CN114567481A - 一种数据传输方法、装置、电子设备及存储介质 - Google Patents
一种数据传输方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114567481A CN114567481A CN202210191805.3A CN202210191805A CN114567481A CN 114567481 A CN114567481 A CN 114567481A CN 202210191805 A CN202210191805 A CN 202210191805A CN 114567481 A CN114567481 A CN 114567481A
- Authority
- CN
- China
- Prior art keywords
- data packet
- micro
- virtual machine
- isolation
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 title claims abstract description 40
- 238000002955 isolation Methods 0.000 claims abstract description 202
- 238000011217 control strategy Methods 0.000 claims abstract description 28
- 230000006399 behavior Effects 0.000 claims description 53
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 10
- 230000003542 behavioural effect Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000004880 explosion Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种数据传输方法、装置、电子设备及存储介质,该方法包括:虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,微隔离虚拟机将数据包的转发信息与访问控制策略进行匹配,根据匹配结果将数据包发送至虚拟交换机,或丢弃数据包;虚拟交换机在接收到微隔离虚拟机返回的数据包后,根据第二流表,将数据包发送至目标业务虚拟机;第一流表和第二流表为微隔离策略服务器触发SDN控制器发送的,访问控制策略为微隔离策略服务器发送的。由于微隔离虚拟机可以将接收到的数据包中携带的转发信息与微隔离策略服务器发送的访问控制策略进行匹配,根据匹配结果对数据包进行处理,从而无需适配不同的云计算底层环境。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种数据传输方法、装置、电子设备及存储介质。
背景技术
在信息安全领域中,微隔离是一种用于进行细粒度网络访问控制的方案,微隔离技术通过统一的策略中心实时动态分析流量,并进行会话级别的流量异常访问告警和阻断,传统的防火墙大多基于静态配置的访问控制协议进行流量阻断,因此微隔离又被称为软件定义隔离(Software Defined Segmentation)。
微隔离通常应用于云计算环境中,通常采用轻代理方式解决网络防火墙无法获取东西向流量的问题,以及主机防火墙占用***资源大的问题。但是,轻代理需要在虚拟机上安装代理程序,代理程序会需要适配大量的操作***,同时也有部分用户的虚拟机存在拒绝安装代理程序的情况。因此需要无代理的技术方案来解决这个问题,无代理的方案需要虚拟化底层管理程序提供应用程序接口(Application Programming Interface,API)支持,这种方式的问题在于需要适配不同的云计算底层环境。
发明内容
本发明提供一种数据传输方法、装置、电子设备及存储介质,用以解决现有技术中无代理方案的微隔离无法适配不同的云计算底层环境的问题。
第一方面,本发明实施例提供一种数据传输方法,该方法包括:
虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
所述虚拟交换机在接收到所述微隔离虚拟机返回的所述数据包后,根据第二流表,将所述数据包发送至目标业务虚拟机;
其中,所述第一流表和所述第二流表为微隔离策略服务器触发SDN控制器发送的,所述访问控制策略为所述微隔离策略服务器发送的。
在一种可能的实施方式中,所述虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,包括:
所述虚拟交换机若确定接收所述数据包的端口与所述第一流表中的第一接收端口匹配,则从所述第一流表中获取所述虚拟交换机的目标端口;
所述虚拟交换机通过所述目标端口,将所述数据包发送至所述微隔离虚拟机。
在一种可能的实施方式中,所述虚拟交换机根据第二流表,将所述数据包发送至目标业务虚拟机,包括:
所述虚拟交换机若确定接收所述数据包的端口与所述第二流表中的第二接收端口匹配,则确定所述数据包正常;
所述虚拟交换机通过所述数据包中携带的目标业务虚拟机的目标端口将所述数据包发送至所述目标业务虚拟机。
第二方面,本发明实施例提供一种数据传输方法,该方法包括:
微隔离虚拟机接收虚拟交换机发送的数据包;
所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
其中,所述访问控制策略为所述微隔离策略服务器发送的;所述转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口。
在一种可能的实施方式中,所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包,包括:
所述微隔离虚拟机若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述数据包发送至所述虚拟交换机;
否则丢弃所述数据包。
在一种可能的实施方式中,该方法还包括:
所述微隔离虚拟机将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线;
所述微隔离虚拟机将所述行为基线和预设的行为统计异常基线阈值进行比对,根据比对结果确定所述微隔离虚拟机行为异常;
其中,所述行为统计异常基线阈值为所述微隔离策略服务器发送的。
在一种可能的实施方式中,所述微隔离虚拟机将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线,包括:
所述微隔离虚拟机若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述匹配结果确定为正常访问;
所述微隔离虚拟机根据接收到的数据包的数量和确定的正常访问的数量计算所述行为基线。
在一种可能的实施方式中,该方法还包括:
所述微隔离虚拟机若丢弃所述数据包或确定所述微隔离虚拟机行为异常,则所述微隔离策略服务器发送告警信息。
第三方面,本发明实施例提供一种数据传输装置,该装置包括:
第一发送模块,用于根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包。
第二发送模块,用于在接收到所述微隔离虚拟机返回的所述数据包后,根据第二流表,将所述数据包发送至目标业务虚拟机;
其中,所述第一流表和所述第二流表为微隔离策略服务器触发SDN控制器发送的,所述访问控制策略为所述微隔离策略服务器发送的。
在一种可能的实施方式中,所述第一发送模块具体用于:
若确定接收所述数据包的端口与所述第一流表中的第一接收端口匹配,则从所述第一流表中获取所述虚拟交换机的目标端口;
通过所述目标端口,将所述数据包发送至所述微隔离虚拟机。
在一种可能的实施方式中,所述第二发送模块具体用于:
若确定接收所述数据包的端口与所述第二流表中的第二接收端口匹配,则确定所述数据包正常;
通过所述数据包中携带的目标业务虚拟机的目标端口将所述数据包发送至所述目标业务虚拟机。
第四方面,本发明实施例提供一种数据传输装置,该装置包括:
接收模块,接收虚拟交换机发送的数据包;
第一匹配模块,将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
其中,所述访问控制策略为所述微隔离策略服务器发送的;所述转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口。
在一种可能的实施方式中,所述第一匹配模块具体用于:
若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述数据包发送至所述虚拟交换机;
否则丢弃所述数据包。
在一种可能的实施方式中,该装置还包括:
第二匹配模块,用于将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线;
确定模块,将所述行为基线和预设的行为统计异常基线阈值进行比对,根据比对结果确定所述微隔离虚拟机行为异常;
其中,所述行为统计异常基线阈值为所述微隔离策略服务器发送的。
在一种可能的实施方式中,所述第二匹配模块具体用于:
若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述匹配结果确定为正常访问;
根据接收到的数据包的数量和确定的正常访问的数量计算所述行为基线。
在一种可能的实施方式中,该装置还包括:
告警模块,若丢弃所述数据包或确定所述微隔离虚拟机行为异常,则所述微隔离策略服务器发送告警信息。
第五方面,本发明实施例提供一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中:
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如第一方面或第二方面中任一所述的方法。
第六方面,本发明实施例提供一种存储介质,当所述存储介质中的计算机程序由电子设备的处理器执行时,所述电子设备能够执行如第一方面或第二方面中任一所述的方法。
本发明有益效果如下:
本发明公开了一种数据传输方法、装置、电子设备及存储介质,该方法包括:虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使微隔离虚拟机将数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将数据包发送至虚拟交换机,或丢弃数据包;虚拟交换机在接收到微隔离虚拟机返回的数据包后,根据第二流表,将数据包发送至目标业务虚拟机;其中,第一流表和第二流表为微隔离策略服务器触发SDN控制器发送的,访问控制策略为微隔离策略服务器发送的,转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口,由于微隔离虚拟机可以将接收到的数据包中携带的转发信息与微隔离策略服务器发送的访问控制策略进行匹配,根据匹配结果对数据包进行处理,从而无需适配不同的云计算底层环境,进而提高***性能。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据传输***的结构示意图;
图2为本发明实施例提供的一种数据传输方法的具体流程示意图;
图3为本发明实施例提供的一种数据传输方法的流程示意图;
图4为本发明实施例提供的另一种数据传输方法的流程示意图;
图5为本发明实施例提供的一种数据传输装置的结构示意图;
图6为本发明实施例提供的另一种数据传输装置的结构示意图;
图7为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
微隔离是一种用于进行细粒度网络访问控制的方案,微隔离技术通过统一的策略中心实时动态分析流量,并进行会话级别的流量异常访问告警和阻断,其中,软件定义网络(Software Defined Networks,SDN)技术能够对网络的东西向流量进行动态和细粒度的控制,但是SDN通常使用的协议支持的流表项目有限,太多的流表会降低交换的效率,并且极大提高流表管理的复杂度。微隔离通常采用轻代理方式解决网络防火墙无法获取东西向流量的问题以及主机防火墙占用***资源大的问题,若采用无代理的技术方案,由于无代理方案需要虚拟化底层提供API的支持,因此无代理方案需要适配不同的云计算底层环境且不提供此API的环境无法使用。
基于上述问题,本发明实施例提供一种数据传输方法、装置、电子设备及存储介质,用以解决现有技术无代理方案的微隔离无法适配不同的云计算底层环境的问题。
下面结合上述描述的应用场景,参考附图来描述本申请示例性实施方式提供的数据传输方法,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
如图1所示,为本发明实施例提供的一种数据传输方法的***示意图,包括虚拟交换机10和微隔离虚拟机20。
虚拟交换机10,用于根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使微隔离虚拟机将数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将数据包发送至所述虚拟交换机,或丢弃数据包;在接收到微隔离虚拟机返回的数据包后,根据第二流表,将数据包发送至目标业务虚拟机;
微隔离虚拟机20,用于接收虚拟交换机发送的数据包;将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包。
其中,第一流表和第二流表为微隔离策略服务器触发SDN控制器发送的,访问控制策略为所述微隔离策略服务器发送的,所述转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口。
本发明公开的一种数据传输方法,虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,微隔离虚拟机将接收到的数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将数据包发送至虚拟交换机,或丢弃数据包;虚拟交换机在接收到微隔离虚拟机返回的数据包后,根据第二流表,将数据包发送至目标业务虚拟机;其中,第一流表和第二流表为微隔离策略服务器触发SDN控制器发送的,访问控制策略为微隔离策略服务器发送的,转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口,由于微隔离虚拟机可以将接收到的数据包中携带的转发信息与微隔离策略服务器发送的访问控制策略进行匹配,根据匹配结果对数据包进行处理,从而无需适配不同的云计算底层环境,进而提高***性能。
此外,利用SDN技术可以实现东西向流量的全流量捕获,只需要简单的流表就能够实现引流功能,不会因为网络拓扑或用户业务频繁变动造成流表***问题,同时也能够自适应云计算环境中的虚拟机漂移操作。
如图2所示,为本发明实施例提供的一种数据传输方法的具体流程示意图,该方法包括:
步骤201,微隔离策略服务器调用SDN控制器在虚拟交换机中增加第一流表和第二流表,执行步骤202;
在具体实施中,可以通过微隔离策略服务器调用SDN控制器在虚拟交换机中增加第一流表:匹配字段为源端口是第一接口,比如所有业务虚拟机的虚拟网卡端口或虚拟交换机的上行端口(Any)时,处理动作为转发数据包到微隔离虚拟机的目标端口,比如虚拟网卡端口,优先级设置为最优。
通过微隔离策略服务器调用SDN控制器在虚拟交换机中增加第二流表:匹配字段为源端口是微隔离虚拟机虚拟网卡对应端口时,处理动作为基于数据包二层地址进行转发(Normal),优先级设置为高于第一流表中所设置流表的优先级。
通过上述方式,本发明只需要简单的流表就能够实现引流功能,不会因为网络拓扑或用户业务频繁变动造成流表***问题,同时也能够自适应云计算环境中的虚拟机漂移操作。
步骤202,微隔离策略服务器下发微隔离策略和行为统计异常基线阈值至微隔离虚拟机,执行步骤203。
步骤203,源业务虚拟机向虚拟交换机发送数据包。
步骤204,虚拟交换机若确定接收数据包的端口与第一流表中的第一接收端口匹配,则从第一流表中获取虚拟交换机的目标端口,并将数据包发送至微隔离虚拟机的目标端口。
在具体实施中,当数据包由源业务虚拟机发出时,将命中第一流表,数据包被转发到微隔离虚拟机的目标端口,其中,源业务虚拟机输出该数据包的端口设置为混杂模式,能够收取所有二层地址的数据包。
步骤205,微隔离虚拟机接收虚拟交换机发送的数据包,并将数据包中携带的转发信息与访问控制策略进行匹配,若将转发信息与访问控制策略中的任意一条访问控制策略匹配成功,则执行步骤206,否则执行步骤207。
在具体实施中,微隔离虚拟机根据微隔离访问控制策略对接收到的数据包进行会话级的过滤,即按照数据包五元组信息匹配微隔离访问控制策略,将可以放行的数据包进行放行,将需要阻断的数据包进行阻断。
步骤206,微隔离虚拟机将匹配结果确定为正常访问,并向虚拟交换机发送数据包。
步骤207,微隔离虚拟机将匹配结果确定为异常访问,并将数据包丢弃。
需要说明的是,微隔离虚拟机可以在***热身阶段采集访问关系数据并发送给微隔离策略管理模块;
其中,访问关系数据包括上述正常访问数据和异常访问数据。
步骤208,虚拟交换机若确定接收数据包的端口与第二流表中的第二接收端口匹配,则确定数据包正常,并根据数据包中携带的目标业务虚拟机的目标端口将数据包发送至目标业务虚拟机。
步骤209,微隔离虚拟机根据接收到的数据包的数量和确定的正常访问的数量计算行为基线,并根据行为基线和行为统计异常基线阈值确定行为异常,执行步骤210。
需要说明的是,在***热身阶段微隔离虚拟机可以采集上述访问行为统计数据。
步骤210,微隔离虚拟机上报访问关系数据和行为基线数据至微隔离策略服务器。
步骤211,微隔离虚拟机根据丢弃数据包和行为异常向微隔离策略服务器发送告警信息。
在具体实施中,微隔离虚拟机对访问控制过程中和行为统计过程中产生的告警进行告警格式统一封装后上报给微隔离策略服务器。
为了便于理解,下面以具体实施例为例对本发明进行说明。
以源业务虚拟机vm1(192.168.0.2)向目标业务虚拟机vm2(192.168.0.3)和非目标业务虚拟机vm3(192.168.0.4)发送数据包为例,源业务虚拟机vm1连接在虚拟交换机的端口为p1,目标业务虚拟机vm2连接在虚拟交换机的端口为p2,非目标业务虚拟机vm3连接在虚拟交换机的端口为p3,微隔离虚拟机vm4连接在虚拟交换机的端口为p4,设定微隔离规则为vm1可以向vm2的80端口发送数据,vm1无法向vm3的443端口发送数据,则具体实施过程如下:
微隔离策略中心调用SDN控制器向虚拟交换机下发流表:
第一流表:priority=1,in_port=Any,action=output:p4;
第二流表:priority=2,in_port=p4,action=Normal。
其中,priority为优先级,in_port为第一接收端口,action为执行动作;
微隔离策略服务器向微隔离虚拟机下发微隔离策略,即srcIP=192.168.0.2,dstIP=192.168.0.3,port=80,action=pass;
其中,srcIP为源地址,dstIP为目标地址。
此时,若vm1向vm2的80端口发送数据包,数据包被发送到虚拟交换机后,命中priority=1的流表,之后数据包被转发到虚拟交换机的p4端口,即微隔离虚拟机所连接的端口上;
微隔离虚拟机的微隔离访问控制引擎基于微隔离策略允许该数据包通过,则将该数据包从p4端口发回到虚拟交换机;
数据包到达虚拟交换机后优先命中priority=2的流表,之后数据包被按照其二层地址(MAC地址)进行转发,被送往vm2所在端口。
若vm1向vm3的443端口发送数据包,数据包被发送到虚拟交换机后,命中priority=1的流表项,之后数据包被转发到虚拟交换机的p4端口,即微隔离虚拟机所连接的端口上;
微隔离虚拟机基于微隔离策略不允许该数据包通过,则将该数据包丢弃,并生成告警信息,上报给微隔离策略服务器。
基于同一发明构思,本发明实施例中还提供一种数据传输方法,由于该方法对应的设备是本发明实施例数据传输***中的虚拟交换机,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见***的实施,重复之处不再赘述。
如图3所示,为本发明实施例提供的一种数据传输方法的流程示意图,该方法包括:
步骤301,虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使微隔离虚拟机将数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将数据包发送至所述虚拟交换机,或丢弃数据包;
步骤302,虚拟交换机在接收到微隔离虚拟机返回的数据包后,根据第二流表,将数据包发送至目标业务虚拟机;
其中,第一流表和第二流表为微隔离策略服务器触发SDN控制器发送的,访问控制策略为所述微隔离策略服务器发送的。
可选的,所述虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,包括:
所述虚拟交换机若确定接收所述数据包的端口与所述第一流表中的第一接收端口匹配,则从所述第一流表中获取所述虚拟交换机的目标端口;
所述虚拟交换机通过所述目标端口,将所述数据包发送至所述微隔离虚拟机。
可选的,所述虚拟交换机根据第二流表,将所述数据包发送至目标业务虚拟机,包括:
所述虚拟交换机若确定接收所述数据包的端口与所述第二流表中的第二接收端口匹配,则确定所述数据包正常;
所述虚拟交换机通过所述数据包中携带的目标业务虚拟机的目标端口将所述数据包发送至所述目标业务虚拟机。
基于同一发明构思,本发明实施例中还提供一种数据传输方法,由于该方法对应的设备是本发明实施例数据传输***中的微隔离虚拟机,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见***的实施,重复之处不再赘述。
如图4所示,为本发明实施例提供的一种数据传输方法的流程示意图,该方法包括:
步骤401,微隔离虚拟机接收虚拟交换机发送的数据包;
步骤402,所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
其中,所述访问控制策略为所述微隔离策略服务器发送的;所述转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口。
可选的,所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包,包括:
所述微隔离虚拟机若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述数据包发送至所述虚拟交换机;
否则丢弃所述数据包。
可选的,该方法还包括:
所述微隔离虚拟机将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线;
所述微隔离虚拟机将所述行为基线和预设的行为统计异常基线阈值进行比对,根据比对结果确定所述微隔离虚拟机行为异常;
其中,所述行为统计异常基线阈值为所述微隔离策略服务器发送的。
可选的,所述微隔离虚拟机将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线,包括:
所述微隔离虚拟机若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述匹配结果确定为正常访问;
所述微隔离虚拟机根据接收到的数据包的数量和确定的正常访问的数量计算所述行为基线。
可选的,该方法还包括:
所述微隔离虚拟机若丢弃所述数据包或确定所述微隔离虚拟机行为异常,则向所述微隔离策略服务器发送告警信息。
基于同样的发明构思,本发明实施例还提供一种数据传输装置,装置的实施例可以参照***的实施,重复之处不再赘述。
如图5所示,为本发明实施例提供的一种数据传输装置的结构示意图,该装置501包括:
第一发送模块5011,用于根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使微隔离虚拟机将数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包。
第二发送模块5012,用于在接收到微隔离虚拟机返回的所述数据包后,根据第二流表,将数据包发送至目标业务虚拟机;
其中,所述第一流表和所述第二流表为微隔离策略服务器触发SDN控制器发送的,所述访问控制策略为所述微隔离策略服务器发送的。
可选的,所述第一发送模块具体用于:
若确定接收所述数据包的端口与所述第一流表中的第一接收端口匹配,则从所述第一流表中获取所述虚拟交换机的目标端口;
通过所述目标端口,将所述数据包发送至所述微隔离虚拟机。
可选的,所述第二发送模块具体用于:
若确定接收所述数据包的端口与所述第二流表中的第二接收端口匹配,则确定所述数据包正常;
通过所述数据包中携带的目标业务虚拟机的目标端口将所述数据包发送至所述目标业务虚拟机。
如图6所示,为本发明实施例提供的一种数据传输装置的结构示意图,该装置601包括:
接收模块6011,接收虚拟交换机发送的数据包;
第一匹配模块6012,将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至虚拟交换机,或丢弃数据包;
其中,所述访问控制策略为微隔离策略服务器发送的;转发信息包括发送数据包的源业务虚拟机的地址、接收数据包的目标业务虚拟机的地址和接收数据包的目标业务虚拟机的目标端口。
可选的,所述第一匹配模块具体用于:
若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述数据包发送至所述虚拟交换机;
否则丢弃所述数据包。
可选的,该装置还包括:
第二匹配模块6013,用于将数据包中携带的转发信息与访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线;
确定模块6014,将行为基线和预设的行为统计异常基线阈值进行比对,根据比对结果确定微隔离虚拟机行为异常;
其中,行为统计异常基线阈值为微隔离策略服务器发送的。
可选的,所述第二匹配模块具体用于:
若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述匹配结果确定为正常访问;
根据接收到的数据包的数量和确定的正常访问的数量计算所述行为基线。
可选的,该装置还包括:
告警模块6015,若丢弃数据包或确定微隔离虚拟机行为异常,则向微隔离策略服务器发送告警信息。
基于同样的发明构思,本发明实施例还提供一种电子设备,电子设备的实施可以参考方法的实施,重复之处不再赘述,如图7所示,为本发明实施例提供的一种电子设备的结构示意图,该电子设备包括:至少一个处理器701,以及与至少一个处理器通信连接的存储器702,其中:
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行上述数据传输方法。
本发明公开的一种数据传输方法、装置、电子设备及存储介质,该方法包括:首先微隔离策略服务器调用SDN控制器在虚拟交换机中增加第一流表和第二流表,并下发微隔离策略和行为统计异常基线阈值至微隔离虚拟机,之后,源业务虚拟机向虚拟交换机发送数据包。虚拟交换机若确定接收数据包的端口与第一流表中的第一接收端口匹配,则从第一流表中获取虚拟交换机的目标端口,并将数据包发送至微隔离虚拟机的目标端口。微隔离虚拟机接收虚拟交换机发送的数据包,并将数据包中携带的转发信息与访问控制策略进行匹配,将可以放行的数据包确定为正常访问并放行,将需要阻断的数据包确定为异常访问并阻断。虚拟交换机若确定接收数据包的端口与第二流表中的第二接收端口匹配,则确定数据包正常,并根据数据包中携带的目标业务虚拟机的目标端口将数据包发送至目标业务虚拟机。此外,微隔离虚拟机还可以根据接收到的数据包的数量和确定的正常访问的数量计算行为基线,并根据行为基线和行为统计异常基线阈值确定行为异常,微隔离虚拟机向微隔离策略服务器上报访问关系数据和行为基线数据并根据丢弃数据包和行为异常发送告警信息。本发明通过利用SDN技术实现东西向流量的全流量捕获并送到带外运行的微隔离虚拟机中,由于只需要简单的流表就能够实现引流功能,所以不会因为网络拓扑或用户业务频繁变动造成流表***问题,同时也能够自适应云计算环境中的虚拟机漂移操作,只需要微隔离虚拟机进行改动,对于与计算服务商提供的虚拟交换机和SDN网络控制器不需要额外修改,极大降低了代理微隔离技术的代理端开发和管理难度。在微隔离虚拟机中实现微隔离访问控制和行为统计判断的核心流程后,再把能够允许通过的数据包转发回网络,最后通过SDN实现流量正确目的转发,解决了无代理方案的微隔离需要依赖云计算底层环境的问题。
需要说明的是,上述虚拟交换机为云计算服务商提供的支持SDN的流量数据转发设备。上述SDN控制器是云计算服务商提供的SDN网络控制器。本发明不需要在用户的业务主机上安装任何软件和应用程序,极大降低代理程序适配用户业务操作***的工作量,为用户提供容易接受的无感知无侵入的微隔离能力,同时降低管理多个用户业务上终端代理程序的复杂程度,极大降低了代理微隔离技术的代理端开发和管理难度。
另外,上述微隔离策略服务器,是实现微隔离策略统一管理、策略生成、策略下发、可视化展示的管理中心,微隔离策略中心能够通过调用SDN控制器去向虚拟交换机下发初始化的基础流表;用户业务主机不需要进行连接微隔离策略中心的统计数据上报和策略下发操作,降低了网络管理难度,降低了用户业务主机的计算资源消耗,减少了安全风险。
本发明中的微隔离虚拟机是实现无代理微隔离的核心组件,运行在每个物理服务器上,并连接在每个虚拟交换机上。本发明通过独立设置的微隔离虚拟机可以方便使用旁路功能实现避开故障的操作,比终端软件形式的微隔离更具有高可用性。
以上参照示出根据本申请实施例的方法、装置(***)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行***来使用或结合指令执行***而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行***、装置或设备使用,或结合指令执行***、装置或设备使用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种数据传输方法,其特征在于,该方法包括:
虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
所述虚拟交换机在接收到所述微隔离虚拟机返回的所述数据包后,根据第二流表,将所述数据包发送至目标业务虚拟机;
其中,所述第一流表和所述第二流表为微隔离策略服务器触发SDN控制器发送的,所述访问控制策略为所述微隔离策略服务器发送的。
2.如权利要求1所述的方法,其特征在于,所述虚拟交换机根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,包括:
所述虚拟交换机若确定接收所述数据包的端口与所述第一流表中的第一接收端口匹配,则从所述第一流表中获取所述虚拟交换机的目标端口;
所述虚拟交换机通过所述目标端口,将所述数据包发送至所述微隔离虚拟机。
3.如权利要求1所述的方法,其特征在于,所述虚拟交换机根据第二流表,将所述数据包发送至目标业务虚拟机,包括:
所述虚拟交换机若确定接收所述数据包的端口与所述第二流表中的第二接收端口匹配,则确定所述数据包正常;
所述虚拟交换机通过所述数据包中携带的目标业务虚拟机的目标端口将所述数据包发送至所述目标业务虚拟机。
4.一种数据传输方法,其特征在于,该方法包括:
微隔离虚拟机接收虚拟交换机发送的数据包;
所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
其中,所述访问控制策略为所述微隔离策略服务器发送的;所述转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口。
5.如权利要求4所述的方法,其特征在于,所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包,包括:
所述微隔离虚拟机若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述数据包发送至所述虚拟交换机;
否则丢弃所述数据包。
6.如权利要求5所述的方法,其特征在于,该方法还包括:
所述微隔离虚拟机将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线;
所述微隔离虚拟机将所述行为基线和预设的行为统计异常基线阈值进行比对,根据比对结果确定所述微隔离虚拟机行为异常;
其中,所述行为统计异常基线阈值为所述微隔离策略服务器发送的。
7.如权利要求6所述的方法,其特征在于,所述微隔离虚拟机将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线,包括:
所述微隔离虚拟机若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述匹配结果确定为正常访问;
所述微隔离虚拟机根据接收到的数据包的数量和确定的正常访问的数量计算所述行为基线。
8.如权利要求7所述的方法,其特征在于,该方法还包括:
所述微隔离虚拟机若丢弃所述数据包或确定所述微隔离虚拟机行为异常,则向所述微隔离策略服务器发送告警信息。
9.一种数据传输装置,其特征在于,该装置包括:
第一发送模块,用于根据第一流表,将接收到的源业务虚拟机发送的数据包发送至微隔离虚拟机,以使所述微隔离虚拟机将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
第二发送模块,用于在接收到所述微隔离虚拟机返回的所述数据包后,根据第二流表,将所述数据包发送至目标业务虚拟机;
其中,所述第一流表和所述第二流表为微隔离策略服务器触发SDN控制器发送的,所述访问控制策略为所述微隔离策略服务器发送的。
10.如权利要求9所述的装置,其特征在于,所述第一发送模块具体用于:
若确定接收所述数据包的端口与所述第一流表中的第一接收端口匹配,则从所述第一流表中获取所述虚拟交换机的目标端口;
通过所述目标端口,将所述数据包发送至所述微隔离虚拟机。
11.如权利要求9所述的装置,其特征在于,所述第二发送模块具体用于:
若确定接收所述数据包的端口与所述第二流表中的第二接收端口匹配,则确定所述数据包正常;
通过所述数据包中携带的目标业务虚拟机的目标端口将所述数据包发送至所述目标业务虚拟机。
12.一种数据传输装置,其特征在于,该装置包括:
接收模块,接收虚拟交换机发送的数据包;
第一匹配模块,将所述数据包中携带的转发信息与访问控制策略进行匹配,根据匹配结果将所述数据包发送至所述虚拟交换机,或丢弃所述数据包;
其中,所述访问控制策略为所述微隔离策略服务器发送的;所述转发信息包括发送所述数据包的源业务虚拟机的地址、接收所述数据包的目标业务虚拟机的地址和接收所述数据包的目标业务虚拟机的目标端口。
13.如权利要求12所述的装置,其特征在于,所述第一匹配模块具体用于:
若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述数据包发送至所述虚拟交换机;
否则丢弃所述数据包。
14.如权利要求12所述的装置,其特征在于,该装置还包括:
第二匹配模块,用于将所述数据包中携带的转发信息与所述访问控制策略进行匹配,根据预设时长内的匹配结果计算行为基线;
确定模块,将所述行为基线和预设的行为统计异常基线阈值进行比对,根据比对结果确定所述微隔离虚拟机行为异常;
其中,所述行为统计异常基线阈值为所述微隔离策略服务器发送的。
15.如权利要求14所述的装置,其特征在于,所述第二匹配模块具体用于:
若将所述转发信息与所述访问控制策略中的任意一条访问控制策略匹配成功,则将所述匹配结果确定为正常访问;
根据接收到的数据包的数量和确定的正常访问的数量计算所述行为基线。
16.如权利要求15所述的装置,其特征在于,该装置还包括:
告警模块,若丢弃所述数据包或确定所述微隔离虚拟机行为异常,则向所述微隔离策略服务器发送告警信息。
17.一种电子设备,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中:
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-8任一所述的方法。
18.一种存储介质,其特征在于,当所述存储介质中的计算机程序由电子设备的处理器执行时,所述电子设备能够执行如权利要求1-8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210191805.3A CN114567481B (zh) | 2022-02-28 | 2022-02-28 | 一种数据传输方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210191805.3A CN114567481B (zh) | 2022-02-28 | 2022-02-28 | 一种数据传输方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114567481A true CN114567481A (zh) | 2022-05-31 |
| CN114567481B CN114567481B (zh) | 2024-03-12 |
Family
ID=81716030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210191805.3A Active CN114567481B (zh) | 2022-02-28 | 2022-02-28 | 一种数据传输方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114567481B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118466A (zh) * | 2022-06-14 | 2022-09-27 | 深信服科技股份有限公司 | 一种策略生成方法、装置、电子设备和存储介质 |
| WO2024125460A1 (zh) * | 2022-12-12 | 2024-06-20 | ***通信有限公司研究院 | 通信处理方法、装置、设备、***及可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601432A (zh) * | 2014-12-31 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种报文传输方法和设备 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN105262753A (zh) * | 2015-10-28 | 2016-01-20 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的安全策略的***及方法 |
| CN105471662A (zh) * | 2015-12-30 | 2016-04-06 | 中电长城网际***应用有限公司 | 云服务器、虚拟网络策略集中控制***和方法 |
| CN105681313A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种针对虚拟化环境的流量检测***及方法 |
| US20170206701A1 (en) * | 2016-01-15 | 2017-07-20 | Cisco Technology, Inc. | Approach to visualize current and historical access policy of a group based policy |
| CN108123919A (zh) * | 2016-11-29 | 2018-06-05 | 上海有云信息技术有限公司 | 网络的监控防护***和方法 |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
| CN110855651A (zh) * | 2019-11-05 | 2020-02-28 | 中盈优创资讯科技有限公司 | 一种基于流量驱动的访问控制策略的自动生成方法及*** |
| CN110933043A (zh) * | 2019-11-07 | 2020-03-27 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的虚拟防火墙优化方法及*** |
| CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其*** |
-
2022
- 2022-02-28 CN CN202210191805.3A patent/CN114567481B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN104601432A (zh) * | 2014-12-31 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种报文传输方法和设备 |
| CN105262753A (zh) * | 2015-10-28 | 2016-01-20 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的安全策略的***及方法 |
| CN105471662A (zh) * | 2015-12-30 | 2016-04-06 | 中电长城网际***应用有限公司 | 云服务器、虚拟网络策略集中控制***和方法 |
| US20170206701A1 (en) * | 2016-01-15 | 2017-07-20 | Cisco Technology, Inc. | Approach to visualize current and historical access policy of a group based policy |
| CN105681313A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种针对虚拟化环境的流量检测***及方法 |
| CN108123919A (zh) * | 2016-11-29 | 2018-06-05 | 上海有云信息技术有限公司 | 网络的监控防护***和方法 |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
| CN110855651A (zh) * | 2019-11-05 | 2020-02-28 | 中盈优创资讯科技有限公司 | 一种基于流量驱动的访问控制策略的自动生成方法及*** |
| CN110933043A (zh) * | 2019-11-07 | 2020-03-27 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的虚拟防火墙优化方法及*** |
| CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其*** |
Non-Patent Citations (3)
| Title |
|---|
| 张征;: "基于云平台的虚拟机安全隔离和防护", 信息与电脑(理论版), no. 23 * |
| 王刚;: "一种基于SDN技术的多区域安全云计算架构研究", 信息网络安全, no. 09 * |
| 魏伟;秦华;刘文懋;: "面向云环境的软件定义访问控制框架", 计算机工程与设计, no. 12, 16 December 2018 (2018-12-16) * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118466A (zh) * | 2022-06-14 | 2022-09-27 | 深信服科技股份有限公司 | 一种策略生成方法、装置、电子设备和存储介质 |
| CN115118466B (zh) * | 2022-06-14 | 2024-04-12 | 深信服科技股份有限公司 | 一种策略生成方法、装置、电子设备和存储介质 |
| WO2024125460A1 (zh) * | 2022-12-12 | 2024-06-20 | ***通信有限公司研究院 | 通信处理方法、装置、设备、***及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114567481B (zh) | 2024-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9882776B2 (en) | Methods and apparatus for configuring a virtual network switch | |
| US9596159B2 (en) | Finding latency through a physical network in a virtualized network | |
| WO2016107152A1 (zh) | 虚拟机实例的部署方法和装置及设备 | |
| CN114567481B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| US9559968B2 (en) | Technique for achieving low latency in data center network environments | |
| CN111181850B (zh) | 数据包泛洪抑制方法、装置和设备及计算机存储介质 | |
| Lee et al. | High-performance software load balancer for cloud-native architecture | |
| WO2024021495A1 (zh) | 云平台中的泛洪攻击的识别方法、装置、设备及存储介质 | |
| Park et al. | Dpx: Data-plane extensions for sdn security service instantiation | |
| Deri et al. | Wire-speed hardware-assisted traffic filtering with mainstream network adapters | |
| US20190205776A1 (en) | Techniques for policy-controlled analytic data collection in large-scale systems | |
| CN112968879B (zh) | 一种实现防火墙管理的方法及设备 | |
| CN115550200B (zh) | 一种服务器ip与服务标识关联的方法及装置 | |
| CN109450794A (zh) | 一种基于sdn网络的通信方法及设备 | |
| CN115190077B (zh) | 控制方法、装置及计算设备 | |
| US11057415B1 (en) | Systems and methods for dynamic zone protection of networks | |
| CN114944996B (zh) | 一种数据采集方法、装置及计算机可读介质 | |
| US20240223504A1 (en) | Packet processing method, flow specification transmission method, device, system, and storage medium | |
| Huang et al. | An Improved Light Weight Countermeasure Scheme to Efficiently Mitigate TCP Attacks in SDN | |
| Fan et al. | Software-Defined Networking Integrated with Cloud Native and Proxy Mechanism: Detection and Mitigation System for TCP SYN Flooding Attack | |
| CN117632535A (zh) | 一种应用程序接口拦截方法及*** | |
| CN118118349A (zh) | 自学习出口业务控制器 | |
| CN118118362A (zh) | 自修正服务等级协议实施器 | |
| CN118118207A (zh) | 智能防火墙流创建器 | |
| CN118118205A (zh) | 自学习防火墙策略执行方 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |