【技术实现步骤摘要】
一种分布式流表项有效时间动态跳变的实现方法
[0001]本专利技术涉及一种时间的动态跳变方法,具体是一种分布式流表项有效时间动态跳变的实现方法。
技术介绍
[0002]流表项是软件定义网络(Software Defined Networking,简称SDN)的转发规则,由SDN控制器创建并下发、保存在SDN交换机的流表。由于SDN交换机需要支持灵活的转发策略,SDN交换机的流表必须使用三态内容寻址存储器,耗电量大且价格昂贵,导致流表空间有限,成为网络攻击的主要目标。在SDN网络中,当SDN交换机接收到新数据分组且不能在流表中找到匹配的流表项时,会请求控制器生成并下发匹配的流表项到该流表。如果流表空间被耗尽,下发的流表项将被丢弃,对应的数据分组因缺少匹配的转发规则也将被丢弃,引发常规的转发服务被拒绝。这类攻击称为SDN流表溢出攻击。
[0003]SDN流表溢出攻击主要包含饱和攻击、低速流表溢出攻击和慢饱和攻击。饱和攻击在短时间内发送大量的数据分组,淹没目标转发设备的流表,使常规的转发服务被拒绝。饱和攻击无需嗅探网络设置,操作难度小,但包速极大,易于侦测,对网络的破坏有限。低速流表溢出攻击和慢饱和攻击需要嗅探流表设置,构造攻击分组,同步攻击分组和流表设置,使攻击分组能以较低生成率和发送率占满目标设备流表。低速流表溢出的攻击分组无需使用真实IP,攻击分组总发送率通常不变且大小通常不超过合法分组总发送率的0.2倍,以避免触发饱和攻击的侦测机制。慢饱和攻击则需构造带合法IP的攻击分组,缓慢增加攻击分组发送率,以便在饱和 ...
【技术保护点】
【技术特征摘要】
1.一种分布式流表项有效时间动态跳变的实现方法,其特征在于,包括如下步骤:1)分布式流表项有效时间动态跳变的定义:1.1)流表项有效时间的定义:流表项是软件定义网络转发设备的转发规则,由软件定义网络的控制器创建,下发到软件定义网络的交换机,存储在交换机的流表中,由于软件定义网络的转发设备需要支持灵活的转发策略,交换机的流表需要保存在三态内容寻址存储器中;因为三态内容寻址存储器耗电量大且价格昂贵,且每条软件定义网络流表项通常包含的内容多,占用的内存空间大,软件定义网络交换机的流表通常容量有限,为了有效利用交换机有限的流表资源,软件定义网络架构规定每个流表项在流表有一个有效时间,超时的流表项将被清理出流表,以便腾出空间存储新下发的流表项,该时间被称为流表项有效时间;1.2)流表项有效时间动态跳变的定义:流表项有效时间通常在控制器创建流表项时,由控制器预先设定并写入流表项相关字段,当流表项经控制器下发并存储到交换机的流表后,交换机通常不会更改流表项,也不会改变流表项有效时间,但交换机会对流表项进行管理,即定时检查流表项在流表的存活时间,并与写入流表项相关字段的、控制器设定的流表项有效时间比较,确定该流表项是否已在流表中失效,进而从流表中删除,所以写入流表项的有效时间通常是静态的,但是,控制器能通过特定的命令修改该有效时间,当控制器持续改变写入流表项的有效时间时,该有效时间成为动态跳变的有效时间,这种通过控制器实现流表项有效时间动态跳变的方法称为集中式流表项有效时间动态跳变,因为控制器在软件定义网络中是一个逻辑集中的单元,对所有转发设备进行集中和统一的控制和管理;1.3)分布式流表项有效时间动态跳变的定义:与通过控制器使流表项有效时间形成跳变的集中式方法不同,分布式流表项有效时间动态跳变是指通过转发设备使流表项有效时间实现动态跳变的方法;2)分布式流表项有效时间动态跳变的实现:2.1)将流表项的老化模型化为差分隐私中的阶梯随机响应机制,步骤如下:2.1.1)确定流表项老化动作集合A=[A1,A2,...,A
m
],A1到A
m
的取值都不相同,老化动作集合包含的老化动作总数为m=|A|,每个老化动作A
i
在老化集合中表现为一个实数,表示了老化的快慢,假设T为当前流表项在流表的存在时间,TT为老化定时器的触发周期,当A
i
=1时,表示按定时器触发周期进行正常老化,即T=T+TT;当A
i
=0时,表示流表项不老化,即T=T+0;当A
i
>1时,表示流表比正常老化速度块;当0<A
i
<1时,表示流表项在流表的存在时间变长但比正常老化速度慢;当A
i
<0时,表示流表项在流表的存在时间变短;2.1.2)确定老化动作对应的被采用的概率集合概率集合包含的概率总数为m2=|P|=m,其中,老化动作集合的第一个老化动作A1对应的概率...
【专利技术属性】
技术研发人员:廖灵霞,赵长青,马晓航,陆信任,
申请(专利权)人:桂林航天工业学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。