[发明专利]一种基于别名集规则缩减的流表规则冲突优化方法

说明书

本发明提供了一种基于别名集规则缩减的流表规则冲突优化方法，其特征在于，将控制器分为冲突检测模块和冲突解决模块，包括冲突检测方法和冲突解决方法：所述的冲突检测模块内部分成了三个模块，包括路径计算模块、防火墙计算模块和冲突分析模块；不仅避免了冲突误报的现象，而且在检测和解决冲突的效率上同样是符合要求的。

技术领域

本发明涉及规则冲突检测技术领域，尤其涉及一种基于别名集规则缩减的流表规则冲突优化方法。

背景技术

随着新型网络架构软件定义网络的盛行，其相关的设备产品已逐渐趋于实用化、市场化，并得到了诸多研究人员的认可。但是，软件定义网络仍是处于发展阶段的新兴技术，当用户通过北向接口向控制器下发应用策略时，由于内部可能会同时运行多个应用策略，其中包括防火墙等安全应用。由于这些应用执行不同的功能，难免会产生配置规则之间冲突的现象，其中包括非安全应用间的冲突以及非安全应用与安全应用间的冲突。相对于前者的冲突类型，后者的冲突危害性更大。攻击者可以不断地下发与安全应用间形成冲突的应用策略，以达到攻击网络的目的，从而造成网络混乱，降低网络安全防御能力。鉴于以上问题，如何快速地检测出应用策略之间的冲突并采取行之有效的方法去解决已受变得尤为重要。

为了检测流表项规则和防火墙规则之间是否存在冲突，别名集规则缩减算法是把配置规则（包括防火墙规则）转换为集合化的形式，将源地址构成一个集合称之为源规则集，目的地址构成一个集合称之为目的规则集。分别对流表项和防火墙的源规则集和目的规则集进行集合匹配并分析是否存在冲突。虽然，该算法可以通过集合化的形式检测流表项规则和防火墙规则之间的冲突，但是其同样存在着冲突检测误报以及冲突解决方式单一的不足之处。

发明内容

本发明的目的在于一种基于别名集规则缩减的流表规则冲突优化算法，目的是消除原始算法冲突检测误报的现象，并根据不同类型的配置规则提出不同的冲突解决方法以准确、有效地解决冲突。

为解决上述技术问题，本发明提供了一种基于别名集规则缩减的流表规则冲突优化方法，将控制器分为冲突检测模块和冲突解决模块，包括冲突检测方法和冲突解决方法：

所述的冲突检测模块内部又分成了三个模块，包括路径计算模块、防火墙计算模块和冲突分析模块；

所述的冲突检测方法包括：

S1、路径计算模块是基于头部空间解析模型（HSA）获取网络中的可达路径，通过该路径即可获得源地址和目的地址进行接下来的规则匹配，冲突检测方式同样采用原始算法集合化的形式，有所不同的是优化算法分别将交换机流表项规则和防火墙规则的源地址和目的地址提取出来形成一个二元组集合，形如（源地址，目的地址），然后提交给冲突分析模块进行后续的冲突检测；

S2、防火墙计算模块主要的作用是维护防火墙drop规则的二元组集合，形式如同流表项规则集合。对更新的防火墙规则及时做集合化处理，并提交给冲突分析模块进行后续的冲突检测；

S3、冲突分析模块主要对路经计算模块和防火墙计算模块分别形成的二元组集合做匹配分析，集合匹配成功说明存在冲突，否则不存在冲突；

冲突解决方法包括：冲突解决模块分为5种冲突解决的方法，包括新流拒绝、更新接受、更新拒绝、规则移除和数据包阻塞；该模块会根据配置规则下发的不同方式采用不同的冲突解决方法，以应对复杂多变的网络场景。

本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

该算法在控制器中设计冲突检测模块和冲突解决模块，针对应用层下发不同类型的配置规则进行实时的冲突检测，判断更新发生时是否产生冲突，同时提供5种不同的冲突解决方式来解决冲突。通过原始算法和优化算法的对比实验，充分论证了优化算法不仅避免了冲突误报的现象，而且在检测和解决冲突的效率上同样是符合要求的。

附图说明