基于分类搜索的SDN流表无环一致性更新方案

在软件定义网络(Soft ware-Defined Networking,SDN)中,由于配置策略的改变导致控制器需要对多个交换机中的流表项进行更新时,会出现更新不一致的情况.其内在原因是控制器无法同时对所有交换机完成更新,不同的更新时延会导致网络状态在逻辑上的不一致,从而影响数据报文的正确转发.针对分类时序更新方案应用场景适用性差和更新时延长,最优化更新方案计算复杂度高等问题,本文在两者的基础上,提出基于分类搜索的无环更新一致性方案(Categorical Search based loop-free Consistent Update scheme,CSCU).方案通过设计交换机分类模型,并在分类的基础上,结合节点依赖思想设计环路搜索优化模型,实现更新时延短,更新效率高的一致性更新.仿真结果表明,本方案有更好的场景适用性和更低的节点操作复杂度,也有更少的更新轮次和更低的计算复杂度,可有效提升更新性能.     

数据流特征感知的交换机流表智能更新方法

针对软件定义网络（SDN）中交换机流表匹配率低的问题,提出了数据流特征感知的交换机流表智能更新方法。首先,论述流表项的生存超时时间timeout对数据包匹配的影响,并且分析比较基于先进先出（FIFO）、近期最少使用（LRU）等一般方法存在的不足;其次,根据流表项的生存时间和数据流的特征密切相关的思想,利用基于隐马尔可夫模型（HMM）的深度流检测（DFI）技术对数据流进行分类;最后,根据流表资源和控制器计算资源状况,实现对不同类型数据流流表项的智能更新。采用校园数据中心网络行为数据的模拟实验表明,与流表更新的一般方法相比,智能方法能使流表匹配率提高5%以上,对SDN交换机的管理有实际意义。     

基于ARMA模型预测的交换机流表更新算法

针对SDN网络中交换机在网络流量高峰期流表匹配率低以及控制器负载过重的问题,提出了一种基于自回归移动平均（ARMA）模型预测的交换机流表更新算法。算法首先收集每个取样周期内的新增流表项数量作为历史数据,然后使用ARMA模型对收集的历史数据进行分析,预测下一个周期内新增加的流表项数量,并结合当前流表空间的使用情况,清除交换机中过去一段时间内使用频率较低的流表项。采用真实数据中心网络数据的模拟实验结果表明,与流表更新的一般方法相比,该算法有效地提高了交换机流表的匹配率,并减少了交换机与控制器之间交互的次数,降低了控制器端的负载。     

软件定义网络中延迟满足的路由选择与实时调度更新

由于数据流的动态性和流量负载转移,软件定义网络（software defined networking,简称SDN）需要频繁更新数据平面以优化网络性能.大多数已有路由更新策略首先根据网络当前流量状态确定目标路由配置,然后更新数据流的路由.然而,由于交换机基于TCAM（ternary content addressable memory）进行流表更新的速度较慢,导致路由更新的延迟通常较大.当网络规模大或网络拓扑结构经常变化时,路由更新的延迟可能更大.研究发现,大多数数据流的持续时间很短且整个网络的流量强度在一段时间后会发生变化.如果路由更新延迟过长,更新后的路由配置可能不再有效.为此,研究了SDN的实时路由更新问题,提出了延迟满足的路由选择和调度更新策略（delay satisfied route selection and updating scheme,简称DSRSU）.与大多数现有研究不同,DSRSU同时从控制平面路径选择和数据平面的更新调度两方面来联合优化,降低路由更新的延迟.路径选择阶段只选择部分数据流进行路由更新;更新调度阶段通过建立更新关系图挖掘数据流的更新先后顺序,进一步加快路由更新速度.仿真分析结果表明,与现有几种路由更新策略相比,DSRSU能够在大幅度降低路由更新延迟的同时,达到与现有策略相似的网络性能.     

基于路径及反馈的软件定义网络策略更新方案*

软件定义网络(Software-Defined Networking,SDN)虽是具有逻辑集中控制特点的网络架构,但其底层的数据平面依旧是分布式的系统,由此产生的策略更新不一致问题将导致数据包的错误处理,进而引起一系列不正确的网络行为。就此问题,本文提出了基于路径及反馈的策略更新方案,通过对旧流行踪的准确定位实现新、旧流的并行传输,并基于BP神经网络建立了相应的网络性能反馈模型,根据网络状态动态调节数据包重放时机,旨在确保一致性的同时,获得更加良好的网络性能。MATLAB训练结果以及基于POX、Mininet的仿真实验表明,反馈模型的建立能够准确刻画网络性能的变化,该方案与同类研究相比具有更优良的网络性能、更新效率、通用性、隔离性以及相当低的规则空间消耗。     

TopoObfu:一种对抗网络侦察的网络拓扑混淆机制

链路洪泛等典型网络攻击需要在拓扑侦察的基础上针对网络中的关键链路开展攻击行为,具有较强的破坏性和隐蔽性.为了有效抵御这类攻击,提出了一种对抗网络侦察的拓扑混淆机制TopoObfu.TopoObfu能够根据网络拓扑混淆的需求,在真实网络中添加虚拟链路,并通过修改探测分组的转发规则使攻击者获得虚假的拓扑探测结果,隐藏网络中的关键链路.为了便于实现,TopoObfu将虚假拓扑映射为SDN交换机的分组处理流表项,并支持在仅部分节点为SDN交换机的混合网络中部署.基于几种典型真实网络拓扑的仿真分析结果表明,TopoObfu能够从链路重要性、网络结构熵、路径相似度等方面有效提升攻击者进行关键链路分析的难度,并在SDN交换机流表数量、混淆拓扑生成时间等方面具有较高的实现效率,可以减小关键链路被攻击的概率.     

一种基于预测与动态调整负载因子的SDN流表优化算法

通过对SDN流表更新的研究,发现了网络流量高峰期流表更新不及时的问题。提出了一种基于预测与动态调整负载因子的SDN流表优化算法。算法首先收集每个单位时间内的新增流条目,然后用二次移动平均算法对收集的历史数据进行分析,并估计下一个单位时间内新增的流条目,最终根据负载因子动态调整交换机流表中流条目的停滞超时时间。实验结果表明,该算法提高了流表匹配率和数据成功转发率,增加了活动流表项的数量。     

一种改进的软件定义网络低开销一致性更新算法*

针对SDN流表更新一致性、规则空间开销和更新时延问题,提出一种改进的低开销一致性算法。在确保更新过程一致性的前提下,设置基于数据包报头字段和包的位置的谓词,采用线性规划的方法对谓词进行选择排序;优化通过分析对流表项设置优先级的部分,并套用最新的两阶段更新算法进行更新。实验结果表明,与原算法对比,该算法不失其初始功能,并节约3%左右的总更新时间,该算法是一种具有可行性、较快较好的算法。     

基于Renyi熵的SDN自主防护系统

针对SDN架构下的常见网络异常行为，提出了一套基于Renyi熵的SDN自主防护系统，该系统可实现网络异常行为检测、诊断及防御。系统无须引入第三方测量设备，直接利用OpenFlow交换机流表信息。首先，通过计算和检测特征熵值，实现异常网络行为的检测。然后，进一步分析OpenFlow流表信息，实现异常行为的诊断。最后，实施防御控制措施，建立一套黑名单机制，将产生异常行为的主机加入黑名单，并阻塞相应的异常流量。为了验证系统的有效性，在Floodlight控制器上开发了原型。Mininet上的仿真实验表明，系统能够有效检测、诊断及防御网络中常见的异常行为，且具有较低的部署成本，增强了SDN的安全性。     

数据中心网络中一种半集中式SDN路由策略

在SDN体系架构中把网络控制功能从网络设备（交换机/路由器）里分离出来,集中到中心节点控制器上,交换机只负责数据平面的功能（通过流表进行数据转发）。在大规模的数据中心网络中,路由/流表的计算和分发完全由中心控制器完成,控制器成为网络的性能瓶颈和脆弱点。为了解决上述问题,本文提出半集中式SDN路由技术,其主要思想是每个交换机节点不需要控制器的参与,可以自主构建一个基础流表,基于基础流表,交换机可以完成基本的数据转发工作。而控制器负责更高级的路由选路（故障处理）工作,从而大大减轻控制器的负担。针对控制器的高级路由选路工作,本文通过对现有SDN网络中的故障恢复机制的特性以及限制的分析,在基础流表的基础上设计一套局部迂回故障检测恢复机制。基于该机制,控制器能够及时检测到网络故障,并在极短的时间内进行故障恢复,实现控制器的高级路由选路工作。     

软件定义网络中交换机处理时延的仿真

针对目前的网络仿真工具在对软件定义网络(SDN)的仿真过程中,未考虑交换机的处理时延的问题,提出一种处理时延的仿真方法,目的是为了使仿真结果更加真实和准确。该方法首先将交换机的转发处理过程分解为对流表的查询操作和执行不同的动作;然后,利用交换机的处理器频率和访存周期,将查询流表和执行动作转换为处理时间。实验中测量了真实环境中不同配置的交换机处理时延,并与利用该方法仿真出的处理时延进行对比。实验结果表明,利用该方法仿真出的处理时延和真实交换机的处理时延基本一致,该方法能够较准确地仿真交换机处理时延。     

Proactive eviction of flow entry for SDN based on hidden Markov model

With the fast development of software defined network (SDN), numerous researches have been conducted for maximizing the performance of SDN. Currently, flow tables are utilized in OpenFlows witch for routing. Due to the space limitation of flow table and switch capacity, variousissues exist in dealing with the flows.The existing schemes typically employ reactive approach such that the selection of evicted entries occurs when timeout or table miss occurs. In this paper a proactive approach is proposed based on the prediction of the probability of matching of the entries. Here eviction occurs proactively when the utilization of flow table exceeds a threshold, and the flow entry of the lowestmatching probability is evicted. The matching probability is estimated using hiddenMarkov model (HMM).Computersimulation reveals that it significantly enhances the prediction accuracy and decreases the number of table misses compared to the standard Hard timeout scheme and Flow master scheme.     

软件定义网络中控制数据平面一致性的验证

针对软件定义网络(SDN)中控制层网络策略与数据层流规则不一致的问题，提出了验证控制与数据平面的一致性(VeriC)检测模型。首先，通过交换机上的VeriC管道实现数据包处理子系统的功能：对数据包进行采样，采样数据包经过交换机时，对其中的标签字段进行更新；然后，更新完成后将标签值发送到服务器并保存在实际标签值组；最后，将实际标签值组与已保存的正确标签值组一起发送到验证子系统，进行一致性验证，若不通过，则进一步将两组标签值发送到定位子系统，找出流表项发生错误的交换机。通过ns-3模拟器生成一个含有4 Pod的胖树拓扑，在其中VeriC的一致性检测和故障交换机定位的准确度高于VeriDP，并且VeriC的总体性能高于2MVeri模型。理论分析和仿真结果表明，VeriC检测模型不仅能够进行一致性检测，对错误交换机进行精确定位，而且定位故障交换机所用的时间少于对比检测模型。     

PopFlow: a novel flow management scheme for SDN switch of multiple flow tables based on flow popularity

Pipeline processing is applied to multiple flow tables (MFT) in the switch of software-defined network (SDN) to increase the throughput of the flows. However, the processing time of each flow increases as the size or number of flow tables gets larger. In this paper we propose a novel approach called PopFlow where a table keeping popular flow entries is located up front in the pipeline, and an express path is provided for the flow matching the table. A Markov model is employed for the selection of popular entries considering the match latency and match frequency, and Queuing theory is used to model the flow processing time of the existing MFTbased schemes and the proposed scheme. Computer simulation reveals that the proposed scheme substantially reduces the flow processing time compared to the existing schemes, and the difference gets more significant as the flow arrival rate increases.     

基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。