CN107682342B - 一种基于openflow的DDoS流量牵引的方法和*** - Google Patents

一种基于openflow的DDoS流量牵引的方法和*** Download PDF

Info

Publication number
CN107682342B
CN107682342B CN201710967131.0A CN201710967131A CN107682342B CN 107682342 B CN107682342 B CN 107682342B CN 201710967131 A CN201710967131 A CN 201710967131A CN 107682342 B CN107682342 B CN 107682342B
Authority
CN
China
Prior art keywords
port
openflow
flow
virtual port
ddos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710967131.0A
Other languages
English (en)
Other versions
CN107682342A (zh
Inventor
刘敬一
金利
杨锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Centec Communications Co Ltd
Original Assignee
Centec Networks Suzhou Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Centec Networks Suzhou Co Ltd filed Critical Centec Networks Suzhou Co Ltd
Priority to CN201710967131.0A priority Critical patent/CN107682342B/zh
Publication of CN107682342A publication Critical patent/CN107682342A/zh
Application granted granted Critical
Publication of CN107682342B publication Critical patent/CN107682342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明揭示了一种基于OpenFlow的DDoS流量牵引方法,方法包括:在OpenFlow交换机上创建虚拟端口;在OpenFlow控制器中创建类型为Fast‑Failover的Group表,Group表包括至少两个动作指令桶,第一个动作指令桶的监测端口为虚拟端口,出口为受保护网络和/或设备的端口,第二个动作指令桶的监测端口和出口均为流量清洗设备端口;在OpenFlow控制器中配置优先级最高,且应用Group表中的动作指令桶匹配进入受保护网络和/或设备报文的Flow表;OpenFlow控制器通过控制虚拟端口的开启或者关闭实现流量的牵引,减少DDoS攻击带来的危害。

Description

一种基于openflow的DDoS流量牵引的方法和***
技术领域
本发明涉及一种网络安全技术领域,尤其是涉及一种基于OpenFlow的DDoS流量牵引方法及***。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
当出现DDoS攻击时需要进行流量牵引,以使得被攻击目标减轻负担。如图1所示,通过将DDoS保护器部署在路由器旁,DDoS保护器与路由器通过BGP(Border GatewayProtocol,边界网关协议)连接;在靠近保护对象的网络区域,部署DDoS检测器或IDS(Intrusion Detection Systems,入侵检测***)入侵检测,或流量监测等设备,用于发现是否存在DDoS 攻击。
当DDoS检测器发现有DDoS攻击发生,而且确认被攻击对象的地址或网段时,DDoS检测器发出告警信息给DDoS保护器,DDoS保护器根据告警信息确定被攻击对象的IP地址或网段。DDoS保护器自动启动防护,向路由器广播一条与被攻击网段相关的BGP路由,并设置下一跳地址是 DDoS保护器的地址。由于BGP路由的优先级高于OSPF/ISIS等IGP路由,这时路由器中关于被攻击网段的路发生变化,下一跳不再是原来的下一跳地址,而变成了DDoS保护器的地址(图中虚线表示的流向)。对于不支持 BGP协议的设备就无法实现流量的牵引。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种基于OpenFlow的 DDoS流量牵引方法及***,无需设备支持复杂的BGP路由协议即可实现流量牵引。
为实现上述目的,本发明提出如下技术方案:一种基于OpenFlow的 DDoS流量牵引方法,包括如下步骤:
步骤S1,在OpenFlow交换机上创建虚拟端口;
步骤S2,在OpenFlow控制器中创建类型为Fast-Failover的Group表,所述Group表包括至少两个动作指令桶,且第一个动作指令桶的监测端口为虚拟端口,出口为受保护网络和/或设备的端口,第二个动作指令桶的监测端口和出口为均为流量清洗设备端口;
步骤S3,在OpenFlow控制器配置Flow表,且所述Flow表被配置为:优先级最高,且应用所述Group表中的动作指令桶匹配进入受保护网络/设备的报文;
步骤S4,当发生DDoS攻击时,OpenFlow控制器控制虚拟端口关闭,使流量转发至流量清洗设备中;
当流量降到阈值以下时,OpenFlow控制器控制虚拟端口开启,使流量转发至受保护网络和/或设备中。
优选地,步骤S1中,所述虚拟端口默认状态为开启状态。
优选地,步骤S3中,所述OpenFlow控制器通过发送OpenFlow协议报文控制虚拟端口开启或关闭。
优选地,步骤S3中,所述OpenFlow协议报文为Port Modification Message,且Port Modification Message中的OFPPC_PORT_DOWN置为1 时,虚拟端口关闭;置为0时,虚拟端口开启。
优选地,所述流量清洗设备包括DDoS保护器。
一种基于OpenFlow的DDoS流量牵引***,包括
虚拟端口创建模块、OpenFlow控制器、OpenFlow交换机,以及流量清洗设备,其中:
OpenFlow交换机用于转发报文;
虚拟创建端口模块用于在OpenFlow交换机中创建虚拟端口;
OpenFlow控制器包括Group表创建模块、Flow表创建模块,以及端口控制模块;其中,
Group表创建模块用于创建类型为Fast-Failover的Group表,且所述 Group表包括至少两个动作指令桶,第一个动作指令桶被配置为:监测端口为虚拟端口,出口为受保护的网络/设备端口;第二动作指令桶被配置为:监测端口和出口均为流量清洗设备端口;
Flow表创建模块用于创建Flow表,且所述Flow表被配置为:优先级最高,应用所述Group表中的动作指令桶匹配进入受保护的网络/设备的报文;
端口控制模块用于在发生DDoS攻击时控制虚拟端口关闭,使流量被转发至流量清洗设备中;在流量降到阈值以下时控制虚拟端口开启,使流量被转发至受保护的网络和/或设备;
流量清洗设备用于对攻击流量进行处理。
优选地,所述虚拟端口默认状态为开启状态。
优选地,所述端口控制模块通过发送OpenFlow协议报文控制虚拟端口开启或关闭。
优选地,所述OpenFlow协议报文为Port Modification Message,且PortModification Message中的OFPPC_PORT_DOWN置为1时,虚拟端口关闭;置为0时,虚拟端口开启。
优选地,所述流量清洗设备包括DDoS保护器。
本发明的有益效果是:
本发明所述的一种基于OpenFlow的DDoS流量牵引方法及***,无需设备支持复杂的BGP协议,只需通过设置虚拟端口,并通过简单的 OpenFlow协议报文控制虚拟端口的开启或者关闭,从而实现流量的牵引,减轻DDoS攻击带来的危害。
附图说明
图1是现有技术网络拓扑示意图;
图2是本发明的方法流程示意图;
图3是本发明***结构框图示意图;
图4是图3中OpenFlow控制器结构框图示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明所揭示的一种基于OpenFlow的DDoS流量牵引方法及***,在无需设备支持BGP协议的情况下即可实现DDoS流量的牵引,减轻DDoS 攻击带来的危害。
本实施例中,以虚拟交换机为例对基于OpenFlow的DDoS流量牵引方法进行详细的说明。当然,不限于本实施例中的虚拟交换机,也可以是真实的交换机。
结合图2和图3所示,一种基于OpenFlow的DDoS流量牵引方法,包括如下步骤:
步骤1,在OpenFlow交换机上创建虚拟端口;
具体的,虚拟端口用于作为第一个动作指令桶的监测端口 (watch_port),其状态与第一个动作指令桶是否可用相关联。即当虚拟端口为开启状态时,第一个动作指令桶可用,所有通过OpenFlow交换机的报文都执行第一个动作指令桶中的动作;当第虚拟端口为关闭状态时,第一个动作指令桶不可用,所有通过OpenFlow交换机的报文执行下一个处于可用状态的动作指令桶。
本实施例中所述的虚拟端口默认状态为开启状态,因此,当报文进入 OpenFlow交换机时,首先执行第一个动作指令桶的动作(第一个动作指令桶的优先级最高)。本实施例中创建一个虚拟端口(loopback0),并将其加入虚拟交换机的数据库中,并为其配置一个端口号,如端口号300。需要说明的是,虚拟端口仅作为监测端口使用,不作为流量转发端口使用。
步骤S2,在OpenFlow控制器中创建类型为Fast-Failover的Group表,并且所述Group表至少包括两个动作指令桶,且第一个动作指令桶的监测端口为虚拟端口,出口为受保护网络和/或设备的端口,第二个动作指令桶的监测端口和出口为均为流量清洗设备端口。
具体的,在类型为Fast-Failover的Group表中,每个动作指令桶都包括一个监测端口(watch_port)和出口(output_port),监测端口的状态与该动作指令桶是否可用相关,并且按照Group表中动作指令桶的配置顺序,当第一个动作指令桶可用时,报文只能从第一个动作指令桶中的出口转发报文,当第一个动作指令桶不可用时,报文从下一个处于可用的动作指令桶中的出口转发报文。本实施例中,当第一个动作指令桶的监测端口关闭后,即虚拟端口关闭后,报文的转发执行第二个动作指令桶中的动作。当第一个动作指令桶的监测端口恢复后,执行第一个动作指令桶中的动作。
如图3所示,第一个动作指令桶的监测端口为上述设置的虚拟端口,出口为受保护网络/设备的端口,本实施例中为服务器;第二个动作指令桶的监测端口和出口均为流量清洗设备端口,本实施例中,采用DDoS保护器。当然,也可以采用流量清洗交换机等。
OpenFlow控制器中Group表的配置指令如下:
ovs-foctl add-group br0-O openflow13"group_id,type=ff, bucket=watch_port:A,output:B,bucket=watch_port:C,output:C",其中,A为虚拟端口号,B为受保护网络/设备的端口号,C为流量清洗设备端口号。
步骤S3,在OpenFlow控制器配置Flow表,所述Flow表被配置为:优先级最高,且应用所述Group表中的动作指令桶匹配进入受保护网络和/ 或设备的报文。
具体的,在报文匹配时根据Flow表依次进行匹配,并且优先级越高的 Flow表,越容易被使用。本实施例中,将Flow表配置为匹配服务器的报文,即所有到达服务器的报文都需要使用该Flow表。Flow表的动作属性配置为应用G roup表中的动作桶,即当虚拟端口为开启状态时,报文正常转发至服务器;当虚拟端口为关闭时,报文转发至流量清洗设备,实现了流量牵引,减少流量对服务器的攻击。
OpenFlow控制器中Flow表的配置指令如下:
ovs-foctl add-flow br0-O openflow13"priority=E,ip,nw_dst=F, action=group:1",其中,E为优先级,F为受保护网络/设备的IP地址。
步骤S4,当发生DDoS攻击时,OpenFlow控制器控制虚拟端口关闭,流量被转发至流量清洗设备中;
当流量降到阈值以下时,OpenFlow控制器控制虚拟端口开启,流量被转发至受保护网络和/或设备中。
具体的,如图3所示,当发生DDoS攻击时,OpenFlow控制器发送O penFlow协议报文至OpenFlow交换机,OpenFlow交换机对收到的OpenFl ow协议报文进行解析,判断是否为关闭虚拟端口指令。若是,则将虚拟端口关闭,此时,第一动作指令桶处于不可用状态。当第一个动作指令同处于不可用状态时,自动切换至第二个动作指令桶。第二个动作指令桶执行的是将流量转发至DDoS保护器中;DDoS保护器对攻击流量进行处理,如丢弃。本实施例中,OpenFlow交换机直连到服务器的链路依然是开启状态,且所述OpenFlow协议报文为PortModification Message,且Port Mo dification Message中的OFPPC_PORT_DOWN置为1表示将虚拟端口关闭,置为0时表示将虚拟端口开启。
当流量降到阀值以下时,OpenFlow控制器通过发送OpenFlow协议报文给OpenFlow交换机,OpenFlow交换机对收到的OpenFlow协议报文进行解析,判断是否为开启端口指令,若是,则将虚拟端口开启,此时,第一个动作指令桶处于可用状态。当第一个动作指令桶处于可用状态时,流量被正常转发至服务器,流量牵引结束。
进一步地,当有若干个数据流进入交换机时,根据数据流的数量在Op enFlow交换机中创建若干个虚拟端口,并在OpenFlow控制器中配置若干个Group表和Flow表,Flow表应用Group表中的动作指令桶匹配每个数据流的报文。其中,在每个Group表中,第一个动作指令桶的监测端口为虚拟端口,出口为受保护网络和/或设备的端口,第二个动作指令桶的监测端口和出口均为流量清洗设备端口,且每个Group表中的虚拟端口不相同。未发生DDoS攻击时,每个数据流中的报文正常转发至受保护网络和/或设备。当其中某一数据流发生DDoS攻击时,OpenFlow控制器控制匹配该数据流的Flow表所应用的Group表中第一个动作指令桶的监测端口关闭,从而使得该数据流中的报文被转发至流量清洗设备中,其他数据流中报文转发不受影响。若匹配每个数据流的Flow表所应用的Group表中第一个动作指令桶的监测端口均为同一个虚拟端口,则某一数据流发生DDoS攻击时, OpenFlow控制器控制虚拟端口关闭,则其他数据流中的报文全部被转发至流量清洗设备中,增加流量清洗设备的负担。
结合图3和图4所示,一种基于OpenFlow的DDoS流量牵引***,包括虚拟端口创建模块、OpenFlow控制器、OpenFlow交换机,以及流量清洗设备,其中,
OpenFlow交换机用于转发报文;
虚拟创建端口模块用于在OpenFlow交换机中创建虚拟端口;
OpenFlow控制器包括Group表创建模块、Flow表创建模块,以及端口控制模块;其中,
Group表创建模块用于创建类型为Fast-Failover的Group表,且所述 Group表包括至少两个动作指令桶,第一个动作指令桶被配置为:监测端口为虚拟端口,出口为受保护的网络/设备端口;第二动作指令桶被配置为:监测端口和出口均为为流量清洗设备端口;
Flow表创建模块用于创建Flow,且所述Flow表被配置为:应用所述 Group表中的动作指令桶匹配进入受保护的网络和/或设备的报文;
端口控制模块用于在发生DDoS攻击时控制虚拟端口关闭,使流量被转发至流量清洗设备中;
在流量降到阈值以下时控制虚拟端口开启,使流量被转发至受保护的网络/设备。
流量清洗设备用于对攻击流量进行处理。
具体的,虚拟端口创建模块在OpenFlow交换机中创建虚拟端口,并分配端口号,且虚拟端口的默认状态一直是开启状态。
Group表包括至少两个动作指令桶,其中,第一动作指令桶是否可用与虚拟端口相关,且出口指向受保护的网络/设备,第二动作指令桶的出口指向流量清洗设备。
在报文匹配时根据Flow表依次进行匹配,并且优先级越高的Flow表,越容易被使用。Flow表被配置为应用Group表中的动作指令桶匹配服务器的报文。即当虚拟端口为开启状态时,第一动作指令桶可用,报文被转发至受保护的网络/设备,即转发至服务器中。当虚拟端口为关闭状态时,第一动作指令桶不可用,第二动作指令桶可用,报文被转发至流量清洗设备中,即转发至流量清洗设备中,实现了流量牵引,减少流量对受保护的网络/设备的攻击。
端口控制模块通过向OpenFlow交换机发送OpenFlow协议报文控制虚拟端口的开启或者关闭。本实施例中,OpenFlow协议报文为Port Modific ation Message,且PortModification Message中的OFPPC_PORT_DOWN 置为1时,虚拟端口关闭;置为0时,虚拟端口开启。
流量清洗设备对转发至其上的攻击流量进行处理,如丢弃等,降低D DoS带来的危害。
本发明通过在OpenFlow控制器中创建类型为Fast-Failover的Group 表,以及Flow表,并且Group表中第一个动作指令桶是否可用与虚拟端口相关联,Flow表被配置为应用Group表中的动作指令桶匹配进入受保护的网络和/或设备中的报文。OpenFlow控制器通过控制虚拟端口的开启或者关闭实现流量的牵引,减少DDoS攻击带来的危害。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。

Claims (10)

1.一种基于OpenFlow的DDoS流量牵引方法,其特征在于,包括如下步骤:
步骤S1,在OpenFlow交换机上创建虚拟端口;
步骤S2,在OpenFlow控制器中创建类型为Fast-Failover的Group表,所述Group表包括至少两个动作指令桶,且第一个动作指令桶的监测端口为虚拟端口,出口为受保护网络和/或设备的端口,第二个动作指令桶的监测端口和出口均为流量清洗设备端口;
步骤S3,在OpenFlow控制器中配置Flow表,且所述Flow表被配置为:优先级最高,且应用所述Group表中的动作指令桶匹配进入受保护网络和/或设备的报文;
步骤S4,当发生DDoS攻击时,OpenFlow控制器控制虚拟端口关闭,使流量转发至流量清洗设备中;
当流量降到阈值以下时,OpenFlow控制器控制虚拟端口开启,使流量转发至受保护网络和/或设备中。
2.根据权利要求1所述的基于OpenFlow的DDoS流量牵引方法,其特征在于,步骤S1中,所述虚拟端口默认状态为开启状态。
3.根据权利要求1所述的基于OpenFlow的DDoS流量牵引方法,其特征在于,步骤S3中,所述OpenFlow控制器通过发送OpenFlow协议报文控制虚拟端口开启或关闭。
4.根据权利要求3所述的基于OpenFlow的DDoS流量牵引方法,其特征在于,步骤S3中,所述OpenFlow协议报文为Port Modification Message,且Port Modification Message中的OFPPC_PORT_DOWN置为1时,虚拟端口关闭;置为0时,虚拟端口开启。
5.根据权利要求1所述的基于OpenFlow的DDoS流量牵引方法,其特征在于,所述流量清洗设备包括DDoS保护器。
6.一种基于OpenFlow的DDoS流量牵引***,其特征在于,包括
虚拟端口创建模块、OpenFlow控制器、OpenFlow交换机,以及流量清洗设备,其中:
OpenFlow交换机用于转发报文;
虚拟端口创建模块用于在OpenFlow交换机中创建虚拟端口;
OpenFlow控制器包括Group表创建模块、Flow表创建模块,以及端口控制模块;其中,
Group表创建模块用于创建类型为Fast-Failover的Group表,且所述Group表包括至少两个动作指令桶,第一个动作指令桶被配置为:监测端口为虚拟端口,出口为受保护的网络和/或设备端口;第二动作指令桶被配置为:监测端口和出口均为流量清洗设备端口;
Flow表创建模块用于创建Flow表,且所述Flow表被配置为:优先级最高,且应用所述Group表中的动作指令桶匹配进入受保护的网络和/或设备的报文;
端口控制模块用于在发生DDoS攻击时控制虚拟端口关闭,使流量被转发至流量清洗设备中;在流量降到阈值以下时控制虚拟端口开启,使流量被转发至受保护的网络和/或设备;
流量清洗设备用于对攻击流量进行处理。
7.根据权利要求6所述的基于OpenFlow的DDoS流量牵引***,其特征在于,所述虚拟端口默认状态为开启状态。
8.根据权利要求6所述的基于OpenFlow的DDoS流量牵引***,其特征在于,所述端口控制模块通过发送OpenFlow协议报文控制虚拟端口开启或关闭。
9.根据权利要求8所述的基于OpenFlow的DDoS流量牵引***,其特征在于,所述OpenFlow协议报文为Port Modification Message,且Port Modification Message中的OFPPC_PORT_DOWN置为1时,虚拟端口关闭;置为0时,虚拟端口开启。
10.根据权利要求6所述的基于OpenFlow的DDoS流量牵引***,其特征在于,所述流量清洗设备包括DDoS保护器。
CN201710967131.0A 2017-10-17 2017-10-17 一种基于openflow的DDoS流量牵引的方法和*** Active CN107682342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710967131.0A CN107682342B (zh) 2017-10-17 2017-10-17 一种基于openflow的DDoS流量牵引的方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710967131.0A CN107682342B (zh) 2017-10-17 2017-10-17 一种基于openflow的DDoS流量牵引的方法和***

Publications (2)

Publication Number Publication Date
CN107682342A CN107682342A (zh) 2018-02-09
CN107682342B true CN107682342B (zh) 2020-03-10

Family

ID=61139725

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710967131.0A Active CN107682342B (zh) 2017-10-17 2017-10-17 一种基于openflow的DDoS流量牵引的方法和***

Country Status (1)

Country Link
CN (1) CN107682342B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110290098B (zh) * 2018-03-19 2020-12-25 华为技术有限公司 一种防御网络攻击的方法及装置
CN111147478B (zh) * 2019-12-24 2022-08-12 北京网太科技发展有限公司 一种安全防护方法、装置及存储介质
CN112637244B (zh) * 2021-01-08 2023-07-07 江苏天翼安全技术有限公司 一种针对常见与工控协议及端口的威胁检测方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法
CN104601482A (zh) * 2013-10-30 2015-05-06 中兴通讯股份有限公司 流量清洗方法和装置
CN104639464A (zh) * 2015-01-09 2015-05-20 盛科网络(苏州)有限公司 OpenFlow交换机上实现跨交换机链路聚合的***及方法
CN104767762A (zh) * 2015-04-28 2015-07-08 亚信科技(南京)有限公司 一种安全防护***
CN105553728A (zh) * 2015-12-18 2016-05-04 南京大学 一种基于软件定义网络技术的网络容灾恢复***及方法
CN106411787A (zh) * 2016-08-30 2017-02-15 广州西麦科技股份有限公司 一种虚拟端口创建方法及网络***
CN106487683A (zh) * 2015-08-27 2017-03-08 中兴通讯股份有限公司 一种报文的处理方法及装置
CN106789630A (zh) * 2016-12-30 2017-05-31 瑞斯康达科技发展股份有限公司 一种网络保护方法及***、控制器、设备
CN106921666A (zh) * 2017-03-06 2017-07-04 中山大学 一种基于协同理论的DDoS攻击防御***及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130159487A1 (en) * 2011-12-14 2013-06-20 Microsoft Corporation Migration of Virtual IP Addresses in a Failover Cluster
US20160212048A1 (en) * 2015-01-15 2016-07-21 Hewlett Packard Enterprise Development Lp Openflow service chain data packet routing using tables

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法
CN104601482A (zh) * 2013-10-30 2015-05-06 中兴通讯股份有限公司 流量清洗方法和装置
CN104639464A (zh) * 2015-01-09 2015-05-20 盛科网络(苏州)有限公司 OpenFlow交换机上实现跨交换机链路聚合的***及方法
CN104767762A (zh) * 2015-04-28 2015-07-08 亚信科技(南京)有限公司 一种安全防护***
CN106487683A (zh) * 2015-08-27 2017-03-08 中兴通讯股份有限公司 一种报文的处理方法及装置
CN105553728A (zh) * 2015-12-18 2016-05-04 南京大学 一种基于软件定义网络技术的网络容灾恢复***及方法
CN106411787A (zh) * 2016-08-30 2017-02-15 广州西麦科技股份有限公司 一种虚拟端口创建方法及网络***
CN106789630A (zh) * 2016-12-30 2017-05-31 瑞斯康达科技发展股份有限公司 一种网络保护方法及***、控制器、设备
CN106921666A (zh) * 2017-03-06 2017-07-04 中山大学 一种基于协同理论的DDoS攻击防御***及方法

Also Published As

Publication number Publication date
CN107682342A (zh) 2018-02-09

Similar Documents

Publication Publication Date Title
KR101907752B1 (ko) 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
US10785266B2 (en) Methods and systems for protecting a secured network
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US9055006B2 (en) Techniques for traffic diversion in software defined networks for mitigating denial of service attacks
EP2882162B1 (en) Data stream security processing method and apparatus
CN108353068B (zh) Sdn控制器辅助的入侵防御***
EP3140769A1 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
CN107682342B (zh) 一种基于openflow的DDoS流量牵引的方法和***
CN104683333A (zh) 基于sdn的实现异常流量拦截的方法
WO2004070535A2 (en) Mitigating denial of service attacks
CN104618379A (zh) 一种面向idc业务场景的安全服务编排方法及网络结构
CN109995714B (zh) 一种处置流量的方法、装置和***
CN111163062B (zh) 一种针对交火攻击的多网络地址跳变安全防御方法
EP2977910A1 (en) Selective diversion and injection of communication traffic
KR101629089B1 (ko) 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법
US9036647B2 (en) Method and apparatus for network security
KR101914831B1 (ko) 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
Veena et al. Detection and mitigation of security attacks using real time SDN analytics
CN110519273B (zh) 入侵防御方法和装置
CN112866031B (zh) 路由配置方法、装置、设备及计算机可读存储介质
Hu et al. A framework for security on demand
Nisa et al. Conceptual review of DoS attacks in software defined networks
KR101948984B1 (ko) 스위치 손상을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR20180041977A (ko) 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
US20230028892A1 (en) Protection against malicious data traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 215101 unit 13 / 16, 4th floor, building B, No. 5, Xinghan street, Suzhou Industrial Park, Jiangsu Province

Patentee after: Suzhou Shengke Communication Co.,Ltd.

Address before: 215000 unit 13 / 16, floor 4, building B, No. 5, Xinghan street, Suzhou Industrial Park, Suzhou City, Jiangsu Province

Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd.