[go: up one dir, main page]

CN117134925A - 一种网络编程技术处理方法、系统及存储介质 - Google Patents

一种网络编程技术处理方法、系统及存储介质 Download PDF

Info

Publication number
CN117134925A
CN117134925A CN202210546405.XA CN202210546405A CN117134925A CN 117134925 A CN117134925 A CN 117134925A CN 202210546405 A CN202210546405 A CN 202210546405A CN 117134925 A CN117134925 A CN 117134925A
Authority
CN
China
Prior art keywords
message
network
network programming
processing
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210546405.XA
Other languages
English (en)
Inventor
杜宗鹏
李志强
孙滔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Research Institute of China Mobile Communication Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Research Institute of China Mobile Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, Research Institute of China Mobile Communication Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202210546405.XA priority Critical patent/CN117134925A/zh
Priority to PCT/CN2023/094748 priority patent/WO2023222028A1/zh
Publication of CN117134925A publication Critical patent/CN117134925A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/31Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络编程技术处理方法、系统及存储介质,包括:路由器节点收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;路由器节点确定所述报文入接口对应的处理芯片的负载状态;在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。采用本发明,各个节点根据自身的算力情况决定是否执行相关的任务,可以充分利用网络中的算力能力,节点可以根据自身算力情况,决策是否进行相关的处理,从而提供了一种执行节点更加灵活,且支持执行节点之间相互协同的网络编程机制。

Description

一种网络编程技术处理方法、系统及存储介质
技术领域
本发明涉及通信技术领域,特别涉及一种网络编程技术处理方法、系统及存储介质。
背景技术
传统的IP网络技术主要关注的是将数据报文按照其目的地址,从源节点发送到目的节点,网络可编程技术指的是,允许网络运营商或应用程序通过对IPv6数据包头中的指令序列进行编码。在SRv6中,这些指令(Instructions)通常被称为SID(段ID,Segment ID)。SRv6 SID定义为由LOC:FUNCT:ARG组成,其中locator(LOC)编码在SID的L个最重要的位中,后跟F个功能位(FUNCT)和A个参数位(ARG)。LOC用于定位节点以及路由转发,FUNCT部分用于指定操作,ARG的部分是可选的,有的FUNCT不需要参数。
最常用的网络编程是指定数据包的经过的节点。假设S代表源节点IPv6地址,D代表目的节点IPv6地址,那么传统网络中IPv6数据包头主要信息就是<S,D>,在SRv6网络编程中,如果要指定路径,IPv6数据包头主要信息就可以是<S,SIDA><SIDA,SIDB,SIDC,D>,后面的尖括号中记录了数据包需要先到达A,再到达B,再到达C,然后再发给D。此处要求网络中的S,A,B,C,D节点都支持SRv6网络编程。
现有技术的不足在于:目前的网络编程中对于执行操作的节点指定不够灵活。
发明内容
本发明提供了一种网络编程技术处理方法、系统及存储介质,用以解决目前的网络编程中对于执行操作的节点指定不够灵活的问题。
本发明提供以下技术方案:
一种网络编程技术处理方法,包括:
路由器节点收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
路由器节点确定所述报文入接口对应的处理芯片的负载状态;
在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。
实施中,所述路由器节点确定所述报文入接口对应的处理芯片的负载状态,是参考如下的一个或者多个参数确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
实施中,对含有网络编程技术编码的报文进行处理,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
实施中,对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析,进一步包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理。
实施中,根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
实施中,在进行随机丢包操作或标记操作时,进一步包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
实施中,确定是否存在分布式拒绝服务攻击,是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
实施中,在进行标记操作时,进一步包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
实施中,所述获取一个或多个路由器节点的流量模型,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置获取供参考的流量模型,并且保存在路由器上。
实施中,所述的网络编程技术编码的任务标记,存储在IPv6报文的扩展头中的逐跳扩展头HBH中或SRv6扩展头中。
一种网络编程技术处理方法,包括:
在网络的入口路由器节点,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务。
实施中,在标记插入时,是在IPv6报文的逐跳扩展头HBH中或SRv6扩展头中进行插入的。
一种路由器节点,包括:
处理器,用于读取存储器中的程序,执行下列过程:
收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
确定所述报文入接口对应的处理芯片的负载状态;
在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理;
收发机,用于在处理器的控制下接收和发送数据。
实施中,确定所述报文入接口对应的处理芯片的负载状态,是参考如下的一个或者多个参数确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
实施中,对含有网络编程技术编码的报文进行处理,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
实施中,对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析,进一步包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理。
实施中,根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
实施中,在进行随机丢包操作或标记操作时,进一步包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
实施中,确定是否存在分布式拒绝服务攻击,是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
实施中,在进行标记操作时,进一步包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
实施中,所述获取一个或多个路由器节点的流量模型,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置获取供参考的流量模型,并且保存在路由器上。
实施中,所述的网络编程技术编码的任务标记,存储在IPv6报文的扩展头中的逐跳扩展头HBH中或SRv6扩展头中。
一种路由器节点,包括:
接收模块,用于收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
负载模块,用于确定所述报文入接口对应的处理芯片的负载状态;
处理模块,用于在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。
实施中,负载模块进一步用于确定所述报文入接口对应的处理芯片的负载状态,是参考如下的一个或者多个参数确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
实施中,处理模块进一步用于对含有网络编程技术编码的报文进行处理时,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
实施中,处理模块进一步用于在对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析时,包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理。
实施中,处理模块进一步用于在根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理时,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
实施中,处理模块进一步用于在进行随机丢包操作或标记操作时,包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
实施中,处理模块进一步用于在确定是否存在分布式拒绝服务攻击时,是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
实施中,处理模块进一步用于在进行标记操作时,包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
实施中,负载模块进一步用于在所述获取一个或多个路由器节点的流量模型时,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置获取供参考的流量模型,并且保存在路由器上。
实施中,处理模块进一步用于对存储在IPv6报文的扩展头中的逐跳扩展头HBH中或SRv6扩展头中的所述的网络编程技术编码的任务标记进行处理。
一种路由器节点,包括:
处理器,用于读取存储器中的程序,执行下列过程:
在作为网络的入口路由器节点时,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务;
收发机,用于在处理器的控制下接收和发送数据。
实施中,在标记插入时,是在IPv6报文的逐跳扩展头HBH中或SRv6扩展头中进行插入的。
一种路由器节点,包括:
标记模块,用于在作为网络的入口路由器节点时,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务。
实施中,标记模块进一步用于在标记插入时,是在IPv6报文的逐跳扩展头HBH中或SRv6扩展头中进行插入的。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络编程技术处理方法。
本发明有益效果如下:
本发明实施例提供的技术方案中,不需要指定相关的功能(Function)必须在哪个节点进行执行,而是根据目标路由器的算力情况以及报文头的任务执行情况,来决策是否执行相关的操作,例如是否执行对一种或多种异常流量进行拒绝服务攻击处理。由于不指定具体的执行位置,各个节点根据自身的算力情况决定是否执行相关的任务,可以充分利用网络中的算力能力,节点可以根据自身算力情况,决策是否进行相关的处理,从而提供了一种执行节点更加灵活,且支持执行节点之间相互协同的网络编程机制。
进一步的,这种机制支持提供了一种易于实现的在网安全(网络内生安全)机制,可以提供更好的DDoS防护能力。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中在网计算的网络架构示意图;
图2为本发明实施例中路由器节点上的网络编程技术处理方法实施流程示意图;
图3为本发明实施例中入口路由器节点上的网络编程技术处理方法实施流程示意图;
图4为本发明实施例中报文流经路径示意图;
图5为本发明实施例中实施例1的在网计算的网络结构示意图;
图6为本发明实施例中实施例1的DDoS攻击的检测示意图;
图7为本发明实施例中实施例2的在网计算的网络结构及报文路径示意图;
图8为本发明实施例中IPv6的报文的扩展头示意图;
图9为本发明实施例中IPv6的HBH的扩展头结构示意图;
图10为本发明实施例中路由器节点结构示意图一;
图11为本发明实施例中路由器节点结构示意图二。
具体实施方式
发明人在发明过程中注意到:
目前的SRv6网络编程,逻辑上比较固化,仅支持到达特定的节点,执行特定的操作。对于执行什么操作,有较强的灵活性,但是对于执行的节点,缺乏灵活指定的能力。
以DDoS防范为例,DDoS(分布式拒绝服务攻击,Distributed Denial of Service)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
分布式拒绝服务攻击原理:分布式拒绝服务攻击DDoS是一种基于DoS(拒绝服务攻击,Denial of Service)的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。
目前的DDoS攻击的防范,主要是在特定的网络节点,进行攻击流量的识别和处理。所述的特殊的节点也被称为IDS,是“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。但是这种集中处理的方式存在的问题是,攻击检测的位置通常较高,另外,集中节点的处理压力较大。目前,学术界和产业界也在探索基于在网计算的技术,来减轻IDS节点的计算压力。在网计算指的是,网络节点在转发报文的同时,支持一定的额外的报文处理,例如检测特定的流量是否是攻击流量。这种方式的潜在优势是低时延,高扩展性,反应更快,更接近源节点。在IETF(国际互联网工程任务组,Internet EngineeringTask Force)有一个研究组COIN RG专门探索怎么基于在网计算来实现用户的安全和隐私保护,主要的思路是基于P4的可编程机制。
但是目前的在网计算实现中,缺乏各个节点之间的灵活的协同机制。如果采用各个节点都由一个控制器管理协调的模式,这时控制器对每个节点进行调节,来执行什么任务。那么可能的问题是反应比较慢,这主要是由于转发节点,例如Router上转发面的算力情况变化很快,受到流量的负载的影响,这时业务越多转发压力越大、业务处理越复杂转发压力越大。
如果是采用前面提到的SRv6的网络编程,那么就是一种基于数据面的每报文的编程。此时,还是在路径的头结点,就决定了在哪个节点,执行什么任务,并不支持具体看转发节点的负载来判定是否执行相关的操作。
在报文转发的过程中,在网计算支持进行一定的处理能力的叠加,在攻击防范方面,这些能力的实现节点可以灵活分布。
图1为在网计算的网络架构示意图,如图所示,在网计算的场景中,计算除了发生在端侧,例如Client(客户端)/MEC(移动边缘计算,Mobile Edge Computing)/Cloud(云端)之外,也可能发生在可编程的Router1-5(路由器),Ingress1(入口路由器),Egress1-3(出口路由器)上。
传统网络中,路由器仅仅负责报文转发,不负责计算;在网络可编程技术如SRv6(基于IPv6的源路由技术,Segment Routing IPv6;IPv6:互联网协议第6版,InternetProtocol Version 6)中,网络支持到节点X,执行FunctionY(功能)。
集中调度的在网计算/网络编程中,计算任务会分解到不同的节点,这种机制中Controller(控制器)感知算网信息,决策以及下策略。
分布式的在网计算/网络编程中,分布式的Ingress作为路径的Headend(头端)可以做一些决策。
集中式调度的问题在于,Router上转发面的算力情况变化很快,受到流量的负载的影响(业务越多转发压力越大、业务处理越复杂转发压力越大),集中式调度可能反应比较慢。
分布式调度的问题在于,虽然决策点分布了,但是执行上也是比较固定,并不会管Router上的算力情况如何,或是否在执行其他的任务。
也即,在现有技术中,计算发生的位置比较固定,不够灵活。
基于此,本发明实施例中提供了一种基于在网计算和网络可编程技术的处理方案,并将以分布式拒绝服务攻击的处理为例进行说明,下面结合附图对本发明的具体实施方式进行说明。
图2为路由器节点上的网络编程技术处理方法实施流程示意图,如图所示,可以包括:
步骤201、路由器节点收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
步骤202、路由器节点确定所述报文入接口对应的处理芯片的负载状态;
步骤203、在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。
实施中,所述路由器节点确定所述报文入接口对应的处理芯片的负载状态,可以是参考如下的一个或者多个参数来确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
实施中,对含有网络编程技术编码的报文进行处理,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
实施中,对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析,进一步包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理,例如进行丢包处理。
具体实施中,根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
具体实施中,所述获取一个或多个路由器节点的流量模型,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置,例如一个集中的控制或者管理节点,得到供参考的流量模型,并且保存在路由器上。
实施中,确定是否存在分布式拒绝服务攻击,例如可以是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
实施中,拒绝服务攻击处理,包括:对一种或多种异常流量进行随机丢包操作或标记操作。
具体的,获取一个或多个路由器节点的流量模型;根据一种或多种流量模型对一种或多种网络流量进行分析,若所述网络流量大于阈值流量,则确定存在分布式拒绝服务攻击;当存在分布式拒绝服务攻击时,根据目标路由器的预定策略对一种或多种异常流量进行随机丢包操作或标记操作。
实施中,在确定结果为不存在分布式拒绝服务攻击时,进一步包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
实施中,在进行标记操作时,进一步包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
图3为入口路由器节点上的网络编程技术处理方法实施流程示意图,如图所示,可以包括:
步骤301、在网络的入口路由器节点,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务。
实施中,在标记插入时,是在IPv6报文的HBH(逐跳扩展头,Hop-by-hop Option)中或SRv6扩展头中进行插入的。
下面以实例进行说明。
目前的网络编程/在网计算的典型的技术如SRv6(即到节点x1,执行F1);在本发明实施例提供的分布式执行的在网计算机制中,不强制指定计算执行的位置(允许到x1/2/3/...节点,执行F1),同理,F1未执行也可以。
图4为报文流经路径示意图,如图所示,假设总的任务情况是两个,路径上的节点根据自身的情况,选择性的进行处理,到Egress3都完成了。
在网络中动态协同:各个Router根据自身的情况,判定是否执行DDoS的攻击检测;
在数据面进行协同:所有的报文或者相关的报文在入口路由器节点进行标记插入,可选的,在中间路由器节点进行处理和标记修改,处理了的就不再重复做,可选的,IDS完成未处理的工作。
实施例1:
本例中,是在某个路由器上做DDoS的检测。
图5为实施例1的在网计算的网络结构示意图,如图所示,在该网络中:
假设:Router1-5、Ingress1、Egress1-3,这些节点上部署了在网计算的能力,支持在负载较轻时进行DDoS攻击的检测。
一种检测的方式例如,基于AI(人工智能,Artificial Intelligence)的机制,统计自身节点的流量模型,之后,如果需要做DDoS攻击的检测,则对流量进行分析,如果偏差较大,例如达到阈值,则认为可能存在DDoS攻击,并且进行随机丢包/标记。
图6为实施例1的DDoS攻击的检测示意图,如图所示,通过Pa(基于历史数据的流量模型)与P2(目前监测到的流量模型)检测SSDP(简单服务发现协议,Simple ServiceDiscovery Protocol)、ICMP(内部控制信息协议,Internal Control Message Protocol)、DNS(域名系统,Domain Name System)、SNMP(简单网络管理协议,Simple NetworkManagement Protocol)、NTP(网络时间协议,Network Time Protocol)到来的流量变化,可以判断是否存在DDoS攻击。
在实施随机丢包处理时,可以如下:
(1):Ingress节点对于需要进行分析的流量进行标记,例如在包头中插入01000000,代表需要进行DDoS的过滤,但是并不指定具体的执行节点。
(2):收到报文的节点,例如Router1,此时负载较轻,则进行DDoS过滤,具体行为为对报文进行分析,看流量特征是否有异常;
如果判定有异常,则对相关的报文进行随机丢包;
如果判定没有异常,则清除标识位为00000000。
(3):可选的,如果某个报文在Ingress标记了,但是在Ingress以及Router1-5都没有做处理(即检测DDoS攻击以及清除标记),那么Egress1/2/3对没有处理的报文进行检测。
在实施标记处理时,可以如下:
(1):Ingress节点对于需要进行分析的流量进行标记,例如在包头中插入01000000,代表需要进行DDoS的过滤,但是并不指定具体的执行节点,同时第一个标志位标识流量是否可疑。
(2):收到报文的节点,例如Router1,此时负载较轻,则进行DDoS过滤,具体行为为对报文进行分析,看流量特征是否有异常;
如果判定有异常,则对相关的报文进行标记,改为11000000;
如果判定没有异常,则清除标识位为00000000。
(3):可选的,Egress1/2/3对没有处理的报文进行检测,以及对首位标记为1的报文进行检测。
实施例2:
本例中,在多个路由器上协同做DDoS的检测。
图7为实施例2的在网计算的网络结构及报文路径示意图,如图所示,在该网络中:
假设:Router1-5、Ingress1、Egress1-3,这些节点上部署了在网计算的能力,支持在负载较轻时进行DDoS攻击的检测。
例如,基于AI的机制,统计自身节点的流量模型,之后,如果需要做DDoS攻击的检测,则对流量进行分析,如果偏差较大,例如达到阈值,则认为可能存在DDoS攻击,并且进行随机丢包/标记操作。
在实施随机丢包时,可以如下:
(1):Ingress节点对于需要进行分析的流量进行标记,例如在包头中插入00101000,代表需要进行DDoS的过滤,但是并不指定具体的执行节点,任务为2个,例如一个要求检测DNS流量,一个要求检测ICMP流量,也即,实施中,流量是否异常是通过检测DNS流量和/或检测ICMP流量来确定的。
(2):收到报文的节点,例如Router1/3,此时负载较轻,则进行DDoS过滤,具体行为为对报文进行分析,看流量特征是否有异常;
如果判定有异常,则对相关的报文进行随机丢包;
如果判定没有异常,则清除对应的任务的标识位。
(3):可选的,Egress1/2/3对没有处理的报文进行检测。
在实施标记时,可以如下:
(1):Ingress节点对于需要进行分析的流量进行标记,例如在包头中插入00101000,代表需要进行DDoS的过滤,但是并不指定具体的执行节点,同时第一个标志位标识流量是否可疑。
(2):收到报文的节点,例如Router1,此时负载较轻,则进行DDoS过滤,具体行为为对报文进行分析,看流量特征是否有异常;
如果判定有异常,则对相关的报文进行标记,改为10001000;
如果判定没有异常,则清除标识位为00001000。
(3):可选的,Egress1/2/3对没有处理的报文进行检测,以及对首位标记为1的报文进行检测。
实施中,在标记操作时,是在IPv6头的扩展头或SRv6的扩展头中进行标记的。
实施中,也不排斥类似于传统的网络编程的使用,即可以在报文中指定在特定的位置,做特定的功能,还可以在报文中指定在路径上任意的节点执行另一个特定的功能,它们的功能在报文中存放的位置不同。图8为IPv6的报文的扩展头示意图,IPv6的报文的扩展头如图所示,扩展头是可选携带的标识的,例如hop-by-hop(逐跳)选项头、目的地选项头、路由选项头。
在SRv6中,可以携带SRH(段路由头,Segment Routing Header)的头,其中包括了SRH的SID list(SID列表;SID:段标识符,Segment IDentifier)(多个128bits的地址列表)。
实施中,所述的网络编程技术编码,即任务标记,存储在IPv6报文的扩展头中,具体位置是在IPv6的逐跳扩展头(HBH,Hop-by-hop Option)中或SRv6扩展头中。
在路径上任意的节点执行功能的机制中,可以使用HBH(逐跳,Hop By Hop)头,而不是SRH头。因为在处理逻辑上,HBH头的处理逻辑,是每跳都会看一下这个option(选项),SRH头的处理逻辑是DA(目的地址)匹配之后,才会去看SRH头。
具体实施中,在标记操作时,是在IPv6的HBH的扩展头中进行标记的。
图9为IPv6的HBH的扩展头结构示意图,如图所示,在每个报文中加入检测需求的信息,比较适合的位置是在IPv6的HBH的扩展头中,具体的,可以是8bits,也可以是更长,例如32bits。
相关的封装,可以是在Ingress加入,可选的是在Egress删除掉。
具体的每个bit的含义,可以自定义,例如:
某个bit代表,流量是否可疑;
某个bit代表,有某个任务需要执行,例如希望Router进行某类流量的过滤;
某个bit代表,希望Router能使用某个特定的流量模型,对流量进行过滤。
例如向IANA(因特网分址机构,Internet Assigned Number Authority)申请option未占用的option_type 0x0D(选项类型0x0D),同时这个option支持携带TLV(类型、长度、值,Tag、Length、Value),TLV用于每个节点进行处理,在TLV的value的部分的值可以被读取和修改。
基于同一发明构思,本发明实施例中还提供了一种路由器节点、及计算机可读存储介质,由于这些设备解决问题的原理与网络编程技术处理方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
在实施本发明实施例提供的技术方案时,可以按如下方式实施。
图10为路由器节点结构示意图一,如图所示,路由器节点中包括:
处理器1000,用于读取存储器1020中的程序,执行下列过程:
收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
确定所述报文入接口对应的处理芯片的负载状态;
在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理;
收发机1010,用于在处理器1000的控制下接收和发送数据。
实施中,确定所述报文入接口对应的处理芯片的负载状态,是参考如下的一个或者多个参数确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
实施中,对含有网络编程技术编码的报文进行处理,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
实施中,对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析,进一步包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理。
实施中,根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
实施中,在进行随机丢包操作或标记操作时,进一步包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
实施中,确定是否存在分布式拒绝服务攻击,是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
实施中,在进行标记操作时,进一步包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
实施中,所述获取一个或多个路由器节点的流量模型,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置获取供参考的流量模型,并且保存在路由器上。
实施中,所述的网络编程技术编码的任务标记,存储在IPv6报文的扩展头中的逐跳扩展头HBH中或SRv6扩展头中。
其中,在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1000代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1010可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1000负责管理总线架构和通常的处理,存储器1020可以存储处理器1000在执行操作时所使用的数据。
本发明实施例中还提供了一种路由器节点,包括:
接收模块,用于收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
负载模块,用于确定所述报文入接口对应的处理芯片的负载状态;
处理模块,用于在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。
实施中,负载模块进一步用于确定所述报文入接口对应的处理芯片的负载状态,是参考如下的一个或者多个参数确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
实施中,处理模块进一步用于对含有网络编程技术编码的报文进行处理时,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
实施中,处理模块进一步用于在对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析时,包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理。
实施中,处理模块进一步用于在根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理时,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
实施中,处理模块进一步用于在进行随机丢包操作或标记操作时,包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
实施中,处理模块进一步用于在确定是否存在分布式拒绝服务攻击时,是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
实施中,处理模块进一步用于在进行标记操作时,包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
实施中,负载模块进一步用于在所述获取一个或多个路由器节点的流量模型时,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置获取供参考的流量模型,并且保存在路由器上。
实施中,处理模块进一步用于对存储在IPv6报文的扩展头中的逐跳扩展头HBH中或SRv6扩展头中的所述的网络编程技术编码的任务标记进行处理。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
图11为路由器节点结构示意图二,如图所示,路由器节点中包括:
处理器1100,用于读取存储器1120中的程序,执行下列过程:
在作为网络的入口路由器节点时,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务;
收发机1110,用于在处理器1100的控制下接收和发送数据。
实施中,在标记插入时,是在IPv6报文的逐跳扩展头HBH中或SRv6扩展头中进行插入的。
其中,在图11中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1110可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1100负责管理总线架构和通常的处理,存储器1120可以存储处理器1100在执行操作时所使用的数据。
本发明实施例中还提供了一种路由器节点,包括:
标记模块,用于在作为网络的入口路由器节点时,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务。
实施中,标记模块进一步用于在标记插入时,是在IPv6报文的逐跳扩展头HBH中或SRv6扩展头中进行插入的。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本发明实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络编程技术处理方法。
具体实施可以参见路由器节点上,或者在作为网络的入口路由器节点时,网络编程技术处理方法的实施。
综上所述,本发明实施例提供的技术方案中,是基于数据面的新的网络可编程的实现机制的针对DDOS,在入口节点进行流量的标记,在事先不确定的某个网络节点,根据标记的内容进行处理。不需要指定相关的Function必须在哪个Location进行执行;支持在网络中执行若干个任务,但是不指定具体的执行位置,各个节点根据自身的算力情况决定是否执行相关的任务。
可以充分利用网络中的算力能力,节点可以根据自身算力情况,决策是否进行相关的处理,提供了一种易于实现的在网安全(网络内生安全)机制,可以提供更好的DDoS防护能力。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (17)

1.一种网络编程技术处理方法,其特征在于,包括:
路由器节点收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
路由器节点确定所述报文入接口对应的处理芯片的负载状态;
在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。
2.如权利要求1所述的方法,其特征在于,所述路由器节点确定所述报文入接口对应的处理芯片的负载状态,是参考如下的一个或者多个参数确定的:
所述报文入接口对应的处理芯片目前的利用率;
所述报文入接口对应的处理芯片目前正在处理的报文的数量;
所述报文入接口对应的处理芯片目前正在处理的报文所在的流的速率和。
3.如权利要求1所述的方法,其特征在于,对含有网络编程技术编码的报文进行处理,包括:
执行的处理对应了所述的需要被执行的一个或多个任务,一个或多个任务在数据报文中有对应的任务标记;
修改执行的处理对应的任务的标记,如果路由器节点执行一个任务,那么修改对应的一个任务的标记,如果路由器节点执行了多个的任务,那么修改对应的多个任务标记。
4.如权利要求1所述的方法,其特征在于,对含有网络编程技术编码的报文进行处理时,若报文中携带信息指示了相关的任务是进行分布式拒绝服务攻击分析,进一步包括:
根据获取的一个或多个流量模型流量模型,对一种或多种网络流量进行分析,确定是否存在分布式拒绝服务攻击;
当存在分布式拒绝服务攻击时,根据所述路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理。
5.如权利要求4所述的方法,其特征在于,根据目标路由器的预定策略对一种或多种异常流量进行拒绝服务攻击处理,包括:
对一种或多种异常流量进行随机丢包操作和或标记操作,
如果执行标记操作,则数据报文中需要包含有可疑或异常标记,用于指示报文是否是可疑或异常报文。
6.如权利要求5所述的方法,其特征在于,在进行随机丢包操作或标记操作时,进一步包括:
如果判定流量没有异常,则修改指示希望进行异常检测任务对应的任务标识,指明报文的异常检测任务已完成。
7.如权利要求4所述的方法,其特征在于,确定是否存在分布式拒绝服务攻击,是在监测到特定协议的网络流量大于流量模型中该协议的阈值流量时,确定存在分布式拒绝服务攻击。
8.如权利要求4所述的方法,其特征在于,在进行标记操作时,进一步包括:
如果判定有异常,则对相关的报文标记为可疑或异常。
9.如权利要求4所述,其特征在于,所述获取一个或多个路由器节点的流量模型,包括:
各路由器节点统计自身节点的流量模型,保存在各路由器上;
各个路由器节点从其他位置获取供参考的流量模型,并且保存在路由器上。
10.如权利要求1或3所述的方法,其特征在于,所述的网络编程技术编码的任务标记,存储在IPv6报文的扩展头中的逐跳扩展头HBH中或SRv6扩展头中。
11.一种网络编程技术处理方法,其特征在于,包括:
在网络的入口路由器节点,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务。
12.如权利要求11所述的方法,其特征在于,在标记插入时,是在IPv6报文的逐跳扩展头HBH中或SRv6扩展头中进行插入的。
13.一种路由器节点,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
确定所述报文入接口对应的处理芯片的负载状态;
在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理;
收发机,用于在处理器的控制下接收和发送数据。
14.一种路由器节点,其特征在于,包括:
接收模块,用于收到含有网络编程技术编码的报文,所述的网络编程技术编码指示了有一个或多个对应的任务需要被执行;
负载模块,用于确定所述报文入接口对应的处理芯片的负载状态;
处理模块,用于在负载大于预定值时,不对含有网络编程技术编码的报文进行处理,在负载小于预定值时,对含有网络编程技术编码的报文进行处理。
15.一种路由器节点,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
在作为网络的入口路由器节点时,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务;
收发机,用于在处理器的控制下接收和发送数据。
16.一种路由器节点,其特征在于,包括:
标记模块,用于在作为网络的入口路由器节点时,按照网络编程技术编码的格式对报文进行标记插入,所述标记代表了对应的操作,所述的操作是对应了一个或者几个在网络中希望执行的任务。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至12任一所述方法。
CN202210546405.XA 2022-05-18 2022-05-18 一种网络编程技术处理方法、系统及存储介质 Pending CN117134925A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210546405.XA CN117134925A (zh) 2022-05-18 2022-05-18 一种网络编程技术处理方法、系统及存储介质
PCT/CN2023/094748 WO2023222028A1 (zh) 2022-05-18 2023-05-17 一种网络编程技术处理方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210546405.XA CN117134925A (zh) 2022-05-18 2022-05-18 一种网络编程技术处理方法、系统及存储介质

Publications (1)

Publication Number Publication Date
CN117134925A true CN117134925A (zh) 2023-11-28

Family

ID=88834692

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210546405.XA Pending CN117134925A (zh) 2022-05-18 2022-05-18 一种网络编程技术处理方法、系统及存储介质

Country Status (2)

Country Link
CN (1) CN117134925A (zh)
WO (1) WO2023222028A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9369371B2 (en) * 2012-10-05 2016-06-14 Cisco Technologies, Inc. Method and system for path monitoring using segment routing
CN111510386B (zh) * 2019-01-30 2023-06-20 华为技术有限公司 用于处理报文的方法和装置
CN112187649B (zh) * 2019-07-01 2023-04-18 华为技术有限公司 一种报文转发方法、报文处理方法及装置
CN112751826B (zh) * 2020-12-07 2024-04-30 中兴通讯股份有限公司 算力应用流量转发方法及装置
CN114500453B (zh) * 2022-03-31 2022-06-17 北京邮电大学 一种标识解析方法和装置

Also Published As

Publication number Publication date
WO2023222028A1 (zh) 2023-11-23

Similar Documents

Publication Publication Date Title
US10972391B2 (en) Full-path validation in segment routing
US11343182B2 (en) System and method for dataplane-signaled packet capture in IPV6 environment
US10778572B2 (en) System and method for dataplane-signaled packet capture in a segment routing environment
US11711288B2 (en) Centralized error telemetry using segment routing header tunneling
US9584531B2 (en) Out-of band IP traceback using IP packets
US9118719B2 (en) Method, apparatus, signals, and medium for managing transfer of data in a data network
US7636305B1 (en) Method and apparatus for monitoring network traffic
US20100226383A1 (en) Inline Intrusion Detection
KR101615045B1 (ko) 지능형 보안 네트워킹 시스템 및 그 방법
CN1938982B (zh) 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置
CN101227287B (zh) 一种数据报文处理方法及数据报文处理装置
CN112751814B (zh) 一种信息上报方法、数据处理方法及装置
CN104702505B (zh) 一种报文传输方法和节点
CN117134925A (zh) 一种网络编程技术处理方法、系统及存储介质
CN113556345B (zh) 一种报文处理方法、装置、设备及介质
CN100393047C (zh) 一种入侵检测系统与网络设备联动的系统及方法
CN106067864B (zh) 一种报文处理方法及装置
CN115442288B (zh) 一种SRv6网络数据包检查方法和装置
Barokar et al. Identification of the Real Source of DDOS Attack by FDPM in IP Traceback System
CN118200232A (zh) 使用以太网虚拟专用网络(evpn)路由类型的防火墙表的同步
CN117439947A (zh) 异常路由处理方法、装置及可读存储介质
CN115941223A (zh) BGP Flowspec路由下发方法及装置、存储介质、电子设备
Torney et al. New Integrated Defence and traceback approach for Denial of service attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination