一种基于MapReduce的OpenFlow网络属性并行验证算法

针对OpenFlow网络中流表配置错误引起转发回路、路由黑洞和访问控制规则失效等问题,提出一种并行的基于MapReduce的OpenFlow网络属性验证算法。通过在Map阶段划分规则等价类,在Reduce阶段为规则等价类构建基于交换机端口谓词的网络转发图并分析可达性,实现对网络属性的并行验证。同时,通过采用原子谓词将传统可达性分析中的规则匹配域多维集合运算转换为整数集合运算,以进一步提高可达性分析效率。此外,基于原子谓词的谓词表达方式可消除交换机端口谓词集合中的冗余项,降低存储开销。最后,通过理论分析和仿真实验验证了算法的正确性及在时间和存储开销方面的优越性。     

FDSR:一种面向SD-MANET的快速转发规则下发方法

针对软件定义网络在移动自组织网络里部署传输路径时,需要控制器为路径上所有的节点下发相关流表项,从而造成传输开始需等待较长时间的问题,文中基于分段路由提出了一种快速下发数据转发规则的方法FDSR。控制器会以分段路由的方式,通过在数据包上添加转发路径对应标签的方式下发数据转发规则,并在处理最大堆栈深度问题时,利用标签粘连技术,将整条路径分为多个标签栈,通过算法选择后分别下发给能与控制器节点快速交互的转发节点,以减少路径配置时间。实验结果表明,相较于OpenFlow流表下发方式,FDSR在SD-MANET中能减少路径部署时长以及流表开销,并能有效应对SR的MSD问题,提升控制器部署长路径的速度。     

一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法

软件定义网络SDN(Software-Defined Networking)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,可通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,也极大地推动了下一代互联网的发展.OpenFlow是SDN的主要协议,定义了SDN控制器与交换机之间的通信标准.目前,很多基于OpenFlow的SDN设备已经在实际中得到了部署.但是,基于OpenFlow的SDN却面临很多安全挑战.其中一个重要的挑战是如何建立一个安全可靠的SDN防火墙应用.由于OpenFlow协议的无状态性,现有的SDN防火墙可以被通过改写交换机中的流表项轻松绕过.针对这一安全威胁,作者提出了基于Flowpath的实时动态策略冲突检测与解决方法.通过获取实时的SDN网络状态,能够准确地检测防火墙策略的直接和间接违反,并且一旦发现冲突,可以基于Flowpath进行自动化和细粒度的冲突解决.最后,作者在开源控制器Floodlight上实现了一个安全增强的防火墙应用FlowVerifier,并基于Mininet对FlowVerifier的性能进行了评估.结果表明FlowVerifier能够检测和自动化地解决SDN网络中由于流表改写而引入的策略冲突及其带来的安全威胁.     

基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

面向SD-DCN的OpenFlow分组转发能效联合优化模型

在软件定义网络(software-defined networking, SDN)中,OpenFlow交换机通常采用三态内容可寻址存储器(ternary content addressable memory, TCAM)存储流表,以支持快速通配查找.然而,TCAM采用并行查找方式,查找能耗高,因此有必要为OpenFlow交换机选择合适的TCAM容量,以平衡分组转发时延和能耗.针对软件定义数据中心网络(software-defined data center network, SD-DCN)这一典型应用场景,利用多优先级M/G/1排队模型刻画OpenFlow交换机的分组处理过程,进而建立OpenFlow分组转发时延模型.同时,基于网络流分布特性,建立TCAM流表命中率模型,以求解OpenFlow分组转发时延与TCAM容量的关系式.在此基础上,结合TCAM查找能耗,建立OpenFlow分组转发能效联合优化模型,并设计优化算法求解TCAM最优容量.实验结果表明：所提时延模型比现有模型更能准确刻画OpenFlow分组转发时延.同时,利用优化算法求解不同参数配置下的TCAM最优容量,为SD-DC...     

一种空间延迟容忍网络中的周期性链路数据转发算法

空间延迟容忍网络的链路具有间歇连通的特点,难以形成一条端到端的路径,使得基于TCP/IP的端端数据传输机制无法适应空间延迟容忍网络.空间延迟网络中存在着大量连通时间短暂、具有周期性连通规律的卫星节点,它们处于高速周期性运动中,在空对地、空空之间构建了空间网络的核心链路.针对空间延迟容忍网络中的周期性连通链路,通过对卫星运行规律的分析,计算单颗卫星对地周期性连通时间和星间链路的连通时间,定义空间链路的连通矢量,设计基于节点间连通矢量的数据转发算法,有效解决了空间网络周期性链路的数据有效转发问题,为空间网络面向延迟容忍的数据转发提供支持.仿真结果表明,该算法在周期性链路的情况下具有较好的传递成功率和传输延迟性能,更适合于具有周期性链路的空间延迟容忍网络环境.     

LabelCast:一种普适的SDN转发平面抽象

在互联网体系结构演进过程中试验和部署新型网络协议比较困难,基于Openflow的软件定义网络SDN提供了一种简单易行的方法.OpenFlow基于流表实现了多级流水转发处理,然而Openflow不支持对网络中计算和存储等资源的描述,因此很难支持以内容为中心的新型网络.为扩展SDN能力,提出了一种普适的转发平面抽象LabelCast,以将多态网络地址映射到定长标签.转发平面基于Label表来查找和调度弱语义的转发操作相关的指令,Cast表对网络协议语义或状态相关的服务进行组织,支持动态扩展新型服务以满足新型网络体系结构复杂的处理功能.LabelCast能够支持基于流的端到端的交换和以数据或服务为中心的非端到端的新型网络体系结构,为SDN提供了一种普适的转发平面抽象.     

SDN交换机转发规则TCAM存储优化综述

软件定义网络(SDN)将传统网络的控制平面和数据平面解耦,通过控制平面的控制器灵活地对网络进行管理,目前应用最广泛的控制协议是OpenFlow.三态内容寻址存储器(TCAM)查找速度快、支持三态掩码存储,在SDN网络中应用广泛.但TCAM成本高、功耗大,并且在存储含有范围字段匹配域的规则时候存在范围膨胀问题,因此交换机中可存储的转发规则数量,尤其是匹配域的数量和类型都比较多的OpenFlow规则数目非常有限,这成为约束SDN网络大规模扩展和应用的瓶颈.研究机构从不同角度提出了针对SDN中交换机转发规则的TCAM存储优化方案.本文从转发规则存储架构优化、本地交换机转发规则压缩、全局转发规则动态优化以及控制器参与的网络转发规则管理四个角度总结了相关研究工作,并提出了适合未来SDN网络的转发规则存储的综合优化方案.     

SDN网络的路径规划监视机制

为了能够实现基于用户需求的路径规划,并实时对网络路径流量进行监控,向网络管理员提供路径调整依据,文章利用软件定义网络(Software-Defined Networking,SDN)控制与转发分离的特性,设计SDN网络下的路径规划监视机制。通过基于预设路径来生成和下发流表项,实现对网络路径的规划;并依据OpenFlow交换机流表项的匹配次数,动态衡量网络路径流量,实现对路径流量进行实时监控。在基于Mininet与OpenDayLight的实验平台上验证了路径规划的正确性以及路径流量监控的有效性。     

基于ODMRP的分布式核心稳定路由算法

在无人机网络中,由于节点具有较强的移动性,对于组播路由的建立以及组播组的划分提出更高要求,一般的组播路由协议往往无法满足网络需求.为此,提出了一种基于ODMRP的分布式核心稳定路由算法.该算法结合了改进贪婪机制,根据路由状况对路径进行优化,为了降低源节点的数据处理负担,提出了分布式核心节点选择机制,将组播组的信息储存在多个核心节点中,同时释放了转发节点的储存空间.文章通过路由抢修机制,监控路由状态变化,对即将断裂的路由提前修复,保证了路径的有效性.仿真表明,该算法与标准的ODMRP算法及改进算法VCMP算法相比,能够优化传输路径,降低端到端时延,提高分组交付率,提升网络性能.     

基于信任域的环形网络介质访问时延控制仿真

针对当前网络时延控制相关方法存在控制效果不理想、网络负载均衡性能较差的问题,提出基于信任域的环形网络介质访问时延控制方法。基于OpenFlow引入时间戳对网络介质访问时延进行测量,将获取时间戳由控制器转换至OpenFlow交换机,通过控制器动态获取随机两个交换机间存在的多条路径,仅需传输一个探测分组即可得到多条路径中的时延。依据时延测量结果,以信任域为根本,将传染病目标函数和反馈路径法融合,利用在同一个信任域组范围判断数据调度的目标构建数据共享组,即数据调度方案。控制在传染病目标函数中任意选取的目标节点数目,以降低数据冗余率与信道占用率,从而降低访问时延。仿真结果显示,与传统方法相比,所提方法时延更低,且网络负载均衡度更高。     

基于GNN双源学习的访问控制关系预测方法

With the rapid development and wide application of big data technology, users’ unauthorized access to resources becomes one of the main problems that restrict the secure sharing and controlled access to big data resources. The ReBAC (Relationship-Based Access Control) model uses the relationship between entities to formulate access control rules, which enhances the logical expression of policies and realizes dynamic access control. However, It still faces the problems of missing entity relationship data and complex relationship paths of rules. To overcome these problems, a link prediction model LPMDLG based on GNN dual-source learning was proposed to transform the big data entity-relationship prediction problem into a link prediction problem with directed multiple graphs. A topology learning method based on directed enclosing subgraphs was designed in this modeled. And a directed dual-radius node labeling algorithm was proposed to learn the topological structure features of nodes and subgraphs from entity relationship graphs through three segments, including directed enclosing subgraph extraction, subgraph node labeling calculation and topological structure feature learning. A node embedding feature learning method based on directed neighbor subgraph was proposed, which incorporated elements such as attention coefficients and relationship types, and learned its node embedding features through the sessions of directed neighbor subgraph extraction and node embedding feature learning. A two-source fusion scoring network was designed to jointly calculate the edge scores by topology and node embedding to obtain the link prediction results of entity-relationship graphs. The experiment results of link prediction show that the proposed model obtains better prediction results under the evaluation metrics of AUC-PR, MRR and Hits@N compared with the baseline models such as R-GCN, SEAL, GraIL and TACT. The ablation experiment results illustrate that the model’s dual-source learning scheme outperforms the link prediction effect of a single scheme. The rule matching experiment results verify that the model achieves automatic authorization of some entities and compression of the relational path of rules. The model effectively improves the effect of link prediction and it can meet the demand of big data access control relationship prediction. © 2022, Beijing Xintong Media Co., Ltd.. All rights reserved.     

基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。     

过量规则下网络访问控制方法

分析过量规则对网络访问控制设备性能的影响,讨论针对这一问题的解决方法。基于优化规则、多设备分担负载的思想,提出IP编组与访问控制分离、管理与优化分离的串接-两分离访问控制法,设计了相应的双防火墙串接设备部署方案和超越应用的规则编组优化方案。物理仿真实验验证了串接-两分离访问控制法的可行性与优越性。     

基于机器学习的配电网监控信息智能分析规则库构建方法

为构建一种具有实时性的配电网监控信息智能分析规则库,提出了基于机器学习的配电网监控信息智能分析规则库构建方法。将规则库中全部配电网监控规则头排序并设成主链,将规则导进链表里生成规则集,保证各个监控信息数据包都存在一个分析规则。使用基于机器学习的配电网故障数据分类方法,识别配电网监控信息中的故障数据,并提取故障数据频繁项...     

网络准入控制中的策略自动部署系统设计

为应对身份认证及权限控制等安全问题,构建可信的网络环境,完备、高性能的网络准入控制系统,通过分析准入控制系统的研究现状,结合实际工作中对于网络资源的优化分配、网络行为的全局控制以及网络的自动配置等高级目标的需求,提出了一种可行的系统架构,并以此为基础设计实现了一种新的网络策略自动部署系统.重点阐述了网络拓扑表示与策略展示流程,以及相关接口设计.已完成的原型系统表明,该系统具有良好的功能实现性.     

基于并行模糊神经网络的车牌识别研究

车辆牌照的自动识别是目标自动识别的一种重要形式，针对车牌识别的后期技术，即牌照识别技术做了研究并提出了一种新的车牌识别方法，该网络由BP神经网络识别模块和模糊控制器构成，为了便于硬件实现，各模块相互独立，最后利用PVM网络在虚拟并行平台上实现了该识别网络，实验结果表明，和标准BP网络相比，该算法具有更加良好的性能，满足实时识别车牌的要求。     

A “mutual update” training algorithm for fuzzy adaptivelogic control/decision network (FALCON)

The conventional two-stage training algorithm of the fuzzy/neural architecture, called FALCON, may not provide accurate results for certain type of problems, due to the implicit assumption of independence that this training makes about parameters of the underlying fuzzy inference system. In this paper, a training scheme is proposed for this fuzzy/neural architecture, which is based on line search methods that have long been used in iterative optimization problems. This scheme involves synchronous update of the parameters of the architecture corresponding to input and output space partitions and rules defining the underlying mapping; the magnitude and direction of the update at each iteration is determined using the Armijo rule. In our motor fault detection study case, the mutual update algorithm arrived at the steady-state error of the conventional FALCON training algorithm is twice as fast and produced a lower steady-state error by an order of magnitude.