[发明专利]一种基于别名规约树的流规则冲突检测方法及系统

说明书

一种基于别名规约树的流规则冲突检测方法及系统，包括：检查插入流表项，流表项对应数据包发送的数据流；构造别名规约树，根据别名规约树识别插入流表项引发的冲突；根据别名规约树，以预设逻辑匹配流表项中的数据流匹配信息；分析流表项的流规则，判断流规则是否适于组合；若是，则解析组合的冲突并完成流规则的组合；若否，则更新应用程序所读取的网络状态。

技术领域

本发明涉及一种流规则冲突检测方法，特别是涉及一种基于别名规约树的流规则冲突检测方法及系统。

背景技术

随着互联网规模与流量的爆发式增长，以IP为核心的传统网络体系架构在网络新协议的创新发展及网络技术的演进出现了瓶颈。软件定义网络(software definednetworking，简称SDN)，将传统封闭的网络体系解耦为数据平面、控制平面和应用平面，实现了网络的在逻辑上集中控制与管理。SDN的突出特点是开放性和可编程性，可加快网络创新协议的部署和实施，目前已在网络虚拟化、数据中心网络、无线局域网和云计算等领域得到应用。

控制程序指定的流规则被安装的OpenFlow交换机流表中，流规则包括用于匹配数据分组的匹配域和和对应的动作集合。但是，一个数据包可能会被多个流表项匹配，因为流表项的匹配域可能是通配符(匹配任意值)或者是位掩码。Natarajan等人提出了两种冲突检测的方法，即使用混合哈希树结构来代表流表并采用分治策略确定冲突流，以及使用基于本体的逻辑推理系统来表示并推断冲突的流表项。不同于这两种冲突检测方法，Bruno等人提出使用一阶逻辑来表示流冲突规则，并将这些规则放到运行Prolog引擎的逻辑代理中。这种方式可以在控制器中实时的进行流规则冲突检测，节省交换机的资源以及减少OpenFlow网络中的配置错误。Son等人提出了一种控制器扩展软件FortNox，能够监测并协调潜在的流规则冲突，提供基于角色认证和安全约束执行策略，允许Nox控制器采取一种稳定的冲突分析策略实时监测流规则冲突，杜绝有恶意应用、想要插入恶意流规则“陷害”正常应用的安全流规则等类现象。现有技术中的冲突检测的方法使用混合哈希树结构来代表流表并采用分治策略确定冲突流，以及使用基于本体的逻辑推理系统来表示并推断冲突的流表项，以及使用一阶逻辑来表示流冲突规则。传统方法中一个数据包可能会被多个流表项匹配，可能误报没有发生冲突的规则。

现有技术中的冲突检测的方法使用混合哈希树结构来代表流表并采用分治策略确定冲突流，以及使用基于本体的逻辑推理系统来表示并推断冲突的流表项，或使用一阶逻辑来表示流冲突规则。传统方法中匹配过程里，一个数据包可能会被多个流表项匹配，并且可能误报没有发生冲突的规则，存在匹配错误及误报流规则动作冲突的技术问题。

发明内容

鉴于以上现有技术存在匹配错误及误报流规则动作冲突的技术问题，本发明的目的在于提供一种基于别名规约树的流规则冲突检测方法，包括：

检查插入流表项，流表项对应数据包发送的数据流；

构造别名规约树，根据别名规约树识别插入流表项引发的冲突；

根据别名规约树，以预设逻辑匹配流表项中的数据流匹配信息；

分析流表项的流规则，判断流规则是否适于组合；

若是，则解析组合的冲突并完成流规则的组合；

若否，则更新应用程序所读取的网络状态。

于本发明的一实施方式中，检查插入流表项，流表项对应数据包发送的数据流，包括：过滤无效流表项；预设在交换机端口的流规则的安装权限。

于本发明的一实施方式中，构造别名规约树，根据别名规约树识别插入流表项的流规则是否存在冲突，包括：

将原始流规则的数据流匹配信息中的源IP地址作为别名规约树的根节点；

按照构造规约树的预设逻辑构造别名规约树；