ES2833402T3 - Método, aparato y sistema de procesamiento de paquete de datos de ataque - Google Patents

Método, aparato y sistema de procesamiento de paquete de datos de ataque Download PDF

Info

Publication number
ES2833402T3
ES2833402T3 ES15871852T ES15871852T ES2833402T3 ES 2833402 T3 ES2833402 T3 ES 2833402T3 ES 15871852 T ES15871852 T ES 15871852T ES 15871852 T ES15871852 T ES 15871852T ES 2833402 T3 ES2833402 T3 ES 2833402T3
Authority
ES
Spain
Prior art keywords
attack
data packet
description information
processing policy
attack data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15871852T
Other languages
English (en)
Inventor
Qinghua Yu
Xinhua Yang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2833402T3 publication Critical patent/ES2833402T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método de procesamiento de paquetes de datos de ataque, que comprende: la recepción (S101), mediante una interfaz (41) de comunicaciones de un nodo de gestión, interactuando la interfaz (41) de comunicaciones con una interfaz (61) de comunicaciones de un nodo de conocimiento, la información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, en donde la información de descripción y el tipo de ataque se envían mediante el nodo de conocimiento. la determinación (S102), mediante el nodo de gestión, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque, en donde la política de procesamiento se utiliza para indicarle a un conmutador que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción; y el envío (S103), mediante la interfaz (41) de comunicaciones del nodo de gestión, interactuando la interfaz (41) de comunicaciones con una interfaz (51) de comunicaciones del controlador SDN de red definido por software, la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN de red definido por software, de manera que el conmutador realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción, en donde la determinación (S102), mediante el nodo de gestión, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque comprende: la obtención, mediante el nodo de gestión, de una política de procesamiento predeterminada en el paquete de datos de ataque del tipo de ataque según el tipo de ataque.

Description

DESCRIPCIÓN
Método, aparato y sistema de procesamiento de paquete de datos de ataque
Campo técnico
La presente invención se refiere al campo de las tecnologías de las comunicaciones y, en particular, a un método, un aparato y un sistema de procesamiento de paquetes de datos de ataque.
Antecedentes
Con el rápido desarrollo de las tecnologías en la nube, surgen cantidades cada vez mayores de problemas en la aplicación de las tecnologías en la nube. Por ejemplo, un servidor en un centro de datos en la nube (un servidor en la nube para abreviar) puede ser atacado por varios paquetes de datos de ataque durante la comunicación del Protocolo de Internet (IP), por ejemplo, por un ataque de denegación de servicio distribuido (DDoS) y un ataque de mensaje fraudulento. Por lo tanto, el procesamiento de un paquete de datos de ataque para asegurar una comunicación segura para el servidor en la nube se convierte en una de las tecnologías centrales de las tecnologías en la nube.
Actualmente, una forma común de procesamiento de paquetes de datos de ataque es la siguiente: mediante el despliegue de un firewall físico en un servidor en la nube de entrada en un centro de datos en la nube o al desplegar un firewall virtual en un hipervisor que se ejecuta en cada servidor en la nube en un centro de datos en la nube, se asegura que todos los paquetes de datos que esperan entrar al servidor en la nube se someten a filtrados y reenvíos por el firewall físico/virtual; por lo tanto, se filtra un paquete de datos de ataque y se impide que el paquete de datos de ataque entre al servidor en la nube, asegurando por ello que el servidor en la nube pueda realizar una comunicación segura. Específicamente, según una política de seguridad configurada para el firewall físico/virtual por el personal de trabajo, el firewall físico/virtual identifica la señalización de la capa IP transportada por un paquete de datos que espera entrar a una capa IP. Cuando la señalización de la capa IP no cumple con la política de seguridad, el firewall físico/virtual filtra el paquete de datos, lo que impide que un paquete de datos de ataque, ataque el servidor en la nube, y además asegura que el servidor en la nube pueda realizar una comunicación segura. El documento de la técnica anterior “Building secure telco clouds Achieving resilience with your trusted partner Nokia Networks”, 18 de octubre de 2014, http://networks.nokia.com/sites/default/files/document/nokia_telco_security_white_paper_0.pdf como por la versión del 18 de octubre de 2014, describe que una solución de seguridad implementada por una aplicación SDN. Esta solución pretende proporcionar protección contra ataques DDoS. El documento de la técnica anterior US 2013/311675 A1 describe un sistema informático capaz de proporcionar realimentación a un controlador en una red definida por software. El documento de la técnica anterior WO 2016/000160 A1 describe una solución de la que al menos se tiene una política de seguridad de un creador de políticas en un controlador en una red SDN.
Sin embargo, en el método anterior para impedir, mediante el uso de un firewall, que un paquete de datos de ataque entre a un servidor en la nube, solamente se puede usar el firewall para impedir que el paquete de datos de ataque entre al servidor de la nube, y un conmutador responsable del reenvío de un paquete de datos al firewall aún puede reenviar el paquete de datos de ataque al firewall, es decir, el paquete de datos de ataque todavía se transmite en una red. Por lo tanto, el paquete de datos anormal ocupa una gran cantidad de ancho de banda de la red y afecta la transmisión de un paquete de datos normal.
Compendio
La presente invención se define mediante las reivindicaciones independientes adjuntas, en donde se definen realizaciones adicionales en las reivindicaciones dependientes. Proporciona un método, un aparato y un sistema de procesamiento de paquetes de datos de ataque, que puede limitar el ancho de banda de la red ocupado por un paquete de datos de ataque cuando el paquete de datos de ataque se transmite en una red y asegurar la transmisión de un paquete de datos normal.
Las realizaciones de la presente invención proporcionan el método, aparato y sistema de procesamiento de paquetes de datos de ataque, donde el método es específicamente: la recepción, por un nodo de gestión, de información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde el la información de descripción y el tipo de ataque son enviados por un nodo de conocimiento; la determinación de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque; y el envío de la información de descripción y la política de procesamiento a un conmutador usando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la política de procesamiento se utiliza para indicarle al conmutador que realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Según el método, aparato y sistema de procesamiento de paquetes de datos de ataque, proporcionados en la presente invención, después de que el nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque al nodo de gestión, el nodo de gestión puede determinar la política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envíe la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN, de manera que el conmutador realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Breve descripción de los dibujos
Para describir las soluciones técnicas en las realizaciones de la presente invención más claramente, a continuación se introducen brevemente los dibujos adjuntos requeridos para describir las realizaciones o la técnica anterior. Aparentemente, los dibujos adjuntos en la siguiente descripción son simplemente algunos, pero no todos, los dibujos adjuntos de las realizaciones de la presente invención.
La fig. 1 es un diagrama de bloques 1 de un sistema de comunicaciones según una realización de la presente invención;
La fig. 2 es un diagrama de flujo 1 de un método de procesamiento de paquetes de datos de ataque según una realización de la presente invención;
La fig. 3 es un diagrama de flujo 2 de un método de procesamiento de paquetes de datos de ataque según una realización de la presente invención;
La fig. 4 es un diagrama esquemático de una tabla de flujo de un primer conmutador según una realización de la presente invención;
La fig. 5 es un diagrama de flujo 3 de un método de procesamiento de paquetes de datos de ataque según una realización de la presente invención;
La fig. 6 es un diagrama de interacción 1 de un método de procesamiento de paquetes de datos de ataque según una realización de la presente invención;
La fig. 7 es un diagrama de interacción 2 de un método de procesamiento de paquetes de datos de ataque según una realización de la presente invención;
La fig. 8A y la fig. 8B son un diagrama de interacción 3 de un método de procesamiento de paquetes de datos de ataque según una realización de la presente invención;
La fig. 9 es un diagrama de bloques 2 de un sistema de comunicaciones según una realización de la presente invención;
La fig. 10 es un diagrama de bloques 3 de un sistema de comunicaciones según una realización de la presente invención;
La fig. 11 es un diagrama estructural esquemático de un nodo de gestión según una realización de la presente invención;
La fig. 12 es un diagrama estructural esquemático de un controlador SDN según una realización de la presente invención;
La fig. 13 es un diagrama estructural esquemático de un nodo de conocimiento según una realización de la presente invención;
La fig. 14 es un diagrama estructural de hardware esquemático de un nodo de gestión según una realización de la presente invención;
La fig. 15 es un diagrama estructural de hardware esquemático de un controlador SDN según una realización de la presente invención;
La fig. 16 es un diagrama estructural de hardware esquemático de un nodo de conocimiento según una realización de la presente invención;
La fig. 17 es un diagrama de bloques 4 de un sistema de comunicaciones según una realización de la presente invención; y
La fig. 18 es un diagrama de bloques 5 de un sistema de comunicaciones según una realización de la presente invención.
Descripción de las realizaciones
A continuación se describen claramente las soluciones técnicas en las realizaciones de la presente invención con referencia a los dibujos adjuntos en las realizaciones de la presente invención. Aparentemente, las realizaciones descritas son simplemente algunas, pero no todas, las realizaciones de la presente invención.
En las realizaciones de la presente invención, un nodo de conocimiento puede ser cualquier servidor en la nube que esté en un centro de datos en la nube y pueda identificar un paquete de datos de ataque, por ejemplo, varias máquinas virtuales (VM) de procesamiento de servicios, un hipervisor, un firewall, un balanceador de carga o una puerta de enlace. Un nodo de gestión puede ser cualquier nodo de gestión de servicios o nodo de gestión de políticas en un centro de datos en la nube, por ejemplo, un administrador de VM, un administrador de infraestructura virtualizada (VIM) o una unidad de función de políticas y cobros (PCRF).
Un método de procesamiento de paquetes de datos de ataque proporcionado en las realizaciones de la presente invención puede aplicarse a una arquitectura de red que se basa en una tecnología de redes definidas por software (SDN). La arquitectura de red que se basa en la tecnología SDN es una arquitectura de red directamente programable que desacopla el control del reenvío. En la arquitectura de red que se basa en la tecnología SDN, un trayecto de reenvío específico y una política de reenvío de cada paquete de datos en una red son controladas ambos por un controlador SDN, el controlador SDN envía el trayecto de reenvío y la política de reenvío del paquete de datos a un grupo de conmutadores en la arquitectura SDN utilizando un protocolo OpenFlow, y un conmutador en el grupo de conmutadores reenvía el paquete de datos a un servidor en la nube en un centro de datos en la nube. El conmutador en la arquitectura de red que se basa en la tecnología SDN solamente es responsable del reenvío del paquete de datos según la política de reenvío y el trayecto de reenvío del paquete de datos.
A modo de ejemplo, la fig. 1 muestra un diagrama de bloques de un sistema de comunicaciones según una realización de la presente invención. Como se muestra en la fig. 1, un centro de datos tiene tres VM y un administrador de VM. En la arquitectura de red que se basa en la tecnología SDN, tanto para la transmisión de paquetes de datos realizada entre las tres VM en el centro de datos y un servidor fuera del centro de datos como para la transmisión de paquetes de datos realizada entre las tres VM, un trayecto de reenvío y una política de reenvío de un paquete de datos son controlados por un controlador SDN, y un conmutador implementa el reenvío del paquete de datos.
Las realizaciones de la presente invención proporcionan un método de procesamiento de paquetes de datos de ataque. Controlando un conmutador para procesar un paquete de datos de ataque, el reenvío del paquete de datos de ataque por el conmutador puede limitarse y, por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque cuando el paquete de datos de ataque se transmite en una red, asegurando por ello la transmisión de un paquete de datos normal, y además asegurando que un servidor en la nube en un centro de datos en la nube pueda realizar una comunicación segura.
Realización 1
Una realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque. Como se muestra en la fig. 2, el método puede incluir las siguientes etapas.
S101. Un nodo de gestión recibe información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento.
El paquete de datos de ataque puede comprenderse como un paquete de datos que representa una amenaza para el nodo de conocimiento, por ejemplo, un paquete de datos con formato incorrecto, un paquete de datos con una excepción de fragmentación de paquetes, un paquete de datos que utiliza una conexión inválida de Protocolo de control de Transmisión (TCP), y un paquete de datos con un volumen de datos extra grande.
Opcionalmente, la información de descripción del paquete de datos de ataque puede ser información obtenida por el nodo de conocimiento a partir de un encabezado de paquete del paquete de datos de ataque, y puede ser específicamente una dirección IP de origen del paquete de datos de ataque, una dirección IP de destino del paquete de datos de ataque, un número de puerto de origen del paquete de datos de ataque, un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque. El número de puerto de origen del paquete de datos de ataque puede ser específicamente un número de puerto de origen del protocolo de datagramas de usuario (UDP), y el número de puerto de destino del paquete de datos de ataque puede ser específicamente un número de puerto de destino UDP; o el número de puerto de origen del paquete de datos de ataque puede ser específicamente un número de puerto de origen TCP, y el número de puerto de destino del paquete de datos de ataque puede ser específicamente un número de puerto de destino TCP. Utilizando la información de descripción, un conmutador puede procesar el paquete de datos de ataque con la información de descripción.
El tipo de ataque del paquete de datos de ataque puede incluir, pero no está limitado a, un ataque DDoS, un ataque basado en el Protocolo de Inicio de Sesión (SIP), una conexión TCP inválida, un volumen de datos extra grande, un ataque de mensaje fraudulento y similares.
S102. El nodo de gestión determina una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque, donde la política de procesamiento se utiliza para indicarle a un conmutador que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
La política de procesamiento puede incluir una acción de procesamiento en el paquete de datos de ataque, por ejemplo, caída, tasa de acceso comprometida (CAR) o redirección. Alternativamente, la política de procesamiento puede incluir una acción de procesamiento en el paquete de datos de ataque y un momento para realizar la acción de procesamiento. El momento para la realización de la acción de procesamiento puede ser específicamente: la realización inmediata de la acción de procesamiento, la realización de la acción de procesamiento después de un retraso, la realización de la acción de procesamiento para una cierta duración, o similares.
Además, en esta realización de la presente invención, existen múltiples formas en las que el nodo de gestión determina la política de procesamiento del paquete de datos de ataque del tipo de ataque según el tipo de ataque. El hecho de que el nodo de gestión determina la política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque se describe a modo de ejemplo utilizando las siguientes dos formas de implementación posibles (Modo 1 y Modo 2). El Modo 2 no se ha reivindicado y representa información de contexto.
Modo 1: En esta realización de la presente invención, el nodo de gestión puede obtener una política de procesamiento predeterminada en el paquete de datos de ataque del tipo de ataque según el tipo de ataque. Específicamente, se puede predeterminar una relación de correspondencia entre un tipo de ataque y una política de procesamiento en el nodo de gestión. Cuando se recibe un tipo de ataque, el nodo de gestión puede determinar, a partir de la relación de correspondencia predeterminada según el tipo de ataque, una política de procesamiento correspondiente al tipo de ataque, es decir, se determina la política de procesamiento en el paquete de datos de ataque del tipo de ataque.
Por ejemplo, se supone que la relación de correspondencia, predeterminada en el nodo de gestión, entre un tipo de ataque y una política de procesamiento se puede mostrar en la Tabla 1. La política de procesamiento en la Tabla 1 incluye una acción de procesamiento en un paquete de datos de ataque. "Car 1 Mbps" indica la realización de una operación de velocidad de acceso comprometida en un paquete de datos de ataque con un volumen de datos extra grande, de manera que el ancho de banda máximo utilizado por el paquete de datos después de la operación de velocidad de acceso comprometida es de 1 Mbps. "Redirect null0" indica la realización de una operación de redireccionamiento en un paquete de datos de ataque de un tipo de ataque basado en SIP, de manera que el paquete de datos de ataque se reenvía a una interfaz null0, donde la interfaz null0 indica una interfaz de enrutamiento de agujero negro, todos los paquetes de datos reenviados a la interfaz null0 se eliminan, y el reenvío del paquete de datos de ataque a la interfaz null0 tiene poco impacto en la carga de la red. Específicamente, por ejemplo, cuando el tipo de ataque recibido por el nodo de gestión es el ataque DDoS, una política de procesamiento en un paquete de datos de ataque de un tipo de ataque DDoS puede determinarse como "drop” (“descartar") según la Tabla 1.
Tabla 1
Figure imgf000005_0001
Opcionalmente, la política de procesamiento en la Tabla 1 precedente puede incluir una acción de procesamiento y un momento para realizar la acción de procesamiento. Por ejemplo, una política de procesamiento correspondiente al ataque DDoS puede estar predeterminada para "Drop+immediately" (“Descartar+inmediatamente”), lo que indica la realización inmediata de una operación de descarte de un paquete de datos de ataque del tipo de ataque DDoS; y una política de procesamiento correspondiente al ataque basado en SIP puede ser "Redirect+null0+immediately+duration180", lo que indica la realización inmediata de una operación de redireccionamiento en un paquete de datos de ataque del tipo de ataque basado en SIP, de manera que el paquete de datos de ataque se reenvíe inmediatamente a la interfaz null0, y el reenvío se realiza continuamente durante 180 minutos.
Debería observarse que en un proceso de implementación específico, se puede establecer una relación de correspondencia adecuada entre un tipo de ataque y una política de procesamiento en el nodo de gestión según un requisito de ingeniería real, que no está limitado en la presente invención.
Modo 2: el nodo de gestión genera una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y un algoritmo predeterminado. Específicamente, puede predeterminarse un algoritmo en el nodo de gestión. Cuando se recibe un tipo de ataque, el nodo de gestión genera la política de procesamiento en el paquete de datos de ataque del tipo de ataque realizando el procedimiento de algoritmo predeterminado para el tipo de ataque.
De manera ejemplar, cuando el tipo de ataque recibido por el nodo de gestión es el ataque DDoS, el nodo de gestión calcula el código del tipo de ataque utilizando el algoritmo predeterminado y genera una política de procesamiento "drop" (“descarte”) en el paquete de datos de ataque del tipo de ataque; o cuando el tipo de ataque recibido por el nodo de gestión es el ataque basado en SIP, el nodo de gestión calcula el código del tipo de ataque utilizando el algoritmo predeterminado y genera una política de procesamiento "Redirect null0" en el paquete de datos de ataque del tipo de ataque.
Debería observarse que en un proceso de implementación específico, se puede establecer un algoritmo adecuado en el nodo de gestión según un requisito de ingeniería real.
S103. El nodo de gestión envía la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
A modo de ejemplo, se supone que la información de descripción, recibida por el nodo de gestión, del paquete de datos de ataque es específicamente "[10.11.100.100,10.22.200.200,6,1234,4321]", donde 10.11.100.100 indica una dirección IP de origen del paquete de datos de ataque, 10.22.200.200 indica una dirección IP de destino del paquete de datos de ataque, 1234 indica un número de puerto de origen del paquete de datos de ataque, 4321 indica un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque es 6. El tipo de ataque, recibido por el nodo de gestión, del paquete de datos de ataque es el ataque DDoS, y una política de procesamiento que está en el paquete de datos de ataque y se determina según el tipo de ataque es "Drop+imediately" (“Descartar+inmediatamente”). El nodo de gestión puede envíe la información de descripción y la política de procesamiento al controlador SDN en un formato "[10.11.100.100,10.22.200.200,6,1234,4321] Drop immediately". El controlador SDN reenvía el "[10.11.100.100,10.22.200.200,6,1234,4321] Drop immediately" recibido al conmutador en un formato especificado por un protocolo Open Flow.
Después de la recepción de la información de descripción y la política de procesamiento, el conmutador descarta inmediatamente los datos de ataque con la información de descripción según la política de procesamiento. De esta manera, el conmutador ya no reenvía el paquete de datos de ataque, de manera que el paquete de datos de ataque no se transmite en una red, es decir, el paquete de datos de ataque con la información de descripción no ocupa ancho de banda de red, asegurando por ello la transmisión de un paquete de datos normal.
Se puede comprender que si la política de procesamiento que está en el paquete de datos de ataque y se determina por el nodo de gestión según el tipo de ataque es "Car+1 Mbps", después de que el nodo de gestión envía la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN, el conmutador realiza una operación de velocidad de acceso comprometida en el paquete de datos de ataque con la información de descripción, de manera que cuando se transmite en una red, el paquete de datos de ataque con la información de descripción ocupa un ancho de banda máximo de 1 Mbps. Es decir, incluso aunque el conmutador todavía reenvía el paquete de datos de ataque, el paquete de datos de ataque ocupa un ancho de banda máximo de 1 Mbps cuando se transmite en la red. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal.
Además, un proceso en el que el conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción se describe en detalle en la siguiente realización, y los detalles no se describen adicionalmente en la presente memoria.
Esta realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque, que es específicamente: la recepción, mediante un nodo de gestión, de información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento; la determinación de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque; y el envío de la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la política de procesamiento se utiliza para indicarle al conmutador que realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Según el método, después de que el nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque al nodo de gestión, el nodo de gestión puede determinar la política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envíe la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN, de manera que el conmutador realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Una realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque. Como se muestra en la fig. 3, el método puede incluir las siguientes etapas.
5201. Un controlador SDN recibe información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante un nodo de gestión.
Para la información de descripción del paquete de datos de ataque y la política de procesamiento en el paquete de datos de ataque con la información de descripción, se puede hacer referencia específicamente a una descripción relacionada en la realización mostrada en la fig. 2, y los detalles no se describen adicionalmente en la presente memoria.
5202. El controlador SDN envía la información de descripción y la política de procesamiento a un primer conmutador, de manera que el primer conmutador realiza una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
El primer conmutador es cualquier conmutador en un grupo de conmutadores controlado por el controlador SDN.
Específicamente, el controlador SDN puede convertir la información de descripción y la política de procesamiento en un mensaje de controlador a conmutador y enviar el mensaje de controlador a conmutador al primer conmutador. El mensaje de controlador a conmutador es un tipo de mensaje que se especifica mediante un protocolo de Open Flow y el controlador SDN lo envía al conmutador para indicarle al conmutador que modifique o descarte la información registrada en una tabla de flujo del conmutador.
Después de que el controlador SDN convierta la información de descripción y la política de procesamiento en el mensaje de controlador a conmutador y envíe el mensaje de controlador a conmutador al primer conmutador, el primer conmutador busca, según la información de descripción incluida en el mensaje de controlador a conmutador, una tabla de flujo del primer conmutador para un flujo de datos de ataque que coincide con la información de descripción, y a continuación realiza la operación indicada por la política de procesamiento en un paquete de datos de ataque en el flujo de datos de ataque según la política de procesamiento incluida en el mensaje de controlador a conmutador, es decir, el controlador SDN realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción según la política de procesamiento.
La fig. 4 muestra un diagrama esquemático de una tabla de flujo de un primer conmutador según una realización de la presente invención. En la Fig.4, la tabla de flujo del primer conmutador incluye un campo de encabezado de paquete, un contador y una acción realizada en un paquete de datos. El campo de encabezado de paquete puede incluir específicamente una dirección IP de origen, una dirección IP de destino, una dirección de control de acceso a medios (MAC) de origen, una dirección MAC de destino, un número de protocolo, un número de puerto de origen, un número de puerto de destino y similares, que son del flujo de datos recibido por el primer conmutador. El contador está configurado para recoger estadísticas en una cantidad de paquetes de datos, una cantidad de bytes, la duración de la transmisión y similares que son del flujo de datos recibido por el primer conmutador. La acción realizada en el paquete de datos puede incluir el reenvío del paquete de datos, el descarte del paquete de datos, la modificación de la información en un encabezado de paquete de un paquete de datos en la tabla de flujo y similares.
A modo de ejemplo, suponiendo que la información de descripción y la política de procesamiento que se reciben por el controlador SDN son "[10.11.100.100,10.22.200.200,6,1234,4321] Drop immediately'', después de que el controlador SDN envía el "[10.11 .100.100,10.22.200.200,6,1234,4321] Drop immediately" al primer conmutador en un formato especificado por un protocolo Open Flow, el primer conmutador busca en la tabla de flujo del primer conmutador un flujo de datos de ataque cuya dirección IP de origen es 10.11.100.100, la dirección IP de destino es 10.22.200.200, el número de puerto de origen es 1234, el número de puerto de destino es 4321 y el número de protocolo es 6. Después de que el primer conmutador encuentre el flujo de datos de ataque, según la política de procesamiento, una acción realizada en un paquete de datos de ataque del flujo de datos de ataque se descarta específicamente de inmediato. Es decir, el primer conmutador realiza la operación de descartar inmediatamente en un paquete de datos de ataque con la información de descripción "[10.11.100.100,10.22.200.200,6,1234,4321]".
Debería observarse que cada flujo de datos almacenado en la tabla de flujo del primer conmutador tiene información de descripción única y una acción realizada en un paquete de datos en cada flujo de datos. Después de que se complete la transmisión de todos los paquetes de datos en un flujo de datos, la tabla de flujo elimina un registro del flujo de datos. Por lo tanto, en el método de procesamiento de paquetes de datos de ataque proporcionado en esta realización de la presente invención, un primer conmutador puede buscar, según la información de descripción y una política de procesamiento que son enviadas por un controlador SDN, una tabla de flujo para un flujo de datos de ataque con la información de descripción, y cambiar una acción realizada en un paquete de datos de ataque en el flujo de datos de ataque a una operación indicada por la política de procesamiento, con el objetivo de realizar la operación indicada por la política de procesamiento en un paquete de datos de ataque que no se transmite en los paquetes de datos de ataque en el flujo de datos de ataque. Además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque en el flujo de datos de ataque.
Esta realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque, que es específicamente: la recepción, mediante un controlador SDN, de información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante un nodo de gestión; y el envío de la información de descripción y la política de procesamiento a un primer conmutador, de manera que el primer conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Según el método, después de que un nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque y envíe información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque a un nodo de gestión, el nodo de gestión determina una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envía la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; Además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que un servidor en la nube en el centro de datos en la nube pueda realizar una comunicación segura.
Una realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque. Como se muestra en la fig. 5, el método puede incluir las siguientes etapas.
5301. Un nodo de conocimiento identifica un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque.
Existen múltiples formas en las que el nodo de conocimiento identifica el paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque, y un método para identificar, por el nodo de conocimiento, el paquete de datos de ataque se describe a modo de ejemplo utilizando los siguientes tres ejemplos.
Ejemplo 1: después de la recepción de un paquete de datos, el nodo de conocimiento identifica un paquete del paquete de datos recibido por el nodo de conocimiento, y si el nodo de conocimiento determina que una dirección IP de origen y una dirección IP de destino que son del paquete de datos son la misma, el nodo de conocimiento determina que el paquete del paquete de datos es un paquete con formato incorrecto y determina que el paquete de datos es un paquete de datos de ataque.
Ejemplo 2: Después de que el nodo de conocimiento reciba un paquete de datos, si el nodo de conocimiento determina dentro de un momento predeterminado que un volumen de tráfico de paquetes del paquete de datos recibido por el nodo de conocimiento excede un umbral predeterminado, el nodo de conocimiento determina que el paquete de datos es un paquete de datos de ataque.
Ejemplo 3: Después de la recepción de un paquete de datos, el nodo de conocimiento identifica la señalización SIP en el paquete de datos y determina si un proceso de sesión SIP del paquete de datos es el mismo que un proceso de sesión SIP en un estándar conocido. Si el nodo de conocimiento determina que el proceso de sesión SIP del paquete de datos es diferente del proceso de sesión SIP en el estándar conocido, el nodo de conocimiento determina que el paquete de datos es un paquete de datos de ataque.
Además, otras formas en las que un nodo de conocimiento identifica un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque son las mismas formas que en la técnica anterior en las que el nodo de conocimiento identifica un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque, y no se enumeran uno por uno en la presente memoria.
Debería observarse que en esta realización de la presente invención, un nodo de conocimiento puede ser cualquier nodo de servicio que esté en un centro de datos en la nube y pueda identificar un paquete de datos de ataque, por ejemplo, una VM, un hipervisor, un firewall, un balanceador de carga, o una puerta de enlace. Por lo tanto, en comparación con la técnica anterior en la que un paquete de datos de ataque se identifica mediante la identificación de la señalización de la capa IP utilizando un firewall, esta realización de la presente invención proporciona el método de procesamiento de paquetes de datos de ataque en el que un nodo de conocimiento no solamente puede identificar un paquete de datos de ataque mediante la identificación de la señalización de la capa IP (por ejemplo, identifica un paquete de datos de ataque mediante la identificación de un paquete con formato incorrecto), sino que también identifica un paquete de datos de ataque mediante la identificación de la señalización de la capa de servicio (por ejemplo, identifica un paquete de datos de ataque de un tipo de ataque basado en SIP mediante identificación de señalización SIP). De esta manera, se mejora la precisión de identificación del paquete de datos de ataque y, además, se impide de manera más completa un ataque del paquete de datos de ataque al nodo de conocimiento.
5302. El nodo de conocimiento determina la información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque.
A modo de ejemplo, si el nodo de conocimiento identifica que el paquete del paquete de datos recibido por el nodo de conocimiento es el paquete con formato incorrecto, y ya que un ataque de paquete con formato incorrecto pertenece a un tipo de ataque DDoS, el nodo de conocimiento puede determinar que el tipo de ataque del paquete de datos de ataque es el ataque DDoS; o si el nodo de conocimiento identifica, mediante la identificación de información SIP, el paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque, el nodo de conocimiento puede determinar que un tipo de ataque del paquete de datos es un ataque basado en SIP; o si el nodo de conocimiento determina que un volumen de tráfico de paquetes del paquete de datos recibido por el nodo de conocimiento excede un umbral predeterminado, el nodo de conocimiento identifica el paquete de datos como el paquete de datos de ataque, de manera que el nodo de conocimiento puede determinar que el tipo de ataque del paquete de datos es un ataque de gran volumen de datos.
Además, después de que el nodo de conocimiento determine que el paquete de datos recibido por el nodo de conocimiento es el paquete de datos de ataque, el nodo de conocimiento obtiene la información de descripción del paquete de datos de ataque del paquete de datos de ataque. Opcionalmente, la información de descripción del paquete de datos de ataque puede ser específicamente una dirección IP de origen del paquete de datos de ataque, una dirección IP de destino del paquete de datos de ataque, un número de puerto de origen del paquete de datos de ataque, un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque.
S303. El nodo de conocimiento envía la información de descripción y el tipo de ataque a un nodo de gestión, donde el nodo de gestión utiliza el tipo de ataque para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque, y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para realizar una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Para un proceso en el que el nodo de gestión determina la política de procesamiento en el paquete de datos de ataque del tipo de ataque, se puede hacer referencia específicamente a una descripción relacionada en la realización mostrada en la fig. 2; para un proceso en el que el conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción según la política de procesamiento, se puede hacer referencia específicamente a una descripción relacionada en la realización mostrada en la fig. 3, y los detalles no se describen adicionalmente en la presente memoria.
Esta realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque, que es específicamente: la identificación, mediante un nodo de conocimiento, de un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque; la determinación de la información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque; y el envío de la información de descripción y el tipo de ataque a un nodo de gestión, donde el nodo de gestión utiliza el tipo de ataque para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque, y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para realizar una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Según el método, después de que el nodo de conocimiento identifique el paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque con la información de descripción al nodo de gestión, el nodo de gestión determina la política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envía la información de descripción y la política de procesamiento al conmutador utilizando un controlador SDN, de manera que el conmutador realiza una operación indicada por la política de procesamiento del paquete de datos del ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; se resuelve un problema en la técnica anterior de que el paquete de datos de ataque ocupa una gran cantidad de ancho de banda de la red y afecta a la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Realización 2
Una realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque. Como se muestra en la fig. 6, el método puede incluir las siguientes etapas.
5401. Un nodo de conocimiento recibe un paquete de datos.
5402. El nodo de conocimiento identifica el paquete de datos como un paquete de datos de ataque.
5403. El nodo de conocimiento determina la información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque.
5404. El nodo de conocimiento envía la información de descripción y el tipo de ataque a un nodo de gestión.
Específicamente, para una forma de implementación específica de las etapas S401 a S404 precedentes, se puede hacer referencia a una descripción relacionada en la realización mostrada en la fig. 5, y los detalles no se describen adicionalmente en la presente memoria.
5405. Después de la recepción de la información de descripción y el tipo de ataque que envían mediante un nodo de conocimiento, el nodo de gestión determina una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque.
5406. El nodo de gestión envía la información de descripción y la política de procesamiento a un controlador SDN.
Debería observarse que en esta realización de la presente invención, una interfaz de comunicaciones está preestablecida en el nodo de gestión, y la interfaz de comunicaciones se utiliza por el nodo de gestión para enviar la información de descripción y el tipo de ataque al controlador SDN. Además, una interfaz de comunicaciones está preestablecida en el controlador SDN y se utiliza por el controlador SDN para recibir la información de descripción y el tipo de ataque que envía el nodo de gestión.
Específicamente, si el nodo de gestión y el controlador SDN realizan la interacción de la información utilizando un protocolo UDP, la interfaz de comunicaciones por separado en el nodo de gestión y el controlador SDN se pueden configurar basándose en el protocolo UDP. Cuando se envía la información de descripción y el tipo de ataque al controlador SDN, el nodo de gestión no necesita establecer un enlace de comunicaciones con el controlador SDN y puede enviar directamente la información de descripción y el tipo de ataque al controlador SDN utilizando una dirección de la interfaz de comunicaciones predeterminada en el nodo de gestión y una dirección de la interfaz de comunicaciones predeterminada en el controlador SDN.
Si el nodo de gestión y el controlador SDN realizan la interacción de la información utilizando un protocolo TCP, la interfaz de comunicaciones por separado en el nodo de gestión y el controlador SDN se pueden configurar basándose en el protocolo TCP. Cuando el nodo de gestión envía la información de descripción y el tipo de ataque al controlador SDN, es necesario establecer una conexión TCP entre el nodo de gestión y el controlador SDN para establecer un enlace de comunicaciones entre dos interfaces de comunicaciones predeterminadas, y el nodo de gestión envía la información de descripción y el tipo de ataque al controlador SDN utilizando el enlace de comunicaciones.
5407. El controlador SDN envía la información de descripción y la política de procesamiento a un primer conmutador.
5408. El primer conmutador realiza una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Específicamente, para una forma de implementación específica de las etapas S407 a S408 precedentes, se puede hacer referencia a una descripción relacionada en la realización mostrada en la fig. 3, y los detalles no se describen adicionalmente en la presente memoria.
Opcionalmente, en la etapa S405 precedente, si el nodo de gestión recibe información de descripción de múltiples paquetes de datos de ataque y tipos de ataque de los múltiples paquetes de datos de ataque, donde la información de descripción y los tipos de ataque se envían mediante múltiples nodos de conocimiento, con referencia a la fig. 6, como se muestra en la fig. 7, la etapa S405 precedente puede incluir específicamente las siguientes etapas:
S405a. El nodo de gestión determina al menos dos tipos de ataque iguales según los tipos de ataque de los múltiples paquetes de datos de ataque.
S405b. El nodo de gestión determina, según uno de los al menos dos tipos de ataque, una política de procesamiento en el paquete de datos de ataque del tipo de ataque.
Específicamente, si el nodo de gestión recibe la información de descripción de los múltiples paquetes de datos de ataque y los tipos de ataque de los múltiples paquetes de datos de ataque, donde la información de descripción y los tipos de ataque se envían mediante múltiples nodos de conocimiento, el nodo de gestión determina, según los tipos de ataque de los múltiples paquetes de datos de ataque, si existen al menos dos tipos de ataque iguales en los tipos de ataque de los múltiples paquetes de datos de ataque. Si el nodo de gestión determina que existen al menos dos tipos de ataque iguales en los tipos de ataque de los múltiples paquetes de datos de ataque, el nodo de gestión determina, según uno de los al menos dos tipos de ataque, una política de procesamiento en el paquete de datos de ataque del tipo de ataque. Es decir, ya que los al menos dos tipos de ataque son iguales, el nodo de gestión determina, según cualquiera de los al menos dos tipos de ataque, una política de procesamiento en el paquete de datos de ataque del tipo de ataque.
Además, el nodo de gestión envía la política de procesamiento con información de descripción de cada uno de al menos dos paquetes de datos de ataque al controlador SDN, es decir, una política de procesamiento correspondiente a la información de descripción de cada uno de los al menos dos paquetes de datos de ataque del mismo tipo de ataque es la política de procesamiento.
Además, después de la etapa S406 precedente, con referencia a la fig. 6, como se muestra en la fig. 8A y en la fig.
8B, el método incluye además las siguientes etapas:
5409. El controlador SDN envía la información de descripción y la política de procesamiento a un controlador SDN maestro conectado al controlador SDN.
5410. El controlador SDN maestro envía la información de descripción y la política de procesamiento a un segundo conmutador.
5411. El segundo conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Debería observarse que una secuencia para las etapas S407 y S409 precedentes no está limitada en esta realización de la presente invención.
Específicamente, si tanto una red interna como una red externa de un centro de datos utilizan una arquitectura de red que se basa en una tecnología SDN, después de que un controlador SDN dentro del centro de datos recibe la información de descripción y la política de procesamiento que se envían mediante el nodo de gestión, el controlador SDN reenvía directamente la información de descripción y la política de procesamiento a un controlador SDN maestro. El controlador SDN maestro es un controlador SDN que está fuera del centro de datos y está conectado al controlador SDN, es decir, el controlador SDN maestro es un controlador SDN que está en una red troncal y está conectado al centro de datos. El controlador SDN maestro envía la información de descripción y la política de procesamiento al segundo conmutador en un formato especificado por un protocolo Open Flow. El segundo conmutador es cualquier conmutador en un grupo de conmutadores controlado por el controlador SDN maestro. Después de la recepción de la información de descripción y la política de procesamiento, el segundo conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos con la información de descripción, de manera que el ancho de banda de la red ocupado por el paquete de datos de ataque cuando se transmite el paquete de datos de ataque está limitado una red completa y se asegura la transmisión de un paquete de datos normal.
Para un proceso específico en el que el segundo conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque, se puede hacer referencia a un proceso específico, en la realización mostrada en la fig. 3, en la que el primer conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque, y los detalles no se describen adicionalmente en la presente memoria.
Además, a continuación se enumeran dos posibles escenarios de aplicación para describir de manera ejemplar el método de procesamiento de paquetes de datos de ataque proporcionado en esta realización de la presente invención. La fig. 9 muestra un diagrama de bloques de un sistema de comunicaciones según una realización de la presente invención. Cuando el nodo de conocimiento es específicamente una VM en una capa de sistema operativo invitado en un centro de datos en la nube, por ejemplo, una VM en un conmutador virtual (vSwitch), el nodo de conocimiento puede ser una VM2 en un conmutador de VM 2, y cuando el nodo de gestión es específicamente un administrador de VM en el centro de datos en la nube, porque la VM2 puede identificar la señalización de la capa IP en un paquete de datos, la VM2 puede identificar un paquete de datos de ataque cuando la VM2 recibe el paquete de datos de ataque de un tipo de ataque DDoS de capa IP (tal como como un ataque de paquete con formato incorrecto). Por lo tanto, la VM2, el administrador de VM, el controlador SDN y el conmutador que se encuentran en el sistema de comunicaciones mostrado en la fig. 9 pueden procesar un paquete de datos de ataque mediante la realización del método precedente mostrado en la fig. 6 o fig. 7.
La fig. 10 muestra un diagrama de bloques de otro sistema de comunicaciones según una realización de la presente invención. Cuando el nodo de conocimiento es específicamente un hipervisor, por ejemplo, un hipervisor 2, en un centro de datos en la nube, y el nodo de gestión es específicamente un PCRF en el centro de datos en la nube, y ya que el hipervisor 2 puede identificar un paquete de datos de ataque mediante la identificación de la señalización de capa de servicio en un paquete de datos, por ejemplo, identificar un paquete de datos de ataque de un tipo de ataque basado en SIP mediante la identificación de la señalización de SIP, el hipervisor 2 puede identificar el paquete de datos de ataque cuando el hipervisor 2 recibe el paquete de datos de ataque del tipo de ataque basado en SIP. Por lo tanto, el hipervisor 2, el PCRF, el controlador SDN y el conmutador pueden procesar un paquete de datos de ataque mediante la realización del método precedente mostrado en la fig. 6 o fig. 7.
Esta realización de la presente invención proporciona un método de procesamiento de paquetes de datos de ataque, que incluye específicamente: la identificación, mediante un nodo de conocimiento, de un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque; la determinación de la información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, y el envío de la información de descripción y el tipo de ataque a un nodo de gestión; la determinación, mediante el nodo de gestión según el tipo de ataque, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque; y el envío de la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la política de procesamiento se utiliza para indicarle al conmutador que realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Según el método, puede limitarse el ancho de banda de la red ocupado por el paquete de datos de ataque cuando el paquete de datos de ataque se transmite en una red, y se asegura la transmisión de un paquete de datos normal; se resuelve un problema en la técnica anterior de que el paquete de datos de ataque ocupa una gran cantidad de ancho de banda de la red y afecta a la transmisión de un paquete de datos normal; Además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que un servidor en la nube en el centro de datos en la nube pueda realizar una comunicación segura.
Realización 3
Como se muestra en la fig. 11, esta realización de la presente invención proporciona un nodo de gestión, y el nodo de gestión puede incluir:
una unidad 10 de recepción, configurada para recibir información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento;
una unidad 11 de determinación, configurada para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque recibido por la unidad 10 de recepción, donde la política de procesamiento se utiliza para indicarle a un conmutador que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción; y
una unidad 12 de envío, configurada para enviar la información de descripción recibida por la unidad 10 de recepción y la política de procesamiento determinada por la unidad 11 de determinación al conmutador utilizando un controlador SDN de red definido por software, de manera que el conmutador realice la operación indicada por la política de procesamiento del paquete de datos del ataque con la información de descripción.
Opcionalmente, la unidad 11 de determinación está configurada específicamente para obtener una política de procesamiento predeterminada en el paquete de datos de ataque del tipo de ataque según el tipo de ataque recibido por la unidad 10 de recepción.
Opcionalmente, la unidad 11 de determinación está configurada específicamente para generar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque recibido por la unidad 10 de recepción y un algoritmo predeterminado.
Opcionalmente, la operación indicada por la política de procesamiento determinada por la unidad 11 de determinación incluye: una acción de procesamiento en el paquete de datos de ataque con la información de descripción, o una acción de procesamiento en el paquete de datos de ataque con la información de descripción y un momento para realizar la acción de procesamiento.
Opcionalmente, la unidad 11 de determinación está configurada específicamente para: cuando la unidad 10 de recepción recibe información de descripción de múltiples paquetes de datos de ataque y tipos de ataque de los paquetes de datos de ataque, donde la información de descripción y los tipos de ataque se envían por múltiples nodos de conocimiento, determinar al menos dos tipos de ataque iguales según los tipos de ataque de los múltiples paquetes de datos de ataque, y determinar, según uno de los al menos dos tipos de ataque, una política de procesamiento en el paquete de datos de ataque del tipo de ataque.
Opcionalmente, la unidad 12 de envío está configurada específicamente para enviar la información de descripción recibida por la unidad 10 de recepción y la política de procesamiento determinada por la unidad 11 de determinación al controlador SDN utilizando una interfaz de comunicaciones predeterminada, de manera que el controlador SDN reenvíe la información de descripción y la política de procesamiento al conmutador.
Opcionalmente, la información de descripción recibida por la unidad 10 de recepción incluye: una dirección IP de Protocolo de Internet de origen del paquete de datos de ataque, un número de puerto de origen del paquete de datos de ataque, una dirección IP de destino del paquete de datos de ataque, un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque.
Debería observarse que el nodo de gestión proporcionado en esta realización de la presente invención puede ser cualquier nodo de gestión de servicios o nodo de gestión de políticas en un centro de datos en la nube, por ejemplo, un administrador de VM, un VIM, un PCRF, o similar.
Esta realización de la presente invención proporciona un nodo de gestión, donde el nodo de gestión puede recibir información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento, determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y enviar la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el ataque paquete de datos con la información de descripción, donde la política de procesamiento se utiliza para indicarle al conmutador que realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, después de que el nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque al nodo de gestión, el nodo de gestión proporcionado en este realización de la presente invención puede determinar la política de procesamiento del paquete de datos de ataque del tipo de ataque según el tipo de ataque y enviar la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN, de manera que el conmutador realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Como se muestra en la FIG. 12, esta realización de la presente invención proporciona un controlador SDN, y el controlador SDN puede incluir:
una unidad 20 de recepción, configurada para recibir información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante un nodo de gestión; y
una unidad 21 de envío, configurada para enviar la información de descripción y la política de procesamiento que son recibidas por la unidad 20 de recepción a un primer conmutador, de manera que el primer conmutador realiza una operación indicada por la política de procesamiento en el paquete de datos de ataque con la descripción información.
Opcionalmente, la unidad 20 de recepción está configurada específicamente para recibir, utilizando una interfaz de comunicaciones predeterminada, la información de descripción y la política de procesamiento que se envían mediante el nodo de gestión.
Opcionalmente, la unidad 21 de envío está configurada además para enviar la información de descripción y la política de procesamiento que son recibidas por la unidad 20 de recepción a un controlador SDN maestro, de manera que el controlador SDN maestro reenvía la información de descripción y la política de procesamiento a un segundo conmutador, y el segundo conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Esta realización de la presente invención proporciona un controlador SDN, donde el controlador SDN puede recibir información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante un nodo de gestión, y enviar la información de descripción y la política de procesamiento a un primer conmutador, de manera que el primer conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, después de que un nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque y envíe información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque al nodo de gestión, el nodo de gestión determina una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envía la información de descripción y la política de procesamiento a un conmutador utilizando el controlador SDN proporcionado en esta realización de la presente invención, de manera que el conmutador realice una operación indicada por la política de procesamiento del paquete de datos del ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Como se muestra en la FIG. 13, esta realización de la presente invención proporciona un nodo de conocimiento, y el nodo de conocimiento puede incluir:
una unidad 30 de identificación, configurada para identificar un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque;
una unidad 31 de determinación, configurada para determinar la información de descripción del paquete de datos de ataque identificado por la unidad 30 de identificación y un tipo de ataque del paquete de datos de ataque; y
una unidad 32 de envío, configurada para enviar la información de descripción y el tipo de ataque que son determinados por la unidad 31 de determinación a un nodo de gestión, donde el tipo de ataque se utiliza por el nodo de gestión para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Opcionalmente, la información de descripción determinada por la unidad 31 de determinación incluye: una dirección IP de Protocolo de Internet de origen del paquete de datos de ataque, un número de puerto de origen del paquete de datos de ataque, una dirección IP de destino del paquete de datos de ataque, un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque.
Debería observarse que el nodo de conocimiento proporcionado en esta realización de la presente invención puede ser cualquier servidor en la nube que esté en un centro de datos en la nube y pueda identificar un paquete de datos de ataque, por ejemplo, varias VM de procesamiento de servicios, un hipervisor, un firewall, un balanceador de carga o una puerta de enlace.
Esta realización de la presente invención proporciona un nodo de conocimiento, donde el nodo de conocimiento puede identificar un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque, determinar información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, y enviar la información de descripción y el tipo de ataque a un nodo de gestión, donde el nodo de gestión utiliza el tipo de ataque para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque, y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, después de que el nodo de conocimiento proporcionado en esta realización de la presente invención identifique el paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque con la información de descripción al nodo de gestión, el nodo de gestión determina la política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envía la información de descripción y la política de procesamiento al conmutador utilizando un controlador SDN, de manera que el conmutador realiza una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Realización 4
Como se muestra en la fig. 14, esta realización de la presente invención proporciona un nodo de gestión, y el nodo de gestión puede incluir: un procesador 40, una interfaz 41 de comunicaciones, una memoria 42 y un bus 43 de sistema. El procesador 40, la interfaz 41 de comunicaciones y la memoria 42 están conectados y completan la comunicación entre sí utilizando el bus 43 de sistema.
El procesador 40 puede ser una unidad central de procesamiento (CPU) o un circuito integrado específico de aplicación (ASIC), o uno o más circuitos integrados configurados para implementar esta realización de la presente invención.
La interfaz 41 de comunicaciones está configurada para interactuar con otro dispositivo, por ejemplo, interactuar con un nodo de conocimiento o interactuar con un controlador SDN.
La memoria 42 puede incluir una memoria volátil, por ejemplo, una memoria de acceso aleatorio (RAM); o la memoria 42 puede incluir una memoria no volátil, por ejemplo, una memoria de sólo lectura (ROM), una memoria flash, una unidad de disco duro (HDD) o una unidad de estado sólido (SSD); o la memoria 42 puede incluir una combinación de los tipos de memorias precedentes.
Cuando se ejecuta el nodo de gestión, el procesador 40, la interfaz 41 de comunicaciones y la memoria 42 pueden realizar un procedimiento del método descrito en la fig. 2 o cualquiera de las figs. 6 a la fig. 8A y fig. 8B, que incluye específicamente:
El procesador 40 está configurado para: utilizando la interfaz 41 de comunicaciones, recibir información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento, determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque, y enviar la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en los datos del ataque paquete con la información de descripción, donde la política de procesamiento se utiliza para indicarle al conmutador que realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. La memoria 42 está configurada para almacenar el código de la información de descripción, el código del tipo de ataque y el código de la política de procesamiento, y un programa de software que controla el procesador 40 para completar el proceso precedente, de manera que el procesador 40 completa el proceso precedente ejecutando el programa de software e invocando el código de la información de descripción, el código del tipo de ataque y el código de la política de procesamiento.
Opcionalmente, el procesador 40 está configurado específicamente para obtener una política de procesamiento predeterminada en el paquete de datos de ataque del tipo de ataque según el tipo de ataque.
Opcionalmente, el procesador 40 está configurado específicamente para generar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y un algoritmo predeterminado.
Opcionalmente, la operación indicada por la política de procesamiento determinada por el procesador 40 incluye:
una acción de procesamiento en el paquete de datos de ataque con la información de descripción, o una acción de procesamiento en el paquete de datos de ataque con la información de descripción y un momento para realizar la acción de procesamiento.
Opcionalmente, el procesador 40 está configurado específicamente para: cuando la interfaz 41 de comunicaciones recibe información de descripción de múltiples paquetes de datos de ataque y tipos de ataque de los múltiples paquetes de datos de ataque, donde la información de descripción y los tipos de ataque se envían mediante múltiples nodos de conocimiento, determinar al menos dos tipos de ataque iguales según los tipos de ataque de los múltiples paquetes de datos de ataque, y determinar, según uno de los al menos dos tipos de ataque, una política de procesamiento en el paquete de datos de ataque del tipo de ataque.
Opcionalmente, el procesador 40 está configurado específicamente para enviar la información de descripción y la política de procesamiento al controlador SDN utilizando una interfaz de comunicaciones predeterminada, de manera que el controlador SDN reenvía la información de descripción y la política de procesamiento al conmutador.
Opcionalmente, la información de descripción recibida por el procesador 40 utilizando la interfaz 41 de comunicaciones incluye: una dirección IP de Protocolo de Internet de origen del paquete de datos de ataque, un número de puerto de origen del paquete de datos de ataque, una dirección IP de destino del paquete de datos de ataque, un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque.
Esta realización de la presente invención proporciona un nodo de gestión, donde el nodo de gestión puede recibir información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento, determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y enviar la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la política de procesamiento se utiliza para indicarle al conmutador que realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, después de que el nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque al nodo de gestión, el nodo de gestión proporcionado en esta realización de la presente invención puede determinar la política de procesamiento del paquete de datos de ataque del tipo de ataque según el tipo de ataque y enviar la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN, de manera que el conmutador realice la operación indicada por la política de procesamiento del paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Como se muestra en la FIG. 15, esta realización de la presente invención proporciona un controlador SDN, y el controlador SDN puede incluir: un procesador 50, una interfaz 51 de comunicaciones, una memoria 52 y un bus 53 de sistema. El procesador 50, la interfaz 51 de comunicaciones y la memoria 52 están conectados y completan la comunicación entre sí utilizando el bus 53 de sistema.
El procesador 50 puede ser una CPU o un ASIC, o uno o más circuitos integrados configurados para implementar esta realización de la presente invención.
La interfaz 51 de comunicaciones está configurada para interactuar con otro dispositivo, por ejemplo, interactuar con un nodo de gestión o interactuar con un conmutador.
La memoria 52 puede incluir una memoria volátil, por ejemplo, una RAM; o la memoria 52 puede incluir una memoria no volátil, por ejemplo, una ROM, una memoria flash, un HDD o un SSD; o la memoria 52 puede incluir una combinación de los tipos de memorias precedentes.
Cuando se ejecuta el controlador SDN, el procesador 50, la interfaz 51 de comunicaciones y la memoria 52 pueden realizar un procedimiento del método descrito en la fig. 3 o cualquiera de la fig. 6 a la fig. 8a y fig. 8B, que incluye específicamente:
El procesador 50 está configurado para: utilizando la interfaz 51 de comunicaciones, recibir información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante un nodo de gestión y enviar la información de descripción y la política de procesamiento a un primer conmutador, de manera que el primer conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. La memoria 52 está configurada para almacenar el código de la información de descripción, el código de la política de procesamiento y un programa de software que controla el procesador 50 para completar el proceso precedente, de manera que el procesador 50 completa el proceso precedente ejecutando el programa de software e invocando el código de la información de descripción y el código de la política de procesamiento.
Opcionalmente, el procesador 50 está configurado específicamente para recibir, utilizando una interfaz de comunicaciones predeterminada, la información de descripción y la política de procesamiento que se envían mediante el nodo de gestión.
Opcionalmente, el procesador 50 está configurado además para enviar la información de descripción y la política de procesamiento a un controlador SDN maestro utilizando la interfaz 51 de comunicaciones, de manera que el controlador SDN maestro reenvíe la información de descripción y la política de procesamiento a un segundo conmutador, y el segundo conmutador realiza la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Esta realización de la presente invención proporciona un controlador SDN, donde el controlador SDN puede recibir información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante un nodo de gestión, y enviar la información de descripción y la política de procesamiento a un primer conmutador, de manera que el primer conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, después de que un nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque y envíe información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque al nodo de gestión, el nodo de gestión determina una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envía la información de descripción y la política de procesamiento a un conmutador utilizando el controlador SDN proporcionado en esta realización de la presente invención, de manera que el conmutador realice una operación indicada por el política de procesamiento del paquete de datos del ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Como se muestra en la fig. 16, esta realización de la presente invención proporciona un nodo de conocimiento, y el nodo de conocimiento puede incluir: un procesador 60, una interfaz 61 de comunicaciones, una memoria 62 y un bus 63 de sistema. El procesador 60, la interfaz 61 de comunicaciones y la memoria 62 están conectados y completan la comunicación entre sí utilizando el bus 63 de sistema.
El procesador 60 puede ser una CPU, un ASIC o uno o más circuitos integrados configurados para implementar esta realización de la presente invención.
La interfaz 61 de comunicaciones está configurada para interactuar con otro dispositivo, por ejemplo, interactuar con otro nodo de conocimiento o interactuar con un nodo de gestión.
La memoria 62 puede incluir una memoria volátil, por ejemplo, una RAM; o la memoria 62 puede incluir una memoria no volátil, por ejemplo, una ROM, una memoria flash, un HDD o un SSD; o la memoria 62 puede incluir una combinación de los tipos de memorias precedentes.
Cuando se ejecuta el nodo de conocimiento, el procesador 60, la interfaz 61 de comunicaciones y la memoria 62 pueden realizar un procedimiento de método descrito en cualquiera de la fig. 5 a la fig. 8A y fig. 8B, que incluye específicamente:
El procesador 60 está configurado para: identificar un paquete de datos recibido por la interfaz 61 de comunicaciones como un paquete de datos de ataque, determinar la información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, y enviar la información de descripción y el tipo de ataque a un nodo de gestión, donde el tipo de ataque se utiliza por el nodo de gestión para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque, y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para realizar una operación indicada por la política de procesamiento del paquete de datos de ataque con la información de descripción. La memoria 62 está configurada para almacenar el código del paquete de datos de ataque, la información de descripción, el tipo de ataque y un programa de software que controla el procesador 60 para completar el proceso precedente, de manera que el procesador 60 completa el proceso precedente ejecutando el programa de software e invocando el código del paquete de datos de ataque, la información de descripción y el tipo de ataque.
Opcionalmente, la información de descripción determinada por el procesador 60 incluye: una dirección IP de Protocolo de Internet de origen del paquete de datos de ataque, un número de puerto de origen del paquete de datos de ataque, una dirección IP de destino del paquete de datos de ataque, un número de puerto de destino del paquete de datos de ataque y un número de protocolo del paquete de datos de ataque.
Esta realización de la presente invención proporciona un nodo de conocimiento, donde el nodo de conocimiento puede identificar un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque, determinar información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, y enviar la información de descripción y el tipo de ataque a un nodo de gestión, donde el nodo de gestión utiliza el tipo de ataque para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque, y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para realizar una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, después de que el nodo de conocimiento proporcionado en esta realización de la presente invención identifique el paquete de datos recibido por el nodo de conocimiento como el paquete de datos de ataque y envíe la información de descripción del paquete de datos de ataque y el tipo de ataque del paquete de datos de ataque con la información de descripción al nodo de gestión, el nodo de gestión determina la política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y envíe la información de descripción y la política de procesamiento al conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Realización 5
Como se muestra en la fig. 17, esta realización de la presente invención proporciona un sistema de comunicaciones, y el sistema de comunicaciones puede incluir: el nodo de gestión mostrado en la fig. 11, el controlador SDN mostrado en la fig. 12, el nodo de conocimiento mostrado en la fig. 13 y un conmutador; o el sistema de comunicaciones proporcionado en esta realización de la presente invención también puede incluir: el nodo de gestión mostrado en la fig. 14, el controlador SDN mostrado en la fig. 15, el nodo de conocimiento mostrado en la fig. 16 y un conmutador. El conmutador es un conmutador que se encuentra en una arquitectura de red basada en una tecnología SDN y está controlado por un controlador SDN.
En el sistema de comunicaciones proporcionado en esta realización de la presente invención, el nodo de conocimiento puede identificar un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque, determinar información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, y enviar la información de descripción y el tipo de ataque al nodo de gestión. Después de la recepción de la información de descripción y el tipo de ataque, el nodo de gestión puede determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque, y enviar la información de descripción y la política de procesamiento al controlador SDN. Después de la recepción de la política de procesamiento y la información de descripción que se envían mediante el nodo de gestión, el controlador SDN envía la información de descripción y la política de procesamiento al conmutador, de manera que el conmutador realiza una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Opcionalmente, como se muestra en la fig. 18, el sistema de comunicaciones proporcionado en esta realización de la presente invención puede incluir además un controlador SDN maestro y un conmutador que es controlado por el controlador SDN maestro. El controlador SDN maestro es un controlador SDN que está fuera de un centro de datos y está conectado al controlador SDN.
En el sistema de comunicaciones proporcionado en esta realización de la presente invención, después de que el controlador SDN reciba la información de descripción y la política de procesamiento que se envían mediante el nodo de gestión, el controlador SDN reenvía la información de descripción y la política de procesamiento al controlador SDN maestro, el controlador SDN maestro envía la información de descripción y la política de procesamiento al conmutador controlado por el controlador SDN maestro, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
Según el sistema de comunicaciones proporcionado en esta realización de la presente invención, después de que un nodo de conocimiento identifique un paquete de datos recibido por el nodo de conocimiento como un paquete de datos de ataque y envíe información de descripción del paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque a un nodo de gestión, el nodo de gestión puede determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque y enviar la información de descripción y la política de procesamiento a un conmutador utilizando un controlador SDN, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción. Por lo tanto, se limita el ancho de banda de la red ocupado por el paquete de datos de ataque con la información de descripción cuando el paquete de datos de ataque con la información de descripción se transmite en una red y se asegura la transmisión de un paquete de datos normal; además, un nodo de conocimiento en un centro de datos en la nube evita ser atacado continuamente por el paquete de datos de ataque con la información de descripción, asegurando por ello que el nodo de conocimiento en el centro de datos en la nube pueda realizar una comunicación segura.
Un experto en la técnica puede comprender claramente que, con el propósito de una descripción breve y conveniente, la división de los módulos de función precedentes se toma como ejemplo a modo de ilustración. En la aplicación real, las funciones precedentes pueden asignarse a diferentes módulos de función e implementarse según un requisito, es decir, una estructura interna de un aparato se divide en diferentes módulos de función para implementar todas o algunas de las funciones descritas anteriormente. Para un proceso de trabajo específico del sistema, aparato y unidad precedentes, se puede hacer referencia a un proceso correspondiente en las realizaciones del método precedentes, y los detalles no se describen en la presente memoria nuevamente.
En las diversas realizaciones proporcionadas en esta solicitud, debería comprenderse que el sistema, el aparato y el método descritos pueden implementarse de otras maneras. Por ejemplo, la realización del aparato descrito es simplemente ejemplar. Por ejemplo, la división de módulo o unidad es simplemente una división de función lógica y puede ser otra división en la implementación real. Por ejemplo, una pluralidad de unidades o componentes pueden combinarse o integrarse en otro sistema, o algunas características pueden ignorarse o no realizarse. Además, los acoplamientos mutuos mostrados o descritos o acoplamientos directos o conexiones de comunicaciones pueden implementarse utilizando algunas interfaces. Los acoplamientos indirectos o conexiones de comunicaciones entre los aparatos o unidades pueden implementarse en manera electrónica, mecánica o de otra forma.
Las unidades descritas como partes separadas pueden estar o no físicamente separadas, y las partes mostradas como unidades pueden o no ser unidades físicas, pueden estar ubicadas en una posición o pueden estar distribuidas en una pluralidad de unidades de red. Algunas o todas las unidades pueden seleccionarse según las necesidades reales para lograr los objetivos de las soluciones de las realizaciones.
Además, las unidades funcionales en las realizaciones de la presente invención pueden integrarse en una unidad de procesamiento, o cada una de las unidades puede existir sola físicamente, o dos o más unidades están integradas en una unidad. La unidad integrada puede implementarse en forma de hardware o puede implementarse en forma de unidad funcional de software.
Cuando la unidad integrada se implementa en forma de una unidad funcional de software y se vende o se utiliza como un producto independiente, la unidad integrada puede almacenarse en un medio de almacenamiento legible por ordenador. Basándose en tal comprensión, las soluciones técnicas de la presente invención esencialmente, o la parte que contribuye a la técnica anterior, o todas o algunas de las soluciones técnicas pueden implementarse en forma de un producto de software. Un producto de software informático se almacena en un medio de almacenamiento e incluye varias instrucciones para indicarle a un dispositivo informático (que puede ser un ordenador personal, un servidor o un dispositivo de red) o un procesador que realice todos o algunas de los etapas de los métodos descritos en las realizaciones de la presente invención. El medio de almacenamiento precedente incluye: cualquier medio que pueda almacenar código de programa, tal como una unidad flash USB, un disco duro extraíble, una memoria de solo lectura (ROM), una memoria de acceso aleatorio (RAM), un disco magnético o un dispositivo óptico.
Las descripciones precedentes son simplemente formas de implementación específicas de la presente invención, pero no pretenden limitar el alcance de protección de la presente invención.
Por lo tanto, el alcance de protección de la presente invención estará sujeto al alcance de protección de las reivindicaciones.

Claims (9)

  1. REIVINDICACIONES
    1 Un método de procesamiento de paquetes de datos de ataque, que comprende:
    la recepción (S101), mediante una interfaz (41) de comunicaciones de un nodo de gestión, interactuando la interfaz (41) de comunicaciones con una interfaz (61) de comunicaciones de un nodo de conocimiento, la información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, en donde la información de descripción y el tipo de ataque se envían mediante el nodo de conocimiento.
    la determinación (S102), mediante el nodo de gestión, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque, en donde la política de procesamiento se utiliza para indicarle a un conmutador que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción; y
    el envío (S103), mediante la interfaz (41) de comunicaciones del nodo de gestión, interactuando la interfaz (41) de comunicaciones con una interfaz (51) de comunicaciones del controlador SDN de red definido por software, la información de descripción y la política de procesamiento al conmutador utilizando el controlador SDN de red definido por software, de manera que el conmutador realice la operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción,
    en donde la determinación (S102), mediante el nodo de gestión, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque comprende:
    la obtención, mediante el nodo de gestión, de una política de procesamiento predeterminada en el paquete de datos de ataque del tipo de ataque según el tipo de ataque.
  2. 2. - El método según la reivindicación 1, en donde:
    la operación indicada por la política de procesamiento comprende:
    una acción de procesamiento en el paquete de datos de ataque con la información de descripción, o una acción de procesamiento en el paquete de datos de ataque con la información de descripción y un momento para realizar la acción de procesamiento.
  3. 3. - El método según una cualquiera de las reivindicaciones 1 y 2, en donde cuando el nodo de gestión recibe información de descripción de múltiples paquetes de datos de ataque y tipos de ataque de los múltiples paquetes de datos de ataque, en donde la información de descripción y los tipos de ataque se envían mediante múltiples nodos de conocimiento,
    la determinación (S102), mediante el nodo de gestión, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque comprende:
    la determinación, mediante el nodo de gestión, al menos dos tipos de ataque iguales según los tipos de ataque de los múltiples paquetes de datos de ataque; y
    la determinación, mediante el nodo de gestión según uno de los al menos dos tipos de ataque, de una política de procesamiento en el paquete de datos de ataque del tipo de ataque.
  4. 4. - El método según una cualquiera de las reivindicaciones 1 a 3, en donde el envío, mediante el nodo de gestión, de la información de descripción y la política de procesamiento al conmutador utilizando un controlador SDN comprende:
    el envío, mediante el nodo de gestión, de la información de descripción y la política de procesamiento al controlador SDN utilizando una interfaz de comunicaciones predeterminada, de manera que el controlador SDN reenvía la información de descripción y la política de procesamiento al conmutador.
  5. 5. - Un nodo de gestión, que comprende:
    una unidad (10) de recepción, configurada para recibir (S101) información de descripción de un paquete de datos de ataque y un tipo de ataque del paquete de datos de ataque, en donde la información de descripción y el tipo de ataque se envían mediante un nodo de conocimiento, interactuando una interfaz (41) de comunicaciones del nodo de gestión con una interfaz (61) de comunicaciones del nodo de conocimiento;
    una unidad (11) de determinación, configurada para determinar (S102) una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque recibido por la unidad (10) de recepción, en donde la política de procesamiento se utiliza para indicarle a un conmutador que realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción; y
    una unidad (12) de envío, configurada para enviar (S103) la información de descripción recibida por la unidad (10) de recepción y la política de procesamiento determinada por la unidad (11) de determinación al conmutador utilizando un controlador SDN de red definido por software, de manera que el conmutador realice la operación indicada por la política de procesamiento en el paquete de datos del ataque con la información de descripción, interactuando la interfaz (41) de comunicaciones del nodo de gestión con una interfaz (51) de comunicaciones del controlador SDN,
    en donde:
    la unidad (11) de determinación está configurada específicamente para obtener una política de procesamiento predeterminada en el paquete de datos de ataque del tipo de ataque según el tipo de ataque recibido por la unidad (10) de recepción.
  6. 6. - El nodo de gestión según la reivindicación 5, en donde:
    la unidad (11) de determinación está configurada específicamente para generar una política de procesamiento en el paquete de datos de ataque del tipo de ataque según el tipo de ataque recibido por la unidad (10) de recepción y un algoritmo predeterminado.
  7. 7. - El nodo de gestión según una cualquiera de las reivindicaciones 5 y 6, en donde:
    la operación indicada por la política de procesamiento determinada por la unidad (11) de determinación comprende: una acción de procesamiento en el paquete de datos de ataque con la información de descripción, o una acción de procesamiento en el paquete de datos de ataque con la información de descripción y un momento para realizar la acción de procesamiento.
  8. 8. - El nodo de gestión según una cualquiera de las reivindicaciones 5 a 7, en donde:
    la unidad (11) de determinación está configurada específicamente para: cuando la unidad (10) de recepción recibe información de descripción de múltiples paquetes de datos de ataque y tipos de ataque de los múltiples paquetes de datos de ataque, en donde la información de descripción y los tipos de ataque se envían mediante múltiples nodos de conocimiento, determinar al menos dos tipos de ataque iguales según los tipos de ataque de los múltiples paquetes de datos de ataque, y determinar, según uno de los al menos dos tipos de ataque, una política de procesamiento en el paquete de datos de ataque del tipo de ataque.
  9. 9. - Un sistema de comunicaciones, que comprende:
    un nodo de gestión según una cualquiera de las reivindicaciones 5 a 8;
    un conmutador;
    un controlador de red definido por software, SDN que comprende:
    una unidad (20) de recepción, configurada para recibir información de descripción de un paquete de datos de ataque y una política de procesamiento en el paquete de datos de ataque con la información de descripción, donde la información de descripción y la política de procesamiento se envían mediante en nodo de gestión; y
    una unidad (21) de envío, configurada para enviar la información de descripción y la política de procesamiento que son recibidas por la unidad de recepción al conmutador, de manera que el conmutador realice una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción;
    un nodo de conocimiento, que comprende:
    una unidad (30) de identificación, configurada para identificar un paquete de datos recibido como un paquete de datos de ataque;
    una unidad (31) de determinación, configurada para determinar la información de descripción del paquete de datos de ataque identificado por la unidad de identificación y un tipo de ataque del paquete de datos de ataque; y una unidad (32) de envío, configurada para enviar la información de descripción y el tipo de ataque que se determinan mediante la unidad de determinación al nodo de gestión, donde el tipo de ataque se utiliza por el nodo de gestión para determinar una política de procesamiento en el paquete de datos de ataque del tipo de ataque, y la política de procesamiento se utiliza para indicarle a un conmutador que reenvíe un paquete de datos para realizar una operación indicada por la política de procesamiento en el paquete de datos de ataque con la información de descripción.
ES15871852T 2014-12-22 2015-12-06 Método, aparato y sistema de procesamiento de paquete de datos de ataque Active ES2833402T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201410810857.XA CN104580168B (zh) 2014-12-22 2014-12-22 一种攻击数据包的处理方法、装置及系统
PCT/CN2015/096509 WO2016101783A1 (zh) 2014-12-22 2015-12-06 一种攻击数据包的处理方法、装置及系统

Publications (1)

Publication Number Publication Date
ES2833402T3 true ES2833402T3 (es) 2021-06-15

Family

ID=53095349

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15871852T Active ES2833402T3 (es) 2014-12-22 2015-12-06 Método, aparato y sistema de procesamiento de paquete de datos de ataque

Country Status (7)

Country Link
US (1) US10742682B2 (es)
EP (1) EP3226508B1 (es)
JP (1) JP2018500830A (es)
KR (1) KR20170106351A (es)
CN (1) CN104580168B (es)
ES (1) ES2833402T3 (es)
WO (1) WO2016101783A1 (es)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201605198A (zh) 2014-07-31 2016-02-01 萬國商業機器公司 智慧網路管理裝置以及管理網路的方法
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN105262753A (zh) * 2015-10-28 2016-01-20 广州西麦科技股份有限公司 一种基于sdn虚拟交换机的安全策略的系统及方法
CN105516129A (zh) * 2015-12-04 2016-04-20 重庆邮电大学 基于sdn技术实现僵尸网络控制信道阻断的方法和装置
CN107135185A (zh) * 2016-02-26 2017-09-05 华为技术有限公司 一种攻击处理方法、设备及系统
WO2017166047A1 (zh) * 2016-03-29 2017-10-05 华为技术有限公司 网络攻击防御策略发送、网络攻击防御的方法和装置
CN106209784B (zh) * 2016-06-24 2019-09-17 新华三技术有限公司 一种数据过滤方法和装置
CN106506264B (zh) * 2016-10-31 2019-11-19 中国科学院信息工程研究所 一种基于sdn的自定义数据包采样方法
CN107070791A (zh) * 2016-12-29 2017-08-18 北京邮电大学 一种sdn网络系统及其数据传输方法
US10257152B2 (en) * 2017-03-10 2019-04-09 Nicira, Inc. Suppressing ARP broadcasting in a hypervisor
CN107579928B (zh) * 2017-10-16 2019-12-17 成都西加云杉科技有限公司 流量转发方法及系统
US10931696B2 (en) 2018-07-13 2021-02-23 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies
US11271960B2 (en) 2017-12-06 2022-03-08 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of anomalies
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
US11765200B2 (en) 2018-04-17 2023-09-19 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes and operator network for enabling management of an attack towards an application
CN111107035B (zh) * 2018-10-25 2022-05-17 中国电子科技集团公司电子科学研究院 基于行为辨识的安全态势感知与防护方法及装置
US11582120B2 (en) 2019-05-30 2023-02-14 Vmware, Inc. Partitioning health monitoring in a global server load balancing system
CN110366170A (zh) * 2019-06-15 2019-10-22 浙江大学 一种基于软件定义安全的无线网络安全防御办法
CN110798442B (zh) * 2019-09-10 2023-01-20 广州西麦科技股份有限公司 数据注入攻击检测方法及相关装置
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US12079502B2 (en) 2019-11-22 2024-09-03 Pure Storage, Inc. Storage element attribute-based determination of a data protection policy for use within a storage system
US12079356B2 (en) 2019-11-22 2024-09-03 Pure Storage, Inc. Measurement interval anomaly detection-based generation of snapshots
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US12079333B2 (en) 2019-11-22 2024-09-03 Pure Storage, Inc. Independent security threat detection and remediation by storage systems in a synchronous replication arrangement
US12067118B2 (en) 2019-11-22 2024-08-20 Pure Storage, Inc. Detection of writing to a non-header portion of a file as an indicator of a possible ransomware attack against a storage system
US12153670B2 (en) 2019-11-22 2024-11-26 Pure Storage, Inc. Host-driven threat detection-based protection of storage elements within a storage system
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US12561428B2 (en) 2019-11-22 2026-02-24 Pure Storage, Inc. Remote analysis of potentially corrupt data written to a storage system
US12050683B2 (en) * 2019-11-22 2024-07-30 Pure Storage, Inc. Selective control of a data synchronization setting of a storage system based on a possible ransomware attack against the storage system
US12050689B2 (en) 2019-11-22 2024-07-30 Pure Storage, Inc. Host anomaly-based generation of snapshots
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US12204657B2 (en) 2019-11-22 2025-01-21 Pure Storage, Inc. Similar block detection-based detection of a ransomware attack
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US12248566B2 (en) 2019-11-22 2025-03-11 Pure Storage, Inc. Snapshot deletion pattern-based determination of ransomware attack against data maintained by a storage system
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US12411962B2 (en) 2019-11-22 2025-09-09 Pure Storage, Inc. Managed run-time environment-based detection of a ransomware attack
US11909653B2 (en) * 2020-01-15 2024-02-20 Vmware, Inc. Self-learning packet flow monitoring in software-defined networking environments
CN112152854B (zh) * 2020-09-25 2023-11-07 绿盟科技集团股份有限公司 一种信息处理方法及装置
WO2022092788A1 (en) 2020-10-29 2022-05-05 Samsung Electronics Co., Ltd. Methods and system for securing a sdn controller from denial of service attack
CN112738089B (zh) * 2020-12-29 2023-03-28 中国建设银行股份有限公司 一种复杂网络环境下的源ip自动回溯方法和装置
US11811861B2 (en) 2021-05-17 2023-11-07 Vmware, Inc. Dynamically updating load balancing criteria
US12200008B2 (en) 2021-07-20 2025-01-14 VMware LLC Security aware load balancing for a global server load balancing system
US20230024475A1 (en) * 2021-07-20 2023-01-26 Vmware, Inc. Security aware load balancing for a global server load balancing system
US12107821B2 (en) 2022-07-14 2024-10-01 VMware LLC Two tier DNS
US12316601B2 (en) 2022-07-14 2025-05-27 VMware LLC Two tier DNS
CN115333938B (zh) * 2022-07-19 2024-03-26 岚图汽车科技有限公司 一种车辆安全防护控制方法及相关设备
JP7434672B1 (ja) * 2023-03-03 2024-02-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理方法および情報処理プログラム
JP2024124607A (ja) * 2023-03-03 2024-09-13 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信システム、通信方法及びコンピュータープログラム
AU2023435882B2 (en) * 2023-03-03 2026-02-12 NTT DOCOMO BUSINESS, Inc. Information processing system, information processing method, and information processing program
WO2024185161A1 (ja) * 2023-03-03 2024-09-12 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理方法および情報処理プログラム
WO2024185163A1 (ja) * 2023-03-03 2024-09-12 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理方法および情報処理プログラム

Family Cites Families (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204082B2 (en) * 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
DE102004016582A1 (de) * 2004-03-31 2005-10-27 Nec Europe Ltd. Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
US8180742B2 (en) * 2004-07-01 2012-05-15 Emc Corporation Policy-based information management
US20060075093A1 (en) * 2004-10-05 2006-04-06 Enterasys Networks, Inc. Using flow metric events to control network operation
CN100362803C (zh) * 2004-10-15 2008-01-16 华中科技大学 基于聚类与关联的网络安全报警系统
US7440406B2 (en) * 2004-12-29 2008-10-21 Korea University Industry & Academy Cooperation Foundation Apparatus for displaying network status
CN1905555B (zh) * 2005-07-30 2010-07-07 华为技术有限公司 基于ngn业务的防火墙控制系统及方法
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US9794272B2 (en) * 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
JP4664257B2 (ja) * 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法
KR100826884B1 (ko) * 2006-11-27 2008-05-06 한국전자통신연구원 보안큐브를 이용한 네트워크 상태 표시장치 및 방법
US20090007100A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
US9009828B1 (en) * 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US7945587B2 (en) * 2007-10-10 2011-05-17 Microsoft Corporation Random allocation of media storage units
US8261317B2 (en) * 2008-03-27 2012-09-04 Juniper Networks, Inc. Moving security for virtual machines
US8990911B2 (en) * 2008-03-30 2015-03-24 Emc Corporation System and method for single sign-on to resources across a network
US8490150B2 (en) * 2009-09-23 2013-07-16 Ca, Inc. System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems
US8726334B2 (en) * 2009-12-09 2014-05-13 Microsoft Corporation Model based systems management in virtualized and non-virtualized environments
US20110231361A1 (en) * 2009-12-31 2011-09-22 Fiberlink Communications Corporation Consolidated security application dashboard
US10103939B2 (en) * 2010-07-06 2018-10-16 Nicira, Inc. Network control apparatus and method for populating logical datapath sets
US8621629B2 (en) * 2010-08-31 2013-12-31 General Electric Company System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target
CN102959908B (zh) 2010-11-22 2016-04-20 日本电气株式会社 用于控制分组流的转发路径的通信系统、通信设备、控制器和方法以及程序
EP2892209B1 (en) * 2011-06-30 2016-11-09 Huawei Technologies Co., Ltd. Method, apparatus, and system for transmitting media data based on OTT
EP2748716B1 (en) * 2011-11-15 2018-05-16 Nicira Inc. Network control system for configuring middleboxes
US9710644B2 (en) * 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
US9137258B2 (en) * 2012-02-01 2015-09-15 Brightpoint Security, Inc. Techniques for sharing network security event information
US9130977B2 (en) * 2012-04-18 2015-09-08 Radware, Ltd. Techniques for separating the processing of clients' traffic to different zones
US9374301B2 (en) * 2012-05-18 2016-06-21 Brocade Communications Systems, Inc. Network feedback in software-defined networks
US9571523B2 (en) * 2012-05-22 2017-02-14 Sri International Security actuator for a dynamically programmable computer network
US9647938B2 (en) * 2012-06-11 2017-05-09 Radware, Ltd. Techniques for providing value-added services in SDN-based networks
US9304801B2 (en) * 2012-06-12 2016-04-05 TELEFONAKTIEBOLAGET L M ERRICSSON (publ) Elastic enforcement layer for cloud security using SDN
US9094459B2 (en) * 2012-07-16 2015-07-28 International Business Machines Corporation Flow based overlay network
US20140052877A1 (en) * 2012-08-16 2014-02-20 Wenbo Mao Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
US9306840B2 (en) * 2012-09-26 2016-04-05 Alcatel Lucent Securing software defined networks via flow deflection
CN103051605B (zh) * 2012-11-21 2016-06-29 国家计算机网络与信息安全管理中心 一种数据包处理方法、装置和系统
KR101415850B1 (ko) * 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법
CN104885431B (zh) * 2012-12-13 2018-11-20 华为技术有限公司 软件定义信息中心网络中基于内容的流量工程的方法及装置
CN103051557B (zh) * 2012-12-27 2016-07-06 华为技术有限公司 数据流处理方法及系统、控制器、交换设备
US9130901B2 (en) * 2013-02-26 2015-09-08 Zentera Systems, Inc. Peripheral firewall system for application protection in cloud computing environments
WO2014133025A1 (ja) * 2013-02-27 2014-09-04 日本電気株式会社 通信システム、上位コントローラ、ネットワークの制御方法及びプログラム
US9912521B2 (en) * 2013-03-13 2018-03-06 Dell Products L.P. Systems and methods for managing connections in an orchestrated network
US9578061B2 (en) * 2013-03-13 2017-02-21 FireMon, LLC System and method for modeling a networking device policy
EP2978172A4 (en) * 2013-03-22 2016-11-09 Nec Corp SYSTEM FOR PROVIDING NETWORK STATISTICS INFORMATION, METHOD FOR PROVIDING NETWORK STATISTICS INFORMATION AND PROGRAM
CN103152361B (zh) * 2013-03-26 2015-12-02 华为技术有限公司 访问控制方法及设备、系统
US9973429B2 (en) * 2013-04-05 2018-05-15 Futurewei Technologies, Inc. Software defined networking (SDN) controller orchestration and network virtualization for data center interconnection
US9973375B2 (en) * 2013-04-22 2018-05-15 Cisco Technology, Inc. App store portal providing point-and-click deployment of third-party virtualized network functions
US10868856B2 (en) * 2013-07-19 2020-12-15 Nokia Solutions And Networks Oy Network element and method of running applications in a cloud computing system
CN105745886B (zh) * 2013-09-23 2019-06-04 迈克菲有限公司 在两个实体之间提供快速路径
US9350632B2 (en) * 2013-09-23 2016-05-24 Intel Corporation Detection and handling of virtual network appliance failures
US9633041B2 (en) * 2013-09-26 2017-04-25 Taiwan Semiconductor Manufacturing Co., Ltd. File block placement in a distributed file system network
WO2015061353A1 (en) * 2013-10-21 2015-04-30 Nyansa, Inc. A system and method for observing and controlling a programmable network using a remote network manager
CN104639504B (zh) * 2013-11-12 2018-09-21 华为技术有限公司 网络协同防御方法、装置和系统
US9516061B2 (en) * 2013-11-26 2016-12-06 Cisco Technology, Inc. Smart virtual private network
US20150169345A1 (en) * 2013-12-18 2015-06-18 International Business Machines Corporation Software-defined networking (sdn) for management of traffic between virtual processors
US9432257B2 (en) * 2013-12-27 2016-08-30 Huawei Technologies Co., Ltd. Traffic behavior driven dynamic zoning for distributed traffic engineering in SDN
WO2015100656A1 (zh) * 2013-12-31 2015-07-09 华为技术有限公司 一种实现虚拟机通信的方法和装置
US9397917B2 (en) * 2014-01-10 2016-07-19 Huawei Technologies Co., Ltd. System and method for zoning in software defined networks
US9350677B2 (en) * 2014-01-16 2016-05-24 International Business Machines Corporation Controller based network resource management
US9215213B2 (en) * 2014-02-20 2015-12-15 Nicira, Inc. Method and apparatus for distributing firewall rules
US9338181B1 (en) * 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
US20150263960A1 (en) * 2014-03-14 2015-09-17 Avni Networks Inc. Method and apparatus for cloud bursting and cloud balancing of instances across clouds
US20150341377A1 (en) * 2014-03-14 2015-11-26 Avni Networks Inc. Method and apparatus to provide real-time cloud security
US20150326425A1 (en) * 2014-05-12 2015-11-12 Ntt Innovation Institute, Inc. Recording, analyzing, and restoring network states in software-defined networks
US10374972B2 (en) * 2014-05-13 2019-08-06 Telefonaktiebolaget Lm Ericsson (Publ) Virtual flow network in a cloud environment
WO2015174989A1 (en) * 2014-05-15 2015-11-19 Hewlett-Packard Development Company, L.P. Network traffic tuning
EP3072259A1 (en) * 2014-06-17 2016-09-28 NEC Europe Ltd. Efficient access control for trigger events in sdn
US10666689B2 (en) * 2014-06-30 2020-05-26 Alcatel Lucent Security in software defined network
EP3167577B1 (en) * 2014-07-08 2020-09-09 Nokia Solutions and Networks Oy Method of operating a network entity
US9847934B2 (en) * 2014-09-09 2017-12-19 Nxp Usa, Inc. Reducing packet reordering in flow-based networks
JP2016063285A (ja) * 2014-09-16 2016-04-25 富士通株式会社 制御装置、通信システム、及び、制御方法
TWI542172B (zh) * 2014-09-22 2016-07-11 財團法人工業技術研究院 路徑更換方法與系統及其控制器
US20160094668A1 (en) * 2014-09-29 2016-03-31 Alcatel-Lucent Usa Inc. Method and apparatus for distributed customized data plane processing in a data center
US9954775B2 (en) * 2014-11-25 2018-04-24 Electronics And Telecommunications Research Institute Software-defined network (SDN) system using host abstraction, and method for implementing the same
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
US9584477B2 (en) * 2015-02-26 2017-02-28 International Business Machines Corporation Packet processing in a multi-tenant software defined network (SDN)
US20160254984A1 (en) * 2015-02-27 2016-09-01 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. Method and system for delivering service-enabled flow paths across multiple domains in sdn networks
KR101703088B1 (ko) * 2015-04-10 2017-02-22 쿨클라우드(주) Sdn 기반의 통합 라우팅 방법 및 그 시스템
EP3295644B1 (en) * 2015-05-08 2021-06-30 Citrix Systems Inc. Systems and methods for improving security of secure socket layer (ssl) communications
WO2016202358A1 (en) * 2015-06-15 2016-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Information exchange between a mobile transport network and a core network
US10057193B2 (en) * 2015-12-31 2018-08-21 Fortinet, Inc. Cardinality based packet processing in software-defined networking (SDN) switches

Also Published As

Publication number Publication date
US20170295207A1 (en) 2017-10-12
US10742682B2 (en) 2020-08-11
EP3226508B1 (en) 2020-09-23
EP3226508A4 (en) 2017-12-20
CN104580168A (zh) 2015-04-29
WO2016101783A1 (zh) 2016-06-30
KR20170106351A (ko) 2017-09-20
EP3226508A1 (en) 2017-10-04
CN104580168B (zh) 2019-02-26
JP2018500830A (ja) 2018-01-11

Similar Documents

Publication Publication Date Title
ES2833402T3 (es) Método, aparato y sistema de procesamiento de paquete de datos de ataque
JP7532484B2 (ja) パケット処理方法及び装置、及び、関連するデバイス
US11115391B2 (en) Securing end-to-end virtual machine traffic
ES2880369T3 (es) Método para identificar información de aplicación en el tráfico de red, y aparato
EP3522460B1 (en) Flow table processing method and apparatus
EP3138243B1 (en) Network service insertion
EP3110084B1 (en) Method for generating forwarding information, controller and service forwarding entity
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
EP3800842B1 (en) Method for sending bgp message, method for receiving bgp message, and device
CN103812770A (zh) 云业务报文重定向的方法、系统和云网关
WO2014143025A1 (en) Secure path determination between devices
US20180131602A1 (en) System and method for routing in software defined networks using a flow header
CN112449751A (zh) 一种数据传输方法、交换机及站点
CN104702560A (zh) 一种防止报文攻击方法及装置
CN102769557B (zh) 一种业务数据报文的传输方法及装置
WO2017213745A1 (en) Self-protecting computer network router with queue resource manager
CN107689942A (zh) 业务处理方法及装置
CN110912853A (zh) 防仿冒攻击检查的方法、设备和系统
JP5178573B2 (ja) 通信システムおよび通信方法
JP2017200152A (ja) 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
WO2025029736A1 (en) Determining security actions at policy-enforcement points using metadata representing a security chain for a data flow
CN110602110A (zh) 一种全网端口隔离方法、装置、设备及存储介质
US20180097776A1 (en) Network protection entity and method for protecting a communication network against fraud messages
JP6683480B2 (ja) 通信装置及び通信システム
Lesokhin et al. Flow-based tunneling for SR-IOV using switchdev API