公开(公告)号：CN108028828A

公开(公告)日：2018-05-11

申请号：CN201580031751.2

申请日：2015-08-29

Applicant: 华为技术有限公司

Inventor： 徐通 ,  郑涛 ,  董平 ,  孙嘉楠

IPC: H04L29/06

Abstract: 本发明实施例公开了一种分布式拒绝服务DDoS攻击检测方法及相关设备，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机。其中，所述方法包括：监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息；以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。采用本发明，能够提升针对SDN的DDoS攻击检测的准确性。

公开(公告)号：CN107005538A

公开(公告)日：2017-08-01

申请号：CN201580029316.6

申请日：2015-10-16

Applicant: 华为技术有限公司

Inventor： 孙嘉楠 ,  董平 ,  郑涛 ,  徐通 ,  陈璟

IPC: H04L29/06

CPC classification number: H04L29/06

Abstract: 本发明实施例提供一种数据传输的方法、装置和系统，该方法包括：为数据流分配至少一个安全标识；指示传输路径中首节点利用至少一个安全标识中的第一安全标识替换处理该数据流的第一数据包，获取携带第一安全标识的第二数据包，并向传输路径中下一节点发送第二数据包；指示传输路径中末节点将该第二数据包还原处理为对应的第一数据包；获取第二数据包的收发数量；根据该第二数据包的收发数量，确定该数据流在传输过程中遭到网络攻击，并确定第一安全标识为受攻击安全标识；指示传输路径中的节点丢弃携带该受攻击安全标识的数据包。本发明实施例能够有效减少攻击包对传输资源的占用，也能够减少到达接收端的攻击包的数量，降低接收端的计算负担。

公开(公告)号：CN108028828B

公开(公告)日：2020-10-27

申请号：CN201580031751.2

申请日：2015-08-29

Applicant: 华为技术有限公司

Inventor： 徐通 ,  郑涛 ,  董平 ,  孙嘉楠

IPC: H04L29/06

Abstract: 本发明实施例公开了一种分布式拒绝服务DDoS攻击检测方法及相关设备，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机。其中，所述方法包括：监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息；以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。采用本发明，能够提升针对SDN的DDoS攻击检测的准确性。

公开(公告)号：CN107210969A

公开(公告)日：2017-09-26

申请号：CN201580031739.1

申请日：2015-10-31

Applicant: 华为技术有限公司

Inventor： 徐通 ,  董平 ,  郑涛 ,  孙嘉楠 ,  陈璟

IPC: H04L12/813 ,  H04L29/08

Abstract: 一种基于软件定义网络的数据处理方法及相关设备，属于通信技术领域。其中，所述方法包括：获取当前软件定义网络中与第一安全设备连接的目标交换机的数据流流表信息，所述数据流流表信息包括所述第一安全设备和所述目标交换机之间传输的数据流的信息；解析所述目标交换机的数据流流表信息，并生成包括所述解析的解析结果的第一数据处理规则；向所述目标交换机下发所述第一数据处理规则，以使所述目标交换机按照所述第一数据处理规则对接收的数据流进行处理。采用本发明实施例，能够降低系统成本，减轻对系统中的安全设备的管理压力，且可扩展性强。

公开(公告)号：CN107210964A

公开(公告)日：2017-09-26

申请号：CN201580035116.1

申请日：2015-08-31

Applicant: 华为技术有限公司

Inventor： 孙嘉楠 ,  董平 ,  郑涛 ,  徐通

IPC: H04L12/741

Abstract: 本发明提供了一种数据流报头压缩传输方法及装置，以降低用于数据流报头压缩传输的节点的设备复杂度、设备成本，减少节点处理数据流报头压缩传输的时间，降低数据流报头压缩传输延迟。本发明方法包括：控制器为数据流分配未被占用的上下文标识CID，并确定数据流的传输路径；针对传输路径上的各个节点，控制器执行以下步骤：针对传输路径上的首节点，控制器将数据流的报头标识、CID和首节点的下一节点的节点标识发送给首节点；针对传输路径上的各中间节点，控制器将CID和该中间节点的下一节点的节点标识发送给该中间节点；针对传输路径上的末节点，控制器将CID发送给末节点。

公开(公告)号：CN107210964B

公开(公告)日：2020-11-10

申请号：CN201580035116.1

申请日：2015-08-31

Applicant: 华为技术有限公司

Inventor： 孙嘉楠 ,  董平 ,  郑涛 ,  徐通

IPC: H04L12/741

Abstract: 本发明提供了一种数据流报头压缩传输方法及装置，以降低用于数据流报头压缩传输的节点的设备复杂度、设备成本，减少节点处理数据流报头压缩传输的时间，降低数据流报头压缩传输延迟。本发明方法包括：控制器为数据流分配未被占用的上下文标识CID，并确定数据流的传输路径；针对传输路径上的各个节点，控制器执行以下步骤：针对传输路径上的首节点，控制器将数据流的报头标识、CID和首节点的下一节点的节点标识发送给首节点；针对传输路径上的各中间节点，控制器将CID和该中间节点的下一节点的节点标识发送给该中间节点；针对传输路径上的末节点，控制器将CID发送给末节点。