TW201605198A - 智慧網路管理裝置以及管理網路的方法 - Google Patents
智慧網路管理裝置以及管理網路的方法 Download PDFInfo
- Publication number
- TW201605198A TW201605198A TW103126336A TW103126336A TW201605198A TW 201605198 A TW201605198 A TW 201605198A TW 103126336 A TW103126336 A TW 103126336A TW 103126336 A TW103126336 A TW 103126336A TW 201605198 A TW201605198 A TW 201605198A
- Authority
- TW
- Taiwan
- Prior art keywords
- management device
- network management
- sdn
- network
- smart
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/11—Identifying congestion
- H04L47/115—Identifying congestion using a dedicated packet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
Abstract
揭露一種智慧網路管理裝置,包含:●一分析單元,根據接收之網路封包進行一分析,以判斷一給定事件是否發生;●一處理單元,當該分析單元判斷出該給定事件發生,產生並發送一指令給一軟體定義網路(SDN)控制器,以更改一SDN切換器之設定。
Description
本發明大體而言係關於智慧網路管理裝置。特別地,本發明係係關於設置於軟體定義網路(SDN)中可與SDN控制器互動的智慧網路管理裝置。
為了網路運作順暢與資訊安全,大型企業或組織以已廣泛地在網路架構中設置有智慧網路管理裝置,以提供例如入侵偵測與預防、防火牆、負載平衡等。一般來說,智慧網路管理裝置係較佳以資訊設備(appliance)的形式實現。相對於通用型(General Purpose)的電腦裝置,資訊設備一般係根據特定目的或特定服務而設計,而具有較高的效能。
關於現有的智慧網路管理裝置,可參考IBM公司的入侵偵測與預防系統、防火牆系統等。相關的現有技術也可參考同屬申請人的US Pat.7,808,897以及US Pat.8,677,473。
本發明一方面係提出一種智慧網路管理裝置。特別地,本發明係關於設置於軟體定義網路(SDN)中可與SDN控制器互動的智慧網路管理裝置。關於軟體定義網路(SDN),可參考Cisco公司所發表的文章
“Software-Defined Networking:Why WeLike It and How We Are Building On It”。相較於傳統網路多仰賴硬體網路元件(network element),軟體定義網路(SDN)係以應用程式(即SDN控制器以及SDN切換器)來進行網路控制;每一SDN切換器可依循SDN控制器所預先決定的路由表,針對不同的封包進行不同的動作,例如傳送(pass)、阻擋(block)、或轉送(goto)。在現有技術中,例如美國專利公開號US2013/0311675,SDN控制器可視情況或是將其他裝置作為感測元件來觀察網路上的狀況,而根據這些裝置所產生的回饋來決定是否要調整SDN切換器的路由表,以將網路運作最佳化。但此作法實際上並不可行,因為這已經脫離現有SDN控制器的功能範疇,而在現有SDN控制器架構下,要讓SDN控制器額外具備有足夠的能力來處理各式各樣的網路狀況,特別是包含了日新月異的網路攻擊方式,在實務上是不可能的。
有鑑於SDN與傳統網路控制方式的差異,本發明體認到需
要有新的方式來處理網路管理的需求(例如入侵偵測與預防、防火牆、負載平衡)。
另一方面,在現有技術中,當智慧網路管理裝置判斷出網路
有異常狀況發生時,一般係回報給網路管理員,而仰賴人為介入來加以處理。某些智慧網路管理裝置,例如入侵預防系統,除了可偵測網路異常外,本身更可進一步地自動採取預防行動來處理網路異常狀況,例如阻擋特定封包的傳送。然而當入侵預防系統執行預防行動時,也會佔用了系統本身的資源,而且現有技術中入侵預防系統所能採取的行動,其範圍僅限於其本身。本發明有鑑於此,由於在SDN的架構中,入侵預防系統可輕易地與SDN控制器溝通,因此當入侵預防系統或其他智慧網路管理裝置偵測到一網路異常時,即可主動地下達指令給SDN控制器,SDN控制器收到指令後再根據指令的內容指揮SDN上對應的網路元件(例如SDN切換器)來採取行動以處理網路的異常狀況。
換言之,透過SDN控制器的中介,SDN切換器可作為入侵
預防系統的延伸,以進行入侵預防系統所欲的預防動作。
此作法除了可以節省智慧網路管理裝置的系統資源,也更有
效率,例如可在入侵預防系統之前即阻擋網路攻擊的封包,而省去了將網路攻擊的封包繼續傳送到智慧網路管理裝置所耗費的網路資源(也就是SDN切換器與智慧網路管理裝置間的網路資源),也可避免這些網路資源受到攻擊,而達成隔離(Quarantine)的效果。
相較於現有技術,本發明的作法在網路安全的領域中特別具
有優勢,因為智慧網路管理裝置本身即被設計具有充足的知識偵測並處理各式各樣的網路狀況,包含變化多端的網路攻擊。此外,當智慧網路管理裝置當偵測到攻擊時,可即時地(real-time)支配SDN切換器(透過SDN控制器)進行防護動作。反之,在現有技術中(例如US2013/0311675),尚需要等待SDN控制器進一步判斷,而可能耽誤了寶貴的時機。
在一實施例中,揭露一種智慧網路管理裝置,包含:- 一分析單元,根據接收之網路封包進行一分析,以判斷一給定網路事件是否發生;以及- 一處理單元,當該分析單元判斷出該給定網路事件發生,產生並發送一指令給一軟體定義網路(SDN)控制器,以更改一SDN切換器之設定。
除了上述智慧網路管理裝置之外,本發明亦包含方法以及提供給上述智慧網路管理裝置所使用的電腦程式產品。
本說明書中所提及的特色、優點、或類似表達方式並不表示,可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白,有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此,本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關,
但亦非必要。
參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式,即可更加明瞭本發明的這些特色及優點。
100‧‧‧軟體定義網路(SDN)
102‧‧‧SDN切換器
104‧‧‧SDN控制器
150‧‧‧智慧網路管理裝置
152‧‧‧分析單元
154‧‧‧處理單元
170‧‧‧資訊設備
500‧‧‧資訊設備
510‧‧‧處理器
520‧‧‧記憶體
530‧‧‧網路
540‧‧‧輸入/輸出(I/O)單元
550‧‧‧硬碟機
560‧‧‧區域網路(LAN)配接器
為了立即瞭解本發明的優點,請參考如附圖所示的特定具體實施例,詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下,參考附圖以額外的明確性及細節來說明本發明,圖式中:圖1係依據本發明具體實施例的軟體定義網路。
圖2係依據本發明具體實施例的智慧網路管理裝置。
圖3係依據本發明具體實施例的方法流程圖。
圖4係依據本發明具體實施例的智慧網路管理裝置。
本說明書中「一具體實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此,在本說明書中,「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。
熟此技藝者當知,本發明可實施為電腦系統/裝置、資訊設備、方法或作為電腦程式產品之電腦可讀媒體。因此,本發明可以實施為各種形式,例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等),或者亦可實施為軟體與硬體的實施形式,在以下會被稱為「電路」、「模組」或「系統」。此外,本發明亦可以任何有形的媒體形式實施為電腦程式產品,其具有電腦可使用程式碼儲存於其上。
一個或更多個電腦可使用或可讀取媒體的組合都可以利用。
舉例來說,電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。
需注意的是,電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體,例如藉由光學掃描該紙張或其他媒體,然後再編譯、解譯或其他合適的必要處理方式,然後可再度被儲存於電腦記憶體中。在本文中,電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體,以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號,不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體,包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。
用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫,包括物件導向程式語言(例如Java、Smalltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。
於以下本發明的相關敘述會參照依據本發明具體實施例之系統、裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊,以及流程圖及/或方塊圖中方塊的任何組合,可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行,而指令經由電腦或其他可程式化資料處理裝置處理以便
實施流程圖及/或方塊圖中所說明之功能或操作。
這些電腦程式指令亦可被儲存在電腦可讀取媒體上,以便指示電腦或其他可程式化資料處理裝置來進行特定的功能,而這些儲存在電腦可讀取媒體上的指令構成一製成品,其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。
電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置,以便於電腦或其他可程式化裝置上進行一系統操作步驟,而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。
其次,請參照圖1至圖3,在圖式中顯示依據本發明各種實施例的裝置、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此,流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼,其包含一個或多個可執行指令,以實施指定的邏輯功能。另當注意者,某些其他的實施例中,方塊所述的功能可以不依圖中所示之順序進行。舉例來說,兩個圖示相連接的方塊事實上亦可以皆執行,或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者,每個方塊圖及/或流程圖的方塊,以及方塊圖及/或流程圖中方塊之組合,可藉由基於特殊目的硬體的系統來實施,或者藉由特殊目的硬體與電腦指令的組合,來執行特定的功能或操作。
<系統架構>
圖1顯示一實施例中之軟體定義網路(SDN)100之架構。為了簡化說明之目的,圖1中僅顯示出SDN 100包含SDN切換器102、SDN控制器104、智慧網路管理裝置150、以及資訊設備170。特別地,智慧網路管理裝置150與SDN控制器104之間可為直接連線,抑或可透過其他網路元件(未圖示)。另外在實際應用中,SDN 100可包含更多的SDN切換器、SDN控制器、以及智慧網路管理裝置。此外,圖1中雖未顯示,但應可知
SDN切換器102與智慧網路管理裝置150之間可設置有其他的網路元件,例如其他的SDN切換器。資訊設備170將於後續配合圖3予以說明。
關於軟體定義網路(SDN)100與本發明無直接相關的基本細節,可參考美國專利公開號US2013/0311675或是IBM公司所發表的文章“Deploy IBM Security Network Protection in an Open vSwitch”或是,在此不予贅述。
圖2進一步顯示智慧網路管理裝置150。在此實施例中,智慧網路管理裝置150係實施為一入侵預防系統(IPS),但本發明並不欲局限於此。舉例來說,智慧網路管理裝置150亦可實施為防火牆裝置或是負載平衡裝置。
如圖2所示,智慧網路管理裝置150係包含分析單元152以及處理單元154。分析單元152以及處理單元154係智慧網路管理裝置150中之功能單元,其可透過特定的硬體線路加以實施,或是透過儲存於智慧網路管理裝置150中非揮發記憶體的程式碼實施為應用程式。
分析單元152可參考現有入侵預防系統中的分析引擎(analysis engine),其可根據所收到的封包而判斷出入侵、攻擊、或其他與網路安全性相關的事件(event)。舉例來說,分析單元152可實施為SNORT或是PAM分析引擎。
除了與網路安全性相關的事件之外,在其他實施例中,分析單元152也可判斷出與智慧網路管理裝置150運作情況相關的事件。舉例來說,分析單元152可根據智慧網路管理裝置150所收到的封包數量以及當下智慧網路管理裝置150能夠處理的封包數量,以判斷出是否有壅塞產生在智慧網路管理裝置150處。關於壅塞的判斷,例如可參考前述同屬申請人的US Pat.7,808,897。
在另外的實施例中,值得一提的是,當所收到的封包因事先加密或是其他原因,導致分析單元152無法對其內容進行分析,分析單元
152也可據此判斷出封包無法分析事件。
當分析單元152判斷出前述事件後,則通知處理單元154,由處理單元154來決定相對應的動作。舉例來說,當分析單元152判斷出攻擊事件時,處理單元154可決定由智慧網路管理裝置150本身將所收到的封包加以阻擋,或者處理單元154亦可產生並發送指令給SDN控制器104,由SDN控制器104指揮SDN 100中一或多個SDN切換器102來阻擋後續的攻擊封包。一般來說,當分析單元152判斷出攻擊事件時,可知悉攻擊來源的網路位址以及封包所使用的通訊協定(protocol),因此處理單元154可將這些資訊提供給SDN控制器104,而由SDN控制器104相對應地調整特定SDN切換器102的設定(例如路由表(flow table)),藉此SDN切換器102可針對符合特定條件(例如來源位址、通訊埠口、以及通訊協定等)的封包進行處置,因此也就能夠將後續的攻擊封包加以阻擋,而不必由智慧網路管理裝置150本身來阻擋後續的攻擊封包。關於SDN切換器的路由表,可參考Open Networking Foundation所發佈的OpenFlow Switch Specification。
在此實施例中,由於智慧網路管理裝置150以及SDN切換器102都有阻擋攻擊封包的能力,因此處理單元154可先判斷是否適合優先由SDN切換器102進行阻擋後續攻擊封包,特別考量有時SDN切換器102透過路由表可能也會阻擋了其他並非攻擊的封包。因此當智慧網路管理裝置150的負載允許時,可優先由智慧網路管理裝置150負責後續阻擋的動作;而當智慧網路管理裝置150處於高負載的狀態時,則優先由SDN切換器102負責阻擋的動作。
在另一實施例中,分析單元152判斷出壅塞產生在智慧網路管理裝置150處,處理單元154亦可產生並發送指令給SDN控制器104,由SDN控制器104指揮SDN 100中一或多個SDN切換器102將優先層級較低的封包繞過(bypass)智慧網路管理裝置150而繼續往目的地傳輸,以減少智慧網路管理裝置150所要處理的網路流量。關於封包的優先層級,可
由處理單元154預先根據來源位址、通訊埠口、以及通訊協定來決定。舉例來說,處理單元154可將採用串流媒體協定(Streaming Media Protocol)的封包設定為優先層級較低,因為一般來說此類通訊佔據頻寬大,且安全性問題一般也較少。停止將此類封包提供給智慧網路管理裝置150應可減緩壅塞的問題。
<方法流程>
以下透過圖3的流程,並搭配圖1與圖2中所示的元件來解釋本發明另一實施例。
步驟300:分析單元152針對智慧網路管理裝置150所收到的封包進行分析。在此實施例中,封包係在來源端即被加密(例如SSL加密),導致分析單元152無法對其內容進行分析,因此分析單元152據此判斷出一封包無法分析事件,並通知處理單元154。
步驟302:處理單元154產生並發送指令給SDN控制器104,由SDN控制器104指揮SDN切換器102,將採用SSL加密的封包,一律先送往資訊設備170進行處理,然後進行步驟304。值得一提的是,在其他實施例中,為減輕智慧網路管理裝置150的負擔,SDN切換器102亦可讓SSL加密的封包直接繞過智慧網路管理裝置150而繼續往目的地傳輸。
步驟304:在此實施例中,資訊設備170係可對以SSL加密的封包進行解密,並將解密後的封包送回給智慧網路管理裝置150。資訊設備170解密後的封包可直接傳送給智慧網路管理裝置150進行分析,或是先傳回給SDN切換器102,由SDN切換器102根據設定或是路由表轉送給回給智慧網路管理裝置150。
圖4進一步顯示一資訊設備500之硬體環境方塊圖,其可作為圖2中資訊設備170。
在一實施例中,資訊設備500具有處理器以執行專屬的應用程式;儲存裝置以儲存各種資訊及程式碼;通訊及輸出/入裝置做為與使用
者溝通之介面;以及週邊元件或其他特定用途元件。在其他實施例中,本發明亦可實施為其他的形式,而具有更多或更少之其他裝置或元件。
如圖4所示,資訊設備500可具有處理器510、記憶體520與輸入/輸出(I/O)單元540。該輸入/輸出(I/O)匯流排可為一高速串接匯流排,例如PCI-e匯流排,但其它的匯流排架構亦可以被使用。其它對輸入/輸出(I/O)匯流排的連接可以藉由直接元件互連,或是透過附加卡的方式。輸入/輸出(I/O)單元也可耦接至一硬碟機550、區域網路(LAN)配接器560。透過該區域網路配接器560,資訊設備500能經由一網路530與其他的電腦裝置通信。網路亦可實施為任何型式之連線,包括固定連接之區域網路(LAN)或廣域網路(WAN)連線,或利用網際網路服務提供者來暫時撥接至網際網路,亦不限於有線無線等各種連接方式,例如透過GSM、或Wi-Fi等無線網路與用戶端電腦通信。然而應了解,雖未繪示但其他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)可包含於網路之中。記憶體520可為隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)。記憶體520用以存放作業系統、專屬的主程式AP之程式碼及各種資訊。作業系統在處理器510上執行,用來協調並提供資訊設備500中各種元件的控制,而處理器510可存取記憶體520,以執行主程式AP實現如圖2之分析單元152以及處理單元154或進行如圖3所示之方法步驟。
熟此技藝者應可知,圖4中所述資訊設備500的硬體可以依照不同的實施例而有各種變化。亦有其它的內部硬體或週邊裝置,例如快閃唯讀記憶體(Flash ROM)、等效的非揮發記憶體、或光碟機等等,可以附加或取代圖4所示的硬體。
在不脫離本發明精神或必要特性的情況下,可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此,本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有
落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。
Claims (12)
- 一種智慧網路管理裝置,設置於一軟體定義網路(SDN)中,該智慧網路管理裝置連結一SDN切換器與用以控制該SDN切換器之一SDN控制器,該安全性管理裝置包含:一分析單元,根據該智慧網路管理裝置經由該SDN切換器所接收之網路封包進行一分析,以判斷一給定網路事件是否發生;一處理單元,當該分析單元判斷出該給定網路事件發生,產生並發送一指令給該SDN控制器,以更改該SDN切換器之設定(configuration)。
- 如請求項1之智慧網路管理裝置,其中該智慧網路管理裝置係為一入侵預防系統(IPS)裝置。
- 如請求項1之智慧網路管理裝置,其中該SDN切換器之設定被更改,使得該SDN切換器至少影響後續在該SDN中往該智慧網路管理裝置之網路流量(flow)。
- 如請求項1之智慧網路管理裝置,其中該SDN切換器之設定被更改,使得該SDN切換器將原本欲傳送至該智慧網路管理裝置之封包轉送至該SDN上另一裝置。
- 如請求項1之智慧網路管理裝置,,其中該SDN切換器之設定被更改使得該SDN切換器至少影響後續在該SDN中傳送至該智慧網路管理裝置之封包。
- 如請求項5之智慧網路管理裝置,其中該給定網路事件係一攻擊事件,而藉此該SDN切換器阻擋來自該攻擊事件之來源的網路封包繼續傳送至該智慧網路管理裝置。
- 如請求項5之智慧網路管理裝置,其中該給定網路事件係一壅塞(congestion)事件,而藉此該SDN切換器停止傳送符合一預定條件之網路封包至該智慧網路管理裝置。
- 如請求項5之智慧網路管理裝置,其中該給定網路事件係一封包無法分析(packet unable to analyze)事件,而藉此該SDN切換器停止傳送該智慧網路管理裝置無法分析之網路封包至該智慧網路管理裝置。
- 如請求項5之智慧網路管理裝置,其中該給定網路事件係一封包無法分析事件,而藉此該SDN切換器將該智慧網路管理裝置無法分析之網路封包改傳送至一預處理裝置以轉換為該智慧網路管理裝置能夠分析之網路封包。
- 如請求項8或9之智慧網路管理裝置,其中該智慧網路管理裝置無法分析之網路封包係被加密。
- 一種網路管理方法,用於如請求項1至9中任一項之智慧網路管理裝置,該方法包含:該智慧網路管理裝置經由該SDN切換器所接收之網路封包一分析,以判斷一給定網路事件是否發生;以及當判斷出該給定網路事件發生,產生並發送一指令給該SDN控制器,以更改該SDN切換器之設定。
- 一種網路管理方法,應用於一智慧網路管理裝置,該智慧網路管理裝置設置於一軟體定義網路(SDN)中,該智慧網路管理裝置連結一SDN切換器與用以控制該SDN切換器之一SDN控制器,該方法包含:該智慧網路管理裝置經由該SDN切換器所接收之網路封包一分析,以判斷一給定網路事件是否發生;當判斷出該給定網路事件發生,進一步判斷出該給定網路事件是否優先由該SDN控制器處理;當判斷出該給定網路事件應優先由該SDN控制器處理,產生並發送一指令給該SDN控制器,以更改該SDN切換器之設定。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103126336A TW201605198A (zh) | 2014-07-31 | 2014-07-31 | 智慧網路管理裝置以及管理網路的方法 |
US14/807,036 US9998329B2 (en) | 2014-07-31 | 2015-07-23 | Intelligent network management device and method of managing network |
US15/805,193 US11121918B2 (en) | 2014-07-31 | 2017-11-07 | Intelligent network management device and method of managing network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103126336A TW201605198A (zh) | 2014-07-31 | 2014-07-31 | 智慧網路管理裝置以及管理網路的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201605198A true TW201605198A (zh) | 2016-02-01 |
Family
ID=55181178
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW103126336A TW201605198A (zh) | 2014-07-31 | 2014-07-31 | 智慧網路管理裝置以及管理網路的方法 |
Country Status (2)
Country | Link |
---|---|
US (2) | US9998329B2 (zh) |
TW (1) | TW201605198A (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201605198A (zh) | 2014-07-31 | 2016-02-01 | 萬國商業機器公司 | 智慧網路管理裝置以及管理網路的方法 |
US10341311B2 (en) * | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
EP3282665B1 (en) * | 2016-08-10 | 2021-01-27 | Nokia Solutions and Networks Oy | Anomaly detection in software defined networking |
US20180183799A1 (en) * | 2016-12-28 | 2018-06-28 | Nanning Fugui Precision Industrial Co., Ltd. | Method and system for defending against malicious website |
US11171853B2 (en) * | 2020-01-30 | 2021-11-09 | Ciena Corporation | Constraint-based event-driven telemetry |
CN115373279A (zh) * | 2021-05-19 | 2022-11-22 | 无锡小天鹅电器有限公司 | 家电设备的控制方法、系统、电子设备及存储介质 |
Family Cites Families (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8087083B1 (en) * | 2002-01-04 | 2011-12-27 | Verizon Laboratories Inc. | Systems and methods for detecting a network sniffer |
US7633909B1 (en) * | 2002-12-20 | 2009-12-15 | Sprint Spectrum L.P. | Method and system for providing multiple connections from a common wireless access point |
US7937761B1 (en) * | 2004-12-17 | 2011-05-03 | Symantec Corporation | Differential threat detection processing |
US7499438B2 (en) * | 2005-01-13 | 2009-03-03 | 2Wire, Inc. | Controlling wireless access to a network |
US7808897B1 (en) | 2005-03-01 | 2010-10-05 | International Business Machines Corporation | Fast network security utilizing intrusion prevention systems |
US7590113B1 (en) * | 2005-12-29 | 2009-09-15 | At&T Corp. | Method and apparatus for generating a reconnaissance index |
US8677473B2 (en) | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
US8898748B2 (en) * | 2009-05-21 | 2014-11-25 | Mobile Iron, Inc. | Remote verification for configuration updates |
US8955128B1 (en) * | 2011-07-27 | 2015-02-10 | Francesco Trama | Systems and methods for selectively regulating network traffic |
US20140075557A1 (en) | 2012-09-11 | 2014-03-13 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
EP2748716B1 (en) | 2011-11-15 | 2018-05-16 | Nicira Inc. | Network control system for configuring middleboxes |
WO2013153171A1 (en) * | 2012-04-11 | 2013-10-17 | Siemens Aktiengesellschaft | Method and network node device for controlling the run of technology specific push-button configuration sessions within a heterogeneous or homogeneous wireless network and heterogeneous or homogeneous wireless network |
US8990948B2 (en) | 2012-05-01 | 2015-03-24 | Taasera, Inc. | Systems and methods for orchestrating runtime operational integrity |
US8959573B2 (en) * | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
US9374301B2 (en) | 2012-05-18 | 2016-06-21 | Brocade Communications Systems, Inc. | Network feedback in software-defined networks |
US9571523B2 (en) * | 2012-05-22 | 2017-02-14 | Sri International | Security actuator for a dynamically programmable computer network |
US9112804B2 (en) * | 2012-05-31 | 2015-08-18 | International Business Machines Corporation | Network congestion notification preservation and modification during transmission of network data between physical network and virtual network |
US9094459B2 (en) | 2012-07-16 | 2015-07-28 | International Business Machines Corporation | Flow based overlay network |
US20140052877A1 (en) | 2012-08-16 | 2014-02-20 | Wenbo Mao | Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters |
US9264301B1 (en) | 2012-09-20 | 2016-02-16 | Wiretap Ventures, LLC | High availability for software defined networks |
WO2014051555A1 (en) * | 2012-09-26 | 2014-04-03 | Hewlett Packard Development Company, L.P. | Multicast message update |
EP2811691B1 (en) | 2012-10-12 | 2016-09-14 | Huawei Technologies Co., Ltd. | Method and device for synchronizing network data flow detection status |
WO2014063110A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ, Inc. | Network infrastructure obfuscation |
US20140112187A1 (en) * | 2012-10-23 | 2014-04-24 | Electronics And Telecommunications Research Institute | Apparatus for flow-based network monitoring and network monitoring system |
US9680870B2 (en) * | 2012-12-28 | 2017-06-13 | Verizon Patent And Licensing Inc. | Software-defined networking gateway |
US8448238B1 (en) * | 2013-01-23 | 2013-05-21 | Sideband Networks, Inc. | Network security as a service using virtual secure channels |
US9356871B2 (en) * | 2013-03-15 | 2016-05-31 | Cisco Technology, Inc. | Programmable management engine for networks |
CN104243362B (zh) * | 2013-06-24 | 2018-07-20 | 新华三技术有限公司 | 一种报文转发方法和装置 |
US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
WO2015013376A2 (en) * | 2013-07-23 | 2015-01-29 | Crypteia Networks S.A. | Systems and methods for self-tuning network intrusion detection and prevention |
CN105409167B (zh) * | 2013-08-05 | 2019-04-12 | 华为技术有限公司 | 通过软件定义网络在隧道中传输报文的方法和系统 |
CN104579968B (zh) * | 2013-10-26 | 2018-03-09 | 华为技术有限公司 | Sdn交换机获取精确流表项方法及sdn交换机、控制器、系统 |
CN105683937B (zh) * | 2013-11-01 | 2018-07-10 | 慧与发展有限责任合伙企业 | 在软件定义网络拓扑结构中的协议无关存储访问 |
CN104660565B (zh) * | 2013-11-22 | 2018-07-20 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
US9461923B2 (en) * | 2013-12-06 | 2016-10-04 | Algoblu Holdings Limited | Performance-based routing in software-defined network (SDN) |
US9612854B2 (en) * | 2013-12-18 | 2017-04-04 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method for virtualizing a remote device |
US20160330077A1 (en) * | 2014-01-08 | 2016-11-10 | Interdigital Patent Holding, Inc. | WiFi VIRTUAL NETWORK SOLUTION |
US9749214B2 (en) * | 2014-02-26 | 2017-08-29 | Futurewei Technologies, Inc. | Software defined networking (SDN) specific topology information discovery |
US9755969B2 (en) * | 2014-03-04 | 2017-09-05 | International Business Machines Corporation | Route tracing in software defined networks |
EP3618358B1 (en) * | 2014-04-22 | 2024-05-29 | Orckit IP, LLC | A method for deep packet inspection in software defined networks |
US10142220B2 (en) * | 2014-04-29 | 2018-11-27 | Hewlett Packard Enterprise Development Lp | Efficient routing in software defined networks |
US20150319097A1 (en) * | 2014-04-30 | 2015-11-05 | Bluecat Networks, Inc. | Methods and systems for prioritizing nameservers |
TW201605198A (zh) | 2014-07-31 | 2016-02-01 | 萬國商業機器公司 | 智慧網路管理裝置以及管理網路的方法 |
CN105337952B (zh) * | 2014-08-14 | 2018-07-20 | 新华三技术有限公司 | 用于抑制主机频繁迁移的方法和装置 |
US9838421B2 (en) * | 2014-10-01 | 2017-12-05 | Ciena Corporation | Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks |
US9762508B2 (en) * | 2014-10-02 | 2017-09-12 | Microsoft Technology Licensing, Llc | Relay optimization using software defined networking |
CN105634959A (zh) * | 2014-10-31 | 2016-06-01 | 杭州华三通信技术有限公司 | 一种软件定义网络中的流表项分发方法和装置 |
US9762457B2 (en) * | 2014-11-25 | 2017-09-12 | At&T Intellectual Property I, L.P. | Deep packet inspection virtual function |
KR101645598B1 (ko) * | 2014-12-18 | 2016-08-08 | 광주과학기술원 | 네트워크에서의 침입 탐지 방법 |
CN104580168B (zh) * | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
US9894000B2 (en) * | 2015-01-30 | 2018-02-13 | Huawei Technologies Co., Ltd | Method for forwarding data packets in a network and programmable ingress and egress nodes therefore |
WO2016130126A1 (en) * | 2015-02-12 | 2016-08-18 | Hewlett Packard Enterprise Development Lp | Monitoring dynamic device configuration protocol offers to determine anomaly |
WO2016140696A1 (en) * | 2015-03-02 | 2016-09-09 | Hewlett Packard Enterprise Development Lp | Controlling an unknown flow inflow to an sdn controller in a software defined network (sdn) |
US10148509B2 (en) * | 2015-05-13 | 2018-12-04 | Oracle International Corporation | Methods, systems, and computer readable media for session based software defined networking (SDN) management |
CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
US10154009B2 (en) * | 2015-08-11 | 2018-12-11 | At&T Intellectual Property I, L.P. | Providing a basic firewall using a virtual networking function |
US9806983B2 (en) * | 2015-09-14 | 2017-10-31 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | System and method for control flow management in software defined networks |
US9820153B2 (en) * | 2015-11-19 | 2017-11-14 | Wyfi, Inc. | Centralized access point provisioning system and methods of operation thereof |
US10037220B2 (en) * | 2015-11-20 | 2018-07-31 | International Business Machines Corporation | Facilitating software-defined networking communications in a container-based networked computing environment |
US20170149659A1 (en) * | 2015-11-23 | 2017-05-25 | Telefonaktiebolaget L M Ericsson (Publ) | Mechanism to improve control channel efficiency by distributing packet-ins in an openflow network |
TW201720111A (zh) * | 2015-11-27 | 2017-06-01 | 財團法人資訊工業策進會 | 軟體定義網路系統及其網路連線路由方法 |
US10091168B2 (en) * | 2015-12-27 | 2018-10-02 | T-Mobile Usa, Inc. | Wireless access point security |
US10091166B2 (en) * | 2015-12-31 | 2018-10-02 | Fortinet, Inc. | Sequentially serving network security devices using a software defined networking (SDN) switch |
US10057193B2 (en) * | 2015-12-31 | 2018-08-21 | Fortinet, Inc. | Cardinality based packet processing in software-defined networking (SDN) switches |
TWI599203B (zh) * | 2016-01-20 | 2017-09-11 | 國立交通大學 | 網路通訊系統、軟體定義網路控制器及其路由方法 |
US10645009B2 (en) * | 2016-03-18 | 2020-05-05 | Futurewei Technologies, Inc. | Method and apparatus for programmable buffers in mobile networks |
US10243845B2 (en) * | 2016-06-02 | 2019-03-26 | International Business Machines Corporation | Middlebox tracing in software defined networks |
-
2014
- 2014-07-31 TW TW103126336A patent/TW201605198A/zh unknown
-
2015
- 2015-07-23 US US14/807,036 patent/US9998329B2/en active Active
-
2017
- 2017-11-07 US US15/805,193 patent/US11121918B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11121918B2 (en) | 2021-09-14 |
US20180077019A1 (en) | 2018-03-15 |
US20160036635A1 (en) | 2016-02-04 |
US9998329B2 (en) | 2018-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240031332A1 (en) | Packet classification for network routing | |
US11121918B2 (en) | Intelligent network management device and method of managing network | |
US10915374B2 (en) | Method of facilitating live migration of virtual machines | |
US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
US9985981B2 (en) | Monitoring traffic in a computer network | |
EP3378208B1 (en) | Handling network threats | |
TW201600997A (zh) | 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 | |
EP3292665B1 (en) | Reducing traffic overload in software defined network | |
US10178017B2 (en) | Method and control node for handling data packets | |
US10536379B2 (en) | System and method for control traffic reduction between SDN controller and switch | |
US20150200949A1 (en) | Computer Network Access Control | |
US20180034733A1 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
Spiekermann et al. | Network forensic investigation in OpenFlow networks with ForCon | |
JP2020509684A (ja) | データ暗号化アプリケーションの管理 | |
US20170180184A1 (en) | Remote Access Over Internet Using Reverse Session-Origination (RSO) Tunnel | |
US20180115563A1 (en) | Mitigation of Malicious Software in a Mobile Communications Network | |
WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 | |
KR20140122171A (ko) | 네트워크 모니터링 및 패킷 검사 장치 및 방법 | |
KR20130032396A (ko) | 라우팅 방법 및 관련 라우팅 장치 및 목적지 장치 | |
Veena et al. | Detection and mitigation of security attacks using real time SDN analytics | |
JP2012109905A (ja) | トラフィックモニタ装置およびトラフィックのモニタ方法 |