[发明专利]基于布鲁姆过滤器的SDN流规则冲突检测方法及系统

说明书

本发明属于软件定义网络领域，公开了一种基于布鲁姆过滤器的SDN流规则冲突检测方法及系统，首先对控制器中的流规则及新插入控制器的流规则进行预处理，包括流规则扩展、序号编排、匹配域模块哈希等步骤，在预处理之后对流规则的编码进行多重布鲁姆过滤器筛选，选择出有可能出现冲突的流规则集合，进而对该集合进行二次筛选，选择出匹配域相同的流规则集合，最后通过对该集合中流规则必备动作的比较最终检测出有冲突的流规则。本发明相较于现有的软件定义网络流规则冲突检测方法，能够快速地检测出数目巨大的流规则之间的冲突。

技术领域

本发明属于软件定义网络领域，尤其涉及一种基于布鲁姆过滤器的SDN流规则冲突检测方法及系统。

背景技术

目前，业内常用的现有技术是这样的：

随着互联网技术的高速发展，传统网络的体系架构逐渐显现出其缺点：1、网络功能的升级与扩展复杂、工作量巨大；2、网络设备的运行与维护繁琐。这些缺点使得传统网络难以满足新型网络服务的需求，特别是诸如云计算、网络功能虚拟化等网络服务。为了解决现有网络的不足，一种名为软件定义网络的新型网络架构应运而生。

软件定义网络于2006年诞生在美国的斯坦福大学，该大学科研机构提出一种新型网络创新架构，通过将网络设备控制面与数据转发面分离开来，从而实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台。软件定义网络的架构主要分为三层，从上往下分别为：应用层，控制层和数据层。应用层由众多业务和应用软件所构成，主要负责制定网络策略，应用层通过北向接口与控制层通信。控制层是系统的控制中心，它会根据应用层下发的软件生成网络策略，同时它也会根据网络状态变化调整网络交换路径和业务路由。数据层也称基础设施层，它通过南向接口和控制层相连接，该层主要由诸如路由器、物理交换机等硬件设备构成，主要根据控制层下发的网络策略(流表)来转发网络数据包。得益于集中控制的特点，软件定义网络的出现使得管理员可以对网络设备进行集中统一的配置与管理，大大降低了网络管理的复杂性，同时，其可编程特性也使得网络新功能的扩展易于实现，通过软件定义网络提供的北向接口，新的网络应用可以快速的部署在控制器中从而实现特定的网络功能。然而可编程特性也为软件定义网络带来了新的安全问题，大量应用的涌入使得应用之间网络策略的冲突变得不可避免，这些网络策略的冲突在运行时最终体现为不同应用间的流规则冲突。在现有的软件定义网络的架构中，控制器并没有检测流规则冲突的能力，如果遇到有冲突的流规则，控制器会用插入时间比较晚的流规则覆盖早先的流规则，这种模式将会带来很多潜在的安全隐患，如果某些负责网络安全的流规则被覆盖，将会导致网络安全策略无法正常实行，甚至有可能引发整个网络的瘫痪。