【技术实现步骤摘要】
一种软件定义网络中异常转发流量的自动化过滤方法
本专利技术涉及安络安全领域,尤其是涉及一种面向软件定义网络中硬件交换机的异常流量的自动化转发检测与过滤方法。
技术介绍
软件定义网络中数据平面存在异常转发流量的问题,导致数据包在发送者无法知晓的情况下,被转发到异常的目的地而丢失。例如,规则R1和R2均可以匹配数据包P,但是规则R1的优先级更高。因此正常状况下,数据包P应该被规则R1处理,但是在某些异常状况下,数据包错误的被规则R2处理。异常出现的可能原因有很多,主要分为以下几种:(1)数据层缺乏有效反馈(Methodology,measurementandanalysisofflowtableupdatecharacteristicsinhardwareopenflowswitches,ComputerNetworks,2018)。由控制器向网络设备下发规则,但是设备并不能做到实时向控制器反馈规则的安装情况。这就导致多台设备间的更新是不一致的,甚至有些规则安装失败控制器也无法感知。反馈机制难以实现的主要原因在于设备的存储和计算...
【技术保护点】
1.一种软件定义网络中异常转发流量的自动化过滤方法,其特征在于,包括:/n(1)分析每一跳交换机中的规则依赖关系,构建每一跳交换机的规则依赖关系图;/n(2)数据包发送到控制器时,发送端发出连接建立的请求,控制器进行规则依赖关系图查询,根据整个网络的规则依赖关系图计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值;控制器将路径信息对应的标签序列反馈给发送端,发送端将标签序列记录在数据包头部,然后发送数据包;/n(3)数据包在每一跳交换机转发时,对标签值进行验证,数据包正确匹配规则后,对应此跳交换机匹配信息的标签被弹出,数据包被转发到下...
【技术特征摘要】
1.一种软件定义网络中异常转发流量的自动化过滤方法,其特征在于,包括:
(1)分析每一跳交换机中的规则依赖关系,构建每一跳交换机的规则依赖关系图;
(2)数据包发送到控制器时,发送端发出连接建立的请求,控制器进行规则依赖关系图查询,根据整个网络的规则依赖关系图计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值;控制器将路径信息对应的标签序列反馈给发送端,发送端将标签序列记录在数据包头部,然后发送数据包;
(3)数据包在每一跳交换机转发时,对标签值进行验证,数据包正确匹配规则后,对应此跳交换机匹配信息的标签被弹出,数据包被转发到下一跳,重复此过程直到目的地址;
(4)如果数据包在某跳交换机无法匹配任何规则,交换机向控制器发送Packet_in消息,Packet_in消息中包含失配数据包的头部;控制器监听该类型的数据包并定位到安装错误的规则,管理员通过重装该规则实现故障恢复;从而避免异常流量错误转发,完成异常流量的过滤。
2.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,步骤(1)中,分析每一跳交换机中的规则依赖关系时,通过添加额外的标签值区分有依赖关系的规则,存在依赖关系的规则,标签值均不同;所述的依赖关系定义为:同一交换机中优先级不同的两条规则,存在可以匹配的相同数据包。
3.根据权利要求2所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,步骤(1)中,所述规则依赖关系图的构建使用HSA方法,具体过程为:将交换机中规则的匹配域抽象为长度L的字符串,字符串中只包含0、1和x,其中0代表二进制0,1代表二进制1,x代表二进制0或1。
...
【专利技术属性】
技术研发人员:席少珂,卜凯,毛文森,张潇予,任奎,赵俊,单夏烨,任新新,段吉瑞,
申请(专利权)人:浙江大学,光通天下网络科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。