CN112217780A - 用于在计算机网络中识别攻击的设备和方法 - Google Patents
用于在计算机网络中识别攻击的设备和方法 Download PDFInfo
- Publication number
- CN112217780A CN112217780A CN202010655694.8A CN202010655694A CN112217780A CN 112217780 A CN112217780 A CN 112217780A CN 202010655694 A CN202010655694 A CN 202010655694A CN 112217780 A CN112217780 A CN 112217780A
- Authority
- CN
- China
- Prior art keywords
- data packet
- hardware
- data
- context information
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000001960 triggered effect Effects 0.000 claims abstract description 9
- 238000013519 translation Methods 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000012937 correction Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims 4
- 238000006243 chemical reaction Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 239000002609 medium Substances 0.000 description 5
- 239000004020 conductor Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000006163 transport media Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
- H04L41/0273—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP]
- H04L41/028—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP] for synchronisation between service call and response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/30098—Register arrangements
- G06F9/30101—Special purpose registers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4812—Task transfer initiation or dispatching by interrupt, e.g. masked
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及用于在计算机网络中识别攻击的设备和方法,其中在硬件开关装置的输入端处接收数据分组,其中根据来自数据分组的数据链路层信息并且根据硬件地址来选择硬件开关装置的输出端以用于发送数据分组或数据分组的副本,其中确定数据分组的上下文信息,其中在比较中通过硬件过滤器将来自数据分组的某字段的实际值与来自该字段的值的额定值进行比较,其中该字段包括数据链路层数据或网络层数据,并且其中根据比较的结果来触发针对计算装置的中断,其中由中断触发地,通过微处理器根据数据分组的上下文信息来执行分析,以识别计算机网络中的网络流量中的攻击模式。
Description
技术领域
本发明基于用于在计算机网络中识别攻击的方法和设备。
背景技术
这种“网络入侵检测和防御系统”(Network Intrusion Detection andPrevention Systems,NIDPS)的任务是识别分布式计算机系统的网络流量中的异常并对异常做出反应。NIDPS是典型地用于检测和阻止对企业网络(所谓的Enterprise网络)的攻击的系统。NIDPS也可以用于汽车网络。汽车网络是具有“电子控制单元”(ElectronicControl Units,ECU)作为网络节点的车辆内部网络。
由于企业网络和汽车网络之间的功能差异,用于企业网络的NIDPS不能有效地用于汽车网络。
因此,期望提供用于汽车网络的NIDPS。
发明内容
这通过独立权利要求的主题来实现。为了提供用于汽车网络的NIDPS,应当考虑汽车网络与企业网络之间的差异。这些差异可以在它们的网络结构、网络动态性和网络节点中找到。
网络结构:
企业网络典型地遵循客户端-服务器模型,在该模型中存在较少数量的专用服务器网络节点,这些服务器网络节点向典型地较多数量的客户端网络节点提供服务。汽车网络由交换传感器信号和致动器命令的ECU组成。
企业网络一般比汽车网络明显更大和更复杂。企业网络的整体被显著地分割,即在物理上或逻辑上分离为不同的区域和子网。典型的汽车网络中的ECU(如果有的话)通过“网关”分离为少量子网或在逻辑上经由所谓的“虚拟局域网”(Virtual Local AreaNetworks,VLAN)在以太网层上分离。
网络动态性:
企业网络和汽车网络在用于更改和运行所述网络的动态性方面是不同的。
在企业网络中,所连接的网络节点会动态更改。对于服务器网络节点的改变,可能的话还可以对安全系统(例如NIDPS)的配置进行适配。相反,对于作为客户端的网络节点,一般不可能进行这样的适配。这是因为一些客户端从变化的位置连接到所述网络并且被相对频繁地更换。此外,无法准确预测哪些应用在客户端上执行。
汽车网络中的ECU(如果有的话)很少被更换,于是通常也只被相同的副本替换。因此,所述网络的作用方式发生任何变化是不太可能的。在汽车网络中网络节点都是众所周知的。同样,运行在每个网络节点上的应用也是明确定义的,并且可以预给定关于网络通信的细节。
在企业网络中,来自外部的节点建立到企业网络内的连接并形成内部数据流量的一部分也是常见的。在汽车网络中,该网络的负责车辆功能的所有通信节点都是内部车辆网络的一部分。外部节点仅被授予特定功能和在有限的范围内对所述内部车辆网络的接入,例如为了诊断或为了移动终端设备。
在企业网络中,不同的用户可能能够使用相同的客户端。汽车网络的ECU中不存在用户,而是只有完全自动地执行其服务的应用。
网络节点:
就资源而言,企业网络的网络节点一般在资源上(例如在存储器和性能方面)比汽车网络的ECU高出许多倍。
就软件而言,在企业网络中网络节点大多配备有普遍使用的标准操作系统和标准软件,对于这些标准操作系统和标准软件,安全漏洞是已知的。但是,一般无法规定哪个软件在哪个客户端系统上执行,因为在许多情况下用户可以安装和卸载软件。因此,企业网络中NIDPS系统的重点是基于签名来识别是否在尝试利用已知的安全漏洞。汽车网络中的网络节点一般配备有专门为该应用情况开发的软件。来自用于企业网络的NIDPS系统的大部分签名是无法应用的,并且不存在关于专门针对汽车网络已知的漏洞的更大的数据库。
虽然NIDPS的基本任务,即检测网络流量中的异常并对异常做出反应对于企业网络和汽车网络是相同的。但是,从上述观点可以清楚地看出,用于汽车网络的有效NIDPS的基本作用方式必须与用于企业网络的NIDPS的基本作用方式根本不同。用于汽车网络的NIDPS必须利用已知和静态的网络结构以及明显更小的网络参与者动态性,以便能够用有限的资源有效地检测异常。
用于在计算机网络中识别攻击的方法规定,在硬件开关装置的输入端处接收数据分组,其中根据来自数据分组的数据链路层信息并且根据硬件地址来选择所述硬件开关装置的输出端以用于发送数据分组或数据分组的副本,其中确定数据分组的上下文信息,其中在比较中通过硬件过滤器将来自数据分组的某字段的实际值与来自所述字段的值的额定值进行比较,其中所述字段包括数据链路层数据或网络层数据,并且其中根据所述比较的结果来触发针对计算装置的中断,其中由中断触发地,通过微处理器根据数据分组的上下文信息来执行分析,以识别所述计算机网络中的网络流量中的攻击模式。特别是当实际值与额定值之间存在偏差时触发中断。当偏差达到、超过或低于阈值时,可以触发中断。
优选地,数据分组的上下文信息被存储在寄存器中,其中为了分析,微处理器对寄存器进行寄存器访问。这在计算资源方面是特别有效的方式。
优选地规定,当实际值与额定值之间存在偏差时,或者当偏差超过阈值时,数据分组的上下文信息被存储在寄存器中。因此,上下文信息在需要情况下、特别是在存在偏差时特别有效地被提供用于攻击识别。
优选地规定,根据分析的结果来确定数据分组的上下文信息并且将其存储在寄存器中。因此,上下文信息根据分析同样在寄存器中被更新。
优选地规定,硬件过滤器包括三态内容可寻址存储器,在该三态内容可寻址存储器中存储有额定值的掩码,其中将实际值与存储在三态内容可寻址存储器中的掩码相比较,并且根据所述比较的结果确定是否存在偏差。因此能够实现可自由配置的检查。
优选地规定,额定值表征硬件地址,特别是介质访问控制地址,其中根据来自输入端或输出端处的数据分组的硬件地址字段中的数据(特别是介质访问控制地址)来确定所述实际值。这能够基于所基于的介质访问控制协议来识别攻击。
优选地规定,额定值表征虚拟局域网,并且根据以下数据来确定实际值,所述数据表征在输入端或输出端处的数据分组对虚拟局域网的所属性。这能够基于所基于的虚拟局域网来识别攻击。
优选地规定,当硬件过滤器在输入端或输出端处针对标记虚拟逻辑区域网确定了未标记虚拟逻辑区域网数据分组时,或者当硬件过滤器在输入端或输出端处针对未标记虚拟逻辑区域网确定了标记虚拟逻辑区域网数据分组时,识别出偏差的存在。这能够基于标记来识别攻击。
优选地规定,当硬件过滤器在输入端或输出端处确定了具有未知的以太类型、具有错误的校验和、错误的分组长度或错误的分组结构的数据分组时,识别出偏差的存在。这能够基于所基于的以太类型来识别攻击。
优选地规定,当动态主机配置协议过滤器在输入端或输出端处确定了(328)用于具有动态主机配置协议端口67和/或端口68的互联网协议版本4(Internet ProtocolVersion 4)和/或互联网协议版本6(Internet Protocol Version 6)的动态主机配置协议分组时,
当传输控制协议或用户数据报协议过滤器在输入端或输出端处确定了(328)用于互联网协议版本4和/或互联网协议版本6的传输控制协议或用户数据报协议广播消息时,
当精确时间协议过滤器在输入端或输出端处确定了(328)精确时间协议消息时,其中所述精确时间协议消息的内容,特别是时间戳、序列号、校正字段,至少部分地被存储在用于上下文信息的寄存器中,
识别出偏差的存在。
这能够基于分别基于的协议来识别攻击。
将相应的设备构造为片上系统,该片上系统包括硬件开关装置、硬件过滤器、寄存器和用于识别攻击的计算装置,并且该片上系统被构造为执行所述方法。因此,可以特别有效地在一个整合方案中进行攻击识别。
优选地,硬件开关装置被构造为将数据分组的上下文信息存储在寄存器中,其中微处理器被构造为,为了分析而执行对寄存器的寄存器访问。这能够实现直接访问。
优选地,硬件开关装置被构造为,当实际值与额定值之间存在偏差时,或者当偏差超过阈值时,将数据分组的上下文信息存储在寄存器中。对上下文信息存储器的直接访问特别是在硬件开关装置的功能效率方面是有利的。
优选地,微处理器被构造为,根据分析的结果来确定数据分组的上下文信息并且将其存储在寄存器中。对上下文信息存储器的直接访问特别是在识别攻击的效率方面是有利的。
优选地,将三态内容可寻址存储器(108)、地址转换单元、虚拟局域网转换单元、动态主机配置协议过滤器、传输控制协议或用户数据报协议过滤器和/或精确时间协议过滤器构造为硬件过滤器,分析数据分组以识别攻击并根据检查结果向用于识别攻击的微处理器提供中断。就此而言,这能够实现特别有利的方法。
附图说明
其他有利的实施方式由以下描述和附图得出。在附图中
图1示出了用于识别攻击的设备的示意图,
图2示出了所述设备中的数据流,
图3示出了用于识别攻击的方法中的步骤。
具体实施方式
图1示出了用于在计算机网络中识别攻击的设备100的示意图。设备100被构造为片上系统。
设备100包括硬件开关装置102、硬件过滤器104和用于识别攻击的计算装置106。下面以微处理器为例描述计算装置106。代替微处理器,也可以使用微控制器。
在该示例中,计算机网络是汽车以太网网络。示例性描述的汽车以太网基于以太网标准IEEE 802.3-2018,并且可以包括来自IEEE 802.1Q、100BASE-T1或1000BASE-T1的元素。BroadR-Reach或100BASE-T1/X指定了第1层中的物理传输介质。在以太网协议堆栈中,存在部分地特定于汽车背景的其他标准,例如DoIP、SOME/IP和部分地IPv4、TSN。
在汽车以太网背景中,部分地仅使用一种标准的部分而不使用其他部分,即也没有使用整个协议范围。
在该示例中,硬件开关装置102包括以太网交换机。
在该示例中,硬件过滤器104包括三态内容可寻址存储器108、地址转换单元110、虚拟局域网转换单元112和其他硬件过滤器114,例如动态主机配置协议过滤器、传输控制协议或用户数据报协议过滤器和/或精确时间协议过滤器。
硬件过滤器104被构造为分析数据分组以识别攻击。硬件过滤器104可选地被构造为根据检查结果将所述数据分组或所述数据分组的副本提供给用于识别攻击的微处理器106。为此,可选地,硬件过滤器104和微处理器106与数据导线116连接。在该示例中,微处理器106是微控制器的一部分,该微控制器包括随机存取存储器118。可以将数据分组从硬件过滤器102经由数据导线116传输到随机存取存储器118中以识别攻击。
设备100包括至少一个输入端和至少一个输出端。这些输入端和输出端被实现为用于硬件开关装置102的端口120。
硬件开关装置102包括用于关于数据分组的上下文信息的寄存器122。
硬件开关装置102包括用于存储计算机网络的以下设备的硬件地址的存储器,所述设备与设备100耦合。在该示例中,存储器包括用于上下文信息的寄存器122。一方面,存储器是随机存取存储器。存储器也可以构造为非易失性读写存储器,其可以持久存储上下文信息。
硬件开关装置102被构造为在输入端处接收数据分组。硬件开关装置102被构造为根据来自所述数据分组的数据链路层信息并且根据来自存储器的硬件地址,选择设备100的用于发送所述数据分组或所述数据分组的副本的输出端。
微处理器106被构造为根据来自寄存器122的上下文信息执行分析以识别计算机网络中的网络流量中的攻击模式。 微处理器106被构造为读取寄存器122中的上下文信息并且根据分析的结果确定寄存器122的上下文信息,并且将最后的上下文信息写入到寄存器122中。 微处理器106被构造为接收来自硬件开关装置102的中断。 微处理器106被构造为,当接收到中断时,执行分析。
硬件过滤器104被构造为在比较中将来自所述数据分组的某字段的实际值与来自该字段的值的额定值进行比较。该字段包括数据链路层数据或网络层数据。硬件过滤器104被构造为,如果所述实际值与所述额定值之间存在偏差或所述偏差超过阈值,则根据所述比较的结果向微处理器106发送中断。
下面描述硬件过滤器104的表现形式。
例如,硬件过滤器104包括三态内容可寻址存储器108,在该存储器中存储有额定值的掩码。在这种情况下,硬件过滤器104被构造为,将所述实际值与存储在所述三态内容可寻址存储器中的掩码进行比较并根据所述比较的结果来确定是否存在偏差。
例如,所述额定值表征来自所述存储器的硬件地址。所述硬件地址特别是数据链路层的介质访问控制地址。在该示例中,硬件过滤器104包括地址转换单元110,该地址转换单元110被构造为根据设备100的输入端或输出端处的数据分组的硬件地址字段中的数据来确定所述实际值,在比较中将所述实际值与所述额定值进行比较,并根据所述比较的结果来确定是否存在偏差。
地址转换单元110是数据链路层中的单元,该单元在硬件开关装置102中选择在运行期间用于发送接收到的数据分组或该数据分组的副本的输出端。
例如,所述额定值表征虚拟局域网。所述额定值例如存储在存储器中。硬件过滤器104包括虚拟局域网转换单元112,虚拟局域网转换单元112被构造为根据以下数据来确定所述实际值,所述数据表征在设备100的输入端或输出端处的数据分组对虚拟局域网的所属性,在比较中将所述实际值与所述额定值进行比较,并根据所述比较的结果来确定是否存在偏差。
虚拟局域网转换单元112是数据链路层中的单元,该单元在硬件开关装置102中选择在虚拟局域网中在运行期间发送接收到的数据分组或该数据分组的副本的输出端。
硬件过滤器104可以被构造为,如果硬件过滤器104在所述设备的输入端或输出端处针对标记虚拟逻辑区域网确定了未标记虚拟逻辑区域网数据分组,或者如果其他硬件过滤器114在所述设备的输入端或输出端处针对未标记虚拟逻辑区域网确定了标记虚拟逻辑区域网数据分组,则识别出偏差的存在。
硬件过滤器104可以被构造为,如果其他硬件过滤器114在设备100的输入端或输出端处确定了具有未知以太网类型、具有错误的校验和或错误的分组结构的数据分组,则识别出偏差的存在。
硬件过滤器104可以包括动态主机配置协议过滤器作为其他硬件过滤器114,该动态主机配置协议过滤器被构造为在所述设备的输入端或输出端处确定用于具有动态主机配置协议端口67和/或端口68的互联网协议版本4和/或互联网协议版本6的动态主机配置协议分组。
硬件过滤器104可以包括传输控制协议或用户数据报协议过滤器作为其他硬件过滤器114,该传输控制协议或用户数据报协议过滤器被构造为在所述设备的输入端或输出端处确定用于互联网协议版本4和/或用于互联网协议版本6的传输控制协议或用户数据报协议广播消息。
硬件过滤器104可以包括精确时间协议过滤器作为其他硬件过滤器114,该精确时间协议过滤器被构造为在所述设备的输入端或输出端处确定精确时间协议消息,并且将所述精确时间协议消息的内容,特别是时间戳、序列号、校正字段,至少部分地存储在用于上下文信息的寄存器中。
可以将硬件过滤器104的所描述的表现形式并行或依次地布置在硬件开关装置102中。不必设置硬件过滤器104的所有表现形式。
硬件过滤器104被构造为,在存在偏差时将用于触发其实际值已经经过比较的数据分组的分析的中断发送给微处理器106。在一个方面中,硬件过滤器104被构造为,在不存在偏差时,不向微处理器106发送中断。在另一方面中,硬件过滤器104被构造为,将所述偏差与阈值进行比较,并且在所述偏差超过所述阈值时将用于分析其实际值已经经过比较的数据分组的中断发送给微处理器106。
图2针对以太网数据分组200示出了设备100中的示例性数据流。在设备100的输入端(在该示例中即是端口120之一)处接收以太网数据分组200。在设备100的输出端(在该示例中即是端口120之一)处发送以太网数据分组200。
在所述输入端和输出端之间,以太网数据分组200通过被构造用于检查分组结构的第一硬件过滤器114a。第一硬件过滤器114a被构造为,如果所述分组结构与以太网数据分组200的额定结构不对应,则将中断发送到微处理器106,否则不发送中断。第一硬件过滤器114a可选地被构造为,如果所述分组结构与以太网数据分组200的额定结构不对应,则经由用于微处理器106的数据导线116将以太网数据分组200传输到随机存取存储器118中,否则不传输以太网数据分组200。
在第一硬件过滤器114a和输出端之间,以太网数据分组200通过第二硬件过滤器114b,该第二硬件过滤器114b被构造用于检查以太网数据分组200的校验和。第二硬件过滤器114a被构造为,如果所述校验和不对应于以太网数据分组200的额定校验和,则将中断发送到微处理器106,否则不发送中断。第二硬件过滤器114a可选地被构造为,如果所述校验和不对应于以太网数据分组200的额定校验和,则经由用于微处理器106的数据导线116将以太网数据分组200传输到随机存取存储器118中,否则不传输以太网数据分组200。
在第二硬件过滤器114b和输出端之间,以太网数据分组200通过地址转换单元110。地址转换单元110被构造为,如果识别出偏差,则将中断发送到微处理器106,否则不发送中断。地址转换单元110可选地被构造为,如果识别出偏差,则经由用于微处理器106的数据导线116将以太网数据分组200传输到随机存取存储器118中,否则不传输以太网数据分组200。此外,在该示例中,地址转换单元110还规定用于输出端的端口120。
在地址转换单元110和输出端之间,以太网数据分组200通过虚拟局域网转换单元112。虚拟局域网转换单元112被构造为,如果识别出偏差,则将中断发送到微处理器106,否则不发送中断。虚拟局域网转换单元112可选地被构造为,如果识别出偏差,则经由用于微处理器106的数据导线116将以太网数据分组200传输到随机存取存储器118中,否则不传输以太网数据分组200。此外,在该示例中,虚拟局域网转换单元112还规定,根据虚拟局域网的规则是否允许经由被规定为输出端的端口120发送以太网数据分组200。
例如,如果不允许将端口120用于该虚拟局域网,则禁止所述发送。
在该示例中,在虚拟局域网转换单元112和输出端之间,以太网数据分组200通过其他硬件过滤器114。其他硬件过滤器114被构造为,如果识别出偏差,则将中断发送到微处理器106,否则不发送中断。如果识别出偏差,则可选地经由用于微处理器106的数据导线116将以太网数据分组200传输到随机存取存储器118中。否则不传输以太网数据分组200。
在图2中还示出了寄存器122和微处理器106(更确切地说是微处理器106的处理器核204)之间的第一接口202。
在图2中还示出了硬件开关装置102的第一中断控制器208与微处理器106中的第二中断控制器210之间的第二接口206。硬件过滤器104经由中断数据导线212与第一中断控制器208连接。硬件过滤器104被构造为,如果在硬件过滤器104中确定了偏差,则将中断经由中断数据导线212发送到第一中断控制器208。例如,中断由第一硬件过滤器114a、第二硬件过滤器114b、三态内容可寻址存储器108、地址转换单元110、虚拟局域网转换单元112、动态主机配置协议过滤器、传输控制协议或用户数据报协议过滤器、精确时间协议过滤器和/或其他硬件过滤器114来触发。
寄存器122经由用于上下文信息的接口214与硬件过滤器104连接。上下文信息例如由第一硬件过滤器114a、第二硬件过滤器114b、三态内容可寻址存储器108、地址转换单元110、虚拟局域网转换单元112、动态主机配置协议过滤器、传输控制协议或用户数据报协议过滤器、精确时间协议过滤器和/或其他硬件过滤器114根据以太网数据分组200来确定并且经由接口214存储在寄存器122中。
第一中断控制器208被构造为,经由第二接口206向第二中断控制器210发送中断。第二中断控制器210被构造为,如果第二中断控制器210接收到中断,则操控处理器核204从寄存器122中读取上下文信息。
微处理器106被构造为,如果接收到中断,则由微处理器根据上下文信息来执行分析,以识别所述计算机网络中网络流量中的攻击模式。微处理器106经由第一接口202读取上下文信息。改变的上下文信息由微处理器106经由第一接口202写入到寄存器122中。
这里描述的流程是示例性流程。对于功能,例如是首先通过其他硬件过滤器114然后通过地址转换单元110还是首先通过地址转换单元110然后通过其他硬件过滤器114是没有区别的。这适用于所示流程中提到的所有其他组件。
三态内容可寻址存储器108可以被构造用于检查有效载荷,即用于检查超出第2层和第3层的内容。在该方面中也可以过滤有效载荷。
图3示出了用于识别攻击的方法中的步骤。
在步骤302中,在端口120处接收以太网数据分组200。然后执行步骤304。
在步骤304中,确定以太网数据分组200的分组结构或分组长度。然后执行步骤306。
在步骤306中,检查所述分组结构与额定结构是否存在偏差或分组长度与额定长度是否存在偏差。例如,检查在所述分组结构方面是否存在不规则性。
如果与额定结构存在偏差,则执行步骤308。如果不存在偏差,则执行步骤310。
在步骤308中,将中断、可选地还有以太网数据分组200发送到微处理器106。然后执行步骤310。
在步骤310中,确定以太网数据分组200的校验和。然后执行步骤312。
在步骤312中,检查所述校验和与额定校验和是否存在偏差。例如,检查在所述校验和方面是否存在不规则性。
如果与额定校验和存在偏差,则执行步骤314。如果不存在偏差,则执行步骤316。
在步骤314中,将中断、可选地还有以太网数据分组200发送到微处理器106。然后执行步骤316。
在步骤316中,确定以太网数据分组200的实际硬件地址。然后执行步骤318。
在步骤318中,检查所述实际硬件地址是否已知,特别是是否与来自存储器的硬件地址一致。例如,检查是否存在已知的介质访问控制地址。
如果特别是与来自所述存储器的每个已知硬件地址存在偏差,则执行步骤320。如果不存在这种偏差,特别是如果所述实际硬件地址是已知的,则执行步骤322。
在步骤320中,将中断、可选地还有以太网数据分组200发送到微处理器106。然后执行步骤322。
在步骤322中,确定表征虚拟局域网的实际值。然后执行步骤324。
在步骤324中,检查所述实际值是否对应于表征以下虚拟局域网的额定值,允许在借助于所述实际硬件地址确定的端口120处将以太网数据分组200发送到该虚拟局域网中。特别地,检查与来自存储器的额定值是否一致。
如果实际值与额定值之间存在偏差,则执行步骤326。如果不存在这种偏差,则执行步骤328。
在步骤326中,将中断、可选地还有以太网数据分组200发送到微处理器106。然后执行步骤328。
在步骤328中,可选地确定其他实际值,以利用所描述的其他硬件过滤器之一进行分析。
例如,在输入端或输出端处针对标记虚拟逻辑区域网确定未标记虚拟逻辑区域网以太网数据分组200,或者针对未标记虚拟逻辑区域网确定标记虚拟逻辑区域网以太网数据分组200。
例如,在输入端或输出端处确定用于具有动态主机配置协议端口67和/或端口68的互联网协议版本4和/或互联网协议版本6的动态主机配置协议分组。例如,在输入端或输出端处确定用于互联网协议版本4和/或用于互联网协议版本6的用户数据报协议广播消息。例如,在输入端或输出端处确定精确时间协议消息,其中将所述精确时间协议消息的内容,特别是时间戳、序列号、校正字段,至少部分地存储在用于上下文信息的寄存器中。
然后执行步骤330。
在步骤330中,检查所述其他实际值是否与所述其他实际值的其他额定值之间存在偏差。如果存在偏差,则执行步骤332。否则,执行步骤334。
在步骤332中,将中断、可选地还有以太网数据分组200发送到微处理器106。然后执行步骤334。
在步骤334中,将以太网数据分组200的所配置的实际值与为此配置的存储在三态内容可寻址存储器中的掩码进行比较。然后执行步骤336。
在步骤336中,根据所述比较的结果确定是否与所述掩码存在偏差。如果存在偏差,则执行步骤338。如果不存在偏差,则执行步骤340。
在步骤338中,将中断、可选地还有以太网数据分组200发送到微处理器106。然后执行步骤340。
在步骤340中,在所述输出端处发送以太网数据分组200。
如果微处理器106接收到中断,则执行步骤350。
在步骤350中,从寄存器中读取上下文信息。
然后执行步骤352。
在步骤352中,分析来自寄存器122的上下文信息,以识别计算机网络中的网络流量中的攻击模式。例如,根据上下文信息执行执行无状态入侵检测。可以规定,分析在时间进程中出现的中断。然后执行步骤354。
在步骤354中,存储无状态入侵检测的分析结果。例如存储上下文信息。然后执行步骤356。
在步骤356中,根据关于存储的分析结果的信息来执行有状态入侵检测。例如分析时间进程中的上下文数据。然后结束该方法。
上下文信息也可以被改变,例如根据分析、无状态入侵检测或有状态入侵检测的结果来改变。该上下文信息在附加的步骤中被确定并且被存储在寄存器122中。
Claims (17)
1.用于在计算机网络中识别攻击的方法,其特征在于,在硬件开关装置(102)的输入端处接收(302)数据分组(200),其中根据来自所述数据分组(200)的数据链路层信息并且根据硬件地址来选择(316)所述硬件开关装置(102)的输出端以用于发送所述数据分组(200)或所述数据分组(200)的副本,其中确定(304、310、316、322、328、334)所述数据分组(200)的上下文信息,其中在比较中通过硬件过滤器(104)将来自所述数据分组(200)的某字段的实际值与来自所述字段的值的额定值进行比较(306、312、328、324、330、336),其中所述字段包括数据链路层数据或网络层数据,并且其中根据所述比较的结果来触发(308、314、320、326、332、338)针对计算装置(106)的中断,其中由所述中断触发地,通过微处理器(106)根据所述数据分组(200)的上下文信息执行(352、354、356、358)分析,以识别所述计算机网络中的网络流量中的攻击模式。
2.根据权利要求1所述的方法,其特征在于,将所述数据分组(200)的上下文信息存储在寄存器(122)中,其中为了分析,所述微处理器(106)对所述寄存器(122)进行寄存器访问。
3.根据前述权利要求中任一项所述的方法,其特征在于,如果在所述实际值与所述额定值之间存在偏差或者所述偏差超过阈值,则将所述数据分组(200)的上下文信息存储在所述寄存器(122)中。
4.根据前述权利要求中任一项所述的方法,其特征在于,根据所述分析的结果来确定所述数据分组(200)的上下文信息并且将所述上下文信息存储在所述寄存器(122)中。
5.根据前述权利要求中任一项所述的方法,其特征在于,所述硬件过滤器(104)包括三态内容可寻址存储器(108),在所述三态内容可寻址存储器中存储有所述额定值的掩码,其中将所述实际值与存储在所述三态内容可寻址存储器(108)中的掩码相比较(334),并且根据所述比较的结果确定(336)是否存在偏差。
6.根据前述权利要求中任一项所述的方法,其特征在于,所述额定值表征硬件地址,特别是介质访问控制地址,其中根据来自所述输入端或输出端处的数据分组(200)的硬件地址字段的数据,特别是介质访问控制地址,来确定(316)所述实际值。
7.根据前述权利要求中任一项所述的方法,其特征在于,所述额定值表征虚拟局域网,并且根据表征在所述输入端或输出端处的数据分组(200)对虚拟局域网的所属性的数据来确定(322)所述实际值。
8.根据前述权利要求中任一项所述的方法,其特征在于,当所述硬件过滤器(104)在所述输入端或输出端处针对标记虚拟逻辑区域网确定了(328)未标记虚拟逻辑区域网数据分组(200)时,或者当所述硬件过滤器(104)在所述输入端或输出端处针对未标记虚拟逻辑区域网确定了(328)标记虚拟逻辑局域网数据分组(200)时,识别出(330)偏差的存在。
9.根据前述权利要求中的任一项所述的方法,其特征在于,当所述硬件过滤器(104)在所述输入端或输出端处确定了(304、310)具有未知的以太类型、具有错误的校验和、错误的分组长度或错误的分组结构的数据分组(200)时,识别出(304、312)偏差的存在。
10.根据前述权利要求中任一项所述的方法,其特征在于,
当动态主机配置协议过滤器在所述输入端或输出端处确定了(328)用于具有动态主机配置协议端口67和/或端口68的互联网协议版本4和/或互联网协议版本6的动态主机配置协议分组时,
当传输控制协议或用户数据报协议过滤器在所述输入端或输出端处确定了(328)用于互联网协议版本4和/或互联网协议版本6的传输控制协议或用户数据报协议广播消息时,
当精确时间协议过滤器在输入端或输出端处确定了(328)精确时间协议消息时,其中所述精确时间协议消息的内容,特别是时间戳、序列号、校正字段,至少部分地被存储在用于上下文信息的寄存器中,
识别出(330)偏差的存在。
11.用于在计算机网络中识别攻击的设备,其特征在于,所述设备(100)构造为片上系统,该片上系统包括硬件开关装置(102)、硬件过滤器(104)、寄存器(122)和用于识别攻击的计算装置(106),并且该片上系统被构造为执行根据权利要求1到10中任一项所述的方法。
12.根据权利要求11所述的设备,其特征在于,所述硬件开关装置(102)被构造为,将所述数据分组(200)的上下文信息存储在所述寄存器(122)中,其中微处理器(106)被构造为,为了分析而执行对所述寄存器(122)的寄存器访问。
13.根据权利要求11或12所述的设备,其特征在于,所述硬件开关装置(102)被构造为,如果在所述实际值与所述额定值之间存在偏差或者所述偏差超过阈值,则将所述数据分组(200)的上下文信息存储在所述寄存器(122)中。
14.根据权利要求11至13之一所述的设备,其特征在于,微处理器(106)被构造为,根据所述分析的结果来确定所述数据分组(200)的上下文信息并且将所述上下文信息存储在所述寄存器(122)中。
15.根据权利要求11至14之一所述的设备(100),其特征在于,将三态内容可寻址存储器(108)、地址转换单元(110)、虚拟局域网转换单元(112)、动态主机配置协议过滤器、传输控制协议或用户数据报协议过滤器和/或精确时间协议过滤器构造为硬件过滤器(104),分析数据分组(200)以识别攻击并根据检查结果向用于识别攻击的微处理器(106)提供中断。
16.一种计算机程序,其特征在于,所述计算机程序包括计算机可读指令,当由计算机执行所述计算机可读指令时,执行根据权利要求1至11中任一项所述的方法。
17.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机可读存储介质,在所述计算机可读存储介质上存储有根据权利要求16所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019210224.7A DE102019210224A1 (de) | 2019-07-10 | 2019-07-10 | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
| DE102019210224.7 | 2019-07-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112217780A true CN112217780A (zh) | 2021-01-12 |
Family
ID=74059402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010655694.8A Pending CN112217780A (zh) | 2019-07-10 | 2020-07-09 | 用于在计算机网络中识别攻击的设备和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11522892B2 (zh) |
| CN (1) | CN112217780A (zh) |
| DE (1) | DE102019210224A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910797A (zh) * | 2021-01-20 | 2021-06-04 | 中国科学院计算技术研究所 | 基于特征匹配的i2p流量识别方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208596B (zh) * | 2021-04-09 | 2023-09-19 | 中国移动通信集团江苏有限公司 | 网络入侵防御方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050182950A1 (en) * | 2004-02-13 | 2005-08-18 | Lg N-Sys Inc. | Network security system and method |
| CN1679295A (zh) * | 2002-08-23 | 2005-10-05 | 皇家飞利浦电子股份有限公司 | 基于硬件的分组过滤加速器 |
| CN1719783A (zh) * | 2004-07-09 | 2006-01-11 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US20080201772A1 (en) * | 2007-02-15 | 2008-08-21 | Maxim Mondaeev | Method and Apparatus for Deep Packet Inspection for Network Intrusion Detection |
| CN101460983A (zh) * | 2006-04-17 | 2009-06-17 | 恒接信息科技公司 | 恶意攻击检测系统和相关的使用方法 |
| US20140181972A1 (en) * | 2012-04-18 | 2014-06-26 | Zimperium, Inc. | Preventive intrusion device and method for mobile devices |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| US7463639B1 (en) * | 2001-09-26 | 2008-12-09 | Junpier Networks, Inc. | Edge devices for providing a transparent LAN segment service and configuring such edge devices |
| US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| US8006303B1 (en) * | 2007-06-07 | 2011-08-23 | International Business Machines Corporation | System, method and program product for intrusion protection of a network |
| US20100268818A1 (en) * | 2007-12-20 | 2010-10-21 | Richmond Alfred R | Systems and methods for forensic analysis of network behavior |
| US10264020B1 (en) * | 2015-02-05 | 2019-04-16 | Symantec Corporation | Systems and methods for scalable network monitoring in virtual data centers |
| US9813323B2 (en) * | 2015-02-10 | 2017-11-07 | Big Switch Networks, Inc. | Systems and methods for controlling switches to capture and monitor network traffic |
| US9954903B2 (en) * | 2015-11-04 | 2018-04-24 | Monico Monitoring, Inc. | Industrial network security translator |
| US10419396B2 (en) * | 2016-12-22 | 2019-09-17 | Vmware, Inc. | Deep packet inspection with enhanced data packet analyzers |
-
2019
- 2019-07-10 DE DE102019210224.7A patent/DE102019210224A1/de active Pending
-
2020
- 2020-07-06 US US16/921,375 patent/US11522892B2/en active Active
- 2020-07-09 CN CN202010655694.8A patent/CN112217780A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1679295A (zh) * | 2002-08-23 | 2005-10-05 | 皇家飞利浦电子股份有限公司 | 基于硬件的分组过滤加速器 |
| US20050182950A1 (en) * | 2004-02-13 | 2005-08-18 | Lg N-Sys Inc. | Network security system and method |
| CN1719783A (zh) * | 2004-07-09 | 2006-01-11 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| CN101460983A (zh) * | 2006-04-17 | 2009-06-17 | 恒接信息科技公司 | 恶意攻击检测系统和相关的使用方法 |
| US20080201772A1 (en) * | 2007-02-15 | 2008-08-21 | Maxim Mondaeev | Method and Apparatus for Deep Packet Inspection for Network Intrusion Detection |
| US20140181972A1 (en) * | 2012-04-18 | 2014-06-26 | Zimperium, Inc. | Preventive intrusion device and method for mobile devices |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910797A (zh) * | 2021-01-20 | 2021-06-04 | 中国科学院计算技术研究所 | 基于特征匹配的i2p流量识别方法及系统 |
| CN112910797B (zh) * | 2021-01-20 | 2023-04-11 | 中国科学院计算技术研究所 | 基于特征匹配的i2p流量识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210014255A1 (en) | 2021-01-14 |
| US11522892B2 (en) | 2022-12-06 |
| DE102019210224A1 (de) | 2021-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US20130346585A1 (en) | Network system, and policy route setting method | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| JP6782842B2 (ja) | 通信ネットワーク用の方法及び電子監視ユニット | |
| EP1832037A2 (en) | Template access control lists | |
| RU2517164C2 (ru) | СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ | |
| US20200389436A1 (en) | On-vehicle communication device, communication control method, and communication control program | |
| CN112217782B (zh) | 用于在计算机网络中识别攻击的设备和方法 | |
| CN112217780A (zh) | 用于在计算机网络中识别攻击的设备和方法 | |
| US11102172B2 (en) | Transfer apparatus | |
| US20210014254A1 (en) | Device and method for anomaly detection in a communications network | |
| CN112217784B (zh) | 用于在计算机网络中的攻击识别的设备和方法 | |
| US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
| CN114915592A (zh) | 用于聚合组的端口绑定的方法、系统、存储介质及设备 | |
| US11765256B2 (en) | Method and device for analyzing service-oriented communication | |
| US20180198704A1 (en) | Pre-processing of data packets with network switch application -specific integrated circuit | |
| CN112997457B (zh) | 车辆的控制单元架构 | |
| JP7437196B2 (ja) | スイッチ装置、車載通信システムおよび通信方法 | |
| JP7437197B2 (ja) | スイッチ装置、車載通信システムおよび通信方法 | |
| CN109743326A (zh) | 流量传输方法及装置 | |
| US8971325B1 (en) | Policy system and method for a switching device | |
| CN116346687A (zh) | 一种弹性ip地址探活方法及系统 | |
| CN118869620A (zh) | 一种软硬件结合的车载网络流量的处理方法及装置 | |
| CN118449766A (zh) | 数据包传输处理方法及其系统 | |
| CN118803778A (zh) | 用户流量的处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |