基于P4的SDN控制—数据平面流规则一致性校验

针对SDN数据平面的软/硬件故障、错误配置等导致的控制平面和数据平面流规则不一致的问题,提出了基于P4的控制—数据平面流规则一致性校验机制（P4-based consistency verification mechanism for SDN control-data plane,P4CV）。P4CV首先向数据平面发送特定结构的探针,然后各P4交换机将数据平面实际流规则执行信息嵌入到探针,最后P4CV采用基于符号执行的一致性校验算法,完成对控制平面流规则配置和数据平面遥测信息的一致性校验。仿真结果表明,P4CV的单路径校验时长不受网络拓扑结构影响,仅与路径上交换节点数量线性相关。在同等网络规模和流规则配置的多路径转发场景中,P4CV在仅产生约0.06‰带宽开销的同时,比现有方案平均减少了约42%的校验时长。     

软件定义网络流的安全要素知识图谱研究

流表是软件定义网络控制平面与数据平面交互的核心组件,也是实现安全策略全局协同及动态映射的关键。然而,构建具备相关安全策略的流表却需应对流知识要素过于分散、不断扩充、难以通过独立应用或预设规则满足等诸多难点。针对这一现状问题,本文通过采取在软件定义网络控制、数据和应用等三大平面之外新建知识平面的方式,构建流表及其相关安全知识要素聚集的流知识图谱,并基于此选择或生成流表规则。在流规则选择方面,构建同源-目的地址单条/合成流规则合并的流规则搜索树并关联流知识图谱,达到对已有流规则快速选择并决策的目的;在流规则学习生成方面,以流规则搜索树图融合的方式分裂生成流规则安全决策图,以此根据流标记生成或选择流规则。在评估部分,本文通过与应用平面交互、流规则选择、流规则学习等三个角度观察流知识图谱的实际应用方向及可能性,并通过实验衡量了基于流知识图谱的关键算法性能。以流知识平面的图谱等为基础设施,可近一步深入具体场景,通过流安全标记与应用相结合的方式,促进流规则演进等实践开展。     

SDN交换机转发规则TCAM存储优化综述

软件定义网络(SDN)将传统网络的控制平面和数据平面解耦,通过控制平面的控制器灵活地对网络进行管理,目前应用最广泛的控制协议是OpenFlow.三态内容寻址存储器(TCAM)查找速度快、支持三态掩码存储,在SDN网络中应用广泛.但TCAM成本高、功耗大,并且在存储含有范围字段匹配域的规则时候存在范围膨胀问题,因此交换机中可存储的转发规则数量,尤其是匹配域的数量和类型都比较多的OpenFlow规则数目非常有限,这成为约束SDN网络大规模扩展和应用的瓶颈.研究机构从不同角度提出了针对SDN中交换机转发规则的TCAM存储优化方案.本文从转发规则存储架构优化、本地交换机转发规则压缩、全局转发规则动态优化以及控制器参与的网络转发规则管理四个角度总结了相关研究工作,并提出了适合未来SDN网络的转发规则存储的综合优化方案.     

高速路由交换技术的研究及其展望

文章分别从数据转发平面和控制平面讨论了高速路由交换技术的发展。首先对当前流行的体系结构进行分析,指出当前数据转发引擎存在的问题以及研究的热点和方向,然后通过与传统IP路由对比,讨论了多协议标签交换(MPLS)技术作为控制平面在QoS、流量工程以及VPN等方面的优越性。     

基于布尔函数的网络可达性验证方法

针对SDN中由于不同应用的转发路径交叠等导致的数据平面配置问题,提出一种基于布尔函数的网络可达性验证方法。首先,将网络拓扑抽象为端口拓扑并计算端口邻接矩阵;之后,生成网络的路径空间和各端口的转发函数并计算每条路径的路径函数;最后通过判断路径函数的可满足性来确定路径的可达性。通过仿真实验,对网络拓扑和流规则规模等因素对算法验证效率的影响进行研究,并将所提方法与APV和DASDA进行性能比较。实验结果表明,所提方法能够有效检测SDN中的流规则配置问题。随着网络中环路的增加和流规则规模的增长,验证网络所需的时间开销逐渐增加。其中,网络拓扑对路径生成时间影响较大,而转发函数的生成时间则主要受流规则规模的影响。方法的验证时间相较于APV和DASDA分别平均缩短约53.76%和27.74%。     

LabelCast:一种普适的SDN转发平面抽象

在互联网体系结构演进过程中试验和部署新型网络协议比较困难,基于Openflow的软件定义网络SDN提供了一种简单易行的方法.OpenFlow基于流表实现了多级流水转发处理,然而Openflow不支持对网络中计算和存储等资源的描述,因此很难支持以内容为中心的新型网络.为扩展SDN能力,提出了一种普适的转发平面抽象LabelCast,以将多态网络地址映射到定长标签.转发平面基于Label表来查找和调度弱语义的转发操作相关的指令,Cast表对网络协议语义或状态相关的服务进行组织,支持动态扩展新型服务以满足新型网络体系结构复杂的处理功能.LabelCast能够支持基于流的端到端的交换和以数据或服务为中心的非端到端的新型网络体系结构,为SDN提供了一种普适的转发平面抽象.     

基于混合软件定义网络的单节点故障保护方法

软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学Clean Slate课题组提出的一种新型网络体系架构,该架构通过解耦控制平面和转发平面的功能来实现网络流量的灵活转发.但是,由于经济开销和技术条件的限制,互联网服务提供商的骨干网必定长期处于传统设备和SDN设备共存的混合SDN状...     

SDN环境下基于改进D-S理论的DDoS攻击检测

软件定义网络(software-defined networking, SDN)实现了控制层和转发层设备的分离, 但控制转发的解耦使得SDN网络中不同层次设备面临新型的DDoS攻击风险. 为了解决上述问题, 本文提出了一种SDN环境下基于改进D-S理论的DDoS攻击检测方法, 用于检测以SDN控制器和交换机为目标的DDoS攻击. 在改进的算法中, 本文使用离散因子和纯度因子衡量D-S证据源之间的冲突. 同时, 结合纯度因子和离散因子调整D-S证据理论的证据源, 调整后的证据源将通过Dempster规则融合得到DDoS攻击检测结果. 实验结果表明本文提出的方法具有较高的精度.     

网络处理器路由表同步机制的研究与实现

由于网络处理器将控制平面与转发平面分开运作,为保持两端平面上路由信息的一致性从而提高网络设备的可靠性,以Intel公司生产的IXP2400网络处理器为研究对象,使用IXA SDK开发工具中的CP-PDK模块,设计并实现一种路由表同步更新机制,达到控制平面与转发平面顺利沟通的目的,并使控制平面与转发平面上的路由表能够及时得到同步。     

“一网双平面”—一种新的广域骨干网络架构

“一网双平面”架构是广域骨干承载平台架构的一种。通过将广域骨干承载平台的骨干网络划分为两个逻辑独立的环网,形成“一个骨干网络、两个平面(转发平面和控制平面)”的一种新的网络架构。     

面向OpenFlow网络的访问控制规则自动实施方案

针对OpenFlow网络数据平面频繁改变导致网络难以实时满足访问控制策略要求的问题,提出了面向OpenFlow网络的访问控制规则自动实施方案.首先,由实时构建的转发路径获得可达空间,并通过规则集动态合成算法消除访问控制规则间的冲突;之后,采用规则空间分割算法将合成后访问控制规则的拒绝空间与可达空间比较,以检测直接和间接违反访问控制规则的非法转发路径;在此基础上,结合网络更新事件与违反检测结果灵活采取自动的违反解决方法,包括规则更新拒绝、规则序列移除、基于线性规划(LP)的近源端规则部署和末端规则部署4种;最后转换访问控制规则形式.理论分析和仿真结果表明,方案可用于控制器上运行多个安全应用程序和交换机内存受限的情况,并且基于LP的近源端规则部署方法可以降低网络中的不期望流量.     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等应用中,规则冲突检测及冲突解析算法是影响安全性及服务质量的关键。首先对防火墙过滤规则之间的关系进行了建模和分类。然后在过滤规则关系分类的基础上提出了一种冲突检测算法。该算法能够自动检测、发现规则冲突和潜在的问题,并且能够对防火墙过滤规则进行无冲突的插入、删除和修改。实现该算法的工具软件能够显著简化防火墙策略的管理和消除防火墙的规则冲突。     

工作流合并规则中的冲突检测方法

在关系型规则和活动型规则形式描述工作流合并需求的基础上,提出一种基于可达关系的合并规则冲突检测算法。通过记录每条规则应用后的可达关系矩阵,以及新增可达关系对应的规则集方式,为合并规则集中存在冲突的若干规则组合进行较为准确的定位。实例分析表明,该算法为规则集的合理调整提供直接依据,可有效实施工作流的合并。     

基于Snort规则库的冲突检测

为了解决Snort入侵检测系统中由于规则库存在冲突而可能导致的漏报和误报问题,提出了检测规则冲突的方法.定义了规则之间的关系;通过单根结构的策略树简单有效的表示规则,并揭示规则之间的关系;由规则之间的关系和相对顺序定义了冲突的类型,并通过冲突状态转换图反映冲突发现的过程,在此基础上进一步提出冲突检测算法;最后对Snort规则库的一部分进行检测,结果表明这种方法可以有效发现冲突.     

基于条件冲突分析的主动规则集汇流性判定方法

主动规则使数据库具备自反应能力,在数据库、知识库和无线传感器网络等领域得到了广泛应用。汇流性分析是保持数据一致性的重要手段,但有效判定汇流性仍是一个难题。现有的方法基于规则可交换性进行判定,没有考虑规则之间是否存在条件冲突而导致它们不可能同时出现在同一个执行序列中;同时基于触发关系的集合分析没有考虑在规则触发序列中的先后时序性。为此,提出了规则的触发序列概念,分析了单个触发序列上的条件冲突和一对无序规则所在的两条触发序列之间的条件冲突,从而提出了更有效的汇流性先决条件及其判定定理,同时给出了新的判定算法的完整描述及其可终止性、正确性证明和复杂度分析。     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等系统的应用中,规则冲突检测及冲突检测算法在计算机网络安全及服务质量方面起着至关重要的作用。文章首先对防火墙过滤规则进行了描述,然后对规则冲突进行了分类,在此基础上提出了一种规则冲突检测算法。     

基于计数布隆过滤器的负载均衡算法

由于哈希冲突的存在,基于哈希表的网络流负载均衡算法无法约束最坏情况下算法的性能。针对该问题,设计一种多哈希算法,将需要调整的流保存在精确流匹配布隆过滤器结构中。与基本哈希表相比,该算法保持了会话的完整性以及更低的冲突概率,提高了查询性能。     

基于改进关联分类的两次学习方法

关联分类通常产生大量的分类规则,导致在分类新实例时经常产生规则冲突问题。针对这种规则冲突问题,提出了一种基于改进关联分类的两次学习框架。利用频繁且互关联的项集产生分类规则改进关联分类算法,有效减少了规则数。应用改进的关联分类算法产生的一级规则一次性分离出训练集中规则冲突的所有实例。然后,在冲突实例上应用改进的关联分类算法进行第二次学习得到二级规则。分类新实例时,首先利用第一级规则进行分类。如果出现规则冲突,则利用第二级规则分类该实例。实验结果表明,基于改进关联分类的两次学习方法降低了规则冲突比率,并且显著提高了分类准确率。     

一种模型重构冲突消解算法

冲突是研究模型重构中的一个重要问题,多数研究将该问题的重点放在冲突检测上,通过对已知冲突的分析,找出冲突消解的手工实现方式.为实现模型重构的自动过程而寻找自动消解冲突的方法是主要研究内容.根据冲突发生的条件将冲突分为3种类型:同一规则的并行使用产生的冲突、对称冲突、非对称冲突.该方法建立在手工分析这3类重构冲突消解的基础上,将重构规则预设为一个规则矩阵,对图转换系统中出现的重构规则进行扫描.扫描结果对照规则矩阵,判断冲突是同一规则还是不同规则的并行使用所产生;分别对这两种情况下的冲突所操作的对象进行分析,根据已有手工消解方法有针对性地进行消解操作.这一算法可以初步实现并行执行的3类冲突的自动消解.