数据流转发异常检测方法、控制器和系统技术方案

本发明专利技术公开了一种数据流转发异常检测方法、设备和系统，涉及计算机网络通信领域，用于解决对由于流表异常导致数据流转发规则与数据流实际转发情况不一致进行检测的问题。数据流转发异常检测方法包括：控制器确定待检测的数据流所经过的交换设备；获取交换设备中与数据流匹配的至少一个流表项；流表项包含实际流量和匹配域；其中，实际流量为与匹配域对应计数器的值；根据交换设备上与匹配域相匹配的数据流的理论流量与实际流量建立超定方程组；其中，理论流量构成超定方程组的未知数向量，实际流量构成超定方程组的常数项向量；根据超定方程组确定至少一个流表项是否发生异常。本发明专利技术的实施例应用于SDN网络中。

Data stream forwarding abnormal detection method, controller and system

The invention discloses a device and a system for forwarding flow anomaly detection method, a data related to computer network communication field, used to solve the flow table due to abnormal data flow and data flow of the actual forwarding forwarding rules is not detected in accordance with the problems. Traffic anomaly detection method includes: controller to determine the detection of data flow through the switching device; at least one access switching equipment and data flow, flow form; flow contains the actual flow and matching domain table; wherein, the actual flow rate and matching fields corresponding to the value of the counter; and according to the matching domain switching equipment matching the data flow and the actual traffic flow theory to establish equations; the theory of flow form equations of the vector of unknowns, the actual flow form overdetermined constant vector equations; according to the equations determining at least one flow table is abnormal overdetermined. Embodiments of the present invention are intended for use in SDN networks.

【技术实现步骤摘要】
数据流转发异常检测方法、控制器和系统
本专利技术涉及计算机网络通信领域，尤其涉及一种数据流转发异常检测方法、控制器和系统。
技术介绍
参照图1中所示，SDN(英文名称：softwaredefinednetwork，中文名称：软件定义网络)网络是一种新型的网络体系结构，其通过分离网络的控制层面和转发层面，将网络的诸多控制功能集成在一台控制器上，并且通过该控制器与交换设备的交互通信来下发控制信息，各交换设备依据该控制信息来进行数据流的处理。具体的，控制信息通过流表来下发。流表是由控制器下发到交换设备的数据流处理规则，交换设备内部的流表由流表项构成，参照图2所示，流表项的基本数据结构包括：matchfield(中文名称：匹配域)、counters(中文名称：计数项)和instructions(中文名称：指令)三个部分。匹配域(即matchfield)，包含了数据流入端口、源/目的MAC(英文名称：mediaaccesscontrol，中文名称：媒体访问控制)地址、源/目的IP(英文名称：internetprotocol，中文名称：互联网协议)地址等数据包包头信息。数据流到达交换设备时，交换本文档来自技高网...

【技术保护点】
一种数据流转发异常检测方法，其特征在于，包括：控制器确定待检测的数据流所经过的交换设备；获取所述交换设备中与所述数据流匹配的至少一个流表项；所述流表项包含实际流量和匹配域；其中，所述实际流量为与所述匹配域对应计数器的值；根据所述交换设备上与所述匹配域相匹配的数据流的理论流量与所述实际流量建立超定方程组；其中，所述理论流量构成所述超定方程组的未知数向量，所述实际流量构成所述超定方程组的常数项向量；根据所述超定方程组确定所述至少一个流表项是否发生异常。

【技术特征摘要】
1.一种数据流转发异常检测方法，其特征在于，包括：控制器确定待检测的数据流所经过的交换设备；获取所述交换设备中与所述数据流匹配的至少一个流表项；所述流表项包含实际流量和匹配域；其中，所述实际流量为与所述匹配域对应计数器的值；根据所述交换设备上与所述匹配域相匹配的数据流的理论流量与所述实际流量建立超定方程组；其中，所述理论流量构成所述超定方程组的未知数向量，所述实际流量构成所述超定方程组的常数项向量；根据所述超定方程组确定所述至少一个流表项是否发生异常。2.根据权利要求1所述的方法，其特征在于，所述根据所述超定方程组确定所述至少一个流表项是否发生异常，包括：将所述超定方程组的最小二乘解代入所述超定方程组的未知数向量一侧得到更新的常数项向量；根据所述超定方程组的常数项向量与所述更新的常数项向量得到误差二范数；将所述误差二范数与第一阈值进行比较来确定是否有流表项发生异常。3.根据权利要求2所述的方法，其特征在于，所述根据所述超定方程组确定所述至少一个流表项是否发生异常，还包括：将所述更新的常数项向量与所述超定方程组的常数项向量作差生成差值向量，将差值向量中的每一项差值与第二阈值进行比较，从所述差值中超过所述第二阈值的一项或多项所对应的流表项中确定发生异常的流表项。4.根据权利要求1所述的方法，其特征在于，所述流表项还包含聚合标志，所述聚合标志用于指示所述流表项是否为聚合流表项；所述根据所述交换设备上与所述匹配域相匹配的数据流的理论流量与所述实际流量建立超定方程组，包括：根据所述聚合标志判断所述流表项是否为聚合流表项；根据所述流表项的判断结果，通过所述交换设备上与所述匹配域相匹配的数据流的理论流量与所述实际流量相等建立方程；将根据多个匹配域建立的方程整合生成超定方程组。5.根据权利要求4所述的方法，其特征在于，所述根据所述流表项的判断结果，通过所述交换设备上与所述匹配域相匹配的数据流的理论流量与所述实际流量相等建立方程，包括：在能够通过所述匹配域找到相匹配的数据流的情况下，如果确定所述流表项不是聚合流表项，则所述匹配域匹配一个数据流；通过所述交换设备上与所述匹配域相匹配的一个数据流的理论流量与实际流量相等来建立方程；如果确定所述流表项是聚合流表项，则所述匹配域匹配多个数据流；通过所述交换设备上与所述匹配域相匹配的多个数据流的理论流量之和与实际流量相等来建立方程。6.根据权利要求1-5任一项所述的方法，其特征在于，所述超定方程组为其中a为取值仅为0或1的系数，m为表示所述理论流量的未知数向量，c为表示所述计数项的常数项向量，p为所述数据流的个数...

【专利技术属性】
技术研发人员：王东晖，周亚东，胡成臣，
申请(专利权)人：华为技术有限公司，西安交通大学，
类型：发明
国别省市：广东,44