[发明专利]一种自动化预防和编排处理策略冲突的系统和方法

说明书

本发明公开了一种自动化预防和编排处理策略冲突的系统和方法，通过以下步骤解决策略冲突：1）当一个新的业务流的首包被发送到控制器后，控制器上的安全授权模块对数据包进行安全规则匹配，然后在网络入口交换机上允许或拒绝所述新的业务流；2）采集网络流量信息建立流路径；3）检测策略冲突，并根据不同的策略冲突采用不同的处理方法。本发明的系统和方法，能够准确地探测到由网络状态和流变化引起的安全策略或应用策略冲突。同时，该系统能够根据冲突的具体状态，例如部分规则冲突，或者全冲突进行有效且及时的冲突解决。通过本发明的系统和方法，能够主动检测和解决策略冲突，实现网络安全高效运行。

技术领域

本发明属于网络策略冲突解决技术领域，具体是一种云主机网络接口的动态管理方法。

背景技术

软件定义网络SDN（Software Defined Networking）是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构，其核心理念是数据转发和控制层面的分离。OpenFlow是一种软件定义网络SDN的解决方案，它使得网络的灵活性大大增加。

一个基本的OpenFlow技术组网结构如图1所示，它包括OpenFlow交换机和控制器。当第一个数据包到达OpenFlow交换机后，由交换机使用OpenFlow协议通过安全通道将它转发至控制器，控制器上的软件进行转发决策，将策略下发到交换机的流表中，后续数据包按流表规则转发。由于SDN技术的开放可编程性，攻击者可以利用流表项的Set-Field操作构造一些恶意流绕过SDN控制器的安全策略。

并且，网络中存在着许多网络策略，比如ACL（Access Control List）和SFC（Service Function Chain）。同时，网络中的策略往往是由不同人群制定的，他们可能是网络的管理员或用户，也可能是虚拟租户网的租户。不同网络使用者的决策是相互独立的，也是动态的，所以很多时候不同的策略之间会产生策略冲突。

如图2所示，网络拓扑有4台主机、2台OpenFlow交换机和一台控制器。控制器上的安全应用定义了一条安全规则，阻止主机A和主机D进行通信。现在，另外的网络应用可以通过以下2个交换机的流表项，将A上的信息发送到D。具体实现过程如下：第一台交换机的流表项，把源地址为A且目的地址为C的数据包的源地址改为B，第二台交换机的流表项，把源地址为B，目的地址为C的数据包的目的地址改为D。这样，数据包就从主机A发送到D上。攻击者可以利用流表项的Set-Field操作构造一些恶意流绕过SDN控制器的安全策略。还有一种是应用程序之间的规则冲突，应用程序1，下发流表11至交换机1，把源地址为A的IPv4的数据包发送给端口1，应用程序2，也下发流表21至交换机1，把源地址为A的TCP的数据包发送给端口2，若两者优先级不同，则遵循优先级高的规则，若两者优先级相同，则会导致冲突，这是流规则依赖导致的问题。

目前的策略冲突解决方案仅仅实现了运行态的冲突检测，即只有当策略被部署之后，网络在运行时发生故障，性能出现恶化时，安全漏洞等问题才暴露出来。而且这只是一种冲突检测，其无法实现策略冲突的预防，更不能实现策略的编排，解决策略冲突。

发明内容

本发明要解决的问题是提供一种自动化预防和编排处理策略冲突的系统和方法，该系统和方法能够自动检测感知策略规则冲突，并进行相关对比分析，主动解决该策略冲突，实现网络的安全有效运行。

为实现上述发明目的，本发明的一种自动化预防和编排处理策略冲突的系统，包括：

流量跟踪模块、冲突检测模块和冲突决议模块；

所述流量跟踪模块用于采集网络流量信息并建立流路径；

所述冲突检测模块用于分析冲突产生的原因；

所述冲突决议模块用于解决被识别的冲突。

一种自动化预防和编排处理策略冲突的方法，包括以下步骤：