CN113660279B - 网络主机的安全防护方法、装置、设备及存储介质 - Google Patents
网络主机的安全防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113660279B CN113660279B CN202110952891.0A CN202110952891A CN113660279B CN 113660279 B CN113660279 B CN 113660279B CN 202110952891 A CN202110952891 A CN 202110952891A CN 113660279 B CN113660279 B CN 113660279B
- Authority
- CN
- China
- Prior art keywords
- information
- code
- port number
- socket
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全领域,公开了一种网络主机的安全防护方法、装置、设备及存储介质,用于解决现有技术中在简化网络主机的安全防护方法时会引起安全检查时安全性降低的问题。该方法包括:获取待传输的数据包以及其来源端口信息和目标端口信息;并查找各自对应的来源端口号和目标端口号;调用套接字缓存中的编码字段,根据来源端口号和目标端口号生成套接字编码值;根据编码值转换规则,对套接字编码值进行转换得到区域编码;根据区域编码,调用钩子函数代码进行连接跟踪匹配,得到连接跟踪项目,并基于连接跟踪项目中记录的数据包的数据传输信息执行安全检查。此外,本发明还涉及区块链技术,网络主机的安全防护的相关信息可存储于区块链中。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络主机的安全防护方法、装置、设备及存储介质。
背景技术
随着网络的升级和扩容,传统的盒式防火墙已经很难满足大容量、高性能、可扩展的需求和挑战;另一方面,分布式网络和网络主机越来越多地被应用,现有的网络主机进行安全防护时一般采用分布式防火墙进行安全防护,其中,使用网络主机又可以称为云主机,是一种类似虚拟专用服务器主机的虚拟化技术,其管理方法同主机相似。在使用OpenvSwitch进行数据交换时,为同时能够使用分布式防火墙对网络主机进行安全防护,一般采用引入bridge类型的VPC(虚拟机)设备作为iptables规则的挂载点,但这种方法会导致网络主机的性能下降。
在现有的技术中,可以使用连接跟踪功能来使用流表代替使用iptables规则,从而减少使用bridge类型的VPC(虚拟机)设备,简化对网络主机的安全防护方法,但这种方法在不同的虚拟主机安装在同一个物理机内的不同VPC(虚拟机)时,会出现conntrack重叠,使得安全性降低的问题。
发明内容
本发明的主要目的在于解决现有技术中在简化网络主机的安全防护方法时会引起安全检查时安全性降低的问题。
本发明第一方面提供了一种网络主机的安全防护方法,包括:获取网络主机当前待传输的数据包,并提取所述数据包的来源端口信息和目标端口信息;根据所述来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值;根据预置的编码值转换规则,对所述套接字编码值进行转换,得到区域编码;根据所述区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到所述区域编码对应的连接跟踪项目,并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查。
可选的,在本发明第一方面的第一种实现方式中,所述数据传输信息包括数据包报文信息和传输策略信息,所述基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查包括:获取预置的拦截策略信息,解析所述拦截策略信息,得到拦截元组信息;提取所述连接跟踪项目中记录的所述数据包的数据包元组信息;判断所述数据包元组信息是否在所述拦截元组信息中;若是,则对所述数据包进行拦截。
可选的,在本发明第一方面的第二种实现方式中,所述调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值包括:比较所述来源端口号和目标端口号的数值大小,并提取所述来源端口号和目标端口号中较大的端口号,得到候选端口号;根据所述候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值。
可选的,在本发明第一方面的第三种实现方式中,在所述获取网络主机当前待传输的数据包之前,还包括:获取套接字数据包源代码,在所述套接字数据包源代码中提取出套接字编码字段代码;获取ovs-datapath源代码;在所述ovs-datapath源代码中添加所述套接字编码字段代码,得到套接字缓存中的编码字段。
可选的,在本发明第一方面的第四种实现方式中,在所述安全防护代码中添加全局的编码值转换规则之后,还包括:提取所述ovs-datapath源代码中的actions.c文件;在所述actions.c文件中查找do_output函数;在所述do_output函数中***钩子函数代码,其中,所述钩子函数代码用于生成连接跟踪项目。
可选的,在本发明第一方面的第五种实现方式中,在所述安全防护代码中添加全局的编码值转换规则之后,还包括:提取所述ovs-datapath源代码中的actions.c文件;在所述actions.c文件中查找do_output函数;在所述do_output函数中***钩子函数代码,其中,所述钩子函数代码用于生成连接跟踪项目。
本发明第二方面提供了一种网络主机的安全防护装置,包括:获取模块,用于获取网络主机当前待传输的数据包,并提取所述数据包的来源端口信息和目标端口信息;
查找模块,用于根据所述来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;编码模块,用于调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值;转换模块,用于根据预置的编码值转换规则,对所述套接字编码值进行转换,得到区域编码;安全防护模块,用于根据所述区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到所述区域编码对应的连接跟踪项目,并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查。
可选的,在本发明第二方面的第一种实现方式中,所述数据传输信息包括数据包报文信息和传输策略信息,所述安全防护模块包括:策略获取单元,用于获取预置的拦截策略信息,解析所述拦截策略信息,得到拦截元组信息;信息提取单元,用于提取所述连接跟踪项目中记录的所述数据包的数据包元组信息;判断单元,用于判断所述数据包元组信息是否在所述拦截元组信息中;拦截单元,用于若是,则对所述数据包进行拦截。
可选的,在本发明第二方面的第二种实现方式中,所述编码模块包括:提取单元,用于比较所述来源端口号和目标端口号的数值大小,并提取所述来源端口号和目标端口号中较大的端口号,得到候选端口号;赋值单元,用于根据所述候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值。
可选的,在本发明第二方面的第三种实现方式中,所述网络主机的安全防护装置还包括套接字编码字段生成模块,所述套接字编码字段生成模块具体用于:获取套接字数据包源代码,在所述套接字数据包源代码中提取出套接字编码字段代码;获取ovs-datapath源代码;在所述ovs-datapath源代码中添加所述套接字编码字段代码,得到套接字缓存中的编码字段。
可选的,在本发明第二方面的第四种实现方式中,所述网络主机的安全防护装置还包括转换规则配置模块,所述转换规则配置模块具体用于:获取网络主机的配置空间内容,并在所述配置空间内容中提取所述网络主机的安全防护代码;在所述安全防护代码中添加全局的编码值转换规则,其中,所述编码值转换规则用于基于套接字缓存的套接字编码值生成区域编码。
可选的,在本发明第二方面的第五种实现方式中,所述网络主机的安全防护装置还包括钩子函数配置模块,所述钩子函数配置模块具体用于:提取所述ovs-datapath源代码中的actions.c文件;在所述actions.c文件中查找do_output函数;在所述do_output函数中***钩子函数代码,其中,所述钩子函数代码用于生成连接跟踪项目。
本发明第三方面提供了一种网络主机的安全防护设备,包括:存储器和至少一个处理器,所述存储器中存储有指令;所述至少一个处理器调用所述存储器中的所述指令,以使得所述网络主机的安全防护设备执行上述的网络主机的安全防护方法的步骤。
本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的网络主机的安全防护方法的步骤。
本发明实施例中的技术方案,获取网络主机当前待传输的数据包的来源端口信息和目标端口信息,根据来源端口信息和目标端口信息生成对应的区域编码,调用预置的钩子函数代码根据区域编码进行连接跟踪匹配,得到连接跟踪项目;使用连接跟踪项目记录数据包的数据传输信息,根据得到的数据传输信息进行安全检查从而实现网络主机的安全防护,减少了iptables规则的使用,进一步减少了bridge类型的虚拟机的数量,简化了网络主机的安全防护架构;同时,根据数据包的传输信息生成区域编码,根据得到的区域编码生成连接跟踪项的方案以代替现有技术中使用数据包传输的IP地址或MAC地址生成连接跟踪项目的方案,防止了由于同一主机内多个虚拟机的IP地址或MAC地址重合导致的连接跟踪项目重合的问题,提高安全性,本发明实施例中的技术方案,简化了网络主机的安全防护方法,减少安全防护功能造成的网络主机计算资源的浪费,同时提高了网络主机的安全性。
附图说明
图1为本发明实施例中网络主机的安全防护方法的第一实施例的示意图;
图2为本发明实施例中网络主机的安全防护方法的第二实施例的示意图;
图3为本发明实施例中网络主机的安全防护方法的第三实施例的示意图;
图4为本发明实施例中网络主机的安全防护装置的一个实施例示意图;
图5为本发明实施例中网络主机的安全防护装置的另一个实施例示意图;
图6为本发明实施例中网络主机的安全防护设备的一个实施例示意图。
具体实施方式
本发明实施例提供了一种网络主机的安全防护方法、装置、设备及存储介质,获取网络主机当前待传输的数据包的来源端口信息和目标端口信息,根据来源端口信息和目标端口信息生成对应的区域编码,调用预置的钩子函数代码根据区域编码进行连接跟踪匹配,得到连接跟踪项目;使用连接跟踪项目记录数据包的数据传输信息,根据得到的数据传输信息进行安全检查从而实现网络主机的安全防护,减少了iptables规则的使用及bridge类型的虚拟机的数量;同时,根据数据包的传输信息生成区域编码,根据得到的区域编码生成连接跟踪项的方案以代替现有技术中使用数据包传输的IP地址或MAC地址生成连接跟踪项目的方案,防止了由于同一主机内多个虚拟机的IP地址或MAC地址重合导致的连接跟踪项目重合的问题。本发明实施例中的技术方案,简化了网络主机的安全防护方法,减少安全防护功能造成的网络主机计算资源的浪费,同时提高了网络主机的安全性。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中网络主机的安全防护方法的一个实施例包括:
101、获取网络主机当前待传输的数据包,并提取数据包的来源端口信息和目标端口信息;
可以理解的是,本发明的执行主体可以为网络主机的安全防护装置,还可以是终端或者服务器,具体此处不做限定。本发明实施例以服务器为执行主体为例进行说明。
在本实施例中,使用OVS(Open vSwitch,开放虚拟交换标准)构建网络交换机并进行数据的收发时,需要对待进行传输的数据包进行安全性检查,以保证维护网络主机运行的安全性。
在本实施例中使用网络主机作为交换机,基于OVS进行数据交换时,首先获取网络主机当前待传输的数据包,并获取这个待传输的数据包的来源端口以及其传输的目标端口信息;具体地,OVS在进行数据交换时,是通过ovs-datapath即OVS中的datapath(数据路径)模块进行具体数据交换操作的执行,其中,ovs-datapath(数据路径)模块为OVS的内核模块,其具体是将从接收端口收到的数据包在流表中进行匹配,并执行匹配到的动作,且一个ovs-datapath可以对应多个虚拟端口。
对于ovs-datapath上的每一个端口,都会有一个唯一的具体标识以标注具体在网络中的位置,也即是说,在得到该数据包的来源端口信息和目标端口信息后,即可确定该数据包的具体传输路径,根据传输路径对数据包进行后续的安全检查。
102、根据来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
在本实施例中,预先对ovs-datapath上的每个端口信息分配端口号,在进行端口号的分配时,首先将公共端口加入ovs-datapath,并占用端口号的0、1、2编号,例如一个具体的例子中,将VPC(虚拟机)进出宿主机的通道vxlan_sys_4789作为端口1;并将分配完毕的端口号与端口信息的对应关系保存至网络主机数据库中。
本步骤中,根据前述得到的来源端口信息和目标端口信息,在数据库中查找出预先分配好的端口号,得到来源端口号和目标端口号。
103、调用预置的套接字缓存中的编码字段,根据来源端口号和目标端口号生成套接字编码值;
获取预置的套接字缓存的代码字段,其中,所述套接字(Skb,socket buffer)是Linux网络代码中根本的数据结构,在Linux网络中收发数据包都是通过套接字进行具体操作;其中Linux的全称GNU/Linux,是一种***和自由传播的类UNIX操作***。
本步骤中,调用预置的套接字缓存中的代码,并提取其中的编码字段,根据该编码字段基于待传输的数据包的来源端口号和目标端口号,针对于待传输的数据包进行编码,得到套接字编码值。
具体地,在进行套接字编码值的生成时,预先设定编码生成规则,根据该设定的编码规则对来源端口号和目标端口号生成套接字编码值,其中,该套接字编码值可以为在来源端口号和目标端口号中取数值较大的端口号,得到套接字编码值。
104、根据预置的编码值转换规则,对套接字编码值进行转换,得到区域编码;
本步骤中所述编码值转换规则具体是在ovs-datapath源代码的进入netfilter框架之前的do_output函数中***的用于根据套接字编码值生成区域编码的iptables规则,其中,netfilter是Linux的一个子***,netfilter框架是一个通用的、抽象的框架,提供一整套的hook函数的管理机制,可以实现诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪功能。
本步骤中,在预先配置完这条编码值转换规则后,当netfilter框架在接收到待传输的数据包以及该数据包对应的套接字编码值后,根据该编码值转换规则,将计算得到的套接字编码值作为区域编码(zone id)。
105、根据区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到区域编码对应的连接跟踪项目;
106、基于连接跟踪项目中记录的数据包的数据传输信息执行安全检查。
本实施例中,在ovs-datapath源代码的进入netfilter框架之前的do_output函数中上预先设置三个hook(钩子)点,在这三个hook点处添加预置的钩子函数代码;基于该钩子函数代码,可以根据前述得到的区域编码(zone id)执行连接跟踪(CT,Conntrack)匹配并生成连接跟踪项目;在本实施例中,连接跟踪项目用于跟踪和记录一个连接的状态,凡是经过网络堆栈的数据包都通过连接跟踪项目记录状态,以便防火墙根据其记录的信息进行安全检查,通过连接跟踪项目进行安全检查,减少了iptables规则的使用,及bridge类型的虚拟机的数量避免在ovs上重用OpenStack已有的DFW(disturbed firewall,分布式防火墙)时需要引入多个bridge类型的虚拟机导致网络主机计算资源的浪费,其中,OpenStack是一个开源的云计算管理平台项目。
具体地,为了避免缓存key(索引文件)和流表等占用内存较多的数据结构,本实施例中选择在数据包完成流表匹配,Skb_clone(套接字结构复制操作)等动作之后,在执行ovs_vport_send和ovs_fragment之前执行本实施例中所述预置的钩子函数代码,此外,本实施例中iptables的规则从ipt_do_table开始被使用,这样就实现了从ovs上重用OpenStack已有的DFW的逻辑和规则。
本实施例中,根据每个数据包的来源端口信息和目标端口信息生成区域编码,根据区域编码生成连接跟踪项,避免了当不同虚拟机的相同地址装在同一个物理机时,仅根据数据包传输的IP地址或MAC地址生成连接跟踪项目会导致不同的虚拟机发送的数据包在一个连接跟踪项目中处理产生安全问题;同时,根据来源端口信息和目标端口信息两个信息对数据包生成区域编码,防止在同一个连接的不同方向传输的数据包被分开处理,导致连接跟踪匹配失败的问题。
本发明实施例中的技术方案,简化了网络主机的安全防护方法,同时提高了网络主机的安全性。
请参阅图2,本发明实施例中网络主机的安全防护方法的第二实施例包括:
201、获取网络主机当前待传输的数据包,并提取数据包的来源端口信息和目标端口信息;
202、根据来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
本实施例中步骤201和步骤202中内容与前述实施例中步骤101和步骤102中内容基本相同,故在此不再赘述。
203、比较来源端口号和目标端口号的数值大小,并提取来源端口号和目标端口号中较大的端口号,得到候选端口号;
204、根据候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值;
获取预置的套接字缓存的代码字段,其中,所述套接字(Skb,socket buffer)是Linux网络代码中根本的数据结构,在Linux网络中收发数据包都是通过套接字进行具体操作。
具体地,在进行套接字编码值的生成时,采用如下的公式进行具体地编码赋值操作:
Skb->mark=MAX(vport_in->port_no,vport_out->port_no);
其中,该公式的含义为取来源端口号(即vport_in->port_no)和目标端口号(即vport_out->port_no)中最大的一个作为候选端口号,根据候选端口号对套接字缓存中的编码进行赋值,得到套接字编码值(即Skb->mark)。
205、根据预置的编码值转换规则,对套接字编码值进行转换,得到区域编码;
本步骤中具体内容与前述实施例中步骤104中内容基本相同,故在此不再赘述。
206、根据预置的钩子函数代码基于区域编码执行匹配得到连接跟踪项目;
具体地,在内核中由netfilter的特定框架做的连接跟踪称作conntrack(connection tracking),连接跟踪可以让netfilter知道某个特定连接的状态。连接跟踪可以作为模块安装,也可以作为内核的一部分。基于连接跟踪功能可以生成运行连接跟踪的防火墙,也即带有状态机制的防火墙。
本实施例中,在ovs-datapath源代码的进入netfilter框架之前的do_output函数中上预先设置三个hook(钩子)点,在这三个hook点处添加预置的钩子函数代码,在一个具体的例子中,所述的hook点可以为:
NF_INET_PRE_ROUTING
NF_INET_FORWARD
NF_INET_POST_ROUTING
在这三个hook点处添加预置的钩子函数代码;基于该钩子函数代码,可以根据前述得到的区域编码即zone id执行连接跟踪匹配并生成连接跟踪项目。
207、获取预置的拦截策略信息,解析拦截策略信息,得到拦截元组信息;
208、提取连接跟踪项目中记录的数据包的数据包元组信息;
本实施例中,在数据库中获取预置的防火墙规则,其中该防火墙规则中包含有拦截策略信息,该拦截策略信息包括有预先设定好的需要进行拦截的数据包对应的拦截元组信息,具体地,连接跟踪功能是通过记录待传输的数据包中的多个数据包信息来判断其具体的传输策略的,根据不同的协议,该数据包信息也有不同,一般存在四元组、五元组、七元组。根据连接跟踪项目中记录的数据包信息,获取对应的数据包元组信息。
具体地,在数据库中获取预置的拦截元组信息,根据前述生成的连接跟踪项目,获取网络主机当前待传输的数据包的数据包元组信息。根据前述获得的拦截元组信息对生成的连接跟踪项目中的数据包元组信息进行匹配,在datapath上的每个数据包都会通过Prerouting hook点进入netfilter,也就保证了每个包都能执行区域编码(zone id)的连接跟踪项目的检查和匹配。从而达到网络主机安全性检查的目的。
209、判断数据包元组信息是否在拦截元组信息中;
210、若是,则对数据包进行拦截。
分别判断连接跟踪项目中待传输的数据包的数据包元组信息是否在拦截元组信息中,若满足该拦截元组信息,则将连接跟踪项目中的数据包进行拦截。
在一个具体的例子中,所述数据包的元组信息可以为五元组,其中,五元组中包含的具体信息为源IP地址、目的IP地址、协议号、来源端口信息、目的端口,当这些信息满足拦截元组信息中预设的拦截内容时,则会对该数据包进行拦截,并根据具体的拦截信息以及待传输的数据包被拦截的原因生成拦截报告。
本发明实施例中的技术方案,简化了网络主机的安全防护方法的,同时提高了网络主机的安全性能。
请参阅图3,本发明实施例中网络主机的安全防护方法的第三实施例包括:
301、获取套接字数据包源代码,在套接字数据包源代码中提取出套接字编码字段代码;
302、获取ovs-datapath源代码;
303、在ovs-datapath源代码中添加套接字编码字段代码,得到套接字缓存中的编码字段;
本实施例中是将Open vSwitch用于VPC网络情形下,也即是说,ovs-datapath上收发的所有包都应该是forward链的,其中,forward链用于处理通过路由器的数据包。在此条件下,首先获取已有的网络主机的配置空间内容,并提取网络主机的安全防护代码,具体地,该安全防护代码用于构建DFW(disturbed firewall,分布式防火墙)。
获取预置的套接字缓存的代码字段,并提取其中的编码字段,根据该编码字段基于待传输的数据包的来源端口号和目标端口号,针对于待传输的数据包进行编码,得到套接字编码值。
具体地,获取ovs-datapath源代码,在ovs-datapath源代码中进入netfilter框架之前的do_output函数中添加套接字编码字段代码,其中,该套接字编码字段代码是skb的一个预定义的字段,中间处理数据的协议层可以设置或取用这个字段的值来在几个相关的协议处理层间携带信息。本实施例中就是通过ovs携带端口号作为区域编码(zone-id)给netfilter模块来区分不同虚拟机的数据流。
304、获取网络主机的配置空间内容,并在配置空间内容中提取网络主机的安全防护代码;
305、在安全防护代码中添加全局的编码值转换规则;
在所述安全防护代码中添加全局的编码值转换规则,该编码值转换规则为全局的iptables规则,用于基于套接字缓存的套接字编码值生成区域编码,其具体可以为iptables-t raw-A PREROUTING-j CT--zone mark;该规则具体可将所有套接字的套接字编码值作为区域编码(zone id),以便后续来执行连接跟踪项目的匹配和生成。
此外,本实施例中还在接收待传输的数据包之前,预先埋入钩子代码,其具体的操作可以为首先提取ovs-datapath源代码中的actions.c文件;在actions.c文件中查找do_output函数,其中do_output函数用于处理源于路由器并从其中一个接口出去的数据包;在do_output函数中***钩子函数代码,其中,钩子函数代码用于生成连接跟踪项目。
306、获取网络主机当前待传输的数据包,并提取数据包的来源端口信息和目标端口信息;
307、根据来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
本实施例中步骤306和步骤307中内容与前述实施例中步骤101和步骤102中内容基本相同,故在此不再赘述。
308、比较来源端口号和目标端口号的数值大小,并提取来源端口号和目标端口号中较大的端口号,得到候选端口号;
309、根据候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值;
具体地,在进行套接字编码值的生成时,采用如下的公式进行具体地编码赋值操作:
Skb->mark=MAX(vport_in->port_no,vport_out->port_no);
其中,该公式的含义为取来源端口号(即vport_in->port_no)和目标端口号(即vport_out->port_no)中最大的一个进行编码对套接字缓存中的编码进行赋值,得到套接字编码值(即Skb->mark)。
310、根据预置的编码值转换规则,对套接字编码值进行转换,得到区域编码;
本步骤中具体内容与前述实施例中步骤104中内容基本相同,故在此不再赘述。
311、根据预置的钩子函数代码基于区域编码执行匹配得到连接跟踪项目;
具体地,在内核中由netfilter的特定框架做的连接跟踪称作conntrack(connection tracking)连接跟踪可以让netfilter知道某个特定连接的状态。conntrack可以作为模块安装,也可以作为内核的一部分。基于连接跟踪功能可以生成运行连接跟踪的防火墙,也即带有状态机制的防火墙。
本实施例中,在ovs-datapath源代码的进入netfilter框架之前的do_output函数中上预先设置三个hook点,在这三个hook点处添加预置的钩子函数代码,在一个具体的例子中,所述的hook点可以为:
NF_INET_PRE_ROUTING
NF_INET_FORWARD
NF_INET_POST_ROUTING
下面举具体的例子进行说明,在具体生成连接跟踪项目时,会有以下几种不同情况:
场景一:数据路径为:vport_vxlan->vport_vm,即数据包从主机外发往VPC;
场景二:数据路径为:port_vm->vport_vxlan,即数据包从VPC(虚拟机)发出主机;
场景三:数据路径为:vport_vm1->vport_vm2,即数据包从VPC1发往同主机VPC2。
对于场景一和场景二,在生成连接跟踪项目时,若只使用来源端口号(send vportport_no)或者目标端口号(receive vport port_no)生成连接跟踪项目,会出现多个VPC(虚拟机)使用相同的套接字编码值导致数值不安全,故可以采用使用非公共端口的vportport_no作为套接字编码值生成连接跟踪项目,但此种方法会导致场景三中同一连接的不同方向的数据包会被标注为不同的套接字编码值,使得连接跟踪项目匹配失败。故本实施例中根据前述配置的公式:Skb->mark=MAX(vport_in->port_no,vport_out->port_no)基于区域编码(zone id)生成执行匹配得到连接跟踪项目。
312、获取预置的拦截策略信息,解析拦截策略信息,得到拦截元组信息;
313、提取连接跟踪项目中记录的数据包的数据包元组信息;
314、判断数据包元组信息是否在拦截元组信息中;
315、若是,则对数据包进行拦截。
本实施例中步骤312-步骤315中内容与前述实施例中步骤207-步骤210中内容基本相同,故在此不再赘述。
本发明实施例中的技术方案,简化了网络主机的安全防护方法,减少安全防护功能造成的网络主机计算资源的浪费,同时提高了网络主机的安全性。
上面对本发明实施例中网络主机的安全防护方法进行了描述,下面对本发明实施例中网络主机的安全防护装置进行描述,请参阅图4,本发明实施例中网络主机的安全防护装置一个实施例包括:
获取模块401,用于获取网络主机当前待传输的数据包,并提取所述数据包的来源端口信息和目标端口信息;
查找模块402,用于根据所述来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
编码模块403,用于调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值;
转换模块404,用于根据预置的编码值转换规则,对所述套接字编码值进行转换,得到区域编码;
安全防护模块405,用于根据所述区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到所述区域编码对应的连接跟踪项目,并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查。
本发明实施例中,简化网络主机的安全防护方法的同时提高了网络主机的安全性。
请参阅图5,本发明实施例中网络主机的安全防护装置的另一个实施例包括:
获取模块401,用于获取网络主机当前待传输的数据包,并提取所述数据包的来源端口信息和目标端口信息;
查找模块402,用于根据所述来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
编码模块403,用于调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值;
转换模块404,用于根据预置的编码值转换规则,对所述套接字编码值进行转换,得到区域编码;
安全防护模块405,用于根据所述区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到所述区域编码对应的连接跟踪项目,并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查。
在本申请的另一实施例中,所述数据传输信息包括数据包报文信息和传输策略信息,所述安全防护模块405包括:
策略获取单元4051,用于获取预置的拦截策略信息,解析所述拦截策略信息,得到拦截元组信息;
信息提取单元4052,用于提取所述连接跟踪项目中记录的所述数据包的数据包元组信息;
判断单元4053,用于判断所述数据包元组信息是否在所述拦截元组信息中;
拦截单元4054,用于若是,则对所述数据包进行拦截。
在本申请的另一实施例中,所述编码模块403包括:
提取单元4031,用于比较所述来源端口号和目标端口号的数值大小,并提取所述来源端口号和目标端口号中较大的端口号,得到候选端口号;
赋值单元4032,用于根据所述候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值。
在本申请的另一实施例中,所述网络主机的安全防护装置还包括套接字编码字段生成模块,所述套接字编码字段生成模块具体用于:
获取套接字数据包源代码,在所述套接字数据包源代码中提取出套接字编码字段代码;获取ovs-datapath源代码;在所述ovs-datapath源代码中添加所述套接字编码字段代码,得到套接字缓存中的编码字段。
在本申请的另一实施例中,所述网络主机的安全防护装置还包括转换规则配置模块,所述转换规则配置模块具体用于:
获取网络主机的配置空间内容,并在所述配置空间内容中提取所述网络主机的安全防护代码;在所述安全防护代码中添加全局的编码值转换规则,其中,所述编码值转换规则用于基于套接字缓存的套接字编码值生成区域编码。
在本申请的另一实施例中,所述网络主机的安全防护装置还包括钩子函数配置模块,所述钩子函数配置模块具体用于:
提取所述ovs-datapath源代码中的actions.c文件;在所述actions.c文件中查找do_output函数;在所述do_output函数中***钩子函数代码,其中,所述钩子函数代码用于生成连接跟踪项目。
综上,通过对本发明实施例的实施,简化了网络主机的安全防护方法,减少安全防护功能造成的网络主机计算资源的浪费,同时提高了网络主机的安全性。
上面图4和图5从模块化功能实体的角度对本发明实施例中的网络主机的安全防护装置进行详细描述,下面从硬件处理的角度对本发明实施例中网络主机的安全防护设备进行详细描述。
图6是本发明实施例提供的一种网络主机的安全防护设备的结构示意图,该网络主机的安全防护设备600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)610(例如,一个或一个以上处理器)和存储器620,一个或一个以上存储应用程序633或数据632的存储介质630(例如一个或一个以上海量存储设备)。其中,存储器620和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对网络主机的安全防护设备600中的一系列指令操作。更进一步地,处理器610可以设置为与存储介质630通信,在网络主机的安全防护设备600上执行存储介质630中的一系列指令操作。
网络主机的安全防护设备600还可以包括一个或一个以上电源640,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口660,和/或,一个或一个以上操作***631,例如Windows Serve,Mac OS X,Unix,Linux,FreeBSD等等。本领域技术人员可以理解,图6示出的网络主机的安全防护设备结构并不构成对网络主机的安全防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供一种计算机设备,该计算机设备可以是能够执行上述实施例中所述的网络主机的安全防护方法的任何一种设备,所述计算机设备包括存储器和处理器,存储器中存储有计算机可读指令,计算机可读指令被处理器执行时,使得处理器执行上述各实施例中的所述网络主机的安全防护方法的步骤。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行所述网络主机的安全防护方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种网络主机的安全防护方法,其特征在于,所述网络主机的安全防护方法包括:
获取网络主机当前待传输的数据包,并提取所述数据包的来源端口信息和目标端口信息;
根据所述来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值;
根据预置的编码值转换规则,对所述套接字编码值进行转换,得到区域编码;
根据所述区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到所述区域编码对应的连接跟踪项目,并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查;
所述调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值包括:
比较所述来源端口号和目标端口号的数值大小,并提取所述来源端口号和目标端口号中较大的端口号,得到候选端口号;
根据所述候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值。
2.根据权利要求1所述的网络主机的安全防护方法,其特征在于,所述数据传输信息包括数据包报文信息和传输策略信息,所述基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查包括:
获取预置的拦截策略信息,解析所述拦截策略信息,得到拦截元组信息;
提取所述连接跟踪项目中记录的所述数据包的数据包元组信息;
判断所述数据包元组信息是否在所述拦截元组信息中;
若是,则对所述数据包进行拦截。
3.根据权利要求1-2中任一项所述的网络主机的安全防护方法,其特征在于,在所述获取网络主机当前待传输的数据包之前,还包括:
获取套接字数据包源代码,在所述套接字数据包源代码中提取出套接字编码字段代码;
获取ovs-datapath源代码;
在所述ovs-datapath源代码中添加所述套接字编码字段代码,得到套接字缓存中的编码字段。
4.根据权利要求3所述的网络主机的安全防护方法,其特征在于,在所述得到套接字缓存中的编码字段之后,还包括:
获取网络主机的配置空间内容,并在所述配置空间内容中提取所述网络主机的安全防护代码;
在所述安全防护代码中添加全局的编码值转换规则,其中,所述编码值转换规则用于基于套接字缓存的套接字编码值生成区域编码。
5.根据权利要求4所述的网络主机的安全防护方法,其特征在于,在所述安全防护代码中添加全局的编码值转换规则之后,还包括:
提取所述ovs-datapath源代码中的actions.c文件;
在所述actions.c文件中查找do_output函数;
在所述do_output函数中***钩子函数代码,其中,所述钩子函数代码用于生成连接跟踪项目。
6.一种网络主机的安全防护装置,其特征在于,所述网络主机的安全防护装置包括:
获取模块,用于获取网络主机当前待传输的数据包,并提取所述数据包的来源端口信息和目标端口信息;
查找模块,用于根据所述来源端口信息和目标端口信息,查找各自对应的来源端口号和目标端口号;
编码模块,用于调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值;
转换模块,用于根据预置的编码值转换规则,对所述套接字编码值进行转换,得到区域编码;
安全防护模块,用于根据所述区域编码,调用预置的钩子函数代码进行连接跟踪匹配,得到所述区域编码对应的连接跟踪项目,并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查;
所述调用预置的套接字缓存中的编码字段,根据所述来源端口号和目标端口号生成套接字编码值包括:
比较所述来源端口号和目标端口号的数值大小,并提取所述来源端口号和目标端口号中较大的端口号,得到候选端口号;
根据所述候选端口号的数值对预置的套接字缓存中的编码进行赋值,得到套接字编码值。
7.根据权利要求6所述的网络主机的安全防护装置,其特征在于,所述数据传输信息包括数据包报文信息和传输策略信息,所述安全防护模块包括:
策略获取单元,用于获取预置的拦截策略信息,解析所述拦截策略信息,得到拦截元组信息;
信息提取单元,用于提取所述连接跟踪项目中记录的所述数据包的数据包元组信息;
判断单元,用于判断所述数据包元组信息是否在所述拦截元组信息中;
拦截单元,用于若是,则对所述数据包进行拦截。
8.一种网络主机的安全防护设备,其特征在于,所述网络主机的安全防护设备包括:存储器和至少一个处理器,所述存储器中存储有指令;
所述至少一个处理器调用所述存储器中的所述指令,以使得所述网络主机的安全防护设备执行如权利要求1-5中任一项所述的网络主机的安全防护方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,其特征在于,所述指令被处理器执行时实现如权利要求1-5中任一项所述网络主机的安全防护方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110952891.0A CN113660279B (zh) | 2021-08-19 | 2021-08-19 | 网络主机的安全防护方法、装置、设备及存储介质 |
| PCT/CN2022/071691 WO2023019877A1 (zh) | 2021-08-19 | 2022-01-13 | 网络主机的安全防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110952891.0A CN113660279B (zh) | 2021-08-19 | 2021-08-19 | 网络主机的安全防护方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660279A CN113660279A (zh) | 2021-11-16 |
| CN113660279B true CN113660279B (zh) | 2022-12-13 |
Family
ID=78481205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110952891.0A Active CN113660279B (zh) | 2021-08-19 | 2021-08-19 | 网络主机的安全防护方法、装置、设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113660279B (zh) |
| WO (1) | WO2023019877A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660279B (zh) * | 2021-08-19 | 2022-12-13 | 平安科技(深圳)有限公司 | 网络主机的安全防护方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152268A (zh) * | 2013-02-06 | 2013-06-12 | 北京奇虎科技有限公司 | 数据包处理的方法及装置 |
| CN110365759A (zh) * | 2019-07-08 | 2019-10-22 | 深圳市多尼卡航空电子有限公司 | 一种数据转发方法、装置、***、网关设备及存储介质 |
| CN113127077A (zh) * | 2021-03-29 | 2021-07-16 | 中科信安(深圳)信息技术有限公司 | 一种基于服务器的微内核操作***部署方法及操作*** |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873640B (zh) * | 2010-05-27 | 2013-04-24 | 华为终端有限公司 | 流量处理方法、装置和移动终端 |
| CN112003877B (zh) * | 2020-09-03 | 2023-04-18 | 度小满科技(北京)有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
| CN113067810B (zh) * | 2021-03-16 | 2023-05-26 | 广州虎牙科技有限公司 | 网络抓包方法、装置、设备和介质 |
| CN113660279B (zh) * | 2021-08-19 | 2022-12-13 | 平安科技(深圳)有限公司 | 网络主机的安全防护方法、装置、设备及存储介质 |
-
2021
- 2021-08-19 CN CN202110952891.0A patent/CN113660279B/zh active Active
-
2022
- 2022-01-13 WO PCT/CN2022/071691 patent/WO2023019877A1/zh unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152268A (zh) * | 2013-02-06 | 2013-06-12 | 北京奇虎科技有限公司 | 数据包处理的方法及装置 |
| CN110365759A (zh) * | 2019-07-08 | 2019-10-22 | 深圳市多尼卡航空电子有限公司 | 一种数据转发方法、装置、***、网关设备及存储介质 |
| CN113127077A (zh) * | 2021-03-29 | 2021-07-16 | 中科信安(深圳)信息技术有限公司 | 一种基于服务器的微内核操作***部署方法及操作*** |
Non-Patent Citations (1)
| Title |
|---|
| 使用multi zone的nf conntrack来缓存路由和socket构建高性能;dong250;《51CTO博客,网址:https://blog.51cto.com/dog250/1610420》;20150201;第1-2页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023019877A1 (zh) | 2023-02-23 |
| CN113660279A (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6335363B2 (ja) | 仮想クラウドインフラストラクチャへの仮想セキュリティ装置アーキテクチャの提供 | |
| US8856518B2 (en) | Secure and efficient offloading of network policies to network interface cards | |
| EP3788755B1 (en) | Accessing cloud resources using private network addresses | |
| CN106209684B (zh) | 一种基于时间触发转发检测调度的方法 | |
| US9674080B2 (en) | Proxy for port to service instance mapping | |
| US11343187B2 (en) | Quantitative exact match distance in network flows | |
| US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| JP6437693B2 (ja) | マルチキャストデータパケット転送 | |
| CN105939239A (zh) | 虚拟网卡的数据传输方法及装置 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| JP2018528699A (ja) | パケット処理 | |
| WO2023019876A1 (zh) | 基于智能决策的数据传输方法、装置、设备及存储介质 | |
| CN113660279B (zh) | 网络主机的安全防护方法、装置、设备及存储介质 | |
| CN113709052B (zh) | 一种网络报文的处理方法、装置、电子设备和存储介质 | |
| CN113595905B (zh) | 分布式路由方法、装置、设备及存储介质 | |
| Xu et al. | Identifying SDN state inconsistency in OpenStack | |
| TWI470550B (zh) | 虛擬機器的通信方法以及伺服端系統 | |
| CN1921489A (zh) | 根据send机制来保证用于处理数据分组的通信设备的安全 | |
| CN114629853B (zh) | 安全资源池中基于安全服务链解析的流量分类控制方法 | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| JP6569741B2 (ja) | 通信装置、システム、方法、及びプログラム | |
| US11328057B2 (en) | Detection of malicious data in a containerized environment | |
| CN111193722B (zh) | 基于Linux内核加速转发的方法、装置、设备及介质 | |
| Ma et al. | USING EPBF TO SUPPORT DATA PLANE OBSERVABILITY WITH TRAFFIC MIRRORING | |
| CN116192485A (zh) | 一种数据包校验方法、***、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |