Способ и устройство детектирования злонамеренной атаки



Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки
Способ и устройство детектирования злонамеренной атаки

Владельцы патента RU 2647646:

ХУАВЕЙ ТЕКНОЛОДЖИЗ КО., ЛТД. (CN)

Изобретение относится к способу и устройству детектирования злонамеренной атаки. Технический результат заключается в детектировании злонамеренной атаки со стороны хост-устройства при уменьшении объема обработки данных контроллера программно определяемой сети (SDN) и улучшении его рабочих характеристик. Способ включает этапы, на которых посредством указанного контроллера: принимают сообщение о входящем пакете, переданное первым коммутатором, содержащее идентификаторы хост-устройства источника и хост-устройства назначения пакета данных, для которого первый коммутатор не находит запись о потоке; при определении, что хост-устройство, указанное идентификатором хост-устройства назначения, не существует в сети SDN, передают запись о ненормальном потоке, включающую идентификатор хост-устройства источника, в первый коммутатор; принимают величину подсчета запуска, переданную первым коммутатором после истечения времени записи о ненормальном потоке, причем величина подсчета запуска представляет собой количество раз запуска записи о ненормальном потоке; определяют в соответствии с величиной подсчета запуска, была ли инициирована злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника. 4 н. и 19 з.п. ф-лы, 14 ил., 2 табл.

 

Область техники, к которой относится изобретение

Настоящее изобретение относится к области передачи данных и, в частности, к способу и устройству детектирования злонамеренной атаки.

Уровень техники

Основная идея программно-определяемых сетей (SDN, Software Defined Networking) состоит в воплощении разделения между плоскостью управления и плоскостью перенаправления. Сеть SDN обычно включает в себя контроллер (Controller), коммутатор (Switch), и хост-устройство (Host). Контроллер выполнен с возможностью формулировать, на основе обзора всей сети, политики маршрутизации и предоставляет политику маршрутизации в коммутатор в форме входа потока, таким образом, что коммутатор сохраняет вход потока в таблице потока, и, таким образом, контроллер воплощает централизованное управление над всей сетью путем управления таблицей потока в коммутаторе; коммутатор выполнен с возможностью перенаправлять пакет данных хост-устройства в соответствии с локальным входом потока коммутатора.

В сети SDN общий сценарий передачи данных хост-устройства представлен на фиг. 1, где хост-устройство А передает пакет данных в коммутатор 1, соединенный с хост-устройством А, и предполагается, что хост-устройство назначения пакета данных представляет собой хост-устройство В в сети SDN; коммутатор 1 выполняет поиск локальной таблицы потока для входа потока пакета данных, и если коммутатор 1 находит вход потока пакета данных, коммутатор 1 перенаправляет пакет данных в соответствии с входом потока, или если коммутатор 1 не находит вход потока пакета данных, коммутатор 1 передает сообщение во входящем пакете в контроллер; контроллер выбирает путь перенаправления для пакета данных, и предоставляет путь перенаправления во все коммутаторы на пути перенаправления в форме входа потока; и коммутатор 1, и коммутаторы на пути перенаправления перенаправляют пакет данных в соответствии с предоставленным входом потока.

Поскольку контроллер доставил вход потока для обмена данными между хост-устройством А и хост-устройством В во все коммутаторы на пути перенаправления, когда хост-устройство впоследствии передает пакет данных, хост-устройство места назначения которого представляет собой хост-устройство В, коммутатор 1 может непосредственно перенаправлять пакет данных в соответствии с входом потока, и коммутатор 1 не генерирует снова сообщение во входящем пакете.

Если хост-устройство назначения пакета данных, переданного хост-устройством, представляет собой хост-устройство С за пределами сети SDN, сценарий передачи данных показан на фиг. 2, где

хост-устройство А передает пакет данных в коммутатор 1, соединенный с хост-устройством А, и предполагается, что хост-устройство назначения пакета данных представляет собой хост-устройство С, и сеть SDN не включает в себя хост-устройство С;

коммутатор 1 выполняет поиск в локальной таблице потока коммутатора для входа потока пакета данных, и поскольку хост-устройство С не находится в сети SDN, коммутатор 1 не может найти вход потока пакета данных, и передает сообщение во входящем пакете в контроллер; и

контроллер принимает сообщение во входящем пакете, и выполняет поиск в сети SDN хост-устройства С; поскольку хост-устройство С не находится в сети SDN, контроллер не может найти хост-устройство С, и затем контроллер отбрасывает сообщение во входящем пакете, и не предоставляет вход потока в пакет данных для коммутатора 1.

Если хост-устройство А впоследствии передает снова пакет данных, хост-устройство назначения которого представляет собой хост-устройство С, как коммутатор 1, так и контроллер повторяют представленные выше этапы, и, в конечном итоге, контроллер отбрасывает сообщение во входящем пакете.

На основе представленного выше способа передачи данных хост-устройства в сети SDN, можно учитывать, что сообщение во входящем пакете, в сценарии, представленном на фиг. 1, представляет собой нормальное сообщение во входящем пакете, в то время как сообщение во входящем пакете, в сценарии, показанном на фиг. 2, представляет собой недействительное сообщение во входящем пакете. Если хост-устройство в сети SDN выполняет злонамеренную атаку на контроллер, и передает большое количество пакетов данных, хост-устройство назначения которого не находится в сети SDN, или хост-устройство назначения которого даже не существует, коммутатор, соединенный с хост-устройством, генерирует большое количество недействительных сообщений в пакете и передает недействительные сообщения во входящем пакете в контроллер, и контроллеру требуется использовать большое количество ресурсов обработки для обработки этих недействительных сообщений в пакете для поиска хост-устройства назначения, которое не находится в сети SDN, или даже не существует, влияя, таким образом, на обработку нормального сообщения во входящем пакете контроллером.

Поэтому в сети SDN требуется выполнять детектирование злонамеренной атаки на контроллер со стороны хост-устройства. В настоящее время способ для детектирования злонамеренной атаки со стороны хост-устройства состоит в следующем: контроллер собирает статистику о количестве сообщений в пакете, соответственно, сгенерированных каждым хостом-устройством, как хост-устройство источник, принимаемых за единицу времени; рассчитывает, используя это количество, скорость, с которой каждое хост-устройство генерирует сообщения во входящем пакете, как хост-устройство - источник; и определяет, в соответствии с этой скоростью, выполняет ли каждое хост-устройство злонамеренную атаку на контроллер.

В таком способе детектирования злонамеренной атаки из хост-устройства, контроллеру требуется принимать сообщение во входящем пакете, передаваемое в отчете каждым коммутатором, и обрабатывать эти сообщения во входящем пакете; кроме того, контроллер дополнительно должен отдельно собирать статистику о количестве сообщений в пакете, соответственно, сгенерированных каждым хост-устройством, как хост-устройством источником, принятым за единицу времени, и затем определять, выполняет ли каждое хост-устройство злонамеренную атаку на контроллер. При этом объем данных, обрабатываемых контроллером, большой, и рабочие характеристики контроллера низкие.

Раскрытие сущности изобретения

Варианты осуществления настоящего изобретения направлены на способ и устройство детектирования злонамеренной атаки, таким образом, что злонамеренная атака со стороны хост-устройства может быть детектирована, объем обработки данных контроллера может быть уменьшен, и рабочие характеристики контроллера могут быть улучшены.

В соответствии с первым аспектом, предусмотрен способ детектирования злонамеренной атаки, включающий в себя:

принимают, в контроллере, сообщение во входящем пакете, переданное первым коммутатором, где сообщение во входящем пакете включает в себя я идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит вход в поток;

определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN, контроллер передает ненормальный вход в поток в первый коммутатор, где ненормальный вход в поток включает в себя идентификатор хост-устройства источника;

контроллер принимает запускающую величину подсчета, переданную первым коммутатором, где первый коммутатор передает запускающую величину подсчета после истечения времени ненормального входа в поток, и запускающая величина подсчета представляет собой количество раз запуска ненормального входа потока; и

определяют, в контроллере, в соответствии с запускающей величиной подсчета, была ли инициирована злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

Со ссылкой на первый аспект, в первом возможном подходе к воплощению первого аспекта, определение в контроллере, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника, включает в себя:

рассчитывают, в контроллере, запускающую частоту ненормального входа потока в соответствии с запускающей величиной подсчета и временем старения ненормального входа потока; и

определяют, в контроллере, превышает ли запускающая частота пороговое значение частоты; и если запускающая частота больше, чем пороговое значение частоты, определяют в контроллере, что инициирована злонамеренная атака из хост-устройства источника; или если запускающая частота не больше порогового значения частоты, определяют в контроллере, что злонамеренная атака не была инициирована из хост-устройства источника.

Со ссылкой на первый аспект, во втором возможном подходе к воплощению первого аспекта, определение в контроллере, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника, включает в себя:

определяют, в контроллере, превышает ли запускающая величина подсчета пороговое значение величины подсчета; и если запускающая величина подсчета больше, чем пороговое значение подсчета, определяют, в контроллере, что инициирована злонамеренная атака из хост-устройства источника; или если запускающая частота не больше порогового значения частоты, определяют, в контроллере, что не была инициирована злонамеренная атака из хост-устройства источника.

Со ссылкой на первый аспект, и/или первый возможный подход к воплощению первого аспекта, и/или второй возможный подход к воплощению первого аспекта, в третьем возможном подходе к воплощению первого аспекта, перед передачей контроллером ненормального входа потока в первый коммутатор, способ дополнительно включает в себя:

определяют в контроллере, был ли предоставлен ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, в первый коммутатор; и если ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, не был предоставлен в первый коммутатор, выполняют в контроллере этап передачи ненормального входа потока в первый коммутатор.

Со ссылкой на первый аспект и/или первый возможный подход к воплощению первого аспекта, и/или второй возможный подход к воплощению первого аспекта, и/или третий возможный подход к воплощению первого аспекта, в четвертом возможном подходе к воплощению первого аспекта, способ дополнительно включает в себя:

когда определяют, что последняя таблица потока в первом коммутаторе представляет собой точно соответствующую таблицу, включающую в себя область, соответствующую идентификатору хост-устройства источника, контроллер передает первую инструкцию в первый коммутатор, где первая инструкция используется для инструктирования первого коммутатора сконфигурировать точно соответствующую таблицу, как точно соответствующую таблицу, которая соответствует только в области соответствия с идентификатором хост-устройства источника, таким образом, что в первом коммутаторе содержится ненормальный вход потока в последней таблице потока.

Со ссылкой на первый аспект, и/или первый возможный подход к воплощению первого аспекта, и/или второй возможный подход к воплощению первого аспекта, и/или третий возможный подход к воплощению первого аспекта, в пятом возможном подходе к воплощению первого аспекта, способ дополнительно включает в себя:

когда определяют, что последняя таблица потока в первом коммутаторе представляет собой точно соответствующую таблицу, и обобщенная таблица, включающая в себя область соответствия идентификатора хост-устройства источника, существует в первом коммутаторе, контроллер передает вторую инструкцию в первый коммутатор, где вторая инструкция используется для передачи инструкции в первый коммутатор для регулирования обобщенной таблицы, включающей в себя область соответствия идентификатора хост-устройства источника, в последнюю таблицу потока, таким образом, что первый коммутатор содержит ненормальный вход потока в последней таблице потока.

Со ссылкой на первый аспект и/или первый возможный подход к воплощению первого аспекта, и/или второй возможный подход к воплощению первого аспекта, и/или третий возможный подход к воплощению первого аспекта, и/или четвертый возможный подход к воплощению первого аспекта, и/или пятый возможный подход к воплощению первого аспекта, в шестом возможном подходе к воплощению первого аспекта, приоритет ненормального входа потока представляет собой самый низкий приоритет входа потока в первом коммутаторе.

Со ссылкой на первый аспект, и/или первый возможный подход к воплощению первого аспекта, и/или второй возможный подход к воплощению первого аспекта, и/или третий возможный подход к воплощению первого аспекта, и/или четвертый возможный подход к воплощению первого аспекта, и/или пятый возможный подход к воплощению первого аспекта, и/или шестой возможный подход к воплощению первого аспекта, в седьмом возможном подходе к воплощению первого аспекта, способ дополнительно включает в себя:

когда определяют, в соответствии с запускающей величиной подсчета, что злонамеренная атака инициирована из хост-устройства источника, обозначенного идентификатором хост-устройства источника, контроллер передает третью инструкцию в первый коммутатор, где третья инструкция используется для инструктирования первого коммутатора сдерживать пакет данных хост-устройства источника.

В соответствии со вторым аспектом, предусмотрен способ детектирования злонамеренной атаки, включающий в себя:

когда определяют, что вход потока, соответствующий пакету данных, не найден, первый коммутатор передает сообщение во входящем пакете в контроллер, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных;

принимают и сохраняют в первом коммутаторе ненормальный вход потока, где контроллер передает ненормальный вход потока, когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN; и

записывают, в первом коммутаторе в пределах времени старения ненормального входа потока, запускающую величину подсчета ненормального входа потока, и передают запускающую величину подсчета в контроллер после истечения времени ненормального входа потока, таким образом, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

Со ссылкой на второй аспект, в первом возможном подходе к воплощению второго аспекта, способ дополнительно включает в себя:

принимают, в первом коммутаторе, первую инструкцию, переданную контроллером, и конфигурируют, в соответствии с первой инструкцией, локальную точную таблицу соответствия, которая является последней таблицей потока, как точную таблицу соответствия, которая соответствует только в области соответствия идентификатора хост-устройства источника; или

принимают, в первом коммутаторе, вторую инструкцию, переданную контроллером, и регулируют обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, как последнюю таблицу потока в соответствии со второй инструкцией.

Со ссылкой на первый возможный подход к воплощению второго аспекта, во втором возможном подходе к воплощению второго аспекта, сохранение в первом коммутаторе ненормального входа потока включает в себя:

сохраняют, в первом коммутаторе, ненормальный вход потока в последнюю таблицу потока.

Со ссылкой на второй аспект, и/или первый возможный подход к воплощению второго аспекта, и/или второй возможный подход к воплощению второго аспекта, в третьем возможном подходе к воплощению второго аспекта, способ дополнительно включает в себя:

принимают, в первом коммутаторе, третью инструкцию, переданную контроллером, где контроллер передает третью инструкцию при определении, в соответствии с запускающей величиной подсчета, что инициирована злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника; и

сдерживают, в первом коммутаторе, в соответствии с третьей инструкцией, пакет данных из хост-устройства источника.

В соответствии с третьим аспектом, предусмотрено устройство детектирования злонамеренной атаки, включающее в себя:

первый модуль приема, выполненный с возможностью приема сообщения во входящем пакете, переданного первым коммутатором, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит вход потока;

первый модуль передачи, выполненный с возможностью: когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, принятым первым модулем приема, не существует в сети SDN, передавать ненормальный вход потока в первый коммутатор, где ненормальный вход потока включает в себя идентификатор хост-устройства источника, где

первый модуль приема, дополнительно выполнен с возможностью приема запускающей величины подсчета, переданной первым коммутатором, где первый коммутатор передает запускающую величину подсчета после истечения времени ненормального входа потока, и запускающая величина подсчета представляет собой количество раз запуска ненормального входа потока; и

модуль детектирования, выполненный с возможностью определения, в соответствии с запускающей величиной подсчета, принятой первым модулем приема, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

Со ссылкой на третий аспект, в первом возможном подходе к воплощению третьего аспекта, модуль детектирования, в частности, выполнен с возможностью:

рассчитывать запускающую частоту ненормального входа потока в соответствии с запускающей величиной подсчета, принятой первым модулем приема, и временем старения ненормального входа потока; и

определять, превышает ли запускающая частота пороговое значение частоты; и если запускающая частота выше, чем пороговое значение частоты, определяют, что злонамеренная атака инициирована из хост-устройства источника; или если запускающая частота не выше порогового значения частоты, определяют, что злонамеренная атака не была инициирована из хост-устройства источника.

Со ссылкой на третий аспект, во втором возможном подходе к воплощению третьего аспекта, модуль детектирования, в частности, выполнен с возможностью:

определять, превышает ли запускающая величина подсчета пороговое значение величины подсчета; и если запускающая величина подсчета выше, чем пороговое значение подсчета, контроллер определяет, что инициирована злонамеренная атака из хост-устройства источника; или если запускающая частота не выше порогового значения частоты, контроллер определяет, что злонамеренная атака не была инициирована из хост-устройства источника.

Со ссылкой на третий аспект, и/или первый возможный подход к воплощению третьего аспекта, и/или второй возможный подход к воплощению третьего аспекта, в третьем возможном подходе к воплощению третьего аспекта, способ дополнительно включает в себя:

модуль определения, выполненный с возможностью определения, был ли предоставлен ненормальный вход потока из хост-устройства источника, обозначенного идентификатором хост-устройства источника, в первый коммутатор; и если ненормальный вход потока из хост-устройства источника, обозначенного идентификатором хост-устройства источника, не был предоставлен в первый коммутатор, инициирует первый модуль передачи для передачи ненормального входа потока в первый коммутатор.

Со ссылкой на третий аспект, и/или первый возможный подход к воплощению третьего аспекта, и/или второй возможный подход к воплощению третьего аспекта, и/или третий возможный подход к воплощению третьего аспекта, в четвертом возможном подходе к воплощению третьего аспекта, первый модуль передачи дополнительно выполнен с возможностью: когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, включающую в себя область соответствия с идентификатором хост-устройства источника, инструктировать первый коммутатор сконфигурировать таблицу точного соответствия, как таблицу точного соответствия, которая соответствует только области соответствия идентификатора хост-устройства источника, таким образом, чтобы первый коммутатор содержал ненормальный вход потока в последней таблице потока.

Со ссылкой на третий аспект, и/или первый возможный подход к воплощению третьего аспекта, и/или второй возможный подход к воплощению третьего аспекта, и/или третий возможный подход к воплощению третьего аспекта, в пятом возможном подходе к воплощению третьего аспекта, первый модуль передачи дополнительно выполнен с возможностью:

когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, и обобщенная таблица, включающая в себя область соответствия идентификатора хост-устройства источника, существует в первом коммутаторе, передают вторую инструкцию в первый коммутатор, где вторая инструкция используется для инструктирования первого коммутатора отрегулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника с последней таблицей потока, таким образом, что первый коммутатор содержит ненормальный вход потока в последней таблице потока.

Со ссылкой на третий аспект и/или первый возможный подход к воплощению третьего аспекта, и/или второй возможный подход к воплощению третьего аспекта, и/или третий возможный подход к воплощению третьего аспекта, и/или четвертый возможный подход к воплощению третьего аспекта, и/или пятый возможный подход к воплощению третьего аспекта, в шестом возможном подходе к воплощению третьего аспекта первый модуль передачи дополнительно выполнен с возможностью:

когда определяют, в соответствии с запускающей величиной подсчета, что злонамеренная атака инициирована из хост-устройства источника, обозначенного идентификатором хост-устройства источника, передают третью инструкцию в первый коммутатор, где третья инструкция используется для инструктирования первого коммутатора сдерживать пакет данных из хост-устройства источника.

В соответствии с четвертым аспектом, предусмотрено устройство детектирования злонамеренной атаки, включающее в себя:

второй модуль передачи, выполненный с возможностью: когда определяют, что вход потока, соответствующий пакету данных, не найден, передавать сообщение во входящем пакете в контроллер, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных;

второй модуль приема, выполненный с возможностью приема ненормального входа потока, где ненормальный вход потока передает контроллер, когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN;

модуль сохранения, выполненный с возможностью сохранения ненормального входа потока, принимаемого вторым модулем приема; и

модуль записи величины подсчета, выполненный с возможностью записи, в пределах времени старения ненормального входа потока, сохраненного модулем сохранения, запускающей величины подсчета ненормального входа потока, где

второй модуль передачи дополнительно выполнен с возможностью: после ненормального входа потока, сохраненного в модуле сохранения, передавать запускающую величину подсчета, записанную модулем записи подсчета, в контроллер, таким образом, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

Со ссылкой на четвертый аспект, в первом возможном подходе к воплощению второго аспекта, второй модуль приема дополнительно выполнен с возможностью принимать первую инструкцию, переданную контроллером; и

устройство дополнительно включает в себя: модуль конфигурирования, выполненный с возможностью конфигурировать, в соответствии с первой инструкцией, локальную таблицу точного соответствия, являющуюся последней таблицей потока, как таблицу точного соответствия, которая соответствует только области соответствия идентификатора хост-устройства источника; или

второй модуль приема, дополнительно выполнен с возможностью принимать вторую инструкцию, переданную контроллером; и

устройство дополнительно включает в себя: модуль конфигурирования, выполненный с возможностью регулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы она представляла собой последнюю таблицу потока в соответствии со второй инструкцией.

Со ссылкой на первый возможный подход к воплощению второго аспекта, во втором возможном подходе к воплощению второго аспекта, модуль сохранения, в частности, выполнен с возможностью сохранять ненормальный вход потока в последней таблице потока.

Со ссылкой на второй аспект, и/или первый возможный подход к воплощению второго аспекта, и/или второй возможный подход к воплощению второго аспекта, в третьем возможном подходе к воплощению второго аспекта, второй модуль приема дополнительно выполнен с возможностью принимать третью инструкцию, переданную первым коммутатором; и

устройство дополнительно включает в себя: модуль управления, выполненный с возможностью сдерживать пакет данных из хост-устройства источника.

В вариантах осуществления контроллер принимает сообщение во входящем пакете, переданное первым коммутатором, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит вход потока; когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN, контроллер передает ненормальный вход потока в первый коммутатор, где ненормальный вход потока включает в себя идентификатор хост-устройства источника; контроллер принимает запускающую величину подсчета ненормального входа потока, переданную первым коммутатором после истечения времени ненормального входа потока; и контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. В вариантах осуществления контроллеру не требуется собирать статистику о сообщениях в пакете, соответствующую каждому хост-устройству, вместо этого, первый коммутатор собирает статистику, используя запускающую величину подсчета ненормального входа потока. Таким образом, сбор статистики сообщений, первоначально выполняемый контроллером, распределяется в каждый коммутатор для исполнения, что, таким образом, уменьшает объем обработки данных контроллера, и улучшает рабочие характеристики контроллера.

Краткое описание чертежей

Для более ясного описания технических решений в вариантах осуществления настоящего изобретения или в предшествующем уровне техники, ниже кратко представлены приложенные чертежи, требуемые для описания вариантов осуществления. Очевидно, что приложенные чертежи в следующем описании представляют просто некоторые варианты осуществления настоящего изобретения, и специалист в данной области техники все еще сможет, без творческих усилий, вывести другие чертежи из этих приложенных чертежей.

На фиг. 1 представлена схема сценария 1 передачи данных хост-устройства в сети SDN в известном уровне техники;

на фиг. 2 представлена схема сценария 2 передачи данных хост-устройства в сети SDN в известном уровне техники;

на фиг. 2А представлена структурная схема таблицы потока в коммутаторе в известном уровне техники;

на фиг. 3 представлена блок-схема последовательности операций первого варианта осуществления способа детектирования злонамеренной атаки в соответствии с настоящим изобретением;

на фиг. 4 представлена блок-схема последовательности операций второго варианта осуществления способа детектирования злонамеренной атаки в соответствии с настоящим изобретением;

на фиг. 5 представлена блок-схема последовательности операций третьего варианта осуществления способа детектирования злонамеренной атаки в соответствии с настоящим изобретением;

на фиг. 5А представлена схема сравнения состояний перед и после конфигурирования точной таблицы соответствия, являющейся последней таблицей потока, в соответствии с настоящим изобретением;

на фиг. 5В представлена структурная схема состояния перед взаимной заменой положений точной таблицы соответствия и обобщенной таблицы в соответствии с настоящим изобретением;

на фиг. 5С представлена структурная схема состояния после взаимной замены положений точной таблицы соответствия и обобщенной таблицы в соответствии с настоящим изобретением;

на фиг. 5D представлена схема варианта выполнения ненормального входа потока в соответствии с настоящим изобретением;

на фиг. 6 представлена структурная схема первого варианта осуществления устройства детектирования злонамеренной атаки в соответствии с настоящим изобретением;

на фиг. 7 представлена структурная схема второго варианта осуществления устройства детектирования злонамеренной атаки в соответствии с настоящим изобретением;

на фиг. 8 представлена структурная схема контроллера в соответствии с настоящим изобретением; и

на фиг. 9 представлена структурная схема коммутатора в соответствии с настоящим изобретением.

Осуществление изобретения

Вначале описана таблица потока в коммутаторе и структура таблицы потока.

В общем, коммутатор включает в себя минимум одну таблицу потока и максимум 255 таблиц потока. Коммутатор включает в себя конвейер, таблицы потока коммутатора расположены в конвейере последовательно. В коммутаторе не обязательно используются все таблицы потока коммутатора, но могут использоваться только некоторые из таблиц потока. Например, коммутатор на фиг. 2А может включать в себя десять таблиц потока, но в коммутаторе фактически используется только первые семь таблиц потока от таблицы 0 до таблицы 6 в конвейере, последние три таблицы потока от таблицы 7 до таблицы 9 не показаны на чертеже и не используются коммутатором. Вход потока содержится в таблице потока и используется для записи и перенаправления пути между двумя хост-устройствами.

Как показано на фиг. 2А, когда принимают пакет данных, коммутатор выполняет поиск, в соответствии с пакетом данных, в таблицах потока конвейера, в последовательности, вход потока, который может соответствовать пакету данных, до тех пор, пока не будет найден вход потока, который может соответствовать пакету данных, или до тех пор, пока не будет выполнен поиск в последней таблице потока, в то время как не будет найден вход потока, который может соответствовать пакету данных.

Таблица потока представляет собой ядро для политики перенаправления коммутатора, и аналогично таблице маршрутизации обычного маршрутизатора, и занимает большую часть ресурсов, сохраняемых в коммутаторе. Таблицы потока могут быть классифицированы на два типа: обобщенная таблица и таблица точного соответствия:

В таблице точного соответствия конкретные значения должны быть заданы всем соответствующим областям входа потока. Когда пакет данных соответствует входу потока в таблице точного соответствия, считается, что пакет данных и вход потока соответствуют только, когда значения всех соответствующих областей пакета данных и входа потока, соответственно, являются равными. Например, как показано в таблице 1, таблица точного соответствия включает в себя пять областей соответствия: протокол Интернет источника (Src IP), протокол Интернет назначения (Dst IP), порт источника (SrcPort), порт назначения (DstPort), и протокол IP (IP Protocol), и три инструкции (Instructions): действия записи (Write Actions), записи метаданных (Write Metadata), и перехода в таблицу (GoToTable). Каждая область соответствия во входе потока, показанном в таблице 1, имеет определенное значение. Когда пакет данных соответствует входу потока, можно считать, что пакет данных соответствует входу потока только, когда значения пяти соответствующих областей: Src IP, Dst IP, SrcPort, DstPort и IP Protocol пакета данных и входа потока, соответственно, равны.

В обобщенной таблице значения могут быть заданы только для части областей соответствия входа потока. Когда пакет данных соответствует входу потока в обобщенной таблице, считается, что пакет данных и вход потока соответствуют при условии, что значения части областей соответствия пакета данных и входа потока, соответственно, равны. Например, как показано в таблице 2, обобщенная таблица включает в себя пять областей соответствия: Src IP, Dst IP, SrcPort, DstPort и IP Protocol, и три инструкции: действия, записать метаданные и перейти к таблице; при этом только соответствующая область Dst IP во входе потока, показанном в таблице 2, имеет конкретное значение 192.168.20.1. Когда пакет данных соответствует входу потока в таблице соответствия, считается, что пакет данных и вход потока, показанный в таблице 2, соответствуют при условии, что значение области Dst IP соответствия в пакете данных также равно 192.168.20.1.

Далее ясно и полностью описаны технические решения в вариантах осуществления настоящего изобретения со ссылкой на приложенные чертежи, в вариантах осуществления настоящего изобретения. Очевидно, что описанные варианты осуществления представляют собой только некоторые, а не все варианты осуществления настоящего изобретения. Все другие варианты осуществления, полученные без творческих усилий специалистом с обычными навыками в области техники на основе вариантов осуществления настоящего изобретения, должны попадать в пределы объема защиты настоящего изобретения.

Рассмотрим фиг. 3. На фиг. 3 показана схема первого варианта осуществления способа детектирования злонамеренной атаки, в соответствии с настоящим изобретением, где способ включает в себя:

Этап 301: контроллер принимает сообщение во входящем пакете, переданное первым коммутатором, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не нашел вход потока.

Этап 302: при определении, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN, контроллер передает ненормальный вход потока в первый коммутатор, где ненормальный вход потока включает в себя идентификатор хост-устройства источника.

Этап 303: контроллер принимает запускающую величину подсчета, переданную первым коммутатором, где первый коммутатор передает запускающую величину подсчета после истечения времени ненормального входа потока, и запускающая величина подсчета представляет собой количество раз инициирования ненормального входа потока.

Этап 304: контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

В этом варианте осуществления контроллеру не требуется собирать статистику о сообщениях в пакете, соответствующих каждому хост-устройству, и передавать вместо этого ненормальный вход потока в первый коммутатор; первый коммутатор собирает статистику о запускающей величине подсчета ненормального входа потока и передает отчет с запускающей величиной подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщений, первоначально выполняемый контроллером, распределяется в каждый коммутатор для выполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочую характеристику контроллера.

Рассмотрим фиг. 4. На фиг. 4 показана схема второго варианта осуществления способа детектирования злонамеренной атаки, в соответствии с настоящим изобретением, где способ включает в себя:

Этап 401: когда определяют, что вход потока, соответствующий пакету данных, не найден, первый коммутатор передает сообщение во входящем пакете в контроллер, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных.

Этап 402: первый коммутатор принимает и сохраняет ненормальный вход потока, переданный контроллером, где контроллер передает ненормальный вход потока, когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN.

Этап 403: первый коммутатор записывает, в пределах времени старения ненормального входа потока, запускающую величину подсчета ненормального входа потока, и передает запускающую величину подсчета в контроллер после истечения времени ненормального входа потока, таким образом, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

В этом варианте осуществления контроллеру не требуется собирать статистику о сообщениях во входящем пакете, соответствующих каждому хост-устройству, и вместо этого, первый коммутатор собирает статистику о запускающей величине подсчета ненормального входа потока и передает отчет с запускающей величиной подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщений, первоначально выполняемый контроллером, распределяется на каждый коммутатор для выполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочую характеристику контроллера.

Рассмотрим фиг. 5. На фиг. 5 показана схема третьего варианта осуществления способа детектирования злонамеренной атаки, в соответствии с настоящим изобретением, где способ включает в себя:

Этап 501: контроллер получает структуру таблицы потока в первом коммутаторе, и когда определяют, что последняя таблица потока в первом коммутаторе представляет собой точную таблицу соответствия, включающую в себя область соответствия идентификатора хост-устройства источника, передает первую инструкцию в первый коммутатор, где первая инструкция используется для инструктирования первого коммутатора сконфигурировать таблицу точного соответствия, как таблицу точного соответствия, которая соответствует только области соответствия идентификатора хост-устройства источника.

В протоколе OpenFlow1.3 установлено, что контроллер может конфигурировать тип области соответствия каждой таблицы потока в коммутаторе, используя составное сообщение типа TABLE_FEATURES. Поэтому, на этом этапе, контроллер также может конфигурировать, используя такой подход, таблицу точного соответствия, включающую в себя область соответствия идентификатора хост-устройства источника, как таблицу точного соответствия, соответствующую только области соответствия идентификатора хост-устройства источника.

Например, как показано на фиг. 5А, предположим, что идентификатор хост-устройства источника представляет собой МАС-адрес хост-устройства источника, что область соответствия идентификатора хост-устройства источника воплощена, используя область соответствия ETH_SRC, и что последняя таблица потока первого коммутатора представляет собой таблицу точного соответствия, имеющую четыре области соответствия: Eth_type, Eth_src, Eth_dst и In_port, контроллер может инструктировать, путем передачи составного сообщения с типом свойства таблицы (TABLE FEATURES) в первый коммутатор для конфигурирования таблицы точного соответствия, в качестве таблицы точного соответствия, которая соответствует только области соответствия Eth_src.

Цель этого этапа состоит в том, чтобы обеспечить, чтобы последняя таблица потока в первом коммутаторе представляла собой обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, или таблицу точного соответствия, которая соответствует только области соответствия идентификатора хост-устройства источника. Поэтому, этап 501 может дополнительно быть заменен следующим этапом:

Контроллер получает структуру таблицы потока в первом коммутаторе; и когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия или обобщенную таблицу, не включающую в себя область соответствия идентификатора хост-устройства источника, и что обобщенная таблица, включающая в себя область соответствия идентификатора хост-устройства источника существует в первом коммутаторе, передает вторую инструкцию в первый коммутатор, где вторая инструкция используется для инструктирования первого коммутатора отрегулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы она была последней таблицей потока.

После протокола OpenFlow1.2 контроллер может передавать инструкцию, используя специальное сообщение, чтобы коммутатор изменил компоновку таблицы потока в коммутаторе; поэтому, контроллер может передавать инструкцию, используя специальное сообщение в коммутатор, отрегулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы она была последней таблицей потока. Первый коммутатор может непосредственно изменять положения последней таблицы точного соответствия и обобщенной таблицы, регулируя, таким образом, обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы она была последней таблицей потока; или первый коммутатор может изменять компоновку таблицы потока в первом коммутаторе, регулируя, таким образом, обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника так, чтобы она была последней таблицей потока. Например, предполагается, что идентификатор хост-устройства источника представляет собой адрес MAC хост-устройства источника, и область соответствия идентификатора хост-устройства источника воплощена с использованием области соответствия Eth_src. Как показано на фиг. 5В, предположим, что первый коммутатор включает в себя пять таблиц потока, и перед регулировкой таблицы потока, таблица 2 в конвейере представляет собой обобщенную таблицу, включающую в себя область соответствия Eth_src, и таблица 4 представляет собой таблицу точного соответствия, не включающую в себя область соответствия Eth_src, контроллер может инструктировать первый коммутатор выполнить взаимную замену таблиц потока в таблице 2 и в таблице 4. Структуры, полученные после регулировки таблицы потока, показаны на фиг. 5С. Таблица 2 фактически представляет собой таблицу точного соответствия оригинальной таблицы 4, и таблица 4 представляет собой обобщенную таблицу оригинальной таблицы 2.

Этап 501 и этап замены предыдущего этапа 501 могут быть выполнены, когда первый коммутатор осуществляет доступ к контроллеру.

Этап 502: первый коммутатор принимает пакет данных, переданный хост-устройством источника, и когда вход потока пакета данных не найден в локальной таблице потока, генерирует сообщение во входящем пакете, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных.

Идентификатор хост-устройства источника может представлять собой МАС-адрес, IP-адрес, интерфейс ввода и т.п. хост-устройства источника, который не ограничен этим здесь.

Когда первый коммутатор находит вход потока для пакета данных в локальной таблице потока, как показано на фиг. 1, первый коммутатор перенаправляет пакет данных в соответствии с входом потока. Детали не описаны здесь.

Этап 503: контроллер принимает сообщение во входящем пакете, переданное первым коммутатором; и когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN, контроллер определяет, был ли предоставлен ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, в первый коммутатор, и если ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, не был предоставлен в первый коммутатор, передает ненормальный вход потока в первый коммутатор, где ненормальный вход потока включает в себя идентификатор хост-устройства источника, и этап 504 выполняется; если ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, был предоставлен в первый коммутатор, процедура обработки в этом ответвлении заканчивается.

Способ обработки контроллера, когда контроллер определяет, что хоет-устройство, обозначенное идентификатором хост-устройства назначения, существует в сети SDN, представлен на фиг. 2 и в его соответствующем описании. Детали не будут описаны здесь.

Вариант осуществления ненормального входа потока может быть таким же, как и у нормального входа потока, и, так называемый ненормальный, вход потока используется просто для отличия от нормального входа потока, переданного контроллером, и используется для представления того, что вход потока передают, когда контроллер не может найти хост-устройство назначения.

В контроллере флаг доставки ненормального входа потока устанавливают для каждого хост-устройства, и он идентифицирует, доставляют ли контроллер ненормальный вход потока соответствующего хост-устройства, используя разные значения флага, такие, как да и нет. На этом этапе контроллер может определять, используя флаг доставки ненормального входа потока, соответствующий хост-устройству источника, был ли доставлен ненормальный вход потока хост-устройства источника, обозначенный идентификатором хост-устройства источника, в первый коммутатор. Кроме того, на этом этапе, после передачи ненормального входа потока в первый коммутатор, контроллер должен выполнить сброс значения флага для флага доставки ненормального входа потока, соответствующего хост-устройству источника, например, выполнить сброс значения флага с "нет" на "да". На этапе 507, после приема запускающей величины подсчета, контроллер должен выполнить сброс значения флага для флага доставки ненормального входа потока, соответствующего хост-устройству источника, например, выполнить сброс значения флага с "да" на "нет".

Этап 504: первый коммутатор принимает ненормальный вход потока, и сохраняет ненормальный вход потока в последней таблице потока.

В возможном подходе к воплощению ненормальный вход потока может включать в себя: область соответствия ETHSRC, используемую для записи МАС-адреса для хост-устройства, которое должно быть детектировано, то есть, МАС-адреса хост-устройства источника; действие, используемое для записи операции, выполняемой коммутатором; idle_timeout, используемый для записи неактивного времени старения ненормального входа потока; hard_timeout, используемый для записи времени старения ненормального входа потока; флаг, используемый для записи атрибута ненормального входа потока; и приоритет, используемый для записи приоритета ненормального входа потока. Например, в варианте осуществления ненормального входа потока, показанного на фиг. 5D, значение области соответствия ETHJSRC составляет 11:22:33:44:55:66, значение действия выводят в контроллер, значение idle timeout равно 0, значение hard_timeout равно 1, значение флага равно SEND_FLOW_REM + CHECK_OVERLAP, и значение приоритета представляет собой самый низкий приоритет 0.

В случае необходимости, приоритет ненормального входа потока, доставляемого контроллером, предпочтительно, представляет собой самый низкий приоритет входа потока в первом коммутаторе.

Этап 505: первый коммутатор записывает, в пределах времени старения ненормального входа потока, запускающую величину подсчета ненормального входа потока.

При фактическом применении, когда запускают ненормальный вход потока, предпочтительно, первый коммутатор продолжает передавать отчет с соответствующим сообщением во входящем пакете в контроллер, как в предшествующем уровне техники. В комбинации с самым низким приоритетом ненормального входа потока и обработкой сохранения ненормального входа потока в последней таблице потока, данный вариант осуществления настоящего изобретения дополнительно имеет следующие преимущества:

Предположим, что исходная причина, по которой хост-устройство В назначения пакета данных, переданного хост-устройством А источника в первый коммутатор, не может быть найдено, состоит в том, что питание хост-устройства В назначения не включено, и т.п., контроллер предоставляет ненормальный вход потока.

Если первый коммутатор передает в контроллер отчет, соответствующий сообщениям в пакете, когда запускают ненормальный вход потока, если питание хост-устройства В назначения включают в пределах времени старения ненормального входа потока, после включения питания хост-устройства В назначения, при приеме сообщения во входящем пакете, которое содержит идентификатор хост-устройства А источника, идентификатор хост-устройства В назначения, и которое передает первый коммутатор, контроллер может найти хост-устройство В назначения, и может доставить нормальный вход потока о хост-устройстве А источника и хост-устройстве В назначения в первый коммутатор.

В этом случае, поскольку ненормальный вход потока имеет самый низкий приоритет и сохранен в последней таблице потока, при приеме пакета данных из хост-устройства А источника снова в хост-устройстве В назначения, первый коммутатор вначале сопоставляет пакет данных с нормальным входом потока, и перенаправляет пакет данных, используя нормальный вход потока, без запуска ненормального входа потока.

Поэтому, представленная выше обработка данного варианта осуществления настоящего изобретения позволяет исключить продолжение запуска первым коммутатором ненормального входа потока и сбор статистики о запускающей величине подсчета в этом случае, дополнительно предотвращая неспособность первого коммутатора нормально перенаправлять пакет данных из хост-устройства А источника в хост-устройство В назначения в этом случае, и предотвращая ошибочное определение контроллером, в соответствии с запускающей величиной подсчета, передаваемой в отчете первого коммутатора, что хост-устройство А источника выполняет злонамеренную атаку, улучшая, таким образом, точность результата детектирования злонамеренной атаки, в соответствии с настоящим изобретением.

Этап 506: первый коммутатор передает запускающую величину подсчета в контроллер после истечения времени ненормального входа потока.

В предшествующем уровне техники, после истечение времени входа потока, коммутатор может передавать сообщение удаленного потока в контроллер для уведомления контроллера о том, что время на вход потока истекло. На этом этапе первый коммутатор может также передавать запускающую величину подсчета, используя сообщение удаленного потока, и, в частности, запускающая величина подсчета может быть перенесена в поле величины подсчета пакета в сообщении удаленного потока.

Этап 507: контроллер принимает запускающую величину подсчета, и определяет, в соответствии с запускающей величиной подсчета, была ли инициирована злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

В возможном подходе к воплощению, то, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника, может включать в себя:

контроллер рассчитывает частоту запуска ненормального входа потока, в соответствии с запускающей величиной подсчета и временем старения ненормального входа потока; и

контроллер определяет, превышает ли частота запуска пороговое значение частоты; и если частота запуска выше, чем пороговое значение частоты, контроллер определяет, что злонамеренная атака инициирована из хост-устройства источника; а если частота запуска не выше, чем пороговое значение частоты, контроллер определяет, что злонамеренная атака не была инициирована из хост-устройства источника.

Во втором возможном подходе к воплощению, то, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника, может включать в себя:

контроллер определяет, превышает ли запускающая величина подсчета пороговое значение подсчета; и если запускающая величина подсчета выше, чем пороговое значение подсчета, контроллер определяет, что злонамеренная атака инициирована из хост-устройства источника; если запускающая величина подсчета не выше, чем пороговое значение частоты, контроллер определяет, что злонамеренная атака не была инициирована из хост-устройства источника.

Второй возможный подход к воплощению, в общем, используется в сценарии, в котором зафиксировано время старения ненормальных входов потока, предоставляемых контроллером в различные коммутаторы.

Конкретные значения порогового значения частоты и порогового значения подсчета могут быть установлены в соответствии с фактической средой работы приложения, которая не ограничена настоящим изобретением.

Этап 508: когда определяют, что злонамеренная атака инициирована из хост-устройства источника, обозначенного идентификатором хост-устройства источника, контроллер передает третью инструкцию в первый коммутатор, где третья инструкция используется для инструктирования первого коммутатора сдерживать пакет данных из хост-устройства источника.

Контроллер может сдерживать пакет данных из хост-устройства источника, предоставляя специальный вход потока или список управления доступом (ACL, Access Control List) в первый коммутатор.

В этом варианте осуществления контроллеру не требуется собирать статистику о сообщениях в пакете, соответствующих каждому хост-устройству, и, вместо этого, первый коммутатор собирает статистику о запускающей величине подсчета ненормального входа потока и передает отчеты с запускающей величиной подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, была ли инициирована злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщения, первоначально выполняемый контроллером, распределяется в каждый коммутатор для исполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочую характеристику контроллера.

Кроме того, ненормальный вход потока имеет самый низкий приоритет, и первый коммутатор сохраняет ненормальный вход потока в последней таблице потока, таким образом, что результат детектирования злонамеренной атаки в данном варианте осуществления настоящего изобретения является более точным.

Способы детектирования злонамеренной атаки, показанные на фиг. 3 - фиг. 5, можно использовать в качестве необязательной функции коммутатора и контроллера для выполнения детектирования злонамеренной атаки в определенном хост-устройстве в определенный момент времени. Конкретное время детектирования может включать в себя, но не ограничено этим, следующие случаи:

1. Постоянное детектирование выполняется для хост-устройства, подключенного к коммутатору, или пользователь может устанавливать, когда выполнять детектирование и в каких хост-устройствах.

2. Детектирование не выполняют для хост-устройства по умолчанию, и можно отслеживать частоту, с которой коммутатор генерирует сообщения во входящем пакете, вызванные каждым портом. Если эта частота выше, чем заданное верхнее предельное пороговое значение, разрешается детектирование злонамеренной атаки на всех хост-устройствах, подключенных к порту.

3. Детектирование не выполняется для хост-устройства по умолчанию. Протокол OpenFlow1.3 определяет измеритель для отслеживания частоты потока и дополнительно определяет измеритель типа OFPM_CONTROLLER для отслеживания частоты потока, с которой коммутатор передает сообщения во входящем пакете. Если частота в пакете выше, чем верхняя предельная частота измерителя, запускается детектирование злонамеренной атаки на хост-устройство, подключенное к коммутатору.

В соответствии с представленными выше способами, варианты осуществления настоящего изобретения дополнительно направлены на устройство детектирования злонамеренной атаки, контроллер и коммутатор.

Рассмотрим фиг. 6. На фиг. 6 показана схема первого варианта осуществления устройства 600 детектирования злонамеренной атаки, в соответствии с настоящим изобретением. Устройство 600 может быть расположено в контроллере, и устройство 600 включает в себя:

первый модуль 610 приема, выполненный с возможностью приема сообщения во входящем пакете, переданном первым коммутатором, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит вход потока;

первый модуль 620 передачи, выполненный с возможностью: когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, принятым первым модулем 610 приема, не существует в сети SDN, передавать ненормальный вход потока в первый коммутатор, где ненормальный вход потока включает в себя идентификатор хост-устройства источника, где

первый модуль 610 приема дополнительно выполнен с возможностью приема запускающей величины подсчета, переданной первым коммутатором, где запускающую величину подсчета передают в первый коммутатор после истечения времени ненормального входа потока, и запускающая величина подсчета представляет собой количество раз запуска ненормального входа потока; и

модуль 630 детектирования выполнен с возможностью определения, в соответствии с запускающей величиной подсчета, принятой первым модулем 610 приема, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

В первом возможном подходе к воплощению модуль 630 детектирования может быть, в частности, выполнен с возможностью:

рассчитывать частоту запуска ненормального входа потока в соответствии с запускающей величиной подсчета, принимаемой первым модулем 610 приема, и временем старения ненормального входа потока; и

определять, превышает ли частота запуска пороговое значение частоты; и если частота запуска выше, чем пороговое значение частоты, определять, что злонамеренная атака инициирована из хост-устройства источника; а если частота запуска не выше, чем пороговое значение частоты, определять, что злонамеренная атака не была инициирована из хост-устройства источника.

Во втором возможном подходе к воплощению модуль 630 детектирования, в частности, может быть выполнен с возможностью:

определения, превышает ли запускающая величина подсчета пороговое значение подсчета; и если запускающая величина подсчета выше, чем пороговое значение подсчета, определять, с помощью контроллера, что злонамеренная атака инициирована из хост-устройства источника; а если запускающая величина подсчета не выше, чем пороговое значение подсчета, определять, с помощью контроллера, что злонамеренная атака не была инициирована из хост-устройства источника.

В случае необходимости, устройство может дополнительно включать в себя:

модуль определения, выполненный с возможностью определения, был ли доставлен ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, в первый коммутатор; и если ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, не был доставлен в первый коммутатор, инициировать первый модуль 620 передачи для передачи ненормального входа потока в первый коммутатор.

В первом возможном подходе к воплощению первый модуль 620 передачи может быть дополнительно выполнен с возможностью: когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, включающую в себя домен соответствия идентификатора хост-устройства источника, инструктировать первый коммутатор сконфигурировать точную таблицу соответствия, как точную таблицу соответствия, соответствующую только в области соответствия идентификатора хост-устройства источника, таким образом, что первый коммутатор сохраняет ненормальный вход потока в последней таблице потока.

Во втором возможном подходе к воплощению первый модуль 620 передачи может быть дополнительно выполнен с возможностью: когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, и обобщенная таблица, включающая в себя область соответствия идентификатора хост-устройства источника, существует в первом коммутаторе, передавать вторую инструкцию в первый коммутатор, где вторая инструкция используется для инструктирования первого коммутатора регулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, как последнюю таблицу потока, таким образом, что первый коммутатор содержит ненормальный вход потока в последней таблице потока.

В случае необходимости, первый модуль 620 передачи может быть дополнительно выполнен с возможностью:

когда определяют, в соответствии с запускающей величиной подсчета, что злонамеренная атака инициирована из хост-устройства источника, обозначенного идентификатором хост-устройства источника, передавать третью инструкцию в первый коммутатор, где третья инструкция используется для инструктирования первого коммутатора подавлять пакет данных из хост-устройства источника.

В этом варианте осуществления контроллеру не требуется собирать статистику о сообщениях в пакете, в соответствии с каждым хост-устройством, и передавать вместо этого ненормальный вход потока в первый коммутатор; первый коммутатор собирает статистику о запускающей величине подсчета ненормального входа потока и передает отчеты о запускающей величине подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщений, первоначально выполняемый контроллером, распределяется в каждый коммутатор для выполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочую характеристика контроллера.

Рассмотрим фиг. 7. На фиг. 7 показана схема второго варианта осуществления устройства 700 детектирования злонамеренной атаки, в соответствии с настоящим изобретением. Устройство 700 может быть расположено в первом коммутаторе, и устройство 700 включает в себя:

второй модуль 710 передачи, выполненный с возможностью: когда определяют, что вход потока, соответствующий пакету данных, не найден, передавать сообщение во входящем пакете в контроллер, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных;

второй модуль 720 приема, выполненный с возможностью приема ненормального входа потока, переданного контроллером, где ненормальный вход потока передает контроллер, когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN;

модуль 730 сохранения, выполненный с возможностью сохранения ненормального входа потока, принятого вторым модулем 720 приема; и

модуль 740 записи величины подсчета, выполненный с возможностью записи, в пределах времени старения ненормального входа потока, сохраненного модулем 730 сохранения, запускающей величины подсчета ненормального входа потока, где

второй модуль 710 передачи дополнительно выполнен с возможностью: после истечения времени ненормального входа потока, сохраненного модулем сохранения, передачи запускающей величины подсчета в контроллер, таким образом, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

В случае необходимости, второй модуль 720 приема может быть дополнительно выполнен с возможностью приема первой инструкции, переданной контроллером; и

устройство дополнительно включает в себя: модуль конфигурирования, выполненный с возможностью конфигурировать, в соответствии с первой инструкцией, локальную таблицу точного соответствия, являющуюся последней таблицей потока, как таблицу точного соответствия, которая соответствует только области соответствия идентификатора хост-устройства источника; или

второй модуль приема, дополнительно выполнен с возможностью принимать вторую инструкцию, переданную контроллером; и

устройство дополнительно включает в себя: модуль конфигурирования, выполненный с возможностью регулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы она представляла собой последнюю таблицу потока в соответствии со второй инструкцией.

В случае необходимости, модуль 730 сохранения, в частности, может быть выполнен с возможностью сохранения ненормального входа потока в последней таблице потока.

В случае необходимости, второй модуль 720 приема может быть дополнительно выполнен с возможностью принимать третью инструкцию, переданную первым коммутатором; и

устройство может дополнительно включать в себя: модуль управления, выполненный с возможностью сдерживать пакет данных из хост-устройства источника.

В данном варианте осуществления контроллеру не требуется собирать статистику о сообщениях в пакете, соответствующих каждому хост-устройству, и, вместо этого, первый коммутатор собирает статистику о запускающей величине подсчета ненормального входа потока и передает отчеты с запускающей величиной подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщения, первоначально выполняемый контроллером, распределяется по каждому коммутатору для исполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочую характеристику контроллера.

Рассмотрим фиг. 8. На фиг. 8 показана схематичная структурная схема контроллера 800, в соответствии с вариантом осуществления настоящего изобретения. Контроллер 800 включает в себя: процессор 810, запоминающее устройство 820, приемопередатчик 830 и шину 840.

Процессор 810, запоминающее устройство 820 и приемопередатчик 830 взаимно соединены путем использования шины 840. Шина 840 может представлять собой шину ISA, шину PCI или шину EISA. Шина может представлять собой шину адреса, шину данных или шину управления. Для простоты иллюстрации шина представлена, используя полужирную линию на фиг. 8, но это не означает, что существует только одна шина или один тип шины.

Запоминающее устройство 820 выполнено с возможностью сохранения программы. В частности, программа может включать в себя программный код, и программный код включает в себя рабочие инструкции компьютера. Запоминающее устройство 820 может включать в себя высокоскоростное запоминающее устройство, и может дополнительно включать в себя энергонезависимое запоминающее устройство (энергонезависимую память), например, по меньшей мере, одно запоминающее устройство на магнитном диске.

Приемопередатчик 830 выполнен с возможностью соединения с другим устройством и сообщения с другим устройством. В частности, приемопередатчик 830 выполнен с возможностью принимать сообщение во входящем пакете, переданном первым коммутатором, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит вход потока; передавать ненормальный вход потока в первый коммутатор, в случае, когда ненормальный вход потока включает в себя идентификатор хост-устройства источника; и принимать запускающую величину подсчета, переданную первым коммутатором, где первый коммутатор передает запускающую величину подсчета после истечения времени ненормального входа потока, и запускающая величина подсчета представляет собой количество раз запуска ненормального входа потока.

Процессор 810 исполняет программный код и выполнен с возможностью определения, существует ли хост-устройство, обозначенное идентификатором хост-устройства назначения, в сети SDN, и когда определяют, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN, управлять приемопередатчиком 830 для передачи ненормального входа потока в первый коммутатор; и, дополнительно выполнен с возможностью определять, в соответствии с запускающей величиной подсчета, принятой приемопередатчиком 830, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

В случае необходимости, процессор 810 может быть, в частности, выполнен с возможностью расчета частоты запуска ненормального входа потока в соответствии с запускающей величиной подсчета и временем старения ненормального входа потока; и определять, превышает ли частота запуска пороговое значение частоты; и если частота запуска больше, чем пороговое значение частоты, определять, что злонамеренная атака инициирована из хост-устройства источника; а если частота запуска не больше, чем пороговое значение частоты, определять, что злонамеренная атака не была инициирована из хост-устройства источника.

В случае необходимости, процессор 810 может быть, в частности, выполнен с возможностью определять, превышает ли запускающая величина подсчета пороговое значение подсчета; и если запускающая величина подсчета больше, чем пороговое значение подсчета, определять, что инициирована злонамеренная атака из хост-устройства источника; а если запускающая величина подсчета не больше, чем пороговое значение подсчета, определять, что злонамеренная атака не была инициирована из хост-устройства источника.

В случае необходимости, процессор 810 может быть дополнительно выполнен с возможностью: прежде, чем приемопередатчик 830 передаст ненормальный вход потока в первый коммутатор, определять, был ли доставлен ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, в первый коммутатор; и если ненормальный вход потока хост-устройства источника, обозначенного идентификатором хост-устройства источника, не был доставлен в первый коммутатор, выполнять этап управления приемопередатчиком 830 для передачи ненормального входа потока в первый коммутатор.

В случае необходимости, процессор 810 может быть дополнительно выполнен с возможностью: когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, включающую в себя область соответствия идентификатора хост-устройства источника, управлять приемопередатчиком 830 для передачи первой инструкции в первый коммутатор, где первая инструкция используется для инструктирования первого коммутатора сконфигурировать таблицу точного соответствия, как таблицу точного соответствия, соответствующую только области соответствия идентификатора хост-устройства источника, таким образом, что в первом коммутаторе содержится ненормальный вход потока в последней таблице потока.

Приемопередатчик 830 может быть дополнительно выполнен с возможностью передачи первой инструкции в первый коммутатор.

В случае необходимости, процессор 810 может быть дополнительно выполнен с возможностью: когда определяют, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, и существует обобщенная таблица, включающая в себя область соответствия идентификатора хост-устройства источника в первом коммутаторе, управлять приемопередатчиком 830 для передачи второй инструкции в первый коммутатор, где вторая инструкция используется для инструктирования первого коммутатора отрегулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы он находился в последней таблице потока, таким образом, что в первом коммутаторе содержится ненормальный вход потока в последней таблице потока.

Приемопередатчик 830 может быть дополнительно выполнен с возможностью передавать вторую инструкцию в первый коммутатор.

В случае необходимости, процессор 810 может быть дополнительно выполнен с возможностью: когда определяют, в соответствии с запускающей величиной подсчета, что злонамеренная атака инициирована из хост-устройства источника, обозначенного идентификатором хост-устройства источника, управлять приемопередатчиком 830 для передачи третьей инструкции в первый коммутатор, где третья инструкция используется для инструктирования первого коммутатора сдерживать пакет данных из хост-устройства источника.

Приемопередатчик 830 может быть дополнительно выполнен с возможностью передавать третью инструкцию в первый коммутатор.

В этом варианте осуществления контроллеру не требуется собирать статистику о сообщениях в пакете, соответствующих каждому хост-устройству, и вместо этого передавать ненормальный вход потока в первый коммутатор; первый коммутатор собирает статику о запускающей величине подсчета ненормального входа потока и передает отчеты с запускающей величиной подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщения, первоначально выполнявшийся контроллером, распределяется в каждый коммутатор для исполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочие характеристики контроллера.

Рассмотрим фиг. 9. На фиг. 9 показана схематичная структурная схема первого коммутатора 900 в соответствии с вариантом осуществления настоящего изобретения. Первый коммутатор 900 включает в себя: процессор 910, запоминающее устройство 920, приемопередатчик 930 и шину 940.

Процессор 910, запоминающее устройство 920 и приемопередатчик 930 взаимно соединены, используя шину 940. Шина 940 может представлять собой шину ISA, шину PCI или шину EISA. Шина может представлять собой шину адреса, шину данных или шину управления. Для простоты иллюстрации шина представлена, используя полужирную линию на фиг. 9, но это не означает, что существует только одна шина или один тип шины.

Запоминающее устройство 920 выполнено с возможностью сохранения программы. В частности, программа может включать в себя программный код, и программный код включает в себя считываемые компьютером рабочие инструкции. Запоминающее устройство 920 может включать в себя высокоскоростное запоминающее устройство и может дополнительно включать в себя энергонезависимое запоминающее устройство (энергонезависимую память), например, по меньшей мере, одно запоминающее устройство на магнитном диске. Кроме того, запоминающее устройство 920 дополнительно выполнено с возможностью сохранения таблицы потока.

Приемопередатчик 930 выполнен с возможностью соединения с другим устройством, и обмена данными с другим устройством. В частности, приемопередатчик 930 выполнен с возможностью передачи сообщения во входящем пакете в контроллер, где сообщение во входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных; принимать ненормальный вход потока, переданный контроллером, путем определения, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN; и передавать запускающую величину подсчета ненормального входа потока в контроллер, таким образом, что контроллер определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

Процессор 910 выполняет программный код, и выполнен с возможностью: когда определяют, что вход потока, соответствующий пакету данных, не найден, управлять приемопередатчиком 930 для передачи сообщения во входящем пакете в контроллер; сохранять ненормальный вход потока, принятый приемопередатчиком 930 в запоминающем устройстве 920, когда ненормальный вход потока передает контроллер, путем определения, что хост-устройство, обозначенное идентификатором хост-устройства назначения, не существует в сети SDN; и записывать, в течение времени старения ненормального входа потока, запускающую величину подсчета ненормального входа потока, и управлять приемопередатчиком 930 для передачи запускающей величины подсчета в контроллер после истечения времени ненормального входа потока.

В случае необходимости, приемопередатчик 930 может быть дополнительно выполнен с возможностью приема первой инструкции, переданной контроллером; и

процессор 910 может быть дополнительно выполнен с возможностью конфигурировать локальную таблицу точного соответствия, являющуюся последней таблице потока, как таблицу точного соответствия, соответствующую только в области соответствия идентификатора хост-устройства источника, в соответствии с первой инструкцией, принятой приемопередатчиком 930; или

приемопередатчик 930 может быть дополнительно выполнен с возможностью приема второй инструкции, переданной контроллером; и

процессор 910 может быть дополнительно выполнен с возможностью регулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так, чтобы она представляла собой последнюю таблицу потока в соответствии со второй инструкцией, принятой приемопередатчиком 930.

В случае необходимости, процессор 910 может быть, в частности, выполнен с возможностью сохранять ненормальный вход потока в последней таблице потока в запоминающем устройстве 920.

В случае необходимости, приемопередатчик 930 может быть дополнительно выполнен с возможностью принимать третью инструкцию, переданную контроллером, где контроллер передает третью инструкцию путем определения, в соответствии с запускающей величиной подсчета, что злонамеренная атака инициирована из хост-устройства источника, обозначенного идентификатором хост-устройства источника.

Процессор 910 может быть дополнительно выполнен с возможностью сдерживать, в соответствии с третьей инструкцией, принятой приемопередатчиком 930, пакет данных из хост-устройства источника.

В этом варианте осуществления контроллеру нет необходимости собирать статистику о сообщениях во входящем пакете, в соответствии с каждым хост-устройством, и, вместо этого, первый коммутатор собирает статистику о запускающей величине подсчета ненормального входа потока и передает отчеты с запускающей величиной подсчета в контроллер; контроллер непосредственно определяет, в соответствии с запускающей величиной подсчета, инициирована ли злонамеренная атака из хост-устройства источника, обозначенного идентификатором хост-устройства источника. Таким образом, сбор статистики сообщения, первоначально выполнявшийся контроллером, распределяется в каждый коммутатор для выполнения, уменьшая, таким образом, объем обработки данных контроллера, и улучшая рабочие характеристики контроллера.

Для специалиста в данной области техники должно быть совершенно понятно, что технологии в вариантах осуществления настоящего изобретения могут быть воплощены с использованием программных средств, в дополнение к необходимой общей аппаратной платформе. На основе такого понимания, технические решения настоящего изобретения, по существу или в части, способствующей предшествующему уровню техники, могут быть воплощены в форме программного продукта. Программный продукт сохраняется на носителе информации, таком как ROM/RAM, жесткий диск или оптический диск, и включает в себя ряд инструкций для инструктирования компьютерного устройства (которое может представлять собой персональный компьютер, сервер или сетевое устройство) выполнять способы, описанные в вариантах осуществления или в некоторых частях вариантов осуществления настоящего изобретения.

Все варианты осуществления данного описания описаны последовательно, описание одинаковых или аналогичных частей в вариантах осуществления можно найти в этих вариантах осуществления, и каждый вариант осуществления фокусируется на отличии от других вариантов осуществления. В частности, вариант осуществления, направленный на систему, в основном, аналогичен варианту осуществления, направленному на способ, и поэтому он описан кратко; описание соответствующих частей можно найти в частичных описаниях в варианте осуществления способа.

Представленные выше описания представляют собой подходы к воплощению настоящего изобретения, но не предназначены для ограничения объем защиты настоящего изобретения. Любая модификация, эквивалентная замена и улучшение, выполненные без отхода от сущности и принципа настоящего изобретения, должны попадать в пределы объема защиты настоящего изобретения.

1. Способ детектирования злонамеренной атаки, содержащий этапы, на которых:

принимают посредством контроллера программно определяемой сети (сети SDN) сообщение о входящем пакете, переданное первым коммутатором, причем сообщение о входящем пакете содержит идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит запись о потоке;

при определении, что хост-устройство, указанное идентификатором хост-устройства назначения, не существует в сети SDN, передают посредством контроллера запись о ненормальном потоке в первый коммутатор, причем запись о ненормальном потоке включает в себя идентификатор хост-устройства источника;

принимают посредством контроллера величину подсчета запуска, переданную первым коммутатором, причем величина подсчета запуска передается первым коммутатором после истечения времени записи о ненормальном потоке, и величина подсчета запуска представляет собой количество раз запуска записи о ненормальном потоке; и

определяют посредством контроллера в соответствии с величиной подсчета запуска, была ли инициирована злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника.

2. Способ по п. 1, в котором на этапе определения посредством контроллера в соответствии с величиной подсчета запуска, инициирована ли злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника:

вычисляют посредством контроллера частоту запуска записи о ненормальном потоке в соответствии с величиной подсчета запуска и временем старения записи о ненормальном потоке; и

определяют посредством контроллера, превышает ли частота запуска пороговое значение частоты; и если частота запуска больше порогового значения частоты, определяют посредством контроллера, что инициирована злонамеренная атака из хост-устройства источника; а если частота запуска не больше порогового значения частоты, определяют посредством контроллера, что злонамеренная атака не была инициирована из хост-устройства источника.

3. Способ по п. 1, в котором на этапе определения посредством контроллера в соответствии с величиной подсчета запуска, инициирована ли злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника:

определяют посредством контроллера, превышает ли величина подсчета запуска пороговое значение величины подсчета; и если величина подсчета запуска больше, чем пороговая величина подсчета, определяют посредством контроллера, что инициирована злонамеренная атака из хост-устройства источника; а если величина подсчета запуска не больше, чем пороговая величина подсчета, определяют посредством контроллера, что не была инициирована злонамеренная атака из хост-устройства источника.

4. Способ по п. 1, который перед этапом передачи посредством контроллера записи о ненормальном потоке в первый коммутатор дополнительно содержит этапы, на которых:

определяют посредством контроллера, была ли доставлена запись о ненормальном потоке хост-устройства источника, указанного идентификатором хост-устройства источника, в первый коммутатор; и если запись о ненормальном потоке хост-устройства источника, указанного идентификатором хост-устройства источника, не была доставлена в первый коммутатор, выполняют посредством контроллера этап передачи записи о ненормальном потоке в первый коммутатор.

5. Способ по п. 1, дополнительно содержащий этап, на котором:

при определении, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, содержащую область соответствия идентификатору хост-устройства источника, передают посредством контроллера первую инструкцию в первый коммутатор, причем первая инструкция используется для указания первому коммутатору сконфигурировать таблицу точного соответствия в виде таблицы точного соответствия, которая соответствует только области соответствия идентификатора хост-устройства источника, с тем чтобы первый коммутатор сохранил запись о ненормальном потоке в последней таблице потока.

6. Способ по п. 1, дополнительно содержащий этап, на котором:

при определении, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, и обобщенная таблица, включающая в себя область соответствия идентификатору хост-устройства источника, существует в первом коммутаторе, передают посредством контроллера вторую инструкцию в первый коммутатор, причем вторая инструкция используется для указания первому коммутатору отрегулировать обобщенную таблицу, содержащую область соответствия идентификатора хост-устройства источника, чтобы она была последней таблицей потока, с тем чтобы первый коммутатор сохранил запись о ненормальном потоке в последней таблице потока.

7. Способ по п. 1, в котором приоритет записи о ненормальном потоке представляет собой наиболее низкий приоритет для записи о потоке в первом коммутаторе.

8. Способ по любому из пп. 1-7, дополнительно содержащий этап, на котором:

при определении в соответствии с величиной подсчета запуска, что злонамеренная атака инициирована из хост-устройства источника, указанного идентификатором хост-устройства источника, передают посредством контроллера третью инструкцию в первый коммутатор, причем третья инструкция используется для указания первому коммутатору сдерживать пакет данных от хост-устройства источника.

9. Способ детектирования злонамеренной атаки, содержащий этапы, на которых:

при определении, что запись о потоке, соответствующая пакету данных, не найдена, передают посредством первого коммутатора сообщение о входящем пакете в контроллер программно определяемой сети (сети SDN), причем сообщение о входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных;

принимают и сохраняют посредством первого коммутатора запись о ненормальном потоке, причем запись о ненормальном потоке передается контроллером при определении, что хост-устройство, указанное идентификатором хост-устройства назначения, не существует в сети SDN; и

записывают посредством первого коммутатора в пределах времени старения записи о ненормальном потоке величину подсчета запуска записи о ненормальном потоке и передают величину подсчета запуска в контроллер после истечения времени записи о ненормальном потоке, с тем чтобы контроллер определил в соответствии с величиной подсчета запуска, инициирована ли злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника.

10. Способ по п. 9, дополнительно содержащий этапы, на которых:

принимают посредством первого коммутатора первую инструкцию, переданную контроллером, и конфигурируют в соответствии с первой инструкцией локальную таблицу точного соответствия, являющуюся последней таблицей потока, в виде таблицы точного соответствия, соответствующей только области соответствия идентификатора хост-устройства источника; или

принимают посредством первого коммутатора вторую инструкцию, переданную контроллером, и регулируют обобщенную таблицу, содержащую область соответствия идентификатора хост-устройства источника, чтобы она стала последней таблицей потока, в соответствии со второй инструкцией.

11. Способ по п. 10, в котором на этапе сохранения посредством первого коммутатора записи о ненормальном потоке:

сохраняют посредством первого коммутатора запись о ненормальном потоке в последней таблице потока.

12. Способ по любому из пп. 9-11, дополнительно содержащий этапы, на которых:

принимают посредством первого коммутатора третью инструкцию, переданную контроллером, причем третья инструкция передается контроллером при определении, в соответствии с величиной подсчета запуска, что инициирована злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника; и

сдерживают посредством первого коммутатора в соответствии с третьей инструкцией пакет данных от хост-устройства источника.

13. Устройство детектирования злонамеренной атаки, содержащее:

первый модуль приема, выполненный с возможностью приема сообщения о входящем пакете, передаваемого первым коммутатором, причем сообщение о входящем пакете включает в себя идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных, для которого первый коммутатор не находит запись о потоке;

первый модуль передачи, выполненный с возможностью: когда определено, что хост-устройство, указанное идентификатором хост-устройства назначения, принимаемым первым модулем приема, не существует в сети SDN, передачи записи о ненормальном потоке в первый коммутатор, причем запись о ненормальном потоке содержит идентификатор хост-устройства источника, при этом

первый модуль приема дополнительно выполнен с возможностью приема величины подсчета запуска, передаваемого первым коммутатором, причем величина подсчета запуска передается первым коммутатором после истечения времени записи о ненормальном потоке, и величина подсчета запуска представляет собой количество раз запуска записи о ненормальном потоке; и

модуль детектирования, выполненный с возможностью определения в соответствии с величиной подсчета запуска, принимаемой первым модулем приема, инициирована ли злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника.

14. Устройство по п. 13, в котором модуль детектирования, в частности, выполнен с возможностью:

вычислять частоту запуска записи о ненормальном потоке в соответствии с величиной подсчета запуска, принимаемой первым модулем приема, и временем старения записи о ненормальном потоке; и

определять, превышает ли частота запуска пороговое значение частоты; и если частота запуска выше порогового значения частоты, определять, что злонамеренная атака инициирована из хост-устройства источника; а если частота запуска не выше порогового значения частоты, определять, что злонамеренная атака не была инициирована из хост-устройства источника.

15. Устройство по п. 13, в котором модуль детектирования, в частности, выполнен с возможностью:

определять, превышает ли величина подсчета запуска пороговое значение величины подсчета; и если величина подсчета запуска больше порогового значения подсчета, определять, что инициирована злонамеренная атака из хост-устройства источника; а если величина подсчета запуска не больше порогового значения подсчета, определять, что злонамеренная атака не была инициирована из хост-устройства источника.

16. Устройство по п. 13, дополнительно содержащее:

модуль определения, выполненный с возможностью определения, была ли доставлена запись о ненормальном потоке из хост-устройства источника, указанного идентификатором хост-устройства источника, в первый коммутатор; и если запись о ненормальном потоке из хост-устройства источника, указанного идентификатором хост-устройства источника, не была доставлена в первый коммутатор, инициирования первого модуля передачи для передачи записи о ненормальном потоке в первый коммутатор.

17. Устройство по п. 13, в котором первый модуль передачи дополнительно выполнен с возможностью: когда определено, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, включающую в себя область соответствия идентификатора хост-устройства источника, указывать первому коммутатору сконфигурировать таблицу точного соответствия в виде таблицы точного соответствия, соответствующей только области соответствия идентификатора хост-устройства источника, с тем чтобы первый коммутатор сохранил запись о ненормальном потоке в последней таблице потока.

18. Устройство по п. 13, в котором первый модуль передачи дополнительно выполнен с возможностью:

когда определено, что последняя таблица потока в первом коммутаторе представляет собой таблицу точного соответствия, и обобщенная таблица, включающая в себя область соответствия идентификатора хост-устройства источника, существует в первом коммутаторе, передавать вторую инструкцию в первый коммутатор, причем вторая инструкция используется для указания первому коммутатору отрегулировать обобщенную таблицу, включающую в себя область соответствия идентификатора хост-устройства источника, так чтобы она стала последней таблицей потока, с тем чтобы первый коммутатор сохранил запись о ненормальном потоке в последней таблице потока.

19. Устройство по любому из пп. 13-18, в котором первый модуль передачи дополнительно выполнен с возможностью:

когда определено в соответствии с величиной подсчета запуска, что злонамеренная атака инициирована из хост-устройства источника, указанного идентификатором хост-устройства источника, передавать третью инструкцию в первый коммутатор, причем третья инструкция используется для указания первому коммутатору сдерживать пакет данных от хост-устройства источника.

20. Устройство детектирования злонамеренной атаки, содержащее:

второй модуль передачи, выполненный с возможностью: когда определено, что запись о потоке, соответствующая пакету данных, не найдена, передавать сообщение о входящем пакете в контроллер программно определяемой сети (сети SDN), причем сообщение о входящем пакете содержит идентификатор хост-устройства источника и идентификатор хост-устройства назначения пакета данных;

второй модуль приема, выполненный с возможностью приема записи о ненормальном потоке, причем запись о ненормальном потоке передается контроллером, когда определено, что хост-устройство, указанное идентификатором хост-устройства назначения, не существует в сети SDN;

модуль сохранения, выполненный с возможностью сохранения записи о ненормальном потоке, принимаемой вторым модулем приема; и

модуль записи величины подсчета, выполненный с возможностью записи в пределах времени старения записи о ненормальном потоке, сохраненной модулем сохранения, величины подсчета запуска записи о ненормальном потоке, причем

второй модуль передачи дополнительно выполнен с возможностью после истечения времени записи о ненормальном потоке, сохраненной в модуле сохранения, передавать величину подсчета запуска, записанную модулем записи величины подсчета, в контроллер, с тем чтобы контроллер определил в соответствии с величиной подсчета запуска, инициирована ли злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника.

21. Устройство по п. 20, в котором второй модуль приема дополнительно выполнен с возможностью принимать первую инструкцию, передаваемую контроллером; при этом

устройство дополнительно содержит: модуль конфигурирования, выполненный с возможностью конфигурировать в соответствии с первой инструкцией локальную таблицу точного соответствия, являющуюся последней таблицей потока, в виде таблицы точного соответствия, соответствующей только области соответствия идентификатора хост-устройства источника; или

второй модуль приема дополнительно выполнен с возможностью принимать вторую инструкцию, передаваемую контроллером; при этом

устройство дополнительно содержит: модуль конфигурирования, выполненный с возможностью регулировать обобщенную таблицу, содержащую область соответствия идентификатора хост-устройства источника, с тем чтобы она представляла собой последнюю таблицу потока в соответствии со второй инструкцией.

22. Устройство по п. 21, в котором модуль сохранения, в частности, выполнен с возможностью сохранять запись о ненормальном потоке в последней таблице потока.

23. Устройство по любому из пп. 20-22, в котором второй модуль приема дополнительно выполнен с возможностью принимать третью инструкцию, передаваемую первым коммутатором; при этом

устройство дополнительно содержит модуль управления, выполненный с возможностью сдерживать пакет данных от хост-устройства источника.



 

Похожие патенты:

Изобретение относится к системе беспроводной связи. Оборудование инфраструктуры, формирующее часть мобильной сети связи, принимает пакеты данных от терминала связи.

Изобретение относится к области технологий сети связи. Технический результат изобретения заключается в реализации автоматического определения функции передачи посредством электронного устройства и уменьшении этапов операции по разрешению функции передачи пользователем.

Изобретение относится к средствам обработки сообщений электронной почты. Технический результат заключается в предоставлении сведений о непрочитанном сообщении электронной почты.

Изобретение относится к средствам интерфейса для управления объектами виртуального сетевого интерфейса. Технический результат состоит в оптимизации процесса управления настройками сети с использованием интерфейсных записей.
Изобретение относится к области вычислительной техники. Техническим результатом является исключение несанкционированных информационных взаимодействий между телекоммуникационными сетями (ТС), обеспечение возможности переформатирования сообщения при трансляции в другую сеть, обеспечение возможности доставки сообщения целевому получателю после переформатирования, а также обеспечение только санкционированного доступа к ресурсам закрытой вычислительной сети.

Изобретение относится к устройству и способу получения сертификата при развертывании виртуальных сетей. Технический результат заключается в повышении безопасности сети и эффективности работы устройства получения сертификата.

Изобретение относится к беспроводной связи. Технический результат состоит в уменьшении ресурсов, используемых беспроводным терминалом в сети беспроводной связи при осуществлении связи с серверными устройствами.

Изобретение относится к области сред виртуализации. Техническим результатом является выгрузка сетевых потоков виртуальных машин в физические очереди сетевого аппаратного обеспечения.

Изобретение относится к средствам управления трафиком. Техническим результатом является экономия ресурсов хранения, требуемых для буферизации информации связанного списка, и улучшение рабочих характеристик системы управления трафиком.

Изобретение относится к области радиотехники. Техническим результатом является повышение достоверности оценки результатов моделирования сетевой атаки типа "человек посередине" (MITM), за счет учета особенностей распространения передаваемых пакетов в единой сети электросвязи ЕСЭ и оценки необходимого ресурса для проведения эффективной сетевой атаки типа MITM.

Изобретение относится к области компьютерных сетей. Техническим результатом является расширение арсенала технических средств управления устройствами через контактную сеть.

Изобретение относится к системам домашней автоматизации. В способе управления устройствами, когда в смартфоне происходит событие, обнаруживают, является ли событие начальным условием в сценарии связи.

Изобретение относится к реализации сети удаленных терминалов. Технический результат – предоставление возможности оператору обмениваться данными с любыми технологическими установками автоматизированной системы управления, связанной с удаленными терминалами в сети, с помощью отдельного удаленного терминала сети.

Изобретение относится к коммуникационным технологиям. Технический результат заключается в расширении арсенала средств для установки рабочего состояния устройств.

Изобретение относится к устройству и способу получения сертификата при развертывании виртуальных сетей. Технический результат заключается в повышении безопасности сети и эффективности работы устройства получения сертификата.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных.

Изобретение относится к системам связи и управления и может быть использовано для создания транспортных сетей полевой системы связи, осуществляющих образование каналов и трактов, коммутацию и передачу по магистральным линиям связи различного вида информации.

Изобретение относится к системам связи и управления и может быть использовано для создания транспортных сетей полевой системы связи, осуществляющих образование каналов и трактов, коммутацию и передачу по магистральным линиям связи различного вида информации.

Группа изобретений относится к испытанию и контролю систем управления устройств. Способ удаленного взаимодействия с изделием включает в себя использование программы, загруженной на смартфон пользователя.

Изобретение относится к аппаратно-программным комплексам сетевой связи, а именно к способам определения типа проходящего сетевого трафика семиуровневой модели OSI для фильтрации и управления скоростью сетевых соединений.

Изобретение относится к системе постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами.

Изобретение относится к способу и устройству детектирования злонамеренной атаки. Технический результат заключается в детектировании злонамеренной атаки со стороны хост-устройства при уменьшении объема обработки данных контроллера программно определяемой сети и улучшении его рабочих характеристик. Способ включает этапы, на которых посредством указанного контроллера: принимают сообщение о входящем пакете, переданное первым коммутатором, содержащее идентификаторы хост-устройства источника и хост-устройства назначения пакета данных, для которого первый коммутатор не находит запись о потоке; при определении, что хост-устройство, указанное идентификатором хост-устройства назначения, не существует в сети SDN, передают запись о ненормальном потоке, включающую идентификатор хост-устройства источника, в первый коммутатор; принимают величину подсчета запуска, переданную первым коммутатором после истечения времени записи о ненормальном потоке, причем величина подсчета запуска представляет собой количество раз запуска записи о ненормальном потоке; определяют в соответствии с величиной подсчета запуска, была ли инициирована злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника. 4 н. и 19 з.п. ф-лы, 14 ил., 2 табл.

Наверх