CN105245400A - 一种sdn服务链应用有效性的检测方法 - Google Patents
一种sdn服务链应用有效性的检测方法 Download PDFInfo
- Publication number
- CN105245400A CN105245400A CN201510590903.4A CN201510590903A CN105245400A CN 105245400 A CN105245400 A CN 105245400A CN 201510590903 A CN201510590903 A CN 201510590903A CN 105245400 A CN105245400 A CN 105245400A
- Authority
- CN
- China
- Prior art keywords
- rule
- application
- sdn
- new
- service chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SDN服务链应用有效性的检测方法,首先取SDN服务链中第一个和第二个应用,记为P和Q;然后模拟执行P中每条规则的action,将其作用于规则的匹配域;接着,对于Q中的任意一条规则,将其与P中的每条规则求交,求交结果不为空则作为新的一条规则,若其与P的任何规则求交均不产生除默认规则外任何新的规则,则标记P应用使Q应用中该取出的规则失效,否则标记P应用没有覆盖Q中的规则。若服务链在Q后还有其他应用,则记Q应用为新的P应用,Q的后续app记为新的Q应用,重新执行检测,直至服务链在Q后没有应用为止。本发明能够有效检测SDN服务链中恶意或者误配置的apps,保证整个链功能的有效性。
Description
技术领域
本发明涉及SDN网络技术领域,尤其涉及一种SDN服务链应用有效性的检测方法。
背景技术
随着网络技术的不断发展,软件定义网络(SDN,SoftwareDefinedNetworking)受到了极大的关注。SDN将传统网络设备的数据平面与物理平面相隔离,通过软件编程的方式管理控制整个网络。通过SDN控制器,用户可以编写自己的APP(Application,应用程序)让网络完成指定的功能,以便实现网络的创新。这些APP可以形成一个服务链(servicechaining)来对同一流量进行处理。
然而,这些APP中可能存在恶意的APP或者用户将某个APP误配置从而导致整个服务链不能正常工作。
所谓的恶意的或者误配置的app主要是指,通过该app处理后的流量不在受服务链后续App的管理控制或者违反网络的不变量。
如图1所示,由防火墙(firewall)、监视器(monitor)和负载均衡器(loadbalance)构成的一个服务链为server提供一系列服务。但由于用户误配置监视器或者启用了一个未经安全验证的监视器,这导致了除去源IP为1.0.0.0/24的用户外其余的用户都无法正常访问到服务器。
发明内容
本发明所要解决的技术问题是针对背景技术中的缺陷,提供一种SDN服务链应用有效性的检测方法,通过多app规则合并方法来检测服务链中的恶意或者误配置app。
本发明为解决上述技术问题采用以下技术方案:
一种SDN服务链应用有效性的检测方法,包含以下具体步骤:
步骤1),取SDN服务链中第一个和第二个应用,记为P和Q;
步骤2),模拟执行P中每条规则的action,将其作用于规则的匹配域;
步骤3),取出Q中的一条规则,与P中的每条规则求交,求交结果不为空则作为新的一条规则;
步骤4),若步骤3)中所述Q中取出的规则与P的任何规则求交均不产生除默认规则外任何新的规则,则标记P应用使Q应用中该取出的规则失效,跳转到步骤6),否则跳转到步骤5);
步骤5),将所述Q中取出的规则从Q中删除后判定Q中是否还存在规则,若Q中不存在规则,则标记P应用没有覆盖Q中的规则,跳转到步骤6),否则转到步骤3);
步骤6),若服务链在Q后还有其他应用,则记Q应用为新的P应用,Q的后续app记为为新的Q应用,并跳转到步骤2),否则跳转到步骤7);
步骤7),结束检测。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
1.设计简单,使用方便;
2.能够有效检测SDN服务链中恶意或者误配置的apps,从而保证整个链功能的有效性。
附图说明
图1是SDN服务链中存在恶意或误配置App的一个示例;
图2是本发明中流表规则合并的示意图;
图3是本发明的检测流程图;
图4是本发明的一个具体实施例。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
本发明公开了一种SDN服务链应用有效性的检测方法,包含以下具体步骤:
步骤1),取SDN服务链中第一个和第二个应用,记为P和Q;
步骤2),模拟执行P中每条规则的action,将其作用于规则的匹配域;
步骤3),取出Q中的一条规则,与P中的每条规则求交,求交结果不为空则作为新的一条规则;
步骤4),若步骤3)中所述Q中取出的规则与P的任何规则求交均不产生除默认规则外任何新的规则,则标记P应用使Q应用中该取出的规则失效,跳转到步骤6),否则跳转到步骤5);
步骤5),将所述Q中取出的规则从Q中删除后判定Q中是否还存在规则,若Q中不存在规则,则标记P应用没有覆盖Q中的规则,跳转到步骤6),否则转到步骤3);
步骤6),若服务链在Q后还有其他应用,则记Q应用为新的P应用,Q的后续app记为为新的Q应用,并跳转到步骤2),否则跳转到步骤7);
步骤7),结束检测。
如图4所示,本发明的核心思想是合并apps的流表规则,对所形成的“大流表”进行规则的有效性检查,从而分析出恶意的或者误配置的apps。
而流表规则的合并主要采用了叉乘的方法,具体过程如下:
假设P、Q分别代表了2个不同app的规则,其在servicechaining的处理顺序为P>>Q,即流量需要先经过P处理之后再经过Q进行进一步处理。设pi∈P且qj∈QP中的每条规则(pi为例)以需要与Q中的每条规则(以qj为例)进行如下操作:在pi匹配域上执行pi的action,如图2所示。
然后,将动作完成之后的pi与qj的匹配域“求交”(默认规则除外)从而产生“大流表”的规则。“大流表”产生规则的方式如下:若pi和qj具有相同类型的匹配域,且相同匹配域的值相同,则产生一条“大流表”规则,规则的匹配域由pi匹配域加上qj的除去与pi相同类型之外的其他匹配域所组成(即:pi∪(qj-pi)),动作有pi和qj的动作组合而成。若pi和qj不具有相同类型的匹配域,则其会产生两条规则,pi和qj各自形成一条规则。
最后,如果所形成的“大流表”不包含Q中的某些规则时,则说明P为恶意app。因为P中的规则使得Q中的某些规则失效,而无法构成“大流表”中对应的规则。
整个检测过程的流程图如图3所示。
本技术领域技术人员可以理解的是,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种SDN服务链应用有效性的检测方法,其特征在于,包含以下具体步骤:
步骤1),取SDN服务链中第一个和第二个应用,记为P和Q;
步骤2),模拟执行P中每条规则的action,将其作用于规则的匹配域;
步骤3),取出Q中的一条规则,与P中的每条规则求交,求交结果不为空则作为新的一条规则;
步骤4),若步骤3)中所述Q中取出的规则与P的任何规则求交均不产生除默认规则外任何新的规则,则标记P应用使Q应用中该取出的规则失效,跳转到步骤6),否则跳转到步骤5);
步骤5),将所述Q中取出的规则从Q中删除后判定Q中是否还存在规则,若Q中不存在规则,则标记P应用没有覆盖Q中的规则,跳转到步骤6),否则转到步骤3);
步骤6),若服务链在Q后还有其他应用,则记Q应用为新的P应用,Q的后续app记为为新的Q应用,并跳转到步骤2),否则跳转到步骤7);
步骤7),结束检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510590903.4A CN105245400A (zh) | 2015-09-16 | 2015-09-16 | 一种sdn服务链应用有效性的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510590903.4A CN105245400A (zh) | 2015-09-16 | 2015-09-16 | 一种sdn服务链应用有效性的检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105245400A true CN105245400A (zh) | 2016-01-13 |
Family
ID=55042909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510590903.4A Pending CN105245400A (zh) | 2015-09-16 | 2015-09-16 | 一种sdn服务链应用有效性的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105245400A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017128112A1 (zh) * | 2016-01-27 | 2017-08-03 | 中国科学院计算技术研究所 | 软件定义网络组合编程动作计算方法、系统、装置及芯片 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594664A (zh) * | 2012-02-02 | 2012-07-18 | 杭州华三通信技术有限公司 | 流量转发方法和装置 |
| WO2012120465A1 (en) * | 2011-03-08 | 2012-09-13 | Stellenbosch University | Multi-terminal self and mutual inductance network extraction for superconductive integrated circuits |
| CN103595647A (zh) * | 2013-11-27 | 2014-02-19 | 北京邮电大学 | 一种基于OpenFlow的SDN虚拟化平台下行信令处理方法 |
| CN103763197A (zh) * | 2014-01-27 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种流表项冲突检测装置和方法 |
| CN104104615A (zh) * | 2014-07-21 | 2014-10-15 | 华为技术有限公司 | 策略冲突解决方法以及装置 |
-
2015
- 2015-09-16 CN CN201510590903.4A patent/CN105245400A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012120465A1 (en) * | 2011-03-08 | 2012-09-13 | Stellenbosch University | Multi-terminal self and mutual inductance network extraction for superconductive integrated circuits |
| CN102594664A (zh) * | 2012-02-02 | 2012-07-18 | 杭州华三通信技术有限公司 | 流量转发方法和装置 |
| CN103595647A (zh) * | 2013-11-27 | 2014-02-19 | 北京邮电大学 | 一种基于OpenFlow的SDN虚拟化平台下行信令处理方法 |
| CN103763197A (zh) * | 2014-01-27 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种流表项冲突检测装置和方法 |
| CN104104615A (zh) * | 2014-07-21 | 2014-10-15 | 华为技术有限公司 | 策略冲突解决方法以及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017128112A1 (zh) * | 2016-01-27 | 2017-08-03 | 中国科学院计算技术研究所 | 软件定义网络组合编程动作计算方法、系统、装置及芯片 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gong | Distributed consensus of non‐linear fractional‐order multi‐agent systems with directed topologies | |
| Su et al. | Pinning control of complex networked systems: Synchronization, consensus and flocking of networked systems via pinning | |
| Jansen et al. | Mitigating risks of digitalization through managed industrial security services | |
| US11095518B2 (en) | Determining violation of a network invariant | |
| JP2018046549A (ja) | ネットワーク検証 | |
| CN111264048A (zh) | 定义用于网络服务(ns)的网络服务描述符(nsd)的方法和使用所述nsd的网络功能虚拟化(nfv)编排器(nfvo) | |
| CN108200032A (zh) | 一种数据检测方法、装置及电子设备 | |
| CN105164691A (zh) | 利用计算机网络为测试计算机软件应用优化测试数据有效载荷的选择 | |
| Lu et al. | Complex reachability trees and their application to deadlock detection for unbounded Petri nets | |
| Zhang et al. | Adaptive stabilization of a class of high‐order uncertain nonholonomic systems with unknown control coefficients | |
| Nicholson et al. | Position paper: Safety and security monitoring in ics/scada systems | |
| US20220262390A1 (en) | Network operation based on domain specific language | |
| CN104205745B (zh) | 报文处理的方法与设备 | |
| CN103279414A (zh) | 一种适用于Xen虚拟化平台的隐蔽通道检测方法 | |
| CN107085516A (zh) | 一种修改配置的方法及装置 | |
| Wang et al. | Deterministic learning and nonlinear observer design | |
| CN105245400A (zh) | 一种sdn服务链应用有效性的检测方法 | |
| CN103716234B (zh) | 一种定位报文内存泄露的方法 | |
| CN104462322A (zh) | 字符串比对方法和装置 | |
| CN103678547A (zh) | 一种自学习的数据库安全审计系统及方法 | |
| CN105939205B (zh) | 一种配置回滚方法和装置 | |
| Peng et al. | Eagle: An agile approach to automaton updating in cloud security services | |
| Bhattacharya et al. | An artificial intelligence based approach for risk management using attack graph | |
| US12001549B1 (en) | Cybersecurity incident response techniques utilizing artificial intelligence | |
| Huang et al. | Incoherency problems in a combination of description logics and rules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160113 |