폭을 차지하여 정상적인 데이터 패킷의 전송에 영향을 미친다.
본 발명은 공격 데이터 패킷이 네트워크에서 전송될 때, 공격 데이터 패킷이 차지하는 네트워크 대역폭을 제한하고 정상 데이터의 전송을 보장할 수 있는 공격 데이터 패킷 처리 방법, 장치 및 시스템을 제공한다.
전술한 목적을 달성하기 위해, 본 발명에서는 다음의 기술적 해결 수단이 사용된다.
제1 측면에 따르면, 본 발명은 공격 데이터 패킷을 처리하는 방법을 제공하고, 이러한 방법은, 관리 노드가, 공격 데이터 패킷의 설명 정보(description information) 및 상기 공격 데이터 패킷의 공격 유형을 수신하는 단계 - 상기 설명 정보 및 상기 공격 유형은 인지 노드(awareness node)에 의해 송신됨 - ; 상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계 - 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는 데 사용됨 - ; 및 상기 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 관리 노드가, SDN(software-defined networking) 제어기를 사용하여 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 송신하는 단계를 포함한다.
제1 측면의 구현 가능한 제1 방식에서, 상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 결정하는 단계는, 상기 관리 노드가, 상기 공격 유형에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 획득하는 단계를 포함한다.
전술한 제1 측면을 참조하면, 제1 측면의 구현 가능한 제2 방식에서, 상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계는, 상기 관리 노드가, 상기 공격 유형 및 미리 설정된 알고리즘에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성하는 단계를 포함한다.
제1 측면, 또는 제1 측면의 구현 가능한 제1 방식 및 제1 측면의 구현 가능한 제2 방식 중 어느 하나를 참조하면, 구현 가능한 제3 방식에서, 상기 처리 정책에 의해 지시된 작업은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작, 또는 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작 및 상기 처리 동작을 수행하는 데 필요한 시간을 포함한다.
제1 측면, 또는 제1 측면의 구현 가능한 제1 방식 내지 제1 측면의 구현 가능한 제3 방식 중 어느 하나를 참조하면, 구현 가능한 제4 방식에서, 상기 관리 노드가, 복수의 공격 데이터 패킷의 설명 정보 및 상기 복수의 공격 데이터 패킷의 공격 유형을 수신하는 경우 - 상기 설명 정보 및 상기 공격 유형이 복수의 인지 노드에 의해 송신됨 -, 상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계는, 상기 관리 노드가, 상기 복수의 공격 데이터 패킷의 공격 유형에 따라, 적어도 2개의 동일한 공격 유형을 결정하는 단계; 및 상기 관리 노드가, 상기 적어도 2개의 공격 유형 중 어느 하나에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계를 포함한다.
제1 측면, 또는 제1 측면의 구현 가능한 제1 방식 내지 제1 측면의 구현 가능한 제4 방식 중 어느 하나를 참조하면, 구현 가능한 제5 방식에서, 상기 관리 노드가, SDN 제어기를 사용하여 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 송신하는 단계는, 상기 SDN 제어기가 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 전달(forwad)할 수 있도록, 상기 관리 노드가, 미리 설정된 통신 인터페이스(preset communications interface)를 사용하여 상기 설명 정보 및 상기 처리 정책을 상기 SDN 제어기에 송신하는 단계를 포함한다.
제1 측면, 또는 제1 측면의 구현 가능한 제1 방식 내지 제1 측면의 구현 가능한 제5 방식 중 어느 하나를 참조하면, 구현 가능한 제6 방식에서, 상기 설명 정보는, 상기 공격 데이터 패킷의 소스 IP(Internet Protocol) 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호(source port number), 상기 공격 데이터 패킷의 목적지 IP 어드레스(destination IP address), 상기 공격 데이터 패킷의 목적지 포트 번호(destination port number), 및 상기 공격 데이터 패킷의 프로토콜 번호(protocol number)를 포함한다.
제2 측면에 따르면, 본 발명은 공격 데이터 패킷을 처리하는 방법을 제공하고, 이러한 방법은, SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 -; 및 제1 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 SDN 제어기가, 상기 설명 정보 및 상기 처리 정책을 상기 제1 교환기에 송신하는 단계를 포함한다.
제2 측면의 구현 가능한 제1 방식에서, 상기 SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 - 는, 상기 SDN 제어기가, 미리 설정된 통신 인터페이스를 사용하여 상기 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신하는 단계를 포함한다.
전술한 제2 측면 또는 제2 측면의 구현 가능한 제1 방식을 참조하면, 제2 측면의 구현 가능한 제2 방식에서, 상기 SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 - 는, 상기 SDN 제어기에 연결된 마스터 SDN 제어기(master SDN controller)가 상기 설명 정보 및 상기 처리 정책을 제2 교환기에 전달하여 상기 제2 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 SDN 제어기가, 상기 설명 정보 및 상기 처리 정책을 상기 마스터 SDN 제어기에 송신하는 단계를 포함한다.
제3 측면에 따르면, 본 발명은 공격 데이터 패킷을 처리하는 방법을 제공하고, 이러한 방법은, 인지 노드가, 상기 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 단계; 상기 인지 노드가, 상기 공격 데이터 패킷의 설명 정보 및 상기 공격 데이터 패킷의 공격 유형을 결정하는 단계; 및 상기 인지 노드가, 상기 설명 정보 및 상기 공격 유형을 관리 노드에 송신하는 단계; 를 포함하고, 상기 공격 유형은, 상기 관리 노드가 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다.
제3 측면의 구현 가능한 제1 방식에서, 상기 설명 정보는, 상기 공격 데이터 패킷의 소스 IP 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호, 상기 공격 데이터 패킷의 목적지 IP 어드레스, 상기 공격 데이터 패킷의 목적지 포트 번호, 및 상기 공격 데이터 패킷의 프로토콜 번호를 포함한다.
제4 측면에 따르면, 본 발명은 관리 노드를 제공하고, 이러한 관리 노드는, 공격 데이터 패킷의 설명 정보 및 상기 공격 데이터 패킷의 공격 유형을 수신하도록 구성된 수신 유닛 - 상기 설명 정보 및 상기 공격 유형은 인지 노드에 의해 송신됨 - ; 상기 수신 유닛에 의해 수신된 공격 유형에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성된 결정 유닛 - 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는 데 사용됨 -; 및 상기 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 상기 수신 유닛에 의해 수신된 설명 정보 및 상기 결정 유닛에 의해 결정된 처리 정책을 상기 교환기에 송신하도록 구성된 송신 유닛을 포함한다.
제4 측면의 구현 가능한 제1 방식에서, 상기 결정 유닛은 구체적으로, 상기 수신 유닛에 의해 수신된 공격 유형에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 획득하도록 구성된다.
전술한 제4 측면을 참조하면, 구현 가능한 제2 방식에서, 상기 결정 유닛은 구체적으로, 상기 수신 유닛에 의해 수신된 공격 유형 및 미리 설정된 알고리즘에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성하도록 구성된다.
전술한 제4 측면, 또는 제4 측면의 구현 가능한 제1 방식 및 제4 측면의 구현 가능한 제2 방식 중 어느 하나를 참조하면, 구현 가능한 제3 방식에서, 상기 결정 유닛에 의해 결정된 처리 정책에 의해 지시된 작업은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작, 또는 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작 및 상기 처리 동작을 수행하는 데 필요한 시간을 포함한다.
전술한 제4 측면, 또는 제4 측면의 구현 가능한 제1 방식 내지 제4 측면의 구현 가능한 제3 방식 중 어느 하나를 참조하면, 구현 가능한 제4 방식에서, 상기 결정 유닛은 구체적으로, 상기 수신 유닛이 복수의 공격 데이터 패킷의 설명 정보 및 상기 복수의 공격 데이터 패킷의 공격 유형을 수신한 경우 - 상기 설명 정보 및 상기 공격 유형은 복수의 인지 노드에 의해 송신됨 -, 상기 복수의 공격 데이터 패킷의 공격 유형에 따라 적어도 2개의 동일한 공격 유형을 결정하고, 상기 적어도 2개의 공격 유형 중 어느 하나에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성된다.
전술한 제4 측면, 또는 제4 측면의 구현 가능한 제1 방식 내지 제4 측면의 구현 가능한 제4 방식 중 어느 하나를 참조하면, 구현 가능한 제4 방식에서, 상기 송신 유닛은 구체적으로, 상기 SDN 제어기가 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 전달할 수 있도록, 미리 설정된 통신 인터페이스를 사용하여 상기 수신 유닛에 의해 수신된 설명 정보 및 상기 결정 유닛에 의해 결정된 처리 정책을 상기 SDN 제어기에 송신하도록 구성된다.
전술한 제4 측면, 또는 제4 측면의 구현 가능한 제1 방식 내지 제4 측면의 구현 가능한 제4 방식 중 어느 하나를 참조하면, 구현 가능한 제5 방식에서, 상기 수신 유닛에 의해 수신된 설명 정보는 상기 공격 데이터 패킷의 소스 IP 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호, 상기 공격 데이터 패킷의 목적지 IP 어드레스, 상기 공격 데이터 패킷의 목적지 포트 번호, 및 상기 공격 데이터 패킷의 프로토콜 번호를 포함한다.
전술한 제4 측면, 또는 제4 측면의 구현 가능한 제1 방식 내지 제4 측면의 구현 가능한 제5 방식 중 어느 하나를 참조하면, 구현 가능한 제6 방식에서, 제5 측면에 따르면, 본 발명은 SDN 제어기를 제공하고, 이러한 SDN 제어기는, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하도록 구성된 수신 유닛 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 -; 및 제1 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 상기 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 수신 유닛에 의해 수신된, 설명 정보 및 처리 정책을 상기 제1 교환기에 송신하도록 구성된다.
제5 측면의 구현 가능한 제1 방식에서, 상기 수신 유닛은 구체적으로, 미리 설정된 통신 인터페이스를 사용하여 상기 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신하도록 구성된다.
제5 측면 또는 제5 측면의 구현 가능한 제1 방식을 참조하면, 구현 가능한 제2 측면에서, 상기 송신 유닛은 추가로, 마스터 SDN 제어기가 상기 설명 정보 및 상기 처리 정책을 제2 교환기에 송신하여 상기 제2 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 수신 유닛에 의해 수신된, 설명 정보 및 처리 정책을 상기 마스터 SDN 제어기에 송신하도록 구성된다.
제6 측면에 따르면, 본 발명은 인지 노드를 제공하고, 이러한 인지 노드는, 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하도록 구성된 식별 유닛; 상기 식별 유닛에 의해 식별된 공격 데이터 패킷의 설명 정보 및 상기 공격 데이터 패킷의 공격 유형을 결정하도록 구성된 결정 유닛; 및 상기 결정 유닛에 의해 결정된, 설명 정보 및 공격 유형을 관리 노드에 송신하도록 구성된 송신 유닛을 포함하고, 상기 공격 유형은, 상기 관리 노드가 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 상기 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다.
제6 측면의 구현 가능한 제1 방식에서, 상기 결정 유닛에 의해 결정된 설명 정보는, 상기 공격 데이터 패킷의 소스 IP 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호, 상기 공격 데이터 패킷의 목적지 IP 어드레스, 상기 공격 데이터 패킷의 목적지 포트 번호, 및 상기 공격 데이터 패킷의 프로토콜 번호를 포함한다.
제7 측면에 따르면, 본 발명은 통신 시스템을 제공하고, 이러한 통신 시스템은, 전술한 제4 측면 또는 제4 측면의 모든 구현 가능한 방식에 따른 관리 노드, 제5 측면 또는 제5 측면의 모든 구현 가능한 방식에 따른 SDN 제어기, 제6 측면 또는 제6 측면의 모든 구현 가능한 방식에 따른 인지 노드, 및 교환기를 포함한다.
본 발명은 공격 데이터 패킷 처리 방법, 장치, 및 시스템을 제공하고, 이러한 방법은 구체적으로, 관리 노드가, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형 - 설명 정보 및 공격 유형은 인지 노드에 의해 송신됨 - 을 수신하는 단계; 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계; 및 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하는 단계를 포함하고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는데 사용된다. 본 발명에서 제공되는, 공격 데이터 패킷 처리 방법, 장치, 및 시스템에 따르면, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로 인식하고 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기로 송신할 수 있다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역(network bandwidth)은 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
본 발명의 실시예의 기술적 해결 수단을 보다 명확하게 설명하기 위해, 실시예 또는 종래 기술을 설명하기 위해 요구되는 첨부 도면을 간단히 소개한다. 명백하게, 다음의 설명에서 첨부 도면은 단지 본 발명의 실시예의 첨부 도면 전부 중 일부일 뿐, 전부는 아니다.
도 1은 본 발명의 실시예에 따른 통신 시스템의 블록도 이다.
도 2는 본 발명의 실시예에 따른 공격 데이터 패킷 처리 방법의 제1 흐름도이다.
도 3은 본 발명의 실시예에 따른 공격 데이터 패킷 처리 방법의 제2 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 제1 교환기의 플로 테이블의 개략도이다.
도 5는 본 발명의 일 실시예에 따른 공격 데이터 패킷 처리 방법의 제3 흐름도이다.
도 6은 본 발명의 실시예에 따른 공격 데이터 패킷 처리 방법의 제1 상호 작용도 이다.
도 7은 본 발명의 일 실시예에 따른 공격 데이터 패킷 처리 방법의 제2 상호 작용도이다.
도 8a 및 도 8b는, 도 8b는 본 발명의 일 실시예에 따른 공격 데이터 패킷 처리 방법의 제3 상호 작용도이다.
도 9는 본 발명의 실시예에 따른 통신 시스템의 제2 블록도 이다.
도 10은 본 발명의 실시예에 따른 통신 시스템의 제3 블록도 이다.
도 11은 본 발명의 실시예에 따른 관리 노드의 개략적 구조 도이다.
도 12는 본 발명의 실시예에 따른 SDN 제어기의 개략적 구조 도이다.
도 13은 본 발명의 실시예에 따른 인지 노드의 개략적 구조도 이다.
도 14는 본 발명의 실시예에 따른 관리 노드의 개략적 하드웨어 구성도이다.
도 15는 본 발명의 실시예에 따른 SDN 제어기의 개략적 하드웨어 구성도이다.
도 16은 본 발명의 실시예에 따른 인지 노드의 개략적 하드웨어 구조 도이다.
도 17은 본 발명의 실시예에 따른 통신 시스템의 제4 블록도 이다.
도 18은 본 발명의 실시예에 따른 통신 시스템의 제5 블록도 이다.
이하, 본 발명의 실시예에 있어서의 기술적 해결 수단에 대하여, 본 발명의 실시예의 첨부 도면을 참조하여 명확하게 설명한다. 명백하게, 기술된 실시예는 본 발명의 일부 실시예에 불과하지며 전부는 아니다.
본 발명의 실시예에서, 인지 노드(awareness node)는 클라우드 데이터 센터 내에 존재하는 임의의 클라우드 서버일 수 있고, 공격 데이터 패킷, 예를 들어, 다양한 서비스 프로세싱 가상 머신(VM, virtual machine), 하이퍼바이저(hypervisor), 방화벽(firewall), 로드 밸런서(load balancer), 또는 게이트웨이(gateway)를 식별할 수 있다.
관리 노드는 클라우드 데이터 센터의 모든 서비스 관리 노드 또는 정책 관리 노드, 예를 들어, VM 관리자, VIM(virtualized infrastructure manager), 또는 PCRF(policy and charging rules function) 유닛일 수 있다.
본 발명의 실시예에서 제공되는 공격 데이터 패킷 처리 방법은 SDN(software-defined networking) 기술을 기반으로 하는 네트워크 아키텍처에 적용될 수 있다. SDN 기술을 기반으로 한 네트워크 아키텍처는 전달(forwarding)과 제어를 분리하는 직접 프로그래밍 가능한 네트워크 아키텍처이다. SDN 기술을 기반으로 한 네트워크 아키텍처에서 네트워크에서 각 데이터 패킷의 특정 전달 경로 및 전달 정책은 모두 SDN 제어기에 의해 제어되며, SDN 제어기는 데이터 패킷의, 전달 경로와 전달 정책을, 오픈플로 프로토콜(OpenFlow protocol)을 사용하여 SDN 아키텍처 내의 교환기 클러스터(switch cluster)에 송신하고, 교환기 클러스터 내의 교환기는 데이터 패킷을 클라우드 데이터 센터 내의 클라우드 서버로 전달한다. SDN 기술을 기반으로 하는 네트워크 아키텍처의 교환기는 데이터 패킷의 전달 정책과 전달 경로에 따라 데이터 패킷을 전달을 담당한다.
예시적으로, 도 1은 본 발명의 실시예에 따른 통신 시스템의 블록도를 도시한다. 도 1에 도시된 바와 같이, 데이터 센터에는 3개의 VM과 1개의 VM 관리자가 있다. SDN 기술을 기반으로 한 네트워크 아키텍처에서 데이터 센터 내의 3개 VM과 데이터 센터 외부의 서버 간에 수행되는 데이터 패킷 전송 및 3개의 VM 간에 수행되는 데이터 패킷 전송 모두에 대해 전달 경로 및 전달 정책은 SDN 제어기에 의해 제어되고, 교환기는 데이터 패킷의 전달을 구현한다.
본 발명의 실시예는 공격 데이터 패킷 처리 방법을 제공한다. 공격 데이터 패킷을 처리하기 위해 교환기를 제어함으로써, 교환기에 의한, 공격 데이터 패킷의 포워딩이 제한될 수 있고, 따라서 공격 데이터 패킷이 네트워크에서 전송될 때 공격 데이터 패킷에 의해 점유되는 네트워크 대역폭이 제한되어, 클라우드 데이터 센터 내의 클라우드 서버가 보안 통신을 수행 할 수 있는 것이 보장된다.
제1 실시예
본 발명의 실시예는 공격 데이터 패킷 처리 방법을 제공한다. 도 2에 도시된 바와 같이, 이러한 방법은 이하의 단계를 포함한다.
S101. 관리 노드는 공격 데이터 패킷의 설명 정보(description information) 및 공격 데이터 패킷의 공격 유형을 수신하고, 설명 정보 및 공격 유형은 인지 노드에 의해 송신된다.
공격 데이터 패킷은, 인지 노드에 위협이 되는 데이터 패킷, 예를 들어, 잘못된 패킷을 갖는 데이터 패킷, 패킷 단편화 예외(packet fragmentation exception)를 갖는 데이터 패킷, 유효하지 않은 TCP(Transmission Control Protocol) 연결을 사용하는 데이터 패킷, 및 초대형 데이터 볼륨이 있는 데이터 패킷으로서 이해될 수 있다.
선택적으로, 공격 데이터 패킷의 설명 정보는 공격 데이터 패킷의 패킷 헤더(packet header)로부터 인지 노드에 의해 획득된 정보일 수 있고, 구체적으로 공격 데이터 패킷의 소스 IP 어드레스(source IP address), 공격 데이터 패킷의 목적지 IP 어드레스, 공격 데이터 패킷의 소스 포트 번호, 공격 데이터 패킷의 목적지 포트 번호, 및 공격 데이터 패킷의 프로토콜 번호일 수 있다. 공격 데이터 패킷의 소스 포트 번호(source port number)는 구체적으로 UDP(user datagram protocol) 소스 포트 번호일 수 있고, 공격 데이터 패킷의 목적지 포트 번호는 구체적으로 UDP 목적지 포트 번호일 수 있거나, 또는 공격 데이터 패킷의 소스 포트 번호는 구체적으로 TCP 소스 포트 번호 일 수 있고, 공격 데이터 패킷의 목적지 포트 번호는 구체적으로 TCP 목적지 포트 번호일 수 있다. 설명 정보를 사용하여, 교환기는 설명 정보를 가지는 공격 데이터 패킷을 처리할 수 있다.
공격 데이터 패킷의 공격 유형은 DDoS 공격, SIP(Session Initiation Protocol) 기반 공격, 유효하지 않은 TCP 연결, 초대형 데이터 볼륨, 사기 메시지 공격 등 일 수 있으나 이에 한정되는 것은 아니다.
S102. 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는 데 사용된다.
처리 정책은 공격 데이터 패킷에 대한 처리 동작, 예를 들어, 드롭(drop), CAR(committed access rate), 리다이렉트(redirect)를 포함할 수 있다. 대안으로서, 처리 정책은 공격 데이터 패킷에 대한 처리 동작 및 처리 동작을 수행하는 데 필요한 시간을 포함할 수 있다. 처리 동작을 수행하는 데 필요한 시간은 구체적으로, 즉시 처리 동작을 수행, 지연 후에 처리 동작을 수행, 기간에 처리 동작을 수행하는데 필요한 시간 등 일 수 있다.
또한, 본 발명의 본 실시예에서, 관리 노드가 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하는 방식은 여려가지가 있다. 관리 노드가, 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하는 것은, 이하에서 2가지 가능한 구현 방식(방식 1 및 방식 2)을 사용하여 설명한다. 관리 노드가 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하는 다른 모든 방식은 본 발명의 보호 범위 내에 속하며, 본 발명에서 제한되지 않는다.
방식 1: 본 발명의 본 실시예에서, 관리 노드는 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 획득할 수 있다. 구체적으로, 공격 유형과 처리 정책 사이의 매핑 관계는 관리 노드 내에 미리 설정될 수 있다. 공격 유형을 수신할 때, 관리 노드는 공격 유형에 따라, 미리 설정된 매핑 관계로부터 공격 유형에 대응하는 처리 정책을 결정할 수 있다. 즉, 공격 유형의 공격 데이터 패킷에 대한 처리 정책이 결정된다.
예를 들어, 관리 노드에, 미리 설정된, 공격 유형과 처리 정책 간의 매핑 관계를 표 1에 나타내었다고 가정한다. 표 1의 처리 정책은 공격 데이터 패킷에 대한 처리 동작을 포함한다. "Car + 1Mbps"는 초대형 데이터 볼륨(Extra large data volume)을 가진 공격 데이터 패킷에 커미트 액세스 속도 작업(committed access rate operation)을 수행하여 커미트 액세스 속도 작업 후, 데이터 패킷에 의해 사용되는 최대 대역폭은 1Mbps인 것을 나타낸다. "Redirect + null0"은 공격 데이터 패킷이 null0 인터페이스(null0 interface)로 전달되도록 SIP 기반 공격 유형의 공격 데이터 패킷에 대한 리다이렉트 작업(redirect operation) 수행을 나타내고, 여기서 null0 인터페이스는 라우팅 블랙홀 인터페이스(routing black hole interface)를 나타내고 null0 인터페이스로 전달되는 모든 데이터 패킷은 드롭(drop) 되고, 공격 데이터 패킷을 null0 인터페이스로 전달하는 것은 네트워크 로드에 거의 영향을 미치지 않는다. 구체적으로, 예를 들어, 관리 노드가 수신 한 공격 유형이 DDoS 공격인 경우, DDoS 공격 유형의 공격 데이터 패킷에 대한 처리 정책은 표 1에 따라 "드롭(Drop)"으로 결정될 수 있다.
공격 유형 처리 정책
DDoS 공격 드롭(Drop)
초대형 데이터 볼륨 Car+1 Mbps
SIP 기반 공격 Redirect+null0
선택적으로, 표 1에서의 처리 정책은 처리 동작 및 처리 동작을 수행하는 데 필요한 시간을 포함할 수 있다. 예를 들어, DDoS 공격에 대응하는 처리 정책은 "Drop + immediately"로 미리 설정될 수 있고, 이것은 DDoS 공격 유형의 공격 데이터 패킷에 대해 즉시 드롭 작업을 수행함을 나타낸다.
SIP 기반 공격에 해당하는 처리 정책은 "Redirect + null0 + immediately + duration180"일 수 있고, 이것은 SIP 기반 공격 유형의 공격 데이터 패킷에 즉시 리다이렉션 동작을 지시하여, 공격 데이터 패킷은 즉시 null0 인터페이스에 전달되고, 전달은 180분 동안 계속된다.
특정 구현 프로세스에서, 공격 유형과 처리 정책 간의 적절한 맵핑 관계가 실제 엔지니어링 요구 사항에 따라 관리 노드에 설정될 수 있으며, 이는 본 발명에서 제한되지 않는다.
방식 2: 관리 노드는 공격 유형 및 미리 설정된 알고리즘에 따라 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성한다. 구체적으로, 알고리즘은 관리 노드에 미리 설정될 수 있다. 관리 노드는, 공격 유형을 수신하면, 공격 유형에 대한 미리 설정된 알고리즘 절차를 수행하여 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 생성한다.
예를 들어, 관리 노드가 수신 한 공격 유형이 DDoS 공격인 경우, 관리 노드는 미리 설정된 알고리즘을 사용하여 공격 유형의 코드를 계산하고 공격 유형의 공격 데이터 패킷에 처리 정책 "드롭"을 생성하거나, 또는 관리 노드가 수신 한 공격 유형이 SIP 기반 공격인 경우 관리 노드는 미리 설정된 알고리즘을 사용하여 공격 유형의 코드를 계산하고 공격 유형의 공격 데이터 패킷에 처리 정책 "Redirect + null0"을 생성한다.
구체적 구현 프로세스에서, 적절한 알고리즘이 실제 엔지니어링 요건에 따라 관리 노드에 설정될 수 있으며, 이는 본 발명에서 제한되지 않는다.
S103. 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 관리 노드는 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한다.
예를 들어, 관리 노드에 의해 수신된 공격 데이터 패킷의 설명 정보는 구체적으로 "[10.11.100.100.10.22.200.200.6,1234,4321]"이고, 여기서 10.11.100.100은 공격 데이터 패킷의 소스 IP 어드레스를 지시하고, 10.22.200.200은 공격 데이터 패킷의 목적지 IP 어드레스를 지시하며, 1234는 공격 데이터 패킷의 소스 포트 번호를 지시하고, 4321은 공격 데이터 패킷의 목적지 포트 번호를 지시하며, 공격 데이터 패킷의 프로토콜 번호는 6이다. 관리 노드가 수신 한 공격 데이터 패킷의 공격 유형은 DDoS 공격이며, 공격 유형에 따라 결정되는 공격 데이터 패킷에 대한 처리 정책은 "Drop + immediately"이고, 관리 노드는 "[10.11.100.100,10.22.200.200,6,1234,4321] + Drop + immediately" 형식으로 SDN 제어기에 설명 정보 및 처리 정책을 송신할 수 있다. SDN 제어기는 수신한 "[10.11.100.100.10.22.200.200,6,1234,4321] + Drop + immediately"를 Open Flow 프로토콜(Open Flow protocol)에 지정된 형식으로 교환기에 전달한다.
설명 정보 및 처리 정책을 수신한 다음, 교환기는 즉시 처리 정책에 따라 설명 정보를 가지는 공격 데이터를 드롭시킨다. 이런 방식으로, 교환기는 더는 공격 데이터 패킷을 전달하지 않으므로, 공격 데이터 패킷은 네트워크에서 전송되지 않는다. 즉, 설명 정보를 가지는 공격 데이터 패킷은 네트워크 대역을 점유하지 않으므로 정상적인 데이터 패킷의 전송이 확보된다.
공격 유형에 따라, 관리 노드에 의해 결정된, 공격 데이터 패킷에 대한 처리 정책이 "Car+1 Mbps"인 경우, 관리 노드가 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한 다음,
교환기는 커미트 액세스 레이트 작업(committed access rate operation)을 설명 정보를 가지는 공격 데이터 패킷에 수행하여, 네트워크에서 전송될 때, 설명 정보를 가지는 공격 데이터 패킷이 최대 1Mbps 대역폭을 점유한다. 즉, 교환기가 여전히 공격 데이터 패킷을 전달하더라도, 네트워크에서 전송될 때 공격 데이터 패킷은 최대 1Mbps 대역폭을 점유한다. 따라서, 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다.
또한, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하는 과정은 이하의 실시예에서 상세히 설명되고, 세부 내용은 여기에서 더이상 설명하지 않는다.
본 발명의 본 실시예는 공격 데이터 패킷 처리 방법을 제공하고, 이러한 방법은 구체적으로, 관리 노드가, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신하는 단계 - 설명 정보 및 공격 유형은 인지 노드에 의해 송신됨-; 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계; 및 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여, 설명 정보 및 처리 정책을 교환기로 송신하는 단계를 포함하고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는데 사용된다. 이러한 방법에 따르면, 인식 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로 인식하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한다. 관리 노드는 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정할 수 있고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
본 발명의 실시예는 공격 데이터 패킷 처리 방법을 제공한다. 도 3에 도시된 바와 같이, 이러한 방법은 이하의 단계를 포함한다.
S201. SDN 제어기는 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하고, 설명 정보 및 처리 정책은 관리 노드에 의해 송신된다.
공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 대해, 도 2에 도시된 실시예에서 구체적으로 설명된 관련 설명을 참조할 수 있고, 세부사항은 여기에서 다시 설명하지 않는다.
S202. SDN 제어기는, 제1 교환기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 설명 정보 및 처리 정책을 제1 교환기에 송신한다.
제1 교환기는 SDN 제어기에 의해 제어되는 교환기 클러스터에서 임의의 교환기이다.
구체적으로, SDN 제어기는 설명 정보 및 처리 정책을 제어기-교환기 메시지(controller-to-switch message)로 변환하고 제어기-교환기 메시지를 제1 교환기에 송신한다. 제어기-교환기 메시지는, Open Flow 프로토콜에 의해 구체화되는 메시지의 유형이고, 교환기의 플로 테이블(flow table)에 기록된 정보를 수정하거나 드롭하도록 교환기에 명령하기 위해 교환기에 송신된다.
SDN 제어기는 설명 정보 및 처리 정책을 제어기-교환기 메시지로 변환하고 제어기-교환기 메시지를 제1 교환기에 송신한 다음, 제1 교환기는 제어기-교환기 메시지에 포함된 설명 정보에 따라 설명 정보에 매칭되는 공격 데이터 흐름에 대해 제1 교환기의 플로 테이블에서 탐지한 다음, 제어기-교환기 메시지에 포함된 처리 정책에 따라 공격 데이터에서 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다. 즉, 처리 정책에 따라, SDN 제어기 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 설명 정보와 함께 수행한다.
도 4는 본 발명의 실시예에 따른 제1 교환기의 플로 테이블의 구조도이다. 도 4에서, 제1 교환기의 플로 테이블은 패킷 헤더 필드, 카운터 및 데이터 패킷에 대해 수행된 동작을 포함한다.
패킷 헤더 필드는 구체적으로 제1 교환기에 의해 수신된 데이터 흐름의, 소스 IP 어드레스, 목적지 IP 어드레스, MAC(source media access control) 어드레스, 목적지 MAC 어드레스, 프로토콜 번호, 소스 포트 번호, 목적지 포트 번호 등을 포함할 수 있다.
카운터는 제1 교환기에 의해 수신된 데이터 흐름의, 데이터 패킷의 양, 바이트의 양, 전송 기간 등에 관한 통계를 수집하도록 구성된다. 데이터 패킷에 대해 수행되는 동작은 데이터 패킷을 포워딩하는 것, 데이터 패킷을 드롭하는 것, 플로 테이블에서 데이터 패킷의 패킷 헤더 내의 정보를 변경하는 것 등을 포함할 수 있다.
예를 들어, SDN 제어기에 의해 수신된 설명 정보 및 처리 정책이 "[10.11.100.100.10.22.200.200,6,1234,4321] + Drop + 즉시"라고 가정하면, SDN 제어기가 "[10.11.100.100.10.22.200.200,6,1234,4321] + Drop + immediately"를 오픈 플로 프로토콜(Open Flow protocol)에 지정된 형식으로 제1 교환기에 전송한 다음, 제1 교환기는 소스 IP 주소가 10.11.100.100, 목적지 IP 주소가 10.22.200.200, 소스 포트 번호가 1234, 대상 포트 번호가 4321, 프로토콜 번호가 6인 공격 데이터를 제1 교환기의 플로 테이블에서 탐색한다. 제1 교환기가 공격 데이터 흐름을 찾은 다음, 처리 정책에 따라 공격 데이터 흐름의 공격 데이터 패킷에 수행된 작업은 특히 즉시 중단된다. 즉, 제1 교환기는 설명 정보를 가진 공격 데이터 패킷 "[10.11.100.100.10.22.200.200,6,1234,4321]"에 즉시 드롭 동작을 수행한다.
제1 교환기의 플로 테이블에 저장된 각 데이터 흐름은 고유 설명 정보 및 각 데이터 흐름에서 데이터 패킷에 대해 수행된 동작을 갖는다는 점에 유의해야 한다. 데이터 흐름에서 모든 데이터 패킷의 전송이 완료된 후, 플로 테이블은 데이터 흐름의 기록을 삭제한다.
따라서, 본 발명의 실시예에서 제공되는 공격 데이터 패킷 처리 방법에서, 제1 교환기는, SDN 제어기에 의해 전송된, 설명 정보 및 처리 정책에 따라, 설명 정보를 가진 공격 데이터 흐름에 대한 플로 테이블을 탐색할 수 있고, 공격 데이터 흐름에서 공격 데이터 패킷에 대해 수행된 작업을 처리 정책에 의해 지시된 작업으로 변경할 수 있으므로, 공격 데이터 흐름에서 송신되지 않은 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 동작을 수행한다. 또한, 클라우드 데이터 센터의 인지 노드는 공격 데이터 흐름에서 공격 데이터 패킷에 의해 지속적으로 공격 되는 것을 방지한다.
본 발명의 실시예는 공격 데이터 패킷 처리 방법을 제공하고, 이러한 방법은, 구체적으로, SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 설명 정보 및 처리 정책은 관리 노드에 의해 송신됨 -; 및 제1 교환기 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 설명 정보 및 처리 정책을 제1 교환기에 송신하는 단계를 포함한다. 이러한 방법에 따르면, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 인지하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 전송한다. 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터의 인지 노드는 공격 데이터 흐름에서 공격 데이터 패킷에 의해 지속적으로 공격 되는 것을 방지한다. 따라서, 클라우드 데이터 센터의 클라우드 서버가 보안 통신을 수행 할 수 있게 한다.
본 발명의 실시예는 공격 데이터 패킷 처리 방법을 제공한다. 도 5에 도시된 바와 같이, 이러한 방법은 이하의 단계를 포함한다.
S301. 인지 노드는 인지 노드에 의해 수신된 데이터 패킷 as an 공격 데이터 패킷을 식별한다.
인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 방식에는 여려가지가 있고, 인지 노드가 공격 데이터 패킷을 식별하는 예시적 방법은 이하의 3가지 실시예를 사용하여 설명한다.
예 1: 데이터 패킷을 수신한 다음, 인지 노드는 인지 노드에 의해 수신된 데이터 패킷의 패킷을 식별하고, 데이터 패킷의, 인지 노드가 소스 IP 어드레스 및 목적지 IP 어드레스가 동일한 것으로 결정한 경우, 인지 노드는 데이터 패킷의 패킷이 조작된 패킷인 것으로 결정하고, 이러한 데이터 패킷을 공격 데이터 패킷으로 결정한다.
예 2: 인지 노드가 데이터 패킷을 수신한 후, 이러한 인지 노드가 미리 설정된 시간에, 인지 노드에 의해 수신된 데이터 패킷의 패킷 트래픽 볼륨(packet traffic volume)이 미리 설정된 임계치를 초과한 것으로 결정한 경우, 인지 노드는 이러한 데이터 패킷이 공격 데이터 패킷인 것으로 결정한다.
예 3: 데이터 패킷을 수신한 다음, 인지 노드는 데이터 패킷 내의 SIP 시그널링을 식별하고, 데이터 패킷의 SIP 세션 프로세스(SIP session process)가 공개 표준에서 SIP 세션 프로세스와 동일한 것으로 결정한다. 인지 노드가 데이터 패킷의 SIP 세션 프로세스는 공지 표준에서 SIP 세션 프로세스와 다르다고 결정한 경우, 인지 노드는 그 데이터 패킷이 공격 데이터 패킷인 것으로 결정한다.
또한, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 다른 방식은, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 공지 기술에서의 방식과 동일하고, 여기에서 하나씩 나열하지 않는다.
본 발명의 본 실시예에서, 인지 노드는 클라우드 데이터 센터에 존재하고 공격 데이터 패킷, 예를 들어, VM, 하이퍼바이저(hypervisor), 방화벽, 로드 밸런서, 또는 게이트웨이를 식별할 수 있는 임의의 서비스 노드 일 수 있다.
따라서, 방화벽을 이용하여 IP 계층 시그널링을 식별함으로써 공격 데이터 패킷을 식별하는 종래 기술과 비교하여, 본 발명의 본 실시예는 인지 노드가, IP 계층 시그널링을 식별(예를 들어, 잘못된 패킷을 식별하여 공격 데이터 패킷을 식별함으로써)하여 공격 데이터를 식별할 수 있을 뿐만 아니라, 서비스 계층 시그널링을 식별(예를 들어, SIP 기반 공격 유형의 공격 데이터 패킷을 SIP 시그널링 식별)함으로써 공격 데이터 패킷을 식별할 수 있다. 이러한 방식으로, 공격 데이터 패킷을 식별하는 정확성이 향상되고, 추가로 공격 데이터 패킷의 인지 노드로의 공격이 더욱 포괄적으로 방지된다.
S302. 인지 노드는 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정한다. 예를 들어, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷의 패킷이 조작된 패킷임을 식별하고, 잘못된 패킷 공격이 일종의 DDoS 공격에 속하기 때문에, 인지 노드는 공격 데이터 패킷의 공격 유형이 DDoS 공격인 것으로 결정할 수 있거나, 또는 인지 노드가 SIP 정보를 식별함으로써 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하면, 인지 노드는 데이터 패킷의 공격 유형이 SIP 기반 공격이라고 결정할 수 있고, 또는 인지 노드가 인지 노드에 의해 수신된 데이터 패킷의 패킷 트래픽량(traffic volume)이 미리 결정된 임계치를 초과한다고 판단하면, 인지 노드는 데이터 패킷을 공격 데이터 패킷으로 식별하여 인지 노드는 데이터 패킷의 공격 유형이 대용량 데이터 공격인 것으로 결정할 수 있다.
또한, 인지 노드는 인지 노드에 의해 수신된 데이터 패킷이 공격 데이터 패킷인 것으로 결정한 다음, 공격 데이터 패킷으로부터 공격 데이터 패킷의 설명 정보를 획득한다.
선택적으로, 공격 데이터 패킷의 설명 정보는 공격 데이터 패킷의 소스 IP 어드레스, 공격 데이터 패킷의 목적지 IP 어드레스, 공격 데이터 패킷의 소스 포트 번호, 공격 데이터 패킷의 목적지 포트, 및 공격 데이터 패킷의 프로토콜 번호 일 수 있다.
S303. 인지 노드는 설명 정보 및 공격 유형을 관리 노드에 송신하고, 공격 유형은, 관리 노드가 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다.
관리 노드가 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하는 과정에서, 도 2에 도시된 실시예와 관련된 설명이 구체적으로 참조될 수 있다. 처리 정책에 따라, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하는 과정에 대해, 도 3에 도시된 실시예에서의 관련 설명이 구체적으로 참조될 수 있으며, 세부사항은 여기에서 다시 설명하지 않는다.
본 발명의 본 실시예는 공격 데이터 패킷 처리 방법을 제공하고, 이러한 방법은 구체적으로, 인지 노드가, 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 단계; 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하는 단계; 및 설명 정보 및 공격 유형을 관리 노드에 송신하는 단계를 포함하고, 공격 유형은, 관리 노드가 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다. 이러한 방법에 따르면, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 인지한 다음 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한다. 관리 노드는 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 공격 데이터 패킷이 대량의 네트워크 대역폭을 차지하고 정상 데이터 패킷의 전송에 영향을 미치는 종래 기술의 문제점이 해결된다. 또한, 클라우드 데이터 센터의 인지 노드는 공격 데이터 흐름에서 공격 데이터 패킷에 의해 지속적으로 공격 되는 것을 방지한다. 따라서, 클라우드 데이터 센터 내의 인지 노드가 보안 통신을 수행할 수 있게 한다.
제2 실시예
본 발명의 실시예는 공격 데이터 패킷 처리 방법을 제공한다. 도 6에 도시된 바와 같이, 이러한 방법은 이하의 단계를 포함한다.
S401. 인지 노드는 데이터 패킷을 수신한다.
S402. 인지 노드는 데이터 패킷을 공격 데이터 패킷으로서 식별한다.
S403. 인지 노드는 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정한다.
S404. 인지 노드는 설명 정보 및 공격 유형을 관리 노드에 송신한다.
구체적으로, 전술한 단계 S401 내지 S404의 구체적 구현 방식에 대해, 도 5에 도시된 실시예에서의 관련 설명이 참조될 수 있다. 상세한 설명은 여기에서 설명하지 않는다.
S405. 인지 노드에 의해 송신된, 설명 정보 및 공격 유형을 수신한 다음, 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정한다.
S406. 관리 노드는 설명 정보 및 처리 정책을 SDN 제어기에 송신한다.
본 발명의 실시예에서, 통신 인터페이스는 관리 노드에 미리 설정되고, 통신 인터페이스는 관리 노드가 설명 정보 및 공격 유형을 SDN 제어기에 송신하는 데 사용된다. 또한, 통신 인터페이스는 SDN 제어기에 미리 설정되고 SDN 제어기가 관리 노드에 의해 송신된, 설명 정보 및 공격 유형을 수신하는 데 사용된다.
구체적으로, 관리 노드 및 SDN 제어기가 UDP 프로토콜을 사용하여 정보 상호 작용을 수행하는 경우, 관리 노드 및 SDN 제어기에 개별적으로 통신 인터페이스는 UDP 프로토콜에 기초하여 설정될 수 있다. 설명 정보 및 공격 유형을 SDN 제어기에 송신할 때, 관리 노드는 SDN 제어기와 통신 링크를 구축하지 않아도 되고, 관리 노드에 미리 설정된 통신 인터페이스의 어드레스 및 SDN 제어기에 미리 설정된 통신 인터페이스의 어드레스를 사용하여 설명 정보 및 공격 유형을 SDN 제어기로 직접 송신할 수 있다. 관리 노드 및 SDN 제어기가 TCP 프로토콜을 사용하여 정보 상호 작용을 수행하는 경우, 관리 노드 및 SDN 제어기에서 통신 인터페이스는 개별적으로 TCP 프로토콜 상에 설정될 수 있다. 관리 노드가 설명 정보 및 공격 유형을 SDN 제어기로 송신하는 경우, 미리 설정된 2개의 통신 인터페이스 사이의 통신 링크를 구축하기 위해, TCP 연결은 관리 노드 및 SDN 제어기 사이에서 구축되어야 한다.
S407. SDN 제어기는 설명 정보 및 처리 정책을 제1 교환기에 송신한다.
S408. 제1 교환기는 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다.
구체적으로, 전술한 단계 S407 및 S408의 구체적 구현 방식에 대해, 도 3에 도시된 실시예에서의 관련 설명이 참조될 수 있다. 상세한 설명은 여기에서 설명하지 않는다.
선택적으로, 전술한 단계 S405에서, 관리 노드는 복수의 공격 데이터 패킷의 설명 정보 및 복수의 공격 데이터 패킷의 공격 유형을 수신하고, 설명 정보 및 공격 유형은 복수의 인지 노드에 의해 송신된다. 도 6을 참조하여, 도 7에 도시된 바와 같이, 전술한 S405단계는 이하의 단계를 포함할 수 있다.
S405a. 관리 노드는 복수의 공격 데이터 패킷의 공격 유형에 따라 적어도 2개의 동일한 공격 유형을 결정한다.
S405b. 관리 노드는 적어도 2개의 공격 유형 중 어느 하나에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정한다.
구체적으로, 관리 노드가 복수의 공격 데이터 패킷의 설명 정보 및 복수의 공격 데이터 패킷의 공격 유형을 수신한 경우, 설명 정보 및 공격 유형은 복수의 인지 노드에 의해 송신된다.
구체적으로, 관리 노드가, 복수의 공격 데이터 패킷의 설명 정보 및 복수의 공격 데이터 패킷의 공격 유형을 수신한 경우 - 설명 정보 및 공격 유형은 복수의 인지 노드에 의해 송신됨 -, 관리 노드는, 복수의 공격 데이터 패킷의 공격 유형에 따라, 적어도 2개의 동일한 공격 유형이 복수의 공격 데이터 패킷의 공격 유형 내에 존재하는지 결정한다. 관리 노드가, 적어도 2개의 동일한 공격 유형이 복수의 공격 데이터 패킷의 공격 유형 내에 존재하는 것으로 결정한 경우, 관리 노드는, 적어도 2개의 공격 유형 중 어느 하나에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정한다. 즉, 적어도 2개의 공격 유형은 동일하므로, 관리 노드는 적어도 2개의 공격 유형 중 어느 하나에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정한다.
또한, 관리 노드는 적어도 2개의 공격 데이터 패킷 각각의 설명 정보를 가지는 처리 정책을 SDN 처리기에 송신한다. 즉, 이러한 공격 유형의 적어도 2개의 공격 데이터 패킷 각각의 설명 정보에 대응하는 처리 정책은 처리 정책과 동일하다.
또한, 단계 S406 이후에, 도 6을 참조하여, 도 8a 및 도 8b에 도시된 바와 같이, 이러한 방법은 다음 단계들을 더 포함한다.
S409. SDN 제어기는 설명 정보 및 처리 정책을 SDN 제어기에 연결된 마스터 SDN 제어기에 송신한다.
S410. 마스터 SDN 제어기는 설명 정보 및 처리 정책을 제2 교환기에 송신한다.
S411. 제2 교환기는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 설명 정보와 함께 수행한다.
전술한 단계 S407 및 S409에 대한 시퀀스는 본 발명의 본 실시예에서 제한되지 않는다.
구체적으로, 데이터 센터의, 내부 네트워크 및 외부 네트워크 모두가 SDN 기술에 기초한 네트워크 아키텍처를 사용하는 경우, 데이터 센터 내부의 SDN 제어기가 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신한 후, SDN 제어기는 설명 정보 및 처리 정책을 직접 마스터 SDN 제어기에 전송한다. 마스터 SDN 제어기는 SDN 제어기에 연결된 데이터 센터 외부의 SDN 제어기이다. 즉, 마스터 SDN 제어기는 백본 네트워크(backbone network)에 있고 데이터 센터에 연결된 SDN 제어기이다. 마스터 SDN 제어기는 오픈 플로 프로토콜에 의해 지정된 포맷으로 제2 교환기에 설명 정보 및 처리 정책을 전송한다. 제2 교환기는 마스터 SDN 제어기에 의해 제어되는 교환기 클러스터의 교환기이다. 설명 정보 및 처리 정책을 수신한 후, 제2 교환기는 설명 정보를 가지는 데이터 패킷에 처리 정책에 의해 지시된 작업을 수행하여, 공격 데이터 패킷이 송신될 때 공격 데이터 패킷이 차지하는 네트워크 대역폭이 전체 네트워크에서 제한되고, 정상적인 데이터 패킷의 전송이 보장된다.
제2 교환기가 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하는 구체적 과정에 대해, 도 3에 도시된 실시예에서 구체적 과정이 참조될 수 있고, 여기서, 제1 교환기는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하고, 상세한 설명은 여기에서 설명하지 않는다.
또한, 본 발명의 실시예에서 제공되는 공격 데이터 패킷 처리 방법을 예시적으로 설명하기 위해 가능한 2가지 적용 시나리오를 이하에 나열한다. 도 9는 본 발명의 일 실시예에 따른 통신 시스템의 블록도를 도시한다. 인지 노드가 클라우드 데이터 센터의 게스트 운영 체제 계층(guest operating system layer), 예를 들어 가상 교환기(virtual switch: vSwitch)의 VM인 경우, 인지 노드는 VM 교환기 2의 VM2 일 수 있고, 특히 관리 노드가 클라우드 데이터 센터의 VM 메니저인 경우, VM2는 데이터 패킷의 IP 계층 시그널링을 식별할 수 있기 때문에, VM2가 IP 계층 DDoS 공격 유형(예 : 조작된 패킷 공격)의 공격 데이터 패킷을 수신할 때 공격 데이터 패킷을 식별할 수 있다. 따라서, 도 9에 도시된 통신 시스템의, VM2, VM 매니저, SDN 제어기, 및 교환기는, 도 6 또는 도 7에 도시된 방법을 수행하여 공격 데이터 패킷을 처리할 수 있다.
도 10은 본 발명의 일 실시예에 따른 다른 통신 시스템의 블록도를 도시한다. 인지 노드가 하이퍼 바이저, 특히 클라우드 데이터 센터의 하이퍼 바이저2 이고, 관리 노드가 구체적으로 클라우드 데이터 센터의 PCRF인 경우, 하이퍼 바이저2가 데이터 패킷 내의 서비스 계층 시그널링을 식별하여 공격 데이터 패킷을 식별, 예를 들어, SIP 시그널링을 식별하여 SIP 기반 공격 유형의 공격 데이터 패킷을 식별할 수 있기 때문에, 하이퍼 바이저 2는, SIP 기반 공격 유형의 공격 데이터 패킷을 수신하는 경우, SIP 시그널링을 식별하여 SIP 기반 공격 유형의 공격 데이터 패킷을 식별할 수 있다. 따라서, 하이퍼 바이저 2, PCRF, SDN 제어기, 및 교환기는 도 6 또는 도 7에 도시된 전술한 방법을 수행하여 공격 데이터 패킷을 처리할 수 있다.
본 발명의 본 실시예는 공격 데이터 패킷 처리 방법을 제공하고, 이러한 방법은 구체적으로, 인지 노드가, 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 단계; 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하고, 설명 정보 및 공격 유형을 관리 노드에 송신하는 단계; 및 관리 노드가, 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계; 및 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하는 단계를 포함하고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는데 사용된다. 이러한 방법에 따르면, 공격 데이터 패킷이 네트워크에서 전송될 때, 공격 데이터 패킷이 차지하는 네트워크 대역폭이 제한될 수 있고, 정상적인 데이터 패킷의 전송이 보장된다. 공격 데이터 패킷이 대량의 네트워크 대역폭을 차지하고 정상 데이터 패킷의 전송에 영향을 미치는 종래 기술의 문제점이 해결된다. 또한, 클라우드 데이터 센터의 인지 노드는 공격 데이터 흐름에서 공격 데이터 패킷에 의해 지속적으로 공격 되는 것을 또한, 클라우드 데이터 센터의 인지 노드는 공격 데이터 흐름에서 공격 데이터 패킷에 의해 지속적으로 공격 되는 것을 방지한다.
제3 실시예
도 11에 도시된 바와 같이, 본 발의 본 실시예는 관리 노드를 제공하고, 이러한 관리 노드는 수신 유닛(10), 결정 유닛(11), 및 송신 유닛(12)을 포함한다.
수신 유닛(10)은 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신하도록 구성되고, 설명 정보 및 공격 유형은 인지 노드에 의해 송신된다.
결정 유닛(11)은 수신 유닛(10)에 의해 수신된 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는 데 사용된다.
송신 유닛(12)은, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 수신 유닛(10)에 의해 수신된 설명 정보 및 결정 유닛(11)에 의해 결정된 처리 정책을 SDN 제어기를 사용하여 교환기에 송신하도록 구성된다.
선택적으로, 결정 유닛(11)은 구체적으로 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대해, 수신 유닛(10)에 의해 수신되고 미리 설정된 처리 정책을 획득하도록 구성된다.
선택적으로, 결정 유닛(11)은 구체적으로 수신 유닛(10)에 의해 수신된 공격 유형 및 미리 설정된 알고리즘에 따라 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성하도록 구성된다.
선택적으로, 결정 유닛(11)에 의해 결정된 처리 정책에 의해 지시된 작업은 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작, 또는 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작 및 처리 동작을 수행하는 데 필요한 시간을 포함한다.
선택적으로, 결정 유닛(11)은 구체적으로, 수신 유닛(10)이 공격 데이터 패킷의, 복수의 공격 데이터 패킷의 설명 정보 및 공격 유형을 수신하는 경우 - 설명 정보 및 공격 유형은 복수의 인지 노드에 의해 송신됨 -, 복수의 공격 데이터 패킷의 공격 유형에 따라, 적어도 2개의 동일한 공격 유형을 결정하고, 적어도 2개의 공격 유형 중 어느 하나에 따라 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성된다.
선택적으로, 송신 유닛(12)은 구체적으로, SDN 제어기가 설명 정보 및 처리 정책을 교환기에 전달할 수 있도록, 미리 설정된 통신 인터페이스를 사용하여 수신 유닛(10)에 의해 수신된 설명 정보 및 결정 유닛(11)에 의해 결정된 처리 정책을 SDN 제어기에 송신하도록 구성된다.
선택적으로, 수신 유닛(10)에 의해 수신된 설명 정보는 공격 데이터 패킷의 소스 IP 어드레스, 공격 데이터 패킷의 소스 포트 번호, 공격 데이터 패킷의 목적지 IP 어드레스, 공격 데이터 패킷의 목적지 포트 번호, 및 공격 데이터 패킷의 프로토콜 번호를 포함한다.
본 발명의 본 실시예에서 제공되는 관리 노드는 클라우드 데이터 센터 내의 서비스 관리 노드 또는 정책 관리 노드, 예를 들어, VM 매니저, VIM, PCRF 등일 수 있다.
본 발명의 본 실시예는 관리 노드를 제공하고, 이러한 관리 노드는, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신할 수 있으며, 공격 유형에 따라 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하며, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는데 사용된다. 따라서, 인지 노드 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 인지하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 본 발명의 본 실시예에서 제공되는 관리 노드는, 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신할 수 있다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
도 12에 도시된 바와 같이, 본 발명의 본 실시예는 SDN 제어기를 제공하고, 이러한 SDN 제어기는 수신 유닛(20) 및 송신 유닛(21)을 포함한다.
수신 유닛(20)은 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하도록 구성되고, 설명 정보 및 처리 정책은 관리 노드에 의해 송신된다.
송신 유닛(21)은, 제1 교환기 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 수신 유닛(20)에 의해 수신된, 설명 정보 및 처리 정책을 제1 교횐기에 송신하도록 구성된다.
선택적으로, 수신 유닛(20)은 구체적으로, 미리 설정된 통신 인터페이스를 사용하여 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신하도록 구성된다.
선택적으로, 송신 유닛(21)은 구체적으로, 마스터 SDN 제어기가 설명 정보 및 처리 정책을 제2 교환기에 전달하고 제2 교환기가 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 설명 정보와 함께 수행할 수 있도록, 수신 유닛(20)에 의해 수신된, 설명 정보 및 처리 정책을 마스터 SDN 제어기에 송신하도록 구성된다.
본 발명의 본 실시예는 SDN 제어기를 제공하고, SDN 제어기는 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하고 - 설명 정보 및 처리 정책은 관리 노드에 의해 송신됨 -, 제1 교환기 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 설명 정보 및 처리 정책을 제1 교환기에 송신할 수 있다. 따라서, 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 본 발명의 본 실시예에서 제공되는 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
도 13에 도시된 바와 같이, 본 발명의 본 실시예는 인지 노드를 제공하고, 이러한 인지 노드는 식별 유닛(30), 결정 유닛(31), 및 송신 유닛(32)을 포함한다.
식별 유닛(30)은 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하도록 구성된다.
결정 유닛(31)은 식별 유닛(30)에 의해 식별된 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하도록 구성된다.
송신 유닛(32)은, 결정 유닛(31)에 의해 결정된, 설명 정보 및 공격 유형을 관리 노드에 송신하도록 구성되고, 공격 유형은, 관리 노드가 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다.
선택적으로 결정 유닛(31)에 의해 결정된 설명 정보는 공격 데이터 패킷의 소스 IP 어드레스, 공격 데이터 패킷의 소스 포트 번호, 공격 데이터 패킷의 목적지 IP 어드레스, 공격 데이터 패킷의 목적지 포트 번호, 및 공격 데이터 패킷의 프로토콜 번호를 포함한다.
본 발명의 본 실시예에서 제공되는 인지 노드는 클라우드 데이터 센터에 존재하고 공격 데이터 패킷을 식별할 수 있는 임의의 클라우드 서버, 예를 들어, 다양한 서비스 프로세싱 VM, 하이퍼 바이저, 방화벽, 로드 밸런서, 또는 게이트웨이일 수 있다.
본 발명의 본 실시예는 인지 노드를 포함하고, 이러한 인지 노드는, 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하며, 설명 정보 및 공격 유형을 관리 노드에 송신할 수 있고, 공격 유형은, 관리 노드가 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다. 따라서, 본 발명의 본 실시예에서 제공되는 인지 노드는 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 인지하고 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한다. 관리 노드는, 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하고, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
제4 실시예
도 14를 참조하면, 본 발명의 본 실시예는 관리 노드를 제공하고, 이러한 관리 노드는 프로세서(40), 통신 인터페이스(41), 메모리(42), 및 시스템 버스(43)를 포함할 수 있다. 프로세서(40), 통신 인터페이스(41), 및 메모리(42)는 서로 연결되어 있고 시스템 버스(43)를 사용하여, 서로와 통신을 완료한다.
프로세서(40)는 중앙 처리 장치(CPU) 또는 주문형 집적 회로(ASIC), 또는 본 발명의이 실시예를 구현하도록 구성된 하나 이상의 집적 회로 일 수 있다.
통신 인터페이스(41)는 예를 들어 인지 노드와 상호 작용하거나 SDN 제어기와 상호 작용하는 등의 다른 장치와 상호 작용하도록 구성된다.
메모리(42)는, 휘발성 메모리, 예를 들어 랜덤 액세스 메모리(RAM)를 포함할 수 있거나, 또는 판독 전용 메모리(ROM), 플래시 메모리, 하드 디스크 드라이브(HDD) 또는 SSD(solid-state drive)와 같은 비휘발성 메모리를 포함할 수 있거나, 또는 전술한 유형의 메모리들의 조합을 포함할 수 있다.
관리 노드가 실행될 때, 프로세서(40), 통신 인터페이스(41), 및 메모리(42)는 도 2 또는 도 6 내지 도 8a 및 도 8b의 임의의 하나에서 설명된 방법 절차를 수행할 수 있으며, 구체적으로 다음을 포함한다.
프로세서(40)는, 통신 인터페이스(41)를 사용하여 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신하고 - 설명 정보 및 공격 유형은 인지 노드에 의해 송신됨-, 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하며, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하도록 구성되며, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는데 사용된다. 메모리(42)는 설명 정보의 코드, 공격 유형의 코드, 처리 정책의 코드, 및 전술한 과정을 완료하기 위해 프로세서(40)를 제어하는 소프트웨어 프로그램을 저장하도록 구성되어, 프로세서(40)는 소프트웨어 프로그램을 실행하고, 설명 정보의 코드, 공격 유형의 코드, 및 처리 정책의 코드를 호출하여 전술한 과정을 완료한다.
선택적으로, 프로세서(40)는 구체적으로, 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 획득하도록 구성된다.
선택적으로, 프로세서(40)는 구체적으로, 공격 유형 및 미리 설정된 알고리즘에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성하도록 구성된다.
프로세서(40)에 의해 결정된 처리 정책에 의해 지시된 작업은 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작, 또는 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작 및 처리 동작을 수행하는 데 필요한 시간을 포함한다.
선택적으로, 프로세서(40)는 구체적으로, 통신 인터페이스(41)가 복수의 공격 데이터 패킷의 설명 정보 및 복수의 공격 데이터 패킷의 공격 유형을 수신하는 경우 - 설명 정보 및 공격 유형은 복수의 인지 노드에 의해 송신됨 -, 복수의 공격 데이터 패킷의 공격 유형에 따라 적어도 2개의 동일한 공격 유형을 결정하고, 적어도 2개의 공격 유형 중 어느 하나에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성된다.
선택적으로, 프로세서(40)는 구체적으로, SDN 제어기가 설명 정보 및 처리 정책을 교환기에 전달할 수 있도록, 미리 설정된 통신 인터페이스를 사용하여 설명 정보 및 처리 정책을 SDN 처리기에 송신하도록 구성된다.
선택적으로, 통신 인터페이스(41)를 사용하여 프로세서(40)에 의해 수신된 설명 정보는, 공격 데이터 패킷의 소스 IP 어드레스, 공격 데이터 패킷의 소스 포트 번호, 공격 데이터 패킷의 목적지 IP 어드레스, 공격 데이터 패킷의 목적지 포트 번호, 및 공격 데이터 패킷의 프로토콜 번호를 포함하낟.
본 발명의 본 실시예는 관리 노드를 제공하고, 이러한 관리 노드는 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 수신하고 - 설명 정보 및 공격 유형은 인지 노드에 의해 송신됨 -, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 공격 유형에 따라 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신할 수 있으며, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는데 사용된다. 따라서, 인지 노드 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 인지하고 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 본 발명의 본 실시예에서 제공되는 관리 노드는, 교환기가 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하고 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신할 수 있다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
도 15에 도시된 바와 같이, 본 발명의 실시예는 SDN 제어기를 제공하고, SDN 제어기는 프로세서(50), 통신 인터페이스(51), 메모리(52), 및 시스템 버스(53)를 포함할 수 있다. 프로세서(50), 통신 인터페이스(51) 메모리(52)는 시스템 버스(53)를 사용하여 서로 연결되고 통신을 완료한다.
프로세서(50)는 CPU, ASIC, 또는 본 발명의 본 실시예를 구현하도록 구성된 하나 이상의 집적 회로일 수 있다.
통신 인터페이스(51)는 예를 들어, 관리 노드와 상호 작용하거나, 교환기와 상호 작용하는 등의 다른 장치와 상호 작용하도록 구성된다.
메모리(52)는 예를 들어, RAM과 같은 휘발성 메모리, 또는 예를 들어 ROM, 플래시 메모리, HDD 또는 SSD와 같은 비휘발성 메모리, 또는 전술한 유형의 메모리들의 조합을 포함할 수 있다.
SDN 제어기가 동작할 때, 프로세서(50), 통신 인터페이스(51) 및 메모리(52)는 도 3, 또는 도 6 내지 도 8a 및 도 8b에서 설명된 방법 절차를 수행할 수 있고, 구체적으로, 이하를 포함한다.
프로세서(50)는 통신 인터페이스(51)를 사용하여, 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하고 - 설명 정보 및 처리 정책은 관리 노드에 의해 송신됨 -, 제1 교환기 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 설명 정보 및 처리 정책을 제1 교환기에 송신하도록 구성된다. 메모리(52)는, 설명 정보의 코드, 처리 정책의 코드, 및 프로세서(50)가 전술한 과정을 완료하도록 제어하는 소프트웨어 프로그램을 저장하도록 구성되어, 프로세서(50)는 소프트웨어 프로그램을 실행하고 설명 정보의 코드 및 처리 정책의 코드를 호출한다.
선택적으로 프로세서(50)는 추가로, 미리 설정된 통신 인터페이스를 사용하여, 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신하도록 구성된다.
선택적으로 프로세서(50)는 추가로, 통신 인터페이스(51)를 사용하여 설명 정보 및 처리 정책을 마스터 SDN 제어기에 송신하도록 구성되어, 마스터 SDN 제어기가 설명 정보 및 처리 정책을 제2 교환기에 전달하고, 제2 교환기가 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 설명 정보와 함께 수행한다.
본 발명의 본 실시예는 SDN 제어기를 제공하고, 이러한 SDN 제어기는 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하고 - 설명 정보 및 처리 정책은 관리 노드에 의해 송신됨 -, 제1 교환기 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 설명 정보 및 처리 정책을 제1 교환기에 송신하도록 구성된다. 따라서, 인지 노드 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하고 본 발명의 본 실시예에서 제공되는 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하여, 교환기는 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
도 16에 도시된 바와 같이, 본 발명의 본 실시예는 인지 노드를 제공하고, 이러한 인지 노드는 프로세서(60), 통신 인터페이스(61), 메모리(62), 및 시스템 버스(63)를 포함할 수 있다. 프로세서(60), 통신 인터페이스(61), 및 메모리(62)는 시스템 버스(63)를 사용하여 서로 연결되고 서로 통신을 완료한다.
프로세서(60)는 CPU, ASIC, 또는 본 발명의 본 실시예를 구현하도록 구성된 하나 이상의 집적 회로일 수 있다.
통신 인터페이스(61)는 예를 들어, 다른 인식 노드와 상호 작용하거나 관리 노드와 상호 작용하는 것과 같이 다른 장치와 상호 작용하도록 구성된다.
메모리(62)는 휘발성 메모리, 예를 들어, RAM, 또는 예를 들어, ROM, 플래시 메모리, HDD, 또는 SSD와 같은 비휘발성 메모리, 또는 전술한 유형의 메모리들의 조합을 포함할 수 있다.
인식 노드가 실행될 때, 프로세서(60), 통신 인터페이스(61), 및 메모리(62)는 도 5 내지 도 8a 및 도 8b의 어느 하나에서 설명된 방법 절차를 수행할 수 있고, 구체적으로 이하를 포함한다.
프로세서(60)는 통신 인터페이스(61)에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하며, 설명 정보 및 공격 유형을 관리 노드에 송신하도록 구성되고, 공격 유형은, 관리 노드가 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다. 메모리(62)는 공격 데이터 패킷의 코드, 기술 정보, 공격 유형, 및 프로세서(60)가 전술 한 프로세스를 완료하도록 제어하는 소프트웨어 프로그램을 저장하도록 구성되어, 프로세서(60)가 소프트웨어 프로그램을 실행하고, 공격 데이터 패킷의 코드, 설명 정보 및 공격 유형을 호출하여 전술 한 프로세스를 완료하게 한다.
선택적으로, 프로세서(60)에 의해 결정된 설명 정보는, 공격 데이터 패킷의 소스 IP 어드레스, 공격 데이터 패킷의 소스 포트 번호, 공격 데이터 패킷의 목적지 IP 어드레스, 공격 데이터 패킷의 목적지 포트 번호, 및 공격 데이터 패킷의 프로토콜 번호를 포함한다.
본 발명의 본 실시예는 인지 노드를 제공하고, 이러한 인지 노드는 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하며, 설명 정보 및 공격 유형을 관리 노드에 송신할 수 있고, 공격 유형은, 관리 노드가 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 처리 정책은, 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용된다. 따라서, 본 발명의 본 실시예에서 제공되는 인지 노드가 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 인지하고 공격 데이터 패킷의 설명 정보 및 설명 정보를 가지는 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 관리 노드는, 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대한 처리 정책을 결정하고 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하여, 교환기는 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
제5 실시예
도 17에 도시된 바와 같이, 본 발명의 본 실시예는 통신 시스템을 제공하고, 이러한 통신 시스템은, 도 11에 도시된 관리 노드, 도 12에 도시된 SDN 제어기, 도 13에 도시된 인식 노드, 및 교환기를 포함하거나, 또는 본 발명의 실시예에서 제공되는 통신 시스템은 도 14에 도시된 관리 노드, 도 15에 도시된 SDN 제어기, 도 16에 도시된 인지 노드, 및 교환기를 포함한다. 교환기는 SDN 기술을 기반으로 하는 네트워크 아키텍처에 있으며 SDN 컨트롤러로 제어되는 교환기이다.
본 발명의 본 실시예에서 제공되는 통신 시스템에서, 인지 노드는 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 결정하며, 설명 정보 및 공격 유형을 관리 노드에 송신한다. 설명 정보 및 공격 유형을 수신한 다음, 관리 노드는 공격 유형에 따라, 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하고 설명 정보 및 처리 정책을 SDN 제어기에 송신한다. 관리 노드에 의해 송신된, 처리 정책 및 설명 정보를 수신한 다음, SDN 제어기는 설명 정보 및 처리 정책을 교환기에 송신하여 교환기는 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다.
선택적으로, 도 18에 도시된 바와 같이, 본 발명의 본 실시예에서 제공되는 통신 시스템은 마스터 SDN 및 마스터 SDN에 의해 제어되는 교환기를 더 포함할 수 있다. 마스터 SDN 제어기는 데이터 센터의 외부에 있고 SDN 제어기에 연결된다.
본 발명의 본 실시예에서 제공되는 통신 시스템에서, SDN 제어기가 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신한 다음, SDN 제어기는 설명 정보 및 처리 정책을 마스터 SDN 제어기에 전달하고, 마스터 SDN 제어기는 설명 정보 및 처리 정책을 마스터 SDN에 의해 제어되는 교환기에 송신하여, 교환기는 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다.
본 발명의 본 실시예에서 제공되는 통신 시스템에 따르면, 인지 노드 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하고, 공격 데이터 패킷의 설명 정보 및 공격 데이터 패킷의 공격 유형을 관리 노드에 송신한 다음, 관리 노드는 공격 유형에 따라 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하고 SDN 제어기를 사용하여 설명 정보 및 처리 정책을 교환기에 송신하여, 교환기는 설명 정보를 가지는 공격 데이터 패킷에 대해 처리 정책에 의해 지시된 작업을 수행한다. 따라서, 설명 정보를 가지는 공격 데이터 패킷이 네트워크에서 전송된 경우, 설명 정보를 가지는 공격 데이터 패킷에 의해 점유된 네트워크 대역이 제한되고, 정상적인 데이터 패킷의 전송이 보장된다. 또한, 클라우드 데이터 센터 내의 인지 노드는 설명 정보를 가지는 공격 데이터 패킷에 의해 지속적으로 공격받는 것을 방지하여 클라우드 데이터 센터의 인지 노드가 보안 통신을 수행할 수 있도록 보장한다.
편리하고 간단한 설명을 위해 전술한 기능 모듈들의 분할이 예시를 위한 예로서 취해진 것을 당업자는 명확하게 이해할 수 있다. 실제 응용에서, 이러한 기능들은 상이한 기능 모듈들에 할당될 수 있고 요구에 따라 구현될 수 있다. 즉, 장치의 내부 구조는 전술한 기능들의 전부 또는 일부를 구현하기 위해 상이한 기능 모듈들로 분할된다. 전술 한 시스템, 장치 및 유닛의 구체적 작업 프로세스에 대해, 전술한 방법 실시예에서 대응하는 프로세스가 참조될 수 있으며, 상세한 설명은 여기에서 다시 설명하지 않는다.
본 출원에 제공된 몇몇 실시예에서, 개시된 시스템, 장치, 및 방법은 다른 방식으로 구현될 수 있다는 것을 이해해야 한다. 예를 들어, 설명된 장치 실시예는 단지 예시적이다. 예를 들어, 모듈 또는 유닛 부분은 논리적 기능적 분할일 뿐이며 실제 구현에서는 다른 분할일 수 있다. 예를 들어, 복수의 유닛 또는 구성 요소가 결합되거나 다른 시스템에 통합되거나, 일부 특성이 무시되거나 수행되지 않을 수 있다. 또한, 표시되거나 논의된 상호 연결 또는 직접 연결 또는 통신 연결은 일부 인터페이스를 사용하여 구현될 수 있다. 장치 또는 유닛 간의 간접적 결합 또는 통신 연결은 전자적, 기계적 또는 다른 형태로 구현될 수 있다.
분리된 부분으로 표시된 유닛은 물리적으로 분리된 유닛 일 수 있고 분리되지 않은 유닛일 수 있으며, 유닛으로서 표시된 부분은 물리적 유닛이거나 물리적 유닛이 아닐 수 있고, 한 위치에 배치될 수 있거나 또는 복수의 네트워크 유닛에 배치될 수 있다. 유닛의 일부 또는 전부는 실시예의 해결 수단의 목적을 달성하기 위해 실제 요구에 따라 선택될 수 있다.
또한, 본 발명의 실시예의 기능 유닛은, 하나의 처리 유닛에 통합되거나, 각 유닛이 물리적으로 단독으로 존재할 수도 있고, 2 이상의 유닛이 하나의 유닛으로 통합될 수 있다. 통합 유닛은 하드웨어의 형태로 구현될 수 있거나 소프트웨어 기능 유닛의 형태로 구현될 수 있다.
통합 유닛이 소프트웨어 기능 유닛의 형태로 구현되고 독립적 제품으로서 판매되거나 사용되는 경우, 통합 유닛은 컴퓨터 판독 가능 저장 매체에 저장될 수 있다. 이러한 이해에 기초하여, 본질적으로 본 발명의 기술적 해결 수단 또는 종래 기술에 기여하는 부분 또는 기술적 해결 수단의 전부 또는 일부는 소프트웨어 제품의 형태로 구현될 수 있다. 컴퓨터 소프트웨어 제품은 저장 매체에 저장되며 컴퓨터 장치(개인용 컴퓨터, 서버 또는 네트워크 장치 일 수 있음) 또는 프로세서가 기술된 방법의 모든 단계 또는 일부를 수행하도록 명령하기 위한 몇 가지 명령을 포함한다 본 발명의 실시예에서, 저장 매체는 USB 플래시 드라이브, 탈착식 하드 디스크, 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 자기 디스크 또는 광학 디스크와 같은 프로그램 코드를 저장할 수 있는 임의의 매체를 포함한다.
전술 한 설명은 본 발명의 특정 구현 예일 뿐이며, 본 발명의 보호 범위를 제한하려는 것은 아니다. 본 발명에 개시된 기술적 범위 내에서 당업자에 의해 용이하게 이해되는 임의의 변형 또는 대체는 본 발명의 보호 범위 내에 있다. 따라서, 본 발명의 보호 범위는 청구 범위의 보호 범위의 대상이 된다.

Claims (25)

  1. 공격 데이터 패킷(attack data packet)을 처리하는 방법으로서,
    관리 노드가, 공격 데이터 패킷의 설명 정보(description information) 및 상기 공격 데이터 패킷의 공격 유형을 수신하는 단계 - 상기 설명 정보 및 상기 공격 유형은 인지 노드(awareness node)에 의해 송신됨 - ;
    상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계 - 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는 데 사용됨 - ; 및
    상기 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 관리 노드가, SDN(software-defined networking) 제어기를 사용하여 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 송신하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 결정하는 단계는,
    상기 관리 노드가, 상기 공격 유형에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 획득하는 단계
    를 포함하는, 방법.
  3. 제1항에 있어서,
    상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계는,
    상기 관리 노드가, 상기 공격 유형 및 미리 설정된 알고리즘에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성하는 단계
    를 포함하는, 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 처리 정책에 의해 지시된 작업은,
    상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작, 또는 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작 및 상기 처리 동작을 수행하는 데 필요한 시간
    을 포함하는, 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 관리 노드가, 복수의 공격 데이터 패킷의 설명 정보 및 상기 복수의 공격 데이터 패킷의 공격 유형을 수신하는 경우 - 상기 설명 정보 및 상기 공격 유형이 복수의 인지 노드에 의해 송신됨 -,
    상기 관리 노드가, 상기 공격 유형에 따라, 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계는,
    상기 관리 노드가, 상기 복수의 공격 데이터 패킷의 공격 유형에 따라, 적어도 2개의 동일한 공격 유형을 결정하는 단계; 및
    상기 관리 노드가, 상기 적어도 2개의 공격 유형 중 어느 하나에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 단계
    를 포함하는 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 관리 노드가, SDN 제어기를 사용하여 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 송신하는 단계는,
    상기 SDN 제어기가 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 전달(forwad)할 수 있도록, 상기 관리 노드가, 미리 설정된 통신 인터페이스(preset communications interface)를 사용하여 상기 설명 정보 및 상기 처리 정책을 상기 SDN 제어기에 송신하는 단계
    를 포함하는, 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    상기 설명 정보는, 상기 공격 데이터 패킷의 소스 IP(Internet Protocol) 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호(source port number), 상기 공격 데이터 패킷의 목적지 IP 어드레스(destination IP address), 상기 공격 데이터 패킷의 목적지 포트 번호(destination port number), 및 상기 공격 데이터 패킷의 프로토콜 번호(protocol number)를 포함하는, 방법.
  8. 공격 데이터 패킷을 처리하는 방법으로서,
    SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 -; 및
    제1 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 SDN 제어기가, 상기 설명 정보 및 상기 처리 정책을 상기 제1 교환기에 송신하는 단계
    를 포함하는 방법.
  9. 제8항에 있어서,
    상기 SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 - 는,
    상기 SDN 제어기가, 미리 설정된 통신 인터페이스를 사용하여 상기 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신하는 단계
    를 포함하는, 방법.
  10. 제8항 또는 제9항에 있어서,
    상기 SDN 제어기가, 공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하는 단계 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 - 는,
    상기 SDN 제어기에 연결된 마스터 SDN 제어기(master SDN controller)가 상기 설명 정보 및 상기 처리 정책을 제2 교환기에 전달하여 상기 제2 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 SDN 제어기가, 상기 설명 정보 및 상기 처리 정책을 상기 마스터 SDN 제어기에 송신하는 단계
    를 포함하는, 방법.
  11. 공격 데이터 패킷을 처리하는 방법으로서,
    인지 노드가, 상기 인지 노드에 의해 수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하는 단계;
    상기 인지 노드가, 상기 공격 데이터 패킷의 설명 정보 및 상기 공격 데이터 패킷의 공격 유형을 결정하는 단계; 및
    상기 인지 노드가, 상기 설명 정보 및 상기 공격 유형을 관리 노드에 송신하는 단계;
    를 포함하고,
    상기 공격 유형은, 상기 관리 노드가 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용되는, 방법.
  12. 제11항에 있어서,
    상기 설명 정보는, 상기 공격 데이터 패킷의 소스 IP 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호, 상기 공격 데이터 패킷의 목적지 IP 어드레스, 상기 공격 데이터 패킷의 목적지 포트 번호, 및 상기 공격 데이터 패킷의 프로토콜 번호를 포함하는, 방법.
  13. 관리 노드로서,
    공격 데이터 패킷의 설명 정보 및 상기 공격 데이터 패킷의 공격 유형을 수신하도록 구성된 수신 유닛 - 상기 설명 정보 및 상기 공격 유형은 인지 노드에 의해 송신됨 - ;
    상기 수신 유닛에 의해 수신된 공격 유형에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성된 결정 유닛 - 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행하도록 교환기에 명령하는 데 사용됨 -; 및
    상기 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, SDN 제어기를 사용하여 상기 수신 유닛에 의해 수신된 설명 정보 및 상기 결정 유닛에 의해 결정된 처리 정책을 상기 교환기에 송신하도록 구성된 송신 유닛
    을 포함하는 관리 노드.
  14. 제13항에 있어서,
    상기 결정 유닛은 구체적으로, 상기 수신 유닛에 의해 수신된 공격 유형에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 미리 설정된 처리 정책을 획득하도록 구성된, 관리 노드.
  15. 제13항에 있어서,
    상기 결정 유닛은 구체적으로, 상기 수신 유닛에 의해 수신된 공격 유형 및 미리 설정된 알고리즘에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 생성하도록 구성된, 관리 노드.
  16. 제13항 내지 제15항 중 어느 한 항에 있어서,
    상기 결정 유닛에 의해 결정된 처리 정책에 의해 지시된 작업은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작, 또는 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 동작 및 상기 처리 동작을 수행하는 데 필요한 시간을 포함하는, 관리 노드.
  17. 제13항 내지 제16항 중 어느 한 항에 있어서,
    상기 결정 유닛은 구체적으로, 상기 수신 유닛이 복수의 공격 데이터 패킷의 설명 정보 및 상기 복수의 공격 데이터 패킷의 공격 유형을 수신한 경우 - 상기 설명 정보 및 상기 공격 유형은 복수의 인지 노드에 의해 송신됨 -,
    상기 복수의 공격 데이터 패킷의 공격 유형에 따라 적어도 2개의 동일한 공격 유형을 결정하고, 상기 적어도 2개의 공격 유형 중 어느 하나에 따라 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하도록 구성된,
    , 관리 노드.
  18. 제13항 내지 제17항 중 어느 한 항에 있어서,
    상기 송신 유닛은 구체적으로,
    상기 SDN 제어기가 상기 설명 정보 및 상기 처리 정책을 상기 교환기에 전달할 수 있도록, 미리 설정된 통신 인터페이스를 사용하여 상기 수신 유닛에 의해 수신된 설명 정보 및 상기 결정 유닛에 의해 결정된 처리 정책을 상기 SDN 제어기에 송신하도록 구성된, 관리 노드.
  19. 제13항 내지 제18항 중 어느 한 항에 있어서,
    상기 수신 유닛에 의해 수신된 설명 정보는 상기 공격 데이터 패킷의 소스 IP 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호, 상기 공격 데이터 패킷의 목적지 IP 어드레스, 상기 공격 데이터 패킷의 목적지 포트 번호, 및 상기 공격 데이터 패킷의 프로토콜 번호를 포함하는, 관리 노드.
  20. 소프트웨어 정의 네트워킹(software-defined networking, SDN)을 제어하는 제어기로서,
    공격 데이터 패킷의 설명 정보 및 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책을 수신하도록 구성된 수신 유닛 - 상기 설명 정보 및 상기 처리 정책은 관리 노드에 의해 송신됨 -; 및
    제1 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 상기 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 수신 유닛에 의해 수신된, 설명 정보 및 처리 정책을 상기 제1 교환기에 송신하도록 구성된 송신 유닛
    을 포함하는 제어기.
  21. 제20항에 있어서,
    상기 수신 유닛은 구체적으로,
    미리 설정된 통신 인터페이스를 사용하여 상기 관리 노드에 의해 송신된, 설명 정보 및 처리 정책을 수신하도록 구성된, 제어기.
  22. 제20항 또는 제21항에 있어서,
    상기 송신 유닛은 추가로, 마스터 SDN 제어기가 상기 설명 정보 및 상기 처리 정책을 제2 교환기에 송신하여 상기 제2 교환기가 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 처리 정책에 의해 지시된 작업을 수행할 수 있도록, 상기 수신 유닛에 의해 수신된, 설명 정보 및 처리 정책을 상기 마스터 SDN 제어기에 송신하도록 구성된, 제어기.
  23. 인지 노드(awareness node)로서,
    수신된 데이터 패킷을 공격 데이터 패킷으로서 식별하도록 구성된 식별 유닛;
    상기 식별 유닛에 의해 식별된 공격 데이터 패킷의 설명 정보 및 상기 공격 데이터 패킷의 공격 유형을 결정하도록 구성된 결정 유닛; 및
    상기 결정 유닛에 의해 결정된, 설명 정보 및 공격 유형을 관리 노드에 송신하도록 구성된 송신 유닛
    을 포함하고,
    상기 공격 유형은, 상기 관리 노드가 상기 공격 유형의 공격 데이터 패킷에 대해 처리 정책을 결정하는 데 사용되고, 상기 처리 정책은, 상기 설명 정보를 가지는 공격 데이터 패킷에 대한 상기 처리 정책에 의해 지시된 작업을 수행하도록 데이터 패킷을 전달하는 교환기에 명령하는 데 사용되는, 인지 노드.
  24. 제23항에 있어서,
    상기 결정 유닛에 의해 결정된 설명 정보는, 상기 공격 데이터 패킷의 소스 IP 어드레스, 상기 공격 데이터 패킷의 소스 포트 번호, 상기 공격 데이터 패킷의 목적지 IP 어드레스, 상기 공격 데이터 패킷의 목적지 포트 번호, 및 상기 공격 데이터 패킷의 프로토콜 번호를 포함하는, 인지 노드.
  25. 통신 시스템으로서,
    제13항 내지 제19항 중 어느 한 항에 기재된 관리 노드, 제20항 내지 제22항 중 어느 한 항에 기재된 SDN 제어기, 제23항 또는 제24항에 기재된 인지 노드, 및 교환기를 포함하는 통신 시스템.
KR1020177020719A 2014-12-22 2015-12-06 공격 데이터 패킷 처리 방법, 장치, 및 시스템 KR20170106351A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410810857.XA CN104580168B (zh) 2014-12-22 2014-12-22 一种攻击数据包的处理方法、装置及系统
CN201410810857.X 2014-12-22
PCT/CN2015/096509 WO2016101783A1 (zh) 2014-12-22 2015-12-06 一种攻击数据包的处理方法、装置及系统

Publications (1)

Publication Number Publication Date
KR20170106351A true KR20170106351A (ko) 2017-09-20

Family

ID=53095349

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177020719A KR20170106351A (ko) 2014-12-22 2015-12-06 공격 데이터 패킷 처리 방법, 장치, 및 시스템

Country Status (7)

Country Link
US (1) US10742682B2 (ko)
EP (1) EP3226508B1 (ko)
JP (1) JP2018500830A (ko)
KR (1) KR20170106351A (ko)
CN (1) CN104580168B (ko)
ES (1) ES2833402T3 (ko)
WO (1) WO2016101783A1 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201605198A (zh) * 2014-07-31 2016-02-01 萬國商業機器公司 智慧網路管理裝置以及管理網路的方法
CN104580168B (zh) 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN105262753A (zh) * 2015-10-28 2016-01-20 广州西麦科技股份有限公司 一种基于sdn虚拟交换机的安全策略的系统及方法
CN105516129A (zh) * 2015-12-04 2016-04-20 重庆邮电大学 基于sdn技术实现僵尸网络控制信道阻断的方法和装置
CN107135185A (zh) * 2016-02-26 2017-09-05 华为技术有限公司 一种攻击处理方法、设备及系统
WO2017166047A1 (zh) * 2016-03-29 2017-10-05 华为技术有限公司 网络攻击防御策略发送、网络攻击防御的方法和装置
CN106209784B (zh) * 2016-06-24 2019-09-17 新华三技术有限公司 一种数据过滤方法和装置
CN106506264B (zh) * 2016-10-31 2019-11-19 中国科学院信息工程研究所 一种基于sdn的自定义数据包采样方法
CN107070791A (zh) * 2016-12-29 2017-08-18 北京邮电大学 一种sdn网络系统及其数据传输方法
US10257152B2 (en) * 2017-03-10 2019-04-09 Nicira, Inc. Suppressing ARP broadcasting in a hypervisor
CN107579928B (zh) * 2017-10-16 2019-12-17 成都西加云杉科技有限公司 流量转发方法及系统
US11271960B2 (en) 2017-12-06 2022-03-08 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of anomalies
US10931696B2 (en) 2018-07-13 2021-02-23 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
WO2019201458A1 (en) * 2018-04-17 2019-10-24 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes and operator network for enabling management of an attack towards an application
CN111107035B (zh) * 2018-10-25 2022-05-17 中国电子科技集团公司电子科学研究院 基于行为辨识的安全态势感知与防护方法及装置
US11290358B2 (en) 2019-05-30 2022-03-29 Vmware, Inc. Partitioning health monitoring in a global server load balancing system
CN110366170A (zh) * 2019-06-15 2019-10-22 浙江大学 一种基于软件定义安全的无线网络安全防御办法
CN110798442B (zh) * 2019-09-10 2023-01-20 广州西麦科技股份有限公司 数据注入攻击检测方法及相关装置
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11909653B2 (en) * 2020-01-15 2024-02-20 Vmware, Inc. Self-learning packet flow monitoring in software-defined networking environments
CN112152854B (zh) * 2020-09-25 2023-11-07 绿盟科技集团股份有限公司 一种信息处理方法及装置
WO2022092788A1 (en) 2020-10-29 2022-05-05 Samsung Electronics Co., Ltd. Methods and system for securing a sdn controller from denial of service attack
CN112738089B (zh) * 2020-12-29 2023-03-28 中国建设银行股份有限公司 一种复杂网络环境下的源ip自动回溯方法和装置
US20230024475A1 (en) * 2021-07-20 2023-01-26 Vmware, Inc. Security aware load balancing for a global server load balancing system
CN115333938B (zh) * 2022-07-19 2024-03-26 岚图汽车科技有限公司 一种车辆安全防护控制方法及相关设备
JP7366320B1 (ja) 2023-03-03 2023-10-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理方法および情報処理プログラム
JP7434672B1 (ja) 2023-03-03 2024-02-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理方法および情報処理プログラム

Family Cites Families (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204082B2 (en) * 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
DE102004016582A1 (de) * 2004-03-31 2005-10-27 Nec Europe Ltd. Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
US8180742B2 (en) * 2004-07-01 2012-05-15 Emc Corporation Policy-based information management
US20060075093A1 (en) * 2004-10-05 2006-04-06 Enterasys Networks, Inc. Using flow metric events to control network operation
CN100362803C (zh) * 2004-10-15 2008-01-16 华中科技大学 基于聚类与关联的网络安全报警系统
US7440406B2 (en) * 2004-12-29 2008-10-21 Korea University Industry & Academy Cooperation Foundation Apparatus for displaying network status
CN1905555B (zh) * 2005-07-30 2010-07-07 华为技术有限公司 基于ngn业务的防火墙控制系统及方法
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US9794272B2 (en) * 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
JP4664257B2 (ja) 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法
KR100826884B1 (ko) * 2006-11-27 2008-05-06 한국전자통신연구원 보안큐브를 이용한 네트워크 상태 표시장치 및 방법
US20090007100A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
US9009828B1 (en) * 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US7945587B2 (en) * 2007-10-10 2011-05-17 Microsoft Corporation Random allocation of media storage units
US20090249471A1 (en) * 2008-03-27 2009-10-01 Moshe Litvin Reversible firewall policies
US8990911B2 (en) * 2008-03-30 2015-03-24 Emc Corporation System and method for single sign-on to resources across a network
US8490150B2 (en) * 2009-09-23 2013-07-16 Ca, Inc. System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems
US8726334B2 (en) * 2009-12-09 2014-05-13 Microsoft Corporation Model based systems management in virtualized and non-virtualized environments
WO2011082380A1 (en) * 2009-12-31 2011-07-07 Fiberlink Communications Corporation Consolidated security application dashboard
US10103939B2 (en) * 2010-07-06 2018-10-16 Nicira, Inc. Network control apparatus and method for populating logical datapath sets
US8621629B2 (en) * 2010-08-31 2013-12-31 General Electric Company System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target
EP2643952B1 (en) 2010-11-22 2023-05-31 Nec Corporation Communication system, communication device, controller, and method and program for controlling forwarding path of packet flow
WO2012103726A1 (zh) * 2011-06-30 2012-08-09 华为技术有限公司 基于ott的媒体数据传输方法、装置及系统
US10089127B2 (en) * 2011-11-15 2018-10-02 Nicira, Inc. Control plane interface for logical middlebox services
US9710644B2 (en) * 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
US9137258B2 (en) * 2012-02-01 2015-09-15 Brightpoint Security, Inc. Techniques for sharing network security event information
US9130977B2 (en) * 2012-04-18 2015-09-08 Radware, Ltd. Techniques for separating the processing of clients' traffic to different zones
US9374301B2 (en) * 2012-05-18 2016-06-21 Brocade Communications Systems, Inc. Network feedback in software-defined networks
US9571523B2 (en) * 2012-05-22 2017-02-14 Sri International Security actuator for a dynamically programmable computer network
US9647938B2 (en) * 2012-06-11 2017-05-09 Radware, Ltd. Techniques for providing value-added services in SDN-based networks
US9304801B2 (en) * 2012-06-12 2016-04-05 TELEFONAKTIEBOLAGET L M ERRICSSON (publ) Elastic enforcement layer for cloud security using SDN
US9094459B2 (en) * 2012-07-16 2015-07-28 International Business Machines Corporation Flow based overlay network
US20140052877A1 (en) * 2012-08-16 2014-02-20 Wenbo Mao Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
US9306840B2 (en) * 2012-09-26 2016-04-05 Alcatel Lucent Securing software defined networks via flow deflection
CN103051605B (zh) * 2012-11-21 2016-06-29 国家计算机网络与信息安全管理中心 一种数据包处理方法、装置和系统
KR101415850B1 (ko) * 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법
CN104885431B (zh) * 2012-12-13 2018-11-20 华为技术有限公司 软件定义信息中心网络中基于内容的流量工程的方法及装置
CN103051557B (zh) * 2012-12-27 2016-07-06 华为技术有限公司 数据流处理方法及系统、控制器、交换设备
US9130901B2 (en) * 2013-02-26 2015-09-08 Zentera Systems, Inc. Peripheral firewall system for application protection in cloud computing environments
WO2014133025A1 (ja) 2013-02-27 2014-09-04 日本電気株式会社 通信システム、上位コントローラ、ネットワークの制御方法及びプログラム
US9578061B2 (en) * 2013-03-13 2017-02-21 FireMon, LLC System and method for modeling a networking device policy
US9912521B2 (en) * 2013-03-13 2018-03-06 Dell Products L.P. Systems and methods for managing connections in an orchestrated network
EP2978172A4 (en) 2013-03-22 2016-11-09 Nec Corp SYSTEM FOR PROVIDING NETWORK STATISTICS INFORMATION, METHOD FOR PROVIDING NETWORK STATISTICS INFORMATION AND PROGRAM
CN103152361B (zh) * 2013-03-26 2015-12-02 华为技术有限公司 访问控制方法及设备、系统
US9973429B2 (en) * 2013-04-05 2018-05-15 Futurewei Technologies, Inc. Software defined networking (SDN) controller orchestration and network virtualization for data center interconnection
US9973375B2 (en) * 2013-04-22 2018-05-15 Cisco Technology, Inc. App store portal providing point-and-click deployment of third-party virtualized network functions
WO2015007331A1 (en) * 2013-07-19 2015-01-22 Nokia Solutions And Networks Oy Network element and method of running applications in a cloud computing system
US9350632B2 (en) * 2013-09-23 2016-05-24 Intel Corporation Detection and handling of virtual network appliance failures
US10587576B2 (en) * 2013-09-23 2020-03-10 Mcafee, Llc Providing a fast path between two entities
US9633041B2 (en) * 2013-09-26 2017-04-25 Taiwan Semiconductor Manufacturing Co., Ltd. File block placement in a distributed file system network
US20150142935A1 (en) * 2013-10-21 2015-05-21 Nyansa, Inc. System and method for observing and controlling a programmable network via higher layer attributes
CN104639504B (zh) * 2013-11-12 2018-09-21 华为技术有限公司 网络协同防御方法、装置和系统
US9516061B2 (en) * 2013-11-26 2016-12-06 Cisco Technology, Inc. Smart virtual private network
US20150169345A1 (en) * 2013-12-18 2015-06-18 International Business Machines Corporation Software-defined networking (sdn) for management of traffic between virtual processors
US9432257B2 (en) * 2013-12-27 2016-08-30 Huawei Technologies Co., Ltd. Traffic behavior driven dynamic zoning for distributed traffic engineering in SDN
WO2015100656A1 (zh) * 2013-12-31 2015-07-09 华为技术有限公司 一种实现虚拟机通信的方法和装置
US9397917B2 (en) * 2014-01-10 2016-07-19 Huawei Technologies Co., Ltd. System and method for zoning in software defined networks
US9350677B2 (en) * 2014-01-16 2016-05-24 International Business Machines Corporation Controller based network resource management
US9215213B2 (en) * 2014-02-20 2015-12-15 Nicira, Inc. Method and apparatus for distributing firewall rules
US9338181B1 (en) * 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
US20150263960A1 (en) * 2014-03-14 2015-09-17 Avni Networks Inc. Method and apparatus for cloud bursting and cloud balancing of instances across clouds
US20150341377A1 (en) * 2014-03-14 2015-11-26 Avni Networks Inc. Method and apparatus to provide real-time cloud security
US20150326425A1 (en) * 2014-05-12 2015-11-12 Ntt Innovation Institute, Inc. Recording, analyzing, and restoring network states in software-defined networks
US10374972B2 (en) * 2014-05-13 2019-08-06 Telefonaktiebolaget Lm Ericsson (Publ) Virtual flow network in a cloud environment
US10291416B2 (en) * 2014-05-15 2019-05-14 Hewlett Packard Enterprise Development Lp Network traffic tuning
EP3072259A1 (en) * 2014-06-17 2016-09-28 NEC Europe Ltd. Efficient access control for trigger events in sdn
JP2017520194A (ja) * 2014-06-30 2017-07-20 アルカテル−ルーセント ソフトウェア定義ネットワークにおけるセキュリティ
US10601734B2 (en) * 2014-07-08 2020-03-24 Nokia Solutions And Networks Oy Method of operating a network entity
US9847934B2 (en) * 2014-09-09 2017-12-19 Nxp Usa, Inc. Reducing packet reordering in flow-based networks
JP2016063285A (ja) * 2014-09-16 2016-04-25 富士通株式会社 制御装置、通信システム、及び、制御方法
TWI542172B (zh) * 2014-09-22 2016-07-11 財團法人工業技術研究院 路徑更換方法與系統及其控制器
US20160094668A1 (en) * 2014-09-29 2016-03-31 Alcatel-Lucent Usa Inc. Method and apparatus for distributed customized data plane processing in a data center
US9954775B2 (en) * 2014-11-25 2018-04-24 Electronics And Telecommunications Research Institute Software-defined network (SDN) system using host abstraction, and method for implementing the same
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
US9584477B2 (en) * 2015-02-26 2017-02-28 International Business Machines Corporation Packet processing in a multi-tenant software defined network (SDN)
US20160254984A1 (en) * 2015-02-27 2016-09-01 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. Method and system for delivering service-enabled flow paths across multiple domains in sdn networks
KR101703088B1 (ko) * 2015-04-10 2017-02-22 쿨클라우드(주) Sdn 기반의 통합 라우팅 방법 및 그 시스템
WO2016182923A1 (en) * 2015-05-08 2016-11-17 Citrix Systems, Inc. Systems and methods for improving security of secure socket layer (ssl) communications
WO2016202358A1 (en) * 2015-06-15 2016-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Information exchange between a mobile transport network and a core network
US10057193B2 (en) * 2015-12-31 2018-08-21 Fortinet, Inc. Cardinality based packet processing in software-defined networking (SDN) switches

Also Published As

Publication number Publication date
ES2833402T3 (es) 2021-06-15
WO2016101783A1 (zh) 2016-06-30
CN104580168A (zh) 2015-04-29
US20170295207A1 (en) 2017-10-12
EP3226508A1 (en) 2017-10-04
EP3226508B1 (en) 2020-09-23
CN104580168B (zh) 2019-02-26
JP2018500830A (ja) 2018-01-11
EP3226508A4 (en) 2017-12-20
US10742682B2 (en) 2020-08-11

Similar Documents

Publication Publication Date Title
KR20170106351A (ko) 공격 데이터 패킷 처리 방법, 장치, 및 시스템
US10868699B2 (en) Method for generating forwarding information, controller, and service forwarding entity
KR101572771B1 (ko) 가상 스위치를 통한 네트워크 트래픽 제어 시스템 및 방법
JP6445015B2 (ja) ミドルウェアおよびアプリケーションの実行のためにエンジニアド・システムにおいてデータサービスを提供するためのシステムおよび方法
EP3076612B1 (en) Packet processing methods and nodes
CN109361606B (zh) 一种报文处理系统及网络设备
US20110295991A1 (en) Network system, controller, and network control method
EP2615782A1 (en) Computer system and communication method in computer system
WO2016089575A1 (en) Inter-domain service function chaining
JP2017518710A (ja) サービスフロー処理方法、装置、およびデバイス
JP2015065684A (ja) ネットワーク・スイッチを構成するための方法
WO2014063129A1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
WO2015169176A1 (en) Controlling packet transmission in software defined network
KR20230079462A (ko) 패킷 처리 방법 및 장치, 및 관련 디바이스들
KR20160042441A (ko) 애플리케이션-인식 네트워크 관리
JP5866083B1 (ja) ソフトウェア定義ネットワークにおける制御方法、制御装置およびプロセッサ
KR102155262B1 (ko) 탄력적 허니넷 시스템 및 그 동작 방법
US20150341267A1 (en) Control apparatus, communication apparatus, communication system, switch control method, and program
WO2014050091A1 (en) Communication system, communication method, information processing apparatus, communication control method, and program
EP3982600A1 (en) Qos policy method, device, and computing device for service configuration
WO2016049926A1 (zh) 一种数据包处理装置及方法
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
CN105812274B (zh) 一种业务数据的处理方法和相关设备
KR101543735B1 (ko) 엔에프브이(nfv)를 위한 패킷 처리 시스템 및 방법
CN107566278B (zh) 传输方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application