CN106341337B - 一种sdn下可实现应用感知的流量检测与控制机构及方法 - Google Patents

Abstract

本发明提供了一种SDN下可实现应用感知的流量检测与控制机构及方法，包括：应用感知模块，对数据包内容进行分析，将数据包信息扩展至应用层，并对有价值的数据包特征信息进行共享与一致性维护；流量控制模块，结合网络状态及深层数据包特征对流量进行检测、分类，通过动态配置OpenFlow流表，为不同应用程序提供差异化服务及对异常流量感知及攻击处置。本发明在综合评估网络状态及流量行为特征基础上，实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞，提高网络负载能力，保证了不同应用程序的实际需求得到满足。

Description

一种SDN下可实现应用感知的流量检测与控制机构及方法

技术领域

本发明涉及一种SDN网络中可实现应用感知的流量检测与控制机构及方法。

背景技术

流量监控对于改善网络整体性能、提高网络安全性等网络管理工作具有重要的价值。一方面，网络拓扑的动态变化可能导致拥塞现象的产生，流量监控可合理调度数据包，对其进行路由优化以缓解拥塞，同时降低时延、提高网络吞吐量以改善网络性能；另一方面，基于不同应用程序的具体要求，结合网络状态及数据包特征的相关信息，对数据包进行分类、鉴别并对转发策略进行调整，可为不同应用程序提供区分服务，以最大程度地满足其QoS需求；另外，通过收集、分析流量行为及特征等信息，可及时识别出可疑流量并予以响应，从而提高网络安全感知能力。

SDN(软件定义网络)的兴起为网络流量监控提供了更加高效的解决方案。它将网络的控制功能从底层数据平面中解耦，在中央控制器中建立全网视图，并运行控制逻辑，以下发流表的形式指导交换机等网络设备进行流量转发，完成对全网的集中管控。OpenFlow协议为数据层及控制层之间的通信定义了一个安全通道，它在底层网络设备中维护一个或多个流表，利用流表项中的数据域对到达的数据包进行匹配，若无匹配项则上传至控制器进行处理，若匹配成功则执行流表项中相应的操作。发挥SDN集中控制及全局视图的优势，可极大改善流量管控等网络管理工作的灵活性、可控性、可见性。

事实上，目前已有一些关于SDN下流量控制的研究。这些已有解决方案大多参考流表中包含的MAC地址、IP地址、端口号、协议类型等数据域参数对数据包进行分类，结合不同应用程序的需求，利用OpenFlow协议对转发策略进行动态调整，以达到流量管控的目的。然而，OpenFlow协议所定义流表的数据域只覆盖了OSI(开放系统互联，定义了不同计算机互联的标准)模型中的一至四层，仅基于流表中较为有限的信息对数据包进行评估并实施相应的流量控制，不仅会忽略数据包深层特征，无法满足不同应用程序对流量细粒度、差异化的控制需求，而且由于未进行数据包内容解析，将降低对异常流量进行感知的准确度及敏感度，不利于及时发现并响应网络安全威胁。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种SDN下基于深度报文检测的应用层流量检测与控制机构及方法，本发明考虑到不同应用程序对于流量控制的差异化需求，将DPI技术引入SDN控制器中以完成对数据包应用层内容的解析，在综合评估网络状态及流量行为特征基础上，实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞，提高网络负载能力，保证了不同应用程序的实际需求得到满足。

为达到上述目的，本发明所采用的技术方案如下：

一种SDN下可实现应用感知的流量检测与控制机构，包括：

应用感知模块，对数据包内容进行分析，将数据包信息扩展至应用层，并对有价值的数据包特征信息进行共享与一致性维护；

流量控制模块，结合网络状态及深层数据包特征对流量进行检测、分类，通过动态配置OpenFlow流表，为不同应用程序提供差异化服务及对异常流量感知及攻击处置。

所述应用感知模块，包括：

流量采集单元，记录数据包的到达时间，并收集其IP地址、入端口信息；

行为鉴别单元，对数据包的应用层内容进行解析，对其深层行为特征进行鉴别；

信息共享单元，将有价值的信息进行推送与同步，确保不同种类的应用程序接收到网络流量的最新动态，进而从自身应用需求出发，利用数据包行为特征信息，结合实时网络状况实现多层次、细粒度的流量控制决策。

所述流量控制模块，包括：

匹配/转发单元，将到达数据包与流表中的匹配域进行比对，将匹配失败的数据包上传至控制器，进行进一步的检测与鉴别；

服务编排单元，安排无匹配项的数据包、将控制策略以流表项的形式下发至底层转发设备、把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据，添加至流表项中；

策略制定单元，为不同的应用程序提供差异化的区别服务、对不同类别的流量进行统一管控，同时，对包含恶意代码的可疑数据包进行实时感知，实时入侵检测与攻击处置。

一种SDN下可实现应用感知的流量检测与控制方法，采用上述的SDN下可实现应用感知的流量检测与控制机构完成，包括：

通过应用感知模块实现对数据包的应用感知及深层行为特征提取，将DPI作为一项服务运行在SDN控制器中，并对OpenFlow协议的流表结构进行扩展，在流表项的匹配域中引入特征元数据，用以表征数据包的L7层信息，进而将上层DPI分析结果映射到底层转发决策中；

流量控制模块结合应用感知模块的数据包检测结果及不同应用程序的流量处置决策，上传下达，从而完成全网的流量控制。

所述应用感知模块包括流量采集单元、行为鉴别单元和信息共享单元，其工作步骤如下：

步骤1：当数据包到达转发设备时，数据包头中的有效信息被提取出来与流表项中相应的数据域值进行匹配，若匹配成功，则结合预设的优先级对数据包执行转发操作或直接丢弃；若无匹配项或流表中不存在与之匹配的特征元数据，则将该数据包封装为Packet_in消息，上传至SDN控制器进行进一步处理，在该过程中，流量采集单元记录数据包的到达时间，并收集其IP地址、入端口的基本信息；

步骤2：当SDN控制器接受到Packet_in消息后，该消息将触发行为鉴别单元，启动控制器中运行的DPI服务，对数据包的应用层内容进行解析，对其深层行为特征进行鉴别；

步骤3：DPI对数据包的内容进行分析后获取到的应用层特征及流表中包含的其他数据包基本信息进行统一管理和备份，信息共享单元将这些有价值的信息基于发布/订阅模式根据各个应用程序的登记信息完成有针对性的信息推送与同步，确保不同种类的应用程序接收到网络流量的最新动态，进而从自身应用需求出发，利用这些数据包行为特征信息，结合实时网络状况实现多层次、细粒度的流量控制决策。

所述步骤2中，利用应用层网关鉴别、基于特征的检测及行为模式识别三类检测算法对数据包的应用层内容进行解析。

所述步骤3中，信息共享单元将这些有价值的信息基于发布/订阅模式、根据各个应用程序的登记信息完成有针对性的信息推送与同步。

所述流量控制模块包括匹配/转发单元、服务编排单元、策略制定单元，其工作过程包括如下：

匹配/转发单元将到达数据包与流表中的匹配域进行比对，将匹配失败的数据包上传至控制器，进行进一步的检测与鉴别；

服务编排单元安排无匹配项的数据包接受DPI检测，并将检测到的行为特征连同MAC地址、IP地址、端口号数据包基本信息同步存储至GIMD，供不同应用程序使用；另外，当上层应用程序基于自身需求，综合数据包行为特征及网络状况做出流量控制决策后，该单元还需将控制策略以流表项的形式下发至底层转发设备，同时把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据，添加至流表项中，用于对后续属于同一类别的数据包进行匹配与处理；

策略制定单元为不同的应用程序提供差异化的区别服务，在对数据包L1～L7层信息及全网状态综合评估的基础上，对不同类别的流量进行统一管控，同时，借助DPI所获得的深层数据包信息，对包含恶意代码的可疑数据包进行实时感知，一旦发现异常流量，则直接将其丢弃，实现及时的入侵检测与攻击处置。

与现有技术相比，本发明具有如下的有益效果：

本发明所提供的SDN网络中基于深度报文检测的应用层流量检测与控制机构及方法，在综合考虑了数据包L1～L7层特征及网络状态信息的基础上，实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞，提高网络负载能力，保证了不同应用程序的实际需求得到满足。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明的基本模型；

图2为通信延迟的评估；

图3为实时的带宽监测情况。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

本发明的主要组成部分包括应用感知模块和流量控制模块。其基本模型如图1所示。

A.应用感知模块

在这一模块中，包括了三个子模块单元，分别是：流量采集、行为鉴别和信息共享。

在该模块中，本发明为实现对数据包的应用感知及深层行为特征提取，将DPI(深度报文检测技术)作为一项服务运行在SDN控制器中。还对OpenFlow协议的流表结构进行了扩展，在流表项的匹配域中引入特征元数据这一参数，用以表征数据包的L7层信息，进而将上层DPI分析结果映射到底层转发决策中。

该模块的工作过程如下所述。

步骤1：当数据包到达转发设备时，数据包头中的有效信息被提取出来与流表项中相应的数据域值进行匹配。若匹配成功，则结合预设的优先级对数据包执行转发操作或直接丢弃；若无匹配项或流表中不存在与之匹配的特征元数据，则将该数据包封装为Packet_in消息，上传至SDN控制器进行进一步处理。在该过程中，流量采集单元需记录数据包的到达时间，并收集其IP地址、入端口等基本信息。

步骤2：当SDN控制器接受到Packet_in消息后，该消息将触发应用感知模块的核心——行为鉴别单元，启动控制器中运行的DPI服务，利用应用层网关鉴别、基于特征的检测及行为模式识别三类检测算法对数据包的应用层内容进行解析，对其深层行为特征进行鉴别。

步骤3：DPI对数据包的内容进行分析后获取到的应用层特征及流表中包含的其他数据包基本信息将存储在GIMD(通用信息管理数据库)中进行统一管理和备份。信息共享单元负责将这些有价值的信息基于发布/订阅模式根据各个应用程序的登记信息完成有针对性的信息推送与同步，确保负载均衡、QoS(服务质量)、防火墙等不同种类的应用程序接收到网络流量的最新动态，进而从自身应用需求出发，利用这些数据包行为特征信息，结合实时网络状况实现多层次、细粒度的流量控制决策。

B.流量控制模块

这一模块的主要功能是结合应用感知模块的数据包检测结果及不同应用程序的流量处置决策，上传下达，完成全网的流量控制。对应于SDN的三层架构，同样地，该模块也可分为三个子模块单元，分别为：匹配/转发、服务编排、策略制定。

匹配/转发单元负责将到达数据包与流表中的匹配域进行比对，将匹配失败的数据包上传至控制器，进行进一步的检测与鉴别。

服务编排单元负责安排无匹配项的数据包接受DPI检测，并将检测到的行为特征连同MAC地址、IP地址、端口号等其他数据包基本信息同步存储至GIMD，供不同应用程序使用。另外，当上层应用程序基于自身需求，综合数据包行为特征及网络状况做出流量控制决策后，该单元还需将控制策略以流表项的形式下发至底层转发设备，同时把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据，添加至流表项中，用于对后续属于同一类流的数据包进行匹配与处理。

策略制定单元负责为不同的应用程序提供差异化的区别服务，在对数据包L1～L7层信息及全网状态综合评估的基础上，对不同类别的流量进行统一管控。同时，借助DPI所获得的深层数据包信息，可对包含恶意代码的可疑数据包进行实时感知，一旦发现异常流量，则直接将其丢弃，实现及时的入侵检测与攻击处置。

本发明通过模拟网络节点数目的增加来分别评估传统SDN流量控制方案及本发明中所提出的流量控制方案下，首个数据包处理时间及数据包平均匹配事件的开销。如图2所示，由于本发明中需对首个到达数据包进行DPI检测且在流表中增加了特征元数据这一表征L7层信息的数据域，随着网络节点数量的增加，时间开销也不可避免地有一定程度的增加。

但伴随着时间开销在可接受范围内的增长，运用本发明中所提出的流量控制方案可显著改善网络负载能力，如图3所示。

实验结果验证了该发明在时间开销上的可行性以及该发明的可行性和有效性。综上，该流量控制机制在综合考虑了数据包L1～L7层特征及网络状态信息的基础上，实现流量的应用感知以采用差异化的流量调度策略缓解网络中可能出现的拥塞，提高网络负载能力，保证了不同应用程序的实际需求得到满足。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims (5)

1.一种SDN下可实现应用感知的流量检测与控制机构，其特征在于，包括：

应用感知模块，对数据包内容进行分析，将数据包信息扩展至应用层，并对有价值的数据包特征信息进行共享与一致性维护；

流量控制模块，结合网络状态及深层数据包特征对流量进行检测、分类，通过动态配置OpenFlow流表，为不同应用程序提供差异化服务及对异常流量感知及攻击处置；

所述应用感知模块，包括：

流量采集单元，记录数据包的到达时间，并收集其IP地址、入端口信息；

行为鉴别单元，对数据包的应用层内容进行解析，对其深层行为特征进行鉴别；

信息共享单元，将有价值的信息进行推送与同步，确保不同种类的应用程序接收到网络流量的最新动态，进而从自身应用需求出发，利用数据包行为特征信息，结合实时网络状况实现多层次、细粒度的流量控制决策；

采用所述的SDN下可实现应用感知的流量检测与控制机构完成，

通过应用感知模块能够实现对数据包的应用感知及深层行为特征提取，将DPI作为一项服务运行在SDN控制器中，并对OpenFlow协议的流表结构进行扩展，在流表项的匹配域中引入特征元数据，用以表征数据包的L7层信息，进而将上层DPI分析结果映射到底层转发决策中；

流量控制模块结合应用感知模块的数据包检测结果及不同应用程序的流量处置决策，上传下达，从而完成全网的流量控制；

所述应用感知模块包括流量采集单元、行为鉴别单元和信息共享单元，其工作步骤如下：

步骤1：当数据包到达转发设备时，数据包头中的有效信息被提取出来与流表项中相应的数据域值进行匹配，若匹配成功，则结合预设的优先级对数据包执行转发操作或直接丢弃；若无匹配项或流表中不存在与之匹配的特征元数据，则将该数据包封装为Packet_in消息，上传至SDN控制器进行进一步处理，在该过程中，流量采集单元记录数据包的到达时间，并收集其IP地址、入端口的基本信息；

步骤2：当SDN控制器接受到Packet_in消息后，该消息将触发行为鉴别单元，启动控制器中运行的DPI服务，对数据包的应用层内容进行解析，对其深层行为特征进行鉴别；

步骤3：DPI对数据包的内容进行分析后获取到的应用层特征及流表中包含的其他数据包基本信息进行统一管理和备份，信息共享单元将这些有价值的信息基于发布/订阅模式根据各个应用程序的登记信息完成有针对性的信息推送与同步，确保不同种类的应用程序接收到网络流量的最新动态，进而从自身应用需求出发，利用这些数据包行为特征信息，结合实时网络状况实现多层次、细粒度的流量控制决策。

2.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构，其特征在于，所述流量控制模块，包括：

匹配/转发单元，将到达数据包与流表中的匹配域进行比对，将匹配失败的数据包上传至控制器，进行进一步的检测与鉴别；

服务编排单元，安排无匹配项的数据包、将控制策略以流表项的形式下发至底层转发设备、把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据，添加至流表项中；

策略制定单元，为不同的应用程序提供差异化的区别服务、对不同类别的流量进行统一管控，同时，对包含恶意代码的可疑数据包进行实时感知，实时入侵检测与攻击处置。

3.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构，其特征在于，所述步骤1中，利用应用层网关鉴别、基于特征的检测及行为模式识别三类检测算法对数据包的应用层内容进行解析。

4.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构，其特征在于，所述步骤2中，信息共享单元将这些有价值的信息基于发布/订阅模式、根据各个应用程序的登记信息完成有针对性的信息推送与同步。

5.根据权利要求1所述的SDN下可实现应用感知的流量检测与控制机构，其特征在于，所述流量控制模块包括匹配/转发单元、服务编排单元、策略制定单元，其工作过程包括如下：

匹配/转发单元将到达数据包与流表中的匹配域进行比对，将匹配失败的数据包上传至控制器，进行进一步的检测与鉴别；

服务编排单元安排无匹配项的数据包接受DPI检测，并将检测到的行为特征连同MAC地址、IP地址、端口号数据包基本信息同步存储至GIMD，供不同应用程序使用；另外，当上层应用程序基于自身需求，综合数据包行为特征及网络状况做出流量控制决策后，该单元还需将控制策略以流表项的形式下发至底层转发设备，同时把表征某个应用程序产生的一组特定数据包的应用层信息映射为特征元数据，添加至流表项中，用于对后续属于同一类别的数据包进行匹配与处理；

策略制定单元为不同的应用程序提供差异化的区别服务，在对数据包L1～L7层信息及全网状态综合评估的基础上，对不同类别的流量进行统一管控，同时，借助DPI所获得的深层数据包信息，对包含恶意代码的可疑数据包进行实时感知，一旦发现异常流量，则直接将其丢弃，实现及时的入侵检测与攻击处置。

Images