TWI732708B - 基於多接取邊緣運算的網路安全系統和網路安全方法 - Google Patents
基於多接取邊緣運算的網路安全系統和網路安全方法 Download PDFInfo
- Publication number
- TWI732708B TWI732708B TW109138345A TW109138345A TWI732708B TW I732708 B TWI732708 B TW I732708B TW 109138345 A TW109138345 A TW 109138345A TW 109138345 A TW109138345 A TW 109138345A TW I732708 B TWI732708 B TW I732708B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- edge computing
- network
- access edge
- detection
- Prior art date
Links
Images
Abstract
提出一種基於多接取邊緣運算的網路安全系統和網路安全方法。網路安全方法包含:接收來自核心網路的第一封包,並且解開第一封包以取得裝置資訊表;接收來自用戶終端的第二封包,響應於第二封包與裝置資訊表匹配而根據第二封包以從裝置資訊表取得對應於用戶終端的裝置資訊,並且複製第二封包以產生第三封包;根據第三封包以及裝置資訊判斷第三封包是否對應於異常連線行為以產生偵測結果;根據偵測結果更新對應於用戶終端的路由規則;以及由軟體定義網路交換器根據路由規則轉發第二封包。
Description
本發明是有關於一種基於多接取邊緣運算的網路安全系統和網路安全方法。
開放自攜電子設備(bring your own device,BYOD)政策的企業數量不斷增長,隨之而來的資安風險也逐漸提升。非企業配發的私有裝置通常不具有足夠的安全防護,使得網路攻擊者可透過此類裝置之漏洞而輕易地竊取企業資料。另一方面,在傳統行動網路的架構下,由行動裝置所傳送的行動資料封包必須被回傳至核心網路處理,才能得到行動資料封包中的資訊。如此,會增加封包的傳輸時間和傳輸成本。
本發明提供一種基於多接取邊緣運算(multi-access edge computing,MEC)的網路安全系統和網路安全方法,可降低BYOD政策對企業資安的風險。
本發明的一種基於多接取邊緣運算的網路安全系統,包含軟體定義網路交換器、多接取邊緣運算裝置、至少一偵測裝置以及規則管理裝置。軟體定義網路交換器通訊連接至核心網路以及用戶終端。多接取邊緣運算裝置通訊連接至軟體定義網路交換器,其中多接取邊緣運算裝置接收來自核心網路的第一封包,解開第一封包以取得裝置資訊表,接收來自用戶終端的第二封包,響應於第二封包與裝置資訊表匹配而根據第二封包以從裝置資訊表取得對應於用戶終端的裝置資訊,並且複製第二封包以產生第三封包。至少一偵測裝置通訊連接至多接取邊緣運算裝置,其中至少一偵測裝置響應於自多接取邊緣運算裝置接收到第三封包以及裝置資訊,而根據第三封包以及裝置資訊判斷第三封包是否對應於異常連線行為以產生偵測結果。規則管理裝置通訊連接至至少一偵測裝置以及軟體定義網路交換器,其中規則管理裝置根據偵測結果更新對應於用戶終端的路由規則,其中軟體定義網路交換器根據路由規則轉發第二封包。
在本發明的一實施例中,上述的裝置資訊表包含網際網路協定位址、手機門號以及行動裝置識別碼中的至少其中之一,其中行動裝置識別碼包含國際行動裝置識別碼以及國際移動用戶識別碼中的至少其中之一。
在本發明的一實施例中,上述的至少一偵測裝置包含第一偵測裝置以及第二偵測裝置,其中網路安全系統更包含網路分流器。網路分流器通訊連接至多接取邊緣運算裝置以及至少一偵測裝置,其中網路分流器複製第三封包以產生第四封包,傳送第三封包至第一偵測裝置以產生偵測結果,並且傳送第四封包至第二偵測裝置以產生第二偵測結果,其中規則管理裝置根據偵測結果以及第二偵測結果更新路由規則。
在本發明的一實施例中,上述的多接取邊緣運算裝置將第二封包自通用封包無線服務隧道協定封包轉換為傳輸控制協定封包,並且根據傳輸控制協定封包以自裝置資訊表取得裝置資訊。
在本發明的一實施例中,上述的至少一偵測裝置根據路由規則判斷第三封包對應於異常連線行為,並且產生偵測結果。
在本發明的一實施例中,上述的多接取邊緣運算裝置通訊連接至區域網路,其中規則管理裝置響應於偵測結果指示第三封包對應於正常連線行為而通過路由規則指示軟體定義網路交換器將第二封包傳送至區域網路,其中路由規則更指示軟體定義網路交換器產生對應於第二封包的路由記錄。
在本發明的一實施例中,上述的規則管理裝置響應於偵測結果指示第三封包對應於異常連線行為而通過路由規則指示軟體定義網路交換器阻擋第二封包。
在本發明的一實施例中,上述的至少一偵測裝置關聯於下列的至少其中之一:入侵偵測裝置、入侵預防系統、資料外洩防護系統以及安全資訊事件管理系統。
本發明的一種基於多接取邊緣運算的網路安全方法,包含:接收來自核心網路的第一封包,並且解開第一封包以取得裝置資訊表;接收來自用戶終端的第二封包,響應於第二封包與裝置資訊表匹配而根據第二封包以從裝置資訊表取得對應於用戶終端的裝置資訊,並且複製第二封包以產生第三封包;根據第三封包以及裝置資訊判斷第三封包是否對應於異常連線行為以產生偵測結果;根據偵測結果更新對應於用戶終端的路由規則;以及由軟體定義網路交換器根據路由規則轉發第二封包。
基於上述,本發明的網路安全系統可在本地端解析行動網路的封包,而不需將封包傳送至核心網路。如此,可提前取得偵測封包所需的資訊,藉以節省資料傳輸與資料應用所帶來的反應延遲。
為了使本發明之內容可以被更容易明瞭,以下特舉實施例作為本發明確實能夠據以實施的範例。另外,凡可能之處,在圖式及實施方式中使用相同標號的元件/構件/步驟,係代表相同或類似部件。
一般來說,管理行動裝置需要做到識別行動裝置、取得行動裝置連線行為以及對異常/非受管連線行為的行動裝置進行阻擋或控管。行動裝置在傳統行動網路架構中不易識別。行動裝置管理(mobile device management,MDM)透過在行動裝置上安裝軟體擷取裝置識別資訊。另一種方法是透過拆解封包轉發控制協定(packet forwarding control protocol,PFCP)封包來取得裝置識別資訊。前者需接觸到行動裝置的用戶端,並影響行動裝置效能。後者需包含拆包拆解模組自行拆解PFCP封包。
在取得行動裝置連線行為的部分,傳統行動網路資料封包必需被回傳至核心網路處理或是在行動裝置的用戶端安裝軟體才能解讀封包內容,其傳輸成本高且需接觸到核心網路。相對來說,本發明可通過多接取邊緣運算裝置在本地端解封包,無需將資料傳到核心網路。如此,可降低傳輸成本,同時也保障了資料的機密性。
在行動裝置的異常/非受管連線行為的控管部分,雖然現行的多接取邊緣運算可通過定義黑名單或白名單的方式來管理連線行為,但此方式並無法有效地阻擋偽造的使用者或白名單內的使用者的異常連線行為。相對來說,本發明可通過SDN交換器以及多接取邊緣運算裝置結合偵測裝置來找出異常/非受管連線行為,阻擋與管控行動裝置的連線,藉此解決長期存在的行動裝置資安管理問題。
圖1根據本發明的第一實施例繪示基於多接取邊緣運算的網路安全系統100的運作的示意圖。網路安全系統100可通訊連接至核心網路200以及區域網路500。此外,網路安全系統100還可通過行動網路400通訊連接至用戶終端300。行動網路400可包含第四代(4G)無線存取網路(radio access network,RAN)或第五代(5)無線存取網路,但本發明不限於此。
網路安全系統100可包含軟體定義網路(software-defined networking,SDN)交換器110、多接取邊緣運算裝置120、偵測裝置130以及規則管理裝置140。在一實施例中,網路安全系統100還可包含偵測裝置131以及網路分流器150。
在一實施例中,網路安全系統100中的元件(即:SDN交換器110、多接取邊緣運算裝置120、偵測裝置130、偵測裝置131、規則管理裝置140以及網路分流器150)可由實體設備(appliance)實施。舉例來說,網路安全系統100中的元件可包含處理單元(例如:處理器但不限於此)、通訊單元(例如:各類通訊晶片、行動通訊晶片、藍芽晶片、WiFi晶片等但不限於此)及儲存單元(例如:可移動隨機存取記憶體、快閃記憶體、硬碟等但不限於此)等運行所述元件的必要構件。
在一實施例中,網路安全系統100中的元件可由軟體設備或虛擬機(virtual machine,VM)實施,但至少需要一台實體的多接取邊緣運算裝置120來承載軟體設備或虛擬機。舉例來說,網路安全系統100中的元件可以是儲存運算裝置之儲存單元中的軟體模組。運算裝置的處理單元可存取和執行所述軟體模組以實施網路安全系統100。網路安全系統100中的元件與元件之間可通過應用程式介面(application programming interface,API)介接。
SDN交換器110可通訊連接至核心網路200,並可通過行動網路400通訊連接至用戶終端300。SDN交換器110還可通訊連接至規則管理裝置140。SDN交換器110可建立軟體定義網路,並可根據預存在規則管理裝置140中的路由規則來轉發軟體定義網路中的封包。
多接取邊緣運算裝置120可通訊連接至SDN交換器110、偵測裝置130以及區域網路500。多接取邊緣運算裝置120可通過SDN交換器110通訊連接至核心網路200。多接取邊緣運算裝置120可接收來自核心網路200的封包,並且解開所述封包以取得裝置資訊表。舉例來說,核心網路200可定期地傳送所述封包給多接取邊緣運算裝置120。舉另一例來說,多接取邊緣運算裝置120可傳送觸發訊號給核心網路200以請求核心網路200傳送所述封包。裝置資訊表可包含一或多個用戶終端的裝置資訊,其中裝置資訊可包含網際網路協定(Internet protocol,IP)位址、手機門號或行動裝置識別碼,但本發明不限於此。手機門號或行動裝置識別碼可與IP位址相對應。在一實施例中,行動裝置識別碼可包含國際行動裝置識別碼(international mobile equipment identity,IMEI)或國際移動用戶識別碼(international mobile subscriber identity,IMSI),但本發明不限於此。在取得裝置資訊表後,多接取邊緣運算裝置120可自核心網路200接收封包,並且根據所接收的封包來更新裝置資訊表。
另一方面,多接取邊緣運算裝置120可接收由用戶終端300發送的封包。多接取邊緣運算裝置120可判斷由用戶終端300發送的封包是否與多接取邊緣運算裝置120所取得的裝置資訊表匹配。具體來說,多接取邊緣運算裝置120可將來自用戶終端300的封包自通用封包無線服務隧道協定(GPRS tunneling protocol,GTP)封包轉換為傳輸控制協定(transmission control protocol,TCP)封包。接著,多接取邊緣運算裝置120可根據TCP封包的內容來判斷來自用戶終端300的封包是否與裝置資訊表中的裝置資訊匹配。舉例來說,若裝置資訊表包含用戶終端300的裝置資訊(例如:行動裝置識別碼),並且TCP封包的內容包含用戶終端300的裝置資訊(例如:行動裝置識別碼),則多接取邊緣運算裝置120可基於裝置資訊表與TCP封包包含了相同的(或相對應的)裝置資訊而判斷來自用戶終端300的封包與裝置資訊表匹配。另一方面,多接取邊緣運算裝置120可基於裝置資訊表與TCP封包並未包含相同的(或相對應的)裝置資訊而判斷來自用戶終端300的封包與裝置資訊表不匹配。
在一實施例中,多接取邊緣運算裝置120可預存用戶設定。多接取邊緣運算裝置120可根據用戶設定判斷是否在本地解開所接收到的GTP封包。若多接取邊緣運算裝置120判斷需在本地解開所接收到的GTP封包,則多接取邊緣運算裝置120將GTP封包轉換為TCP封包。
若來自用戶終端300的封包與裝置資訊表匹配,則多接取邊緣運算裝置120可根據TCP封包的內容以自裝置資訊表中取得對應於用戶終端300的裝置資訊,並且可將裝置資訊提供給偵測裝置130。若來自用戶終端300的封包與裝置資訊表不匹配,則多接取邊緣運算裝置120無法自裝置資訊表中取得對應於用戶終端300的裝置資訊,並且無法將裝置資訊提供給偵測裝置130。
多接取邊緣運算裝置120可複製來自用戶終端300的封包。多接取邊緣運算裝置120可將複製的封包提供給偵測裝置130,以供偵測裝置130分析。
偵測裝置130可通訊連接至多接取邊緣運算裝置120以及規則管理裝置140。偵測裝置130可運行的資安系統可包含但不限於入侵偵測系統(intrusion detection system,IDS)、入侵預防系統(intrusion prevention system,IPS)、資料外洩防護(data loss prevention,DLP)系統以及安全資訊事件管理(security information and event management,SIEM)系統。
偵測裝置130可自多接取邊緣運算裝置120接收對應於用戶終端300的封包,並且偵測封包是否對應於異常連線行為(或非受管連線行為),從而產生對應於所述封包的偵測結果。在一實施例中,偵測裝置130可自多接取邊緣運算裝置120接收對應於所述封包的裝置資訊。偵測裝置130可根據所述封包以及所述裝置資訊判斷所述封包是否對應於異常連線行為,並且產生對應的偵測結果。在一實施例中,偵測裝置130可自多接取邊緣運算裝置120接收封包,並可自規則管理裝置140取得路由規則。偵測裝置130可根據路由規則判斷所述封包是否對應於異常連線行為,並且產生對應的偵測結果。舉例來說,偵測裝置130可根據路由規則中的手機門號、IP位址或行動裝置識別碼等資訊判斷所述封包是否對應於異常連線行為。
規則管理裝置140可通訊連接至SDN交換器110以及偵測裝置130。規則管理裝置140可預存SDN交換器110的路由規則。在一實施例中,規則管理裝置140可通訊連接至外部終端裝置,並自外部終端裝置接收由使用者所設定的路由規則。
SDN交換器110可根據路由規則來轉發自用戶終端300所接收到的封包。在規則管理裝置140自偵測裝置130接收偵測結果後,規則管理裝置140可根據偵測結果更新路由規則。SDN交換器110可根據已更新的路由規則來轉發自用戶終端300所接收到的封包。在一實施例中,若偵測裝置130所產生的偵測結果與規則管理裝置140預存的路由規則不匹配(例如:偵測結果與預存的路由規則互相衝突),則規則管理裝置140可根據預設的優先權來判斷是否依照偵測結果來更新路由規則。路由規則可指示IP位址、網路埠以及處理方式(action)。另一方面,路由規則也可用於更新SDN交換器110的路由表(flow table),其中路由表可包含但不限於多媒體存取控制(media access control,MAC)位址、IP位址、TCP埠或虛擬區域網路(virtual local area network,VLAN)等。
若來自偵測裝置130的偵測結果指示對應於用戶終端300的封包對應於正常連線行為,則規則管理裝置140可通過路由規則來指示SDN交換器110將來自用戶終端300的封包傳送至區域網路500。若來自偵測裝置130的偵測結果指示對應於用戶終端300的封包對應於異常連線行為,則規則管理裝置140可通過路由規則來指示SDN交換器110阻擋來自用戶終端300的封包。在一實施例中,路由規則還可指示SDN交換器110在傳送或阻擋封包後,產生對應於所述封包的路由記錄。
在一實施例中,網路安全系統100可包含多個偵測裝置,並且偵測裝置的數量可以是任意的正整數。為了便於說明,以下假設網路安全系統100包含兩個偵測裝置,分別為偵測裝置130以及偵測裝置131。偵測裝置130或偵測裝置131可包含但不限於入侵偵測裝置、入侵預防系統、資料外洩防護系統以及安全資訊事件管理系統。
網路安全系統100還可包含網路分流器(test access port,TAP)150。網路分流器150可通訊連接至多接取邊緣運算裝置120以及偵測裝置130,並可用於減少多接取邊緣運算裝置120的運算負載。在多接取邊緣運算裝置120複製了來自用戶終端300的封包後,網路分流器150可將複製後的封包複製為兩個封包,並且將所述兩個封包分別傳送至偵測裝置130以及偵測裝置131。偵測裝置130以及偵測裝置131可分別根據所接收到的封包產生偵測結果。接著,規則管理裝置140可根據偵測裝置130所產生的偵測結果以及偵測裝置131所產生的偵測結果來更新路由規則。
在一實施例中,SDN交換器110可建置於多接取邊緣運算裝置120內。圖2根據本發明的第二實施例繪示基於多接取邊緣運算的網路安全系統100的運作的示意圖。在一實施例中,用戶可在多接取邊緣運算裝置120中建立映射容器(例如:Docker)環境,並可使用容器(container)來將SDN交換器110建置在多接取邊緣運算裝置120中,如圖2所示。在一實施例中,用戶可將實體的SDN交換器110建置在多接取邊緣運算裝置120中。
在一實施例中,SDN交換器110、偵測系統130以及規則管理裝置140可建置在多接取邊緣運算裝置120內。圖3根據本發明的第三實施例繪示基於多接取邊緣運算的網路安全系統100的運作的示意圖。用戶可在多接取邊緣運算裝置120中建立映射容器(例如:Docker)環境,並可使用容器來將SDN交換器110、偵測系統130以及規則管理裝置140建置在多接取邊緣運算裝置120中,如圖3所示。多接取邊緣運算裝置120可應用容器化(containerized)應用程式(例如:Kubernetes)來將多接取邊緣運算裝置120中的元件以基本排程單元(例如:pod)包裝起來,以避免元件之間的互相干擾。此外,網路安全系統100可通過一台實體機器實現,而不需佈建多台實體機器。
在一實施例中,偵測系統130以及規則管理裝置140可建置在多接取邊緣運算裝置120內。圖4根據本發明的第四實施例繪示基於多接取邊緣運算的網路安全系統100的運作的示意圖。用戶可在多接取邊緣運算裝置120中建立映射容器(例如:Docker)環境,並可使用容器來將偵測系統130以及規則管理裝置140建置在多接取邊緣運算裝置120中,如圖4所示。多接取邊緣運算裝置120可應用容器化應用程式(例如:Kubernetes)來將多接取邊緣運算裝置120中的元件以基本排程單元(例如:pod)包裝起來,以避免元件之間的互相干擾。
圖5根據本發明的實施例繪示一種基於多接取邊緣運算的網路安全方法的流程圖,其中所述網路安全方法可由如圖1至圖4所示的網路安全系統100實施。在步驟S501中,接收來自核心網路的第一封包,解開第一封包以取得裝置資訊表。在步驟S502中,接收來自用戶終端的第二封包,響應於第二封包與裝置資訊表匹配而根據第二封包以從裝置資訊表取得對應於用戶終端的裝置資訊,並且複製第二封包以產生第三封包。在步驟S503中,根據第三封包以及裝置資訊判斷第三封包是否對應於異常連線行為以產生偵測結果。在步驟S504中,根據偵測結果更新對應於用戶終端的路由規則。在步驟S505中,由軟體定義網路交換器根據路由規則轉發第二封包。
本發明的架構以網路分流器150分流多接取邊緣運算裝置120的資料,並以規則管理裝置140作為SDN交換器110的接口,偵測機制的效能與數量對既有網路環境運作影響甚微。此架構適合在需要多種偵測機制以及網路流量大時佈署,在較不影響既有網路傳輸下,提早阻擋可疑連線行為。
綜上所述,本發明具有以下的特點以及功效:(1)於本地端進行偵測與阻擋,故資料不需傳送到核心網路,並可保護資料的機密性。(2)於多接取邊緣運算裝置本地卸載行動資料封包以取得TCP封包,節省傳統GTP封包內容需由核心網路解析後再返送的時間以及網路頻寬成本。(3)使用多接取邊緣運算裝置進行手機門號、IP位址與行動裝置識別碼之對應,就地擷取資訊即可達到辨識裝置、偵測與阻擋連線之功能,不需在行動裝置上另外安裝控管軟體。(4)透過SDN交換器限制異常/非受管之連線行為,無需另外佈建傳統防火牆設備即可達到阻擋效果。(5)對多接取邊緣運算裝置卸載過的封包進行分析,避免二次卸載影響即時性,且不用自行解析封包,具有低延遲的特色。(6)使用應用程式介面架構搭配規則管理裝置,可自由地擴充偵測機制,並且不影響既有網路運作。
100:網路安全系統
110:軟體定義網路交換器
120:多接取邊緣運算裝置
130、131:偵測裝置
140:規則管理裝置
150:網路分流器
200:核心網路
300:用戶終端
400:行動網路
500:區域網路
S501、S502、S503、S504、S505:步驟
圖1根據本發明的第一實施例繪示基於多接取邊緣運算的網路安全系統的運作的示意圖。
圖2根據本發明的第二實施例繪示基於多接取邊緣運算的網路安全系統的運作的示意圖。
圖3根據本發明的第三實施例繪示基於多接取邊緣運算的網路安全系統的運作的示意圖。
圖4根據本發明的第四實施例繪示基於多接取邊緣運算的網路安全系統的運作的示意圖。
圖5根據本發明的實施例繪示一種基於多接取邊緣運算的網路安全方法的流程圖。
S501、S502、S503、S504、S505:步驟
Claims (9)
- 一種基於多接取邊緣運算的網路安全系統,包括: 軟體定義網路交換器,通訊連接至核心網路以及用戶終端; 多接取邊緣運算裝置,通訊連接至所述軟體定義網路交換器,其中所述多接取邊緣運算裝置接收來自所述核心網路的第一封包,解開所述第一封包以取得裝置資訊表,接收來自所述用戶終端的第二封包,響應於所述第二封包與所述裝置資訊表匹配而根據所述第二封包以從所述裝置資訊表取得對應於所述用戶終端的裝置資訊,並且複製所述第二封包以產生第三封包; 至少一偵測裝置,通訊連接至所述多接取邊緣運算裝置,其中所述至少一偵測裝置響應於自所述多接取邊緣運算裝置接收到所述第三封包以及所述裝置資訊,而根據所述第三封包以及所述裝置資訊判斷所述第三封包是否對應於異常連線行為以產生偵測結果;以及 規則管理裝置,通訊連接至所述至少一偵測裝置以及所述軟體定義網路交換器,其中所述規則管理裝置根據所述偵測結果更新對應於所述用戶終端的路由規則,其中 所述軟體定義網路交換器根據所述路由規則轉發所述第二封包。
- 如請求項1所述的網路安全系統,其中所述裝置資訊表包括網際網路協定位址、手機門號以及行動裝置識別碼中的至少其中之一,其中所述行動裝置識別碼包括國際行動裝置識別碼以及國際移動用戶識別碼中的至少其中之一。
- 如請求項1所述的網路安全系統,其中所述至少一偵測裝置包括第一偵測裝置以及第二偵測裝置,其中所述網路安全系統更包括: 網路分流器,通訊連接至所述多接取邊緣運算裝置以及所述至少一偵測裝置,其中所述網路分流器複製所述第三封包以產生第四封包,傳送所述第三封包至所述第一偵測裝置以產生所述偵測結果,並且傳送所述第四封包至所述第二偵測裝置以產生第二偵測結果,其中 所述規則管理裝置根據所述偵測結果以及所述第二偵測結果更新所述路由規則。
- 如請求項1所述的網路安全系統,其中所述多接取邊緣運算裝置將所述第二封包自通用封包無線服務隧道協定封包轉換為傳輸控制協定封包,並且根據所述傳輸控制協定封包以自所述裝置資訊表取得所述裝置資訊。
- 如請求項1所述的網路安全系統,其中所述至少一偵測裝置根據所述路由規則判斷所述第三封包對應於所述異常連線行為,並且產生所述偵測結果。
- 如請求項1所述的網路安全系統,其中所述多接取邊緣運算裝置通訊連接至區域網路,其中所述規則管理裝置響應於所述偵測結果指示所述第三封包對應於正常連線行為而通過所述路由規則指示所述軟體定義網路交換器將所述第二封包傳送至所述區域網路,其中所述路由規則更指示所述軟體定義網路交換器產生對應於所述第二封包的路由記錄。
- 如請求項1所述的網路安全系統,其中所述規則管理裝置響應於所述偵測結果指示所述第三封包對應於所述異常連線行為而通過所述路由規則指示所述軟體定義網路交換器阻擋所述第二封包。
- 如請求項1所述的網路安全系統,其中所述至少一偵測裝置關聯於下列的至少其中之一: 入侵偵測裝置、入侵預防系統、資料外洩防護系統以及安全資訊事件管理系統。
- 一種基於多接取邊緣運算的網路安全方法,包括: 接收來自核心網路的第一封包,並且解開所述第一封包以取得裝置資訊表; 接收來自用戶終端的第二封包,響應於所述第二封包與所述裝置資訊表匹配而根據所述第二封包以從所述裝置資訊表取得對應於所述用戶終端的裝置資訊,並且複製所述第二封包以產生第三封包; 根據所述第三封包以及所述裝置資訊判斷所述第三封包是否對應於異常連線行為以產生偵測結果; 根據所述偵測結果更新對應於所述用戶終端的路由規則;以及 由軟體定義網路交換器根據所述路由規則轉發所述第二封包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109138345A TWI732708B (zh) | 2020-11-04 | 2020-11-04 | 基於多接取邊緣運算的網路安全系統和網路安全方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109138345A TWI732708B (zh) | 2020-11-04 | 2020-11-04 | 基於多接取邊緣運算的網路安全系統和網路安全方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI732708B true TWI732708B (zh) | 2021-07-01 |
| TW202220409A TW202220409A (zh) | 2022-05-16 |
Family
ID=77911344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109138345A TWI732708B (zh) | 2020-11-04 | 2020-11-04 | 基於多接取邊緣運算的網路安全系統和網路安全方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI732708B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109640348A (zh) * | 2019-01-08 | 2019-04-16 | 中国联合网络通信集团有限公司 | 多业务mec网络架构、多业务数据流的处理方法及装置 |
| JP2020057835A (ja) * | 2017-02-07 | 2020-04-09 | シャープ株式会社 | 端末装置、コアネットワーク装置、及び通信制御方法 |
| WO2020207490A1 (en) * | 2019-04-12 | 2020-10-15 | Huawei Technologies Co., Ltd. | System, apparatus and method to support data server selection |
-
2020
- 2020-11-04 TW TW109138345A patent/TWI732708B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020057835A (ja) * | 2017-02-07 | 2020-04-09 | シャープ株式会社 | 端末装置、コアネットワーク装置、及び通信制御方法 |
| CN109640348A (zh) * | 2019-01-08 | 2019-04-16 | 中国联合网络通信集团有限公司 | 多业务mec网络架构、多业务数据流的处理方法及装置 |
| WO2020207490A1 (en) * | 2019-04-12 | 2020-10-15 | Huawei Technologies Co., Ltd. | System, apparatus and method to support data server selection |
| US20200329008A1 (en) * | 2019-04-12 | 2020-10-15 | Huawei Technologies Co., Ltd. | System, apparatus and method to support data server selection |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202220409A (zh) | 2022-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7474655B2 (en) | Restricting communication service | |
| US9584491B2 (en) | Intelligent security analysis and enforcement for data transfer | |
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| EP3923551A1 (en) | Method and system for entrapping network threat, and forwarding device | |
| KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US9125130B2 (en) | Blacklisting based on a traffic rule violation | |
| US7792990B2 (en) | Remote client remediation | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| JP5305045B2 (ja) | スイッチングハブ及び検疫ネットワークシステム | |
| JP6052692B1 (ja) | セキュリティ管理方法、プログラム、およびセキュリティ管理システム | |
| US20090164630A1 (en) | Network adapter based zoning enforcement | |
| WO2021135382A1 (zh) | 一种网络安全防护方法及防护设备 | |
| CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
| AU2015301504B2 (en) | End point secured network | |
| TWI732708B (zh) | 基於多接取邊緣運算的網路安全系統和網路安全方法 | |
| US11159533B2 (en) | Relay apparatus | |
| US11916957B1 (en) | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network | |
| KR102114484B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램 | |
| US10887399B2 (en) | System, method, and computer program product for managing a connection between a device and a network | |
| KR20230001811A (ko) | 유무선 허브 장치를 이용한 네트워크 액세스 제어 장치 및 그 방법 | |
| JP2006101414A (ja) | ネットワーク管理装置及びネットワーク管理方法 | |
| JP2005328281A (ja) | ネットワークシステム及び通信方法 | |
| KR20030080330A (ko) | 브리지방식을 이용한 네트워크상의 패킷처리시스템 | |
| KR20080002214A (ko) | 인터넷종단장치를 이용한 보안검색엔진 제어방법 및 장치 |