公开(公告)号：CN100563249C

公开(公告)日：2009-11-25

申请号：CN200610011219.7

申请日：2006-01-18

Applicant: 中国科学院计算技术研究所

Inventor： 李彦君 ,  张国清 ,  沈苏彬

IPC: H04L29/06

Abstract: 本发明公开了一种分域溯源式全局网络安全体系的构建方法，包括：将互联网划分出网络安全域；将网络安全域组成虚拟安全网区域，互联网中除了网络安全域的其他部分组成非虚拟安全网区域；根据进入安全域的流的源头对流采用不同的安全访问准入策略；监控节点的安全状态，对攻击流发出溯源通告；安全控制点根据溯源通告对节点作安全检查，根据检查结果，判断溯源是否成功，若成功，发送溯源成功的响应信息，若不成功，发出溯源通告的安全控制点采取相应的安全措施。本发明可以为互联网的安全防御提供明晰的安全边界和合理的安全域划分手段，兼顾安全与效率，溯源方式可以提供传统架构无法做到的应用层攻击防护，是一种解决DDoS类攻击的防御架构。

公开(公告)号：CN1917514A

公开(公告)日：2007-02-21

申请号：CN200610011219.7

申请日：2006-01-18

Applicant: 中国科学院计算技术研究所

Inventor： 李彦君 ,  张国清 ,  沈苏彬

IPC: H04L29/06

Abstract: 本发明公开了一种分域溯源式全局网络安全体系的构建方法，包括：将互联网划分出网络安全域；将网络安全域组成虚拟安全网区域，互联网中除了网络安全域的其他部分组成非虚拟安全网区域；根据进入安全域的流的源头对流采用不同的安全访问准入策略；监控节点的安全状态，对攻击流发出溯源通告；安全控制点根据溯源通告对节点作安全检查，根据检查结果，判断溯源是否成功，若成功，发送溯源成功的响应信息，若不成功，发出溯源通告的安全控制点采取相应的安全措施。本发明可以为互联网的安全防御提供明晰的安全边界和合理的安全域划分手段，兼顾安全与效率，溯源方式可以提供传统架构无法做到的应用层攻击防护，是一种解决DDoS类攻击的防御架构。