CN110298381B - 一种云安全服务功能树网络入侵检测*** - Google Patents

一种云安全服务功能树网络入侵检测*** Download PDF

Info

Publication number
CN110298381B
CN110298381B CN201910441565.6A CN201910441565A CN110298381B CN 110298381 B CN110298381 B CN 110298381B CN 201910441565 A CN201910441565 A CN 201910441565A CN 110298381 B CN110298381 B CN 110298381B
Authority
CN
China
Prior art keywords
network
module
tree
service
service function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910441565.6A
Other languages
English (en)
Other versions
CN110298381A (zh
Inventor
余顺争
罗经伦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN201910441565.6A priority Critical patent/CN110298381B/zh
Publication of CN110298381A publication Critical patent/CN110298381A/zh
Application granted granted Critical
Publication of CN110298381B publication Critical patent/CN110298381B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

本发明涉及网络监控领域,更具体的,涉及一种云安全服务功能树网络入侵检测***,所述的***包括服务树拓扑编排模块、服务树拓扑映射模块、流特征数据库模块、全局资源监控模块;本发明利用网络功能虚拟化技术提供云安全资源;根据云安全态势灵活定制安全防御策略,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别;依据安全防御策略,可在细分后的云安全服务功能树分支中,依据当前分支的网络流特性调度相应的云安全VNF进行更细粒度处理,大大提高了网络的安全性。

Description

一种云安全服务功能树网络入侵检测***
技术领域
本发明涉及网络监控领域,更具体地,涉及一种在SDN\NFV云计算环境中实现的基于决策树分类的云安全服务功能树网络入侵检测***。
背景技术
在接入网络的两台主机进行通信的过程中,其数据报文的传递需要经过分布在数据中心各处的各种网络功能节点,才能保证在通信的过程中能够为用户提供安全、迅捷、稳定的网络服务。当业务的网络流量需要按照业务逻辑所要求的既定顺序,经过相应的网络功能节点对网络数据报文处理再进行交付,这些网络流量所经过的网络功能节点及链路,通常叫做服务功能链。传统网络中的服务功能链和底层物理网络拓扑紧密耦合、难于部署、更新困难,而网络功能的实现依赖于静态部署于数据中心各处的专用网络功能硬件设备。在业务需求发生变更时,服务链为应对新的业务需求需要进行变更和负载能力扩容时,都需要对物理网络拓扑进行修改。
云计算概念的提出打破了传统数据中心的信息孤岛困局,在云计算数据中心中,得益于虚拟化技术的广泛使用,SDN技术和NFV技术实现了租户逻辑组网与底层物理网络的解耦,控制层和转发层的分离,虚拟化网络功能VNF的动态创建和灵活部署。因此,通过在云计算环境中部署服务功能链,为解决网络安全问题提供了新的思路。
发明内容
为克服上述现有技术所述的在业务需求发生变更时,服务链为应对新的业务需求需要进行变更和负载能力扩容时,都需要对物理网络拓扑进行修改的不足,本发明提供了一种云安全服务功能树网络入侵检测***。
为解决上述技术问题,本发明的技术方案如下:
一种云安全服务功能树网络入侵检测***,包括服务树拓扑编排模块、服务树拓扑映射模块、流特征数据库模块、全局资源监控模块;
所述流特征数据库模块用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;
所述的服务树拓扑编排模块用于结合云安全态势构建决策树分类模型,使用流特征数据库模块中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块;
所述的服务树拓扑映射模块用于接收服务树拓扑编排模块所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;
所述的全局资源监控模块用于对流特征数据库模块、服务树拓扑编排模块以及服务树拓扑映射模块中全网范围内的资源进行监控与维护,从而在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署。
优选的,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。
优选的,所述的服务树拓扑映射模块包括流量调度子模块以及VNF资源调度子模块,所述的流量调度子模块用于对网络数据报文进行分类治理,完成转发策略匹配;所述的VNF资源调度子模块用于根据服务功能树编排策略进行按需调度与分类。
优选的,所述的流量调度子模块利用OpenFlow多级流表根据来源方向来对网络数据报文进行分类治理。
优选的,所述的VNF资源调度子模块使用Docker容器作为虚拟网络功能的承载,根据服务功能树编排策略进行按需调度。
优选的,所述的全局资源监控模块还包括拓扑发现子模块、VNF资源监控子模块以及基础设施资源监控子模块;所述的拓扑发现子模块用于完成全网范围的网络拓扑发现和虚拟主机发现;所述的VNF资源监控子模块用于完成对全网范围内VNF资源的状态分析与统计;所述的基础设施资源监控子模块用于对基础设施层的物理设备运行状态进行监控;拓扑发现子模块,VNF资源监控子模块以及基础设施资源监控子模块各个子模块间相互独立工作,将各自监控的状态信息统一汇总递呈至全局资源监控模块中进行处理。优选的,所述的拓扑发现子模块通过对SDN控制器中进行模块化的二次开发而实现,该模块通过封装LLDP链路发现协议和ARP协议作为探测报文,完成全网范围的网络拓扑发现和虚拟主机发现。
优选的,所述的VNF资源监控子模块通过在VNF节点部署网络流特征采集模块并实时更新网络流特征信息至VNF资源监控子模块,完成对全网范围内VNF资源的状态分析与统计。
优选的,所述的基础设施资源监控子模块,通过实时获取全网范围内物理服务器的计算、存储和网络等资源的使用情况,来对基础设施层的物理设备运行状态进行监控。
与现有技术相比,本发明技术方案的有益效果是:
(1)为解决服务功能链处理逻辑单一,多条服务功能链间虚拟功能节点相互独立且复用率低等问题,本发明在虚拟逻辑网络层面提出了一个新的服务功能树型拓扑结构。通过对多个服务功能链的堆叠复用来优化功能和资源部署;在树型拓扑的分支结点实现不同种类网络流量的分流和分隔。
(2)依据决策树分类思想构建云安全服务功能树模型,将决策规则匹配节点映射到相应的服务功能树拓扑节点中,在服务功能树节点对流入该节点的网络流特征进行采集与分析,并与决策规则进行匹配从而决定网络流的下一跳分支走向,对可疑网络流量进行逐步细分识别。与单一节点上利用决策树对可疑网流量进行处理相比,服务功能树可以在每个决策规则匹配节点间,按照流量特征灵活嵌入相应的虚拟网络功能进行特异性处理。
附图说明
图1为本发明的***总体结构示意图;
图2为云安全服务树功能树拓扑的示意图;
图3为OVS双桥架构网络报文转发示意图;
图4为OpenFlow多级流表设计示意图;
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
如图1,图2所示,一种云安全服务功能树网络入侵检测***,包括服务树拓扑编排模块1、服务树拓扑映射模块2、流特征数据库模块3、全局资源监控模块4;
所述流特征数据库模块3用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;
所述的服务树拓扑编排模块1用于结合云安全态势构建决策树分类模型,使用流特征数据库模块3中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块2;
所述的服务树拓扑映射模块2用于接收服务树拓扑编排模块1所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;
所述的全局资源监控模块4用于对流特征数据库模块3、服务树拓扑编排模块1以及服务树拓扑映射模块2中全网范围内的资源进行监控与维护,在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署。
作为一个优选的实施例,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。
作为一个优选的实施例,所述的服务树拓扑映射模块2包括流量调度子模块5以及VNF资源调度子模块6,所述的流量调度子模块5用于对网络数据报文进行分类治理,完成转发策略匹配;所述的VNF资源调度子模块6用于根据服务功能树编排策略进行按需调度与分类。
作为一个优选的实施例,所述的流量调度子模块5利用OpenFlow多级流表根据来源方向来对网络数据报文进行分类治理。
作为一个优选的实施例,所述的VNF资源调度子模块6使用Docker容器作为虚拟网络功能的承载,根据服务功能树编排策略进行按需调度。
作为一个优选的实施例,所述的全局资源监控模块4还包括拓扑发现子模块7、VNF资源监控子模块8以及基础设施资源监控子模块9;所述的拓扑发现子模块7用于完成全网范围的网络拓扑发现和虚拟主机发现;所述的VNF资源监控子模块8用于完成对全网范围内VNF资源的状态分析与统计;所述的基础设施资源监控子模块9用于对基础设施层的物理设备运行状态进行监控;拓扑发现子模块7,VNF资源监控子模块8以及基础设施资源监控子模块9各个子模块间相互独立工作,将各自监控的状态信息统一汇总递呈至全局资源监控模块4中进行处理。
作为一个优选的实施例,所述的拓扑发现子模块7通过对SDN控制器中进行模块化的二次开发而实现,该模块通过封装LLDP链路发现协议和ARP协议作为探测报文,完成全网范围的网络拓扑发现和虚拟主机发现。
作为一个优选的实施例,所述的VNF资源监控子模块8通过在VNF节点部署网络流特征采集模块并实时更新网络流特征信息至VNF资源监控子模块8,完成对全网范围内VNF资源的状态分析与统计。
作为一个优选的实施例,所述的基础设施资源监控子模块9,通过实时获取全网范围内物理服务器的计算、存储和网络等资源的使用情况,来对基础设施层的物理设备运行状态进行监控。
图2所示为工作时,云安全服务树功能树拓扑示意图,最底层为多个数据中心硬件物理设备构成的基础设施;将底层物理设备资源进行虚拟化后构建云安全资源池,供云安全服务功能树进行调度和编排;中间层为对基础设施层资源进行虚拟化后,所形成的VNF云安全资源池的示意图,跨数据中心虚拟化后的VNF通信通过VxLAN隧道实现;最顶层为虚拟逻辑网络层中的树型拓扑结构,按照服务树拓扑编排策略连通各个VNF节点,构成树型拓扑,每条树的分支用于处理具有相应特征的网络流量。
实施例2
如图3以及图4所示,在本实施例将服务功能树的树状拓扑与决策树对网络攻击流量识别与分类特点相结合,把决策树节点的特征规则匹配分布式化至服务功能树的各个VNF节点中去实现。在决策树分类思想的指导下,每条以服务树的根结点为起点到每一个叶子结点的路径,都是具有某些特征的网络流量所流经的VNF节点路径。图3中为跨数据中心的VNF通信过程中,虚拟化的容器网络实现。在宿主机通过网络虚拟化技术构建两个OVS虚拟网桥,其中br-int虚拟网桥主要承担容器数据交换网络中的本地网段内数据包交换的角色;br-tun虚拟网桥则根据来源方向来对网络数据报文进行分类治理完成转发策略匹配。通过虚拟化技术,将VNF容器的虚拟网卡vNIC绑定至OVS虚拟网桥的虚拟端口vPort构建通信通道;通过构建VxLAN隧道,完成跨数据中心容器网络通信。1)服务树拓扑编排模块1
服务树拓扑编排模块1采用C4.5决策树算法来完成云安全服务功能树的编排与构建;通过二分法对取连续值的网络流特征进行离散化处理,二分法的核心思想是将特征Am的k个不同特征取值按照升序进行排序;利用二分法以临近两个特征取值的中间值作为阈值将所有特征取值分成两部分,共有k-1种划分方式;分别计算这k-1种划分方式对应的信息增益,当取得信息增益最大时,则选取该划分阈值为特征Am的二分阈值。
在构建决策树的过程中为防止过拟合现象的出现,采用悲观剪枝后剪枝算法,悲观剪枝算法不需要额外的测试数据集,自上而下对决策树进行修剪。
2)服务树拓扑映射模块2
根据云安全服务功能树的架构模型,为确保高可用和可拓展性,设计了一个OVS双桥架构方案,如图3所示。在宿主机通过网络虚拟化技术构建两个OVS虚拟网桥,其中br-int虚拟网桥主要承担容器数据交换网络中的本地网段内数据包交换的角色,完成VLAN标签的标记与剥离和正常的数据包转发功能;br-tun虚拟网桥则利用OpenFlow协议1.3版本的多级流表根据来源方向来对网络数据报文进行分类治理完成转发策略匹配,如图4所示为多级流表设计示意图;通过VxLAN的隧道封包技术,负责数据包在数据中心间的大二层网络范围内通信。OVS通过在br-int和br-tun两个虚拟网桥之间建立一对patch端口来实现数据包的流通。
如图4所示,br-tun虚拟网桥中多级流表的处理逻辑设计说明如下:
Table 0对所有流经br-tun虚拟网桥的数据包进行处理,依据来源不同将数据包提交给对应的下一级流表进行匹配处理。其中,本地网段的数据包从patch-int端口流入br-tun网桥,则将其传递给Table 1进行处理;跨数据中心间流入的数据包则从VxLAN端口流入,提交给Table 2进行处理。
Table 1完成本地网段数据包跨数据中心转发的功能。若为组播或广播报文,则跳转至Table 11中,将报文从所有的VxLAN端口泛洪发送;若为单播报文,则依据VLAN ID标签来判断数据报文的下一跳流向的数据中心隧道端口,并将报文向相应的隧道端口完成转发。
Table 2中,对别的数据中心流入本地网段的数据报文进行处理,根据相应的隧道来源Tunnel ID为报文标记相应的VLAN标签,通过patch-int端口递交给本地网段的虚拟网桥br-int进行处理。
Table 10中,对Table 1跳转递呈的单播报文进行处理,剥离VLANID后添加相应的VxLAN tunnel ID,并从相应的VxLAN端口发出。
Table 11中,对Table 1跳转递呈的组播或广播报文进行处理,剥离VLANID后从所有的VxLAN端口泛洪发出。
3)流特征数据库模块3
流特征数据库模块3主要存储了常见的网络攻击发生时,其网络流特征表现的统计值。针对常见的网络攻击的原理,选用9个网络流量特征来提供给决策树进行构建,分别为时间窗口内流入VNF的TCP数据包占全部数据包的比例、UDP数据包占全部数据包的比例、ICMP数据包占全部数据包的比例、TCP数据包中SYN数据包的比例、不同目的主机地址数据包占全部数据包的比例、不同目的端口数据包占全部数据包的比例、不同源主机数据包占全部数据包的比例、不同源端口数据包占全部数据包比例、流入VNF数据包的平均带宽。
在选取网络流特征中,网络流存在瞬时变化速率快且时间相关性低等特点,通过采用基于时间的统计特性,来实现对网络异常攻击流量更准确的反映;利用时间窗的概念,来平滑网络流瞬时变化属性,采用1秒的时间窗口来刻画流量特征。
4)全局资源监控模块4
全局监控模块主要为控制管理层提供全局视野,从拓扑发现子模块7中获取全网拓扑,从基础设施资源监控子模块9中获取全网范围的可用计算资源,从VNF资源监控子模块8中获取全网安全态势。
相同或相似的标号对应相同或相似的部件;
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (5)

1.一种云安全服务功能树网络入侵检测***,其特征在于,包括服务树拓扑编排模块(1)、服务树拓扑映射模块(2)、流特征数据库模块(3)、全局资源监控模块(4);
所述流特征数据库模块(3)用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;
所述的服务树拓扑编排模块(1)用于结合云安全态势构建决策树分类模型,使用流特征数据库模块(3)中构建好的训练集对决策树模型进行训练与剪枝,
将训练好的决策树分类模型传递给服务树拓扑映射模块(2);
所述的服务树拓扑映射模块(2)用于接收服务树拓扑编排模块(1)所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;
所述的全局资源监控模块(4)用于对流特征数据库模块(3)、服务树拓扑编排模块(1)以及服务树拓扑映射模块(2)中全网范围内的资源进行监控与维护,在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署;
所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理;
所述的服务树拓扑映射模块(2)包括流量调度子模块(5)以及VNF资源调度子模块(6),所述的流量调度子模块(5)用于对网络数据报文进行分类治理,完成转发策略匹配;所述的VNF资源调度子模块(6)用于根据服务功能树编排策略进行按需调度与分类;
所述的流量调度子模块(5)利用OpenFlow多级流表根据来源方向来对网络数据报文进行分类治理;
所述的VNF资源调度子模块(6)使用Docker容器作为虚拟网络功能的承载,根据服务功能树编排策略进行按需调度。
2.根据权利要求1所述的一种云安全服务功能树网络入侵检测***,其特征在于,所述的全局资源监控模块(4)还包括拓扑发现子模块(7)、VNF资源监控子模块(8)以及基础设施资源监控子模块(9);所述的拓扑发现子模块(7)用于完成全网范围的网络拓扑发现和虚拟主机发现;所述的VNF资源监控子模块(8)用于完成对全网范围内VNF资源的状态分析与统计;所述的基础设施资源监控子模块(9)用于对基础设施层的物理设备运行状态进行监控;拓扑发现子模块(7),VNF资源监控子模块(8)以及基础设施资源监控子模块(9)各个子模块间相互独立工作,将各自监控的状态信息统一汇总递呈至全局资源监控模块(4)中进行处理。
3.根据权利要求2所述的一种云安全服务功能树网络入侵检测***,其特征在于,所述的拓扑发现子模块(7)通过对SDN控制器中进行模块化的二次开发而实现,该模块通过封装LLDP链路发现协议和ARP协议作为探测报文,完成全网范围的网络拓扑发现和虚拟主机发现。
4.根据权利要求2所述的一种云安全服务功能树网络入侵检测***,其特征在于,所述的VNF资源监控子模块(8)通过在VNF节点部署网络流特征采集模块并实时更新网络流特征信息至VNF资源监控子模块,完成对全网范围内VNF资源的状态分析与统计。
5.根据权利要求2所述的一种云安全服务功能树网络入侵检测***,其特征在于,所述的基础设施资源监控子模块(9),通过实时获取全网范围内物理服务器的计算、存储和网络资源的使用情况,来对基础设施层的物理设备运行状态进行监控。
CN201910441565.6A 2019-05-24 2019-05-24 一种云安全服务功能树网络入侵检测*** Active CN110298381B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910441565.6A CN110298381B (zh) 2019-05-24 2019-05-24 一种云安全服务功能树网络入侵检测***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910441565.6A CN110298381B (zh) 2019-05-24 2019-05-24 一种云安全服务功能树网络入侵检测***

Publications (2)

Publication Number Publication Date
CN110298381A CN110298381A (zh) 2019-10-01
CN110298381B true CN110298381B (zh) 2022-09-20

Family

ID=68027162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910441565.6A Active CN110298381B (zh) 2019-05-24 2019-05-24 一种云安全服务功能树网络入侵检测***

Country Status (1)

Country Link
CN (1) CN110298381B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698326B (zh) * 2020-06-12 2023-01-31 北京百度网讯科技有限公司 用于确定云服务资源的成本归属的方法和装置
CN112564967B (zh) * 2020-12-02 2022-11-08 杭州谐云科技有限公司 基于eBPF的云服务拓扑自发现方法及***、电子设备、存储介质
CN114137861A (zh) * 2021-10-23 2022-03-04 西安电子科技大学 一种意图驱动的云安全服务***及方法
CN114143160B (zh) * 2021-10-25 2023-07-18 北京银盾泰安网络科技有限公司 一种云平台自动化运维***
CN114531287A (zh) * 2022-02-17 2022-05-24 恒安嘉新(北京)科技股份公司 虚拟资源获取行为的检测方法、装置、设备及介质
CN114629685B (zh) * 2022-02-17 2022-12-16 华南理工大学 一种行业专网硬切片服务功能链部署方法、装置及介质
CN115859277B (zh) * 2023-02-07 2023-05-02 四川大学 一种基于***调用序列的主机入侵检测方法

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119321A (zh) * 2007-09-29 2008-02-06 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
CN101686239A (zh) * 2009-05-26 2010-03-31 中山大学 一种木马发现***
US8892766B1 (en) * 2012-06-28 2014-11-18 Trend Micro Incorporated Application-based network traffic redirection for cloud security service
CN104363159A (zh) * 2014-07-02 2015-02-18 北京邮电大学 一种基于软件定义网络的开放虚拟网络构建***和方法
CN104580120A (zh) * 2013-10-28 2015-04-29 北京启明星辰信息技术股份有限公司 一种可按需服务的虚拟化网络入侵检测方法和装置
CN105491013A (zh) * 2015-11-20 2016-04-13 电子科技大学 一种基于sdn的多域网络安全态势感知模型及方法
CN105956661A (zh) * 2016-04-15 2016-09-21 中山大学 一种在sdn网络上实现dann在线训练的***
CN107332913A (zh) * 2017-07-04 2017-11-07 电子科技大学 一种5g移动网络中服务功能链的优化部署方法
WO2018027226A1 (en) * 2016-08-05 2018-02-08 Fractal Industries, Inc. Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
CN107770174A (zh) * 2017-10-23 2018-03-06 上海微波技术研究所(中国电子科技集团公司第五十研究所) 一种面向sdn网络的入侵防御***和方法
CN107819742A (zh) * 2017-10-19 2018-03-20 北京交通大学 一种动态部署网络安全服务的***架构及其方法
CN108173761A (zh) * 2017-12-22 2018-06-15 南京邮电大学 一种sdn和nfv融合的资源优化方法
KR20180069657A (ko) * 2016-12-15 2018-06-25 경희대학교 산학협력단 클라우드 서비스 특성을 고려한 보안 투자 방법, 장치 및 컴퓨터 프로그램
US10116514B1 (en) * 2015-03-30 2018-10-30 Amdocs Development Limited System, method and computer program for deploying an orchestration layer for a network based on network function virtualization (NFV)
CN108881028A (zh) * 2018-06-06 2018-11-23 北京邮电大学 基于深度学习实现应用感知的sdn网络资源调度方法
CN108900541A (zh) * 2018-08-10 2018-11-27 哈尔滨工业大学(威海) 一种针对云数据中心sdn安全态势感知***及方法
KR20190018947A (ko) * 2017-08-16 2019-02-26 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
CN109617873A (zh) * 2018-12-06 2019-04-12 中山大学 一种基于sdn云安全功能服务树模型的流量攻击防御***

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10541926B2 (en) * 2012-06-06 2020-01-21 The Trustees Of Columbia University In The City Of New York Unified networking system and device for heterogeneous mobile environments
US9386034B2 (en) * 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
US10749905B2 (en) * 2017-07-31 2020-08-18 Amdocs Development Limited System, method, and computer program providing security in network function virtualization (NFV) based communication networks and software defined networks (SDNS)
US9614739B2 (en) * 2014-01-30 2017-04-04 Cisco Technology, Inc. Defining service chains in terms of service functions
US9722927B2 (en) * 2014-06-05 2017-08-01 Futurewei Technologies, Inc. Service chain topology map construction
US10523540B2 (en) * 2017-03-29 2019-12-31 Ca, Inc. Display method of exchanging messages among users in a group
US20180302343A1 (en) * 2017-04-14 2018-10-18 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. System and method for convergence of software defined network (sdn) and network function virtualization (nfv)
US10674409B2 (en) * 2017-06-09 2020-06-02 At&T Intellectual Property I, L.P. System and method for fine grained service management using SDN-NFV networks

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119321A (zh) * 2007-09-29 2008-02-06 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
CN101686239A (zh) * 2009-05-26 2010-03-31 中山大学 一种木马发现***
US8892766B1 (en) * 2012-06-28 2014-11-18 Trend Micro Incorporated Application-based network traffic redirection for cloud security service
CN104580120A (zh) * 2013-10-28 2015-04-29 北京启明星辰信息技术股份有限公司 一种可按需服务的虚拟化网络入侵检测方法和装置
CN104363159A (zh) * 2014-07-02 2015-02-18 北京邮电大学 一种基于软件定义网络的开放虚拟网络构建***和方法
US10116514B1 (en) * 2015-03-30 2018-10-30 Amdocs Development Limited System, method and computer program for deploying an orchestration layer for a network based on network function virtualization (NFV)
CN105491013A (zh) * 2015-11-20 2016-04-13 电子科技大学 一种基于sdn的多域网络安全态势感知模型及方法
CN105956661A (zh) * 2016-04-15 2016-09-21 中山大学 一种在sdn网络上实现dann在线训练的***
WO2018027226A1 (en) * 2016-08-05 2018-02-08 Fractal Industries, Inc. Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
KR20180069657A (ko) * 2016-12-15 2018-06-25 경희대학교 산학협력단 클라우드 서비스 특성을 고려한 보안 투자 방법, 장치 및 컴퓨터 프로그램
CN107332913A (zh) * 2017-07-04 2017-11-07 电子科技大学 一种5g移动网络中服务功能链的优化部署方法
KR20190018947A (ko) * 2017-08-16 2019-02-26 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
CN107819742A (zh) * 2017-10-19 2018-03-20 北京交通大学 一种动态部署网络安全服务的***架构及其方法
CN107770174A (zh) * 2017-10-23 2018-03-06 上海微波技术研究所(中国电子科技集团公司第五十研究所) 一种面向sdn网络的入侵防御***和方法
CN108173761A (zh) * 2017-12-22 2018-06-15 南京邮电大学 一种sdn和nfv融合的资源优化方法
CN108881028A (zh) * 2018-06-06 2018-11-23 北京邮电大学 基于深度学习实现应用感知的sdn网络资源调度方法
CN108900541A (zh) * 2018-08-10 2018-11-27 哈尔滨工业大学(威海) 一种针对云数据中心sdn安全态势感知***及方法
CN109617873A (zh) * 2018-12-06 2019-04-12 中山大学 一种基于sdn云安全功能服务树模型的流量攻击防御***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A General Collaborative Framework for Modeling and Perceiving Distributed Network Behavior;Yi Xie et al.;《IEEE-ACM TRANSACTIONS ON NETWORKING》;20161031;第24卷(第5期);第3162-3176页 *
Constructing authentication web in cloud computing;Gansen Zhao et al.;《SECURITY AND COMMUNICATION NETWORKS》;20150213;第9卷(第15期);第2843-2860页 *
网络流量的决策树分类;王宇 等;《小型微型计算机***》;20091130(第11期);第2150-2156页 *

Also Published As

Publication number Publication date
CN110298381A (zh) 2019-10-01

Similar Documents

Publication Publication Date Title
CN110298381B (zh) 一种云安全服务功能树网络入侵检测***
US10462039B2 (en) Data neural network system and method
EP3210345B1 (en) Transparent network service header path proxies
US10158533B2 (en) System and method for base topology selection
CN102461089B (zh) 用于使用标签进行策略执行的方法和设备
CN107005462B (zh) 软件定义网络中数据转发的方法、设备和***
US8811398B2 (en) Method for routing data packets using VLANs
EP1652357B1 (en) Method and apparatus for adaptive flow-based routing in multi-stage data networks
US9185056B2 (en) System and methods for controlling network traffic through virtual switches
CN111245747B (zh) 一种数据中心网络组网的方法以及数据中心网络
US20140376373A1 (en) Congestion notification in leaf and spine networks
Gholami et al. Congestion control in software defined data center networks through flow rerouting
US20140046882A1 (en) Packet data neural network system and method
WO2022083540A1 (zh) 故障恢复预案确定方法、装置及***、计算机存储介质
CN110601983A (zh) 一种协议无感知源路由转发方法及***
CN104303467A (zh) 集成的异构的软件定义的网络
CN105376154A (zh) 渐进式mac地址学习
CN105610710A (zh) 交换结构***上部署的标准协议验证机制的方法和装置
US9548900B1 (en) Systems and methods for forwarding network packets in a network using network domain topology information
CN106656905A (zh) 防火墙集群实现方法及装置
CN110351286A (zh) 一种软件定义网络中链路洪泛攻击检测响应机制
EP1890438A1 (en) Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing
CN107566237A (zh) 一种数据报文处理方法及装置
US20140153442A1 (en) Method, Device, and System for Packet Processing
CN108337179A (zh) 链路流量控制方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant