CN111865814B - 一种软件定义网络中异常转发流量的自动化过滤方法 - Google Patents

一种软件定义网络中异常转发流量的自动化过滤方法 Download PDF

Info

Publication number
CN111865814B
CN111865814B CN202010759118.8A CN202010759118A CN111865814B CN 111865814 B CN111865814 B CN 111865814B CN 202010759118 A CN202010759118 A CN 202010759118A CN 111865814 B CN111865814 B CN 111865814B
Authority
CN
China
Prior art keywords
rule
data packet
packet
switch
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010759118.8A
Other languages
English (en)
Other versions
CN111865814A (zh
Inventor
席少珂
卜凯
毛文森
张潇予
任奎
赵俊
单夏烨
任新新
段吉瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangtong Tianxia Network Technology Co ltd
Zhejiang University ZJU
Original Assignee
Guangtong Tianxia Network Technology Co ltd
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangtong Tianxia Network Technology Co ltd, Zhejiang University ZJU filed Critical Guangtong Tianxia Network Technology Co ltd
Priority to CN202010759118.8A priority Critical patent/CN111865814B/zh
Publication of CN111865814A publication Critical patent/CN111865814A/zh
Application granted granted Critical
Publication of CN111865814B publication Critical patent/CN111865814B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种软件定义网络中异常转发流量的自动化过滤方法,属于网络安全技术领域,通过采用数据包头部分析方法,构建规则依赖关系图,为存在匹配域重叠的不同优先级规则添加标签值以进行区分;进而,通过预先向数据包头部编码路径规则标签值的方法,确保流量转发的合法性,可以检测出数据平面规则安装错误并阻断异常流量的转发。本发明的方法,在模拟器环境下进行了原型系统验证,能够实现预期功能,经开源数据集测评,规则更新和检测的效率能满足实际需求,单跳设备标签编码值最多仅需4比特,具有在实际中推广的可行性。

Description

一种软件定义网络中异常转发流量的自动化过滤方法
技术领域
本发明涉及安络安全领域,尤其是涉及一种面向软件定义网络中硬件交换机的异常流量的自动化转发检测与过滤方法。
背景技术
软件定义网络中数据平面存在异常转发流量的问题,导致数据包在发送者无法知晓的情况下,被转发到异常的目的地而丢失。例如,规则R1和R2均可以匹配数据包P,但是规则R1的优先级更高。因此正常状况下,数据包P应该被规则R1处理,但是在某些异常状况下,数据包错误的被规则R2处理。异常出现的可能原因有很多,主要分为以下几种:(1)数据层缺乏有效反馈(Methodology,measurement and analysis of flow table updatecharacteristics in hardware openflow switches,Computer Networks,2018)。由控制器向网络设备下发规则,但是设备并不能做到实时向控制器反馈规则的安装情况。这就导致多台设备间的更新是不一致的,甚至有些规则安装失败控制器也无法感知。反馈机制难以实现的主要原因在于设备的存储和计算资源有限,设计和实现有效的反馈机制会降低设备的转发性能。(2)交换机软件程序错误。统计显示,交换机/路由器软件错误是大量网络错误的直接来源。例如,Pronto-Pica8交换机会忽略规则之间的优先级依赖关系,直接导致控制器规则无法被正确安装(Cacheflow:Dependency-aware rule-caching for software-defined networks,SOSR,2016)。(3)外部规则注入。多数网络设备不仅支持写入由控制器下发的规则,还可以连接控制端口直接通过设备自身的控制程序写入规则。假如攻击者可以直接操作设备,那么就可以在躲避控制器的检测程序而在设备中注入恶意规则,从而操纵数据层转发,实现攻击目的。(4)硬件出错。因为交换机的硬件缺乏校验机制,因而无法检测出硬件错误。而异常转发的直接原因往往是规则的错误匹配,即数据包错误匹配了某条低优先级的规则,因此执行了错误的动作。
在目前的研究工作中,检测转发异常的方法大致分为两类,包含数据包探测(Probing)和流量监控(Monitoring)两种。
数据包探测的基本思路是向网络中注入以匹配某条具体规则为目标的探测数据包,并根据数据包被处理的结果来验证被检测的目标规则是否生效。例如,为检测设备B上某条将流量从设备A转发到设备C的规则,控制器会先在设备A和C上预先安装对探测数据包的处理规则,然后将探测数据包发送给设备A。设备A根据预处理规则将数据包转发给B,如果规则生效,那么数据包会继续经C回到控制器,控制器重新接收到发出的探测数据包。否则,当设定的时间间隔到达,控制器还没有接收到探测数据包,就证明设备B上的规则安装失败。使用数据包探测的方法,虽然思路清晰,但是也面临很多挑战:
1)必须要安装处理探测数据包的规则,这会导致正常规则的更新速率降低,而且探测规则本身也可能不生效。
2)同一设备中的规则匹配域互相重叠,为探测某条规则生成的数据包必须不能被优先级更高的规则处理,这样的计算问题理论上具有NP的复杂度(RuleScope:Inspectingforwarding faults for software-defined networking,TON,2017)。而且当被检测的规则与某条优先级更低的规则执行相同动作时,即使控制器最终收到探测数据包,也无法判断是因为匹配了哪条规则。
3)如果要检测控制器未知的规则以防止外部规则注入,只能通过穷举的办法来探测匹配域,导致过高的性能损耗。
4)数据包处理延迟导致检测的实时性较差。
流量监控的基本思路是通过数据层采样的方法,结合控制器的规则集合,验证流量转发的合法性。一般来说整个监控系统由控制器和网络设备构成。网络设备包含软件代理程序、高速转发芯片和流量监控模块。软件代理程序负责接收、处理和安装控制器下发的规则,硬件芯片负责匹配规则、转发数据流量。监控模块主要是从转发的数据包中随机抽样生成副本数据包(原数据包转发不受影响),然后标记交换机序号和端口等信息,作为整体流量转发过程的中间信息反馈给控制器。控制器收集反馈信息,对比下发的规则集合,检测转发动作和指定动作是否一致,就能验证规则是否正确安装。
虽然这种方法相比于数据包探测实时性更强,能够检测到更多错误,但是也存在以下问题:
1)对设备可编程性有要求,需要设备提供标准流水线之外的功能。
2)理论上应该对所有数据流进行采样,但是设备CPU频率的上限决定了采样频率上限,因此可能漏掉一些突发数据流,不能完全保证验证的完整性。
3)数据中心并发流量的数目巨大,反馈采样信息会大量占用控制器和设备之间有限的带宽资源,使得正常控制信息传输的延迟增加,反而加剧了控制层和数据层之间信息的不一致性。
4)相比于构造数据包主动探测规则安装的正确性,流量监控的方法只有在收到特定数据流触发的时候才能发现错误,但是此时可能已经造成了比较严重的后果。
发明内容
本发明提供了一种软件定义网络中异常转发流量的自动化过滤方法,不需要辅助硬件设计进行流量监控,不需要构造额外的探测数据包,同时不改变现有OpenFlow交换机的转发模型,可以检测出数据平面规则安装错误并阻断异常流量的转发。
一种软件定义网络中异常转发流量的自动化过滤方法,包括:
(1)分析每一跳交换机中的规则依赖关系,构建每一跳交换机的规则依赖关系图;
(2)数据包发送到控制器时,发送端发出连接建立的请求,控制器进行规则依赖关系图查询,根据整个网络的规则依赖关系图计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值;控制器将路径信息对应的标签序列反馈给发送端,发送端将标签序列记录在数据包头部,然后发送数据包;
(3)数据包在每一跳交换机转发时,对标签值进行验证,数据包正确匹配规则后,对应此跳交换机匹配信息的标签被弹出,数据包被转发到下一跳,重复此过程直到目的地址;
(4)如果数据包在某跳交换机无法匹配任何规则,交换机向控制器发送Packet_in消息,Packet_in消息中包含失配数据包的头部;控制器监听该类型的数据包并定位到安装错误的规则,管理员通过重装该规则实现故障恢复;从而避免异常流量错误转发,完成异常流量的过滤。
本发明通过采用数据包头部分析方法,构建规则依赖关系图,为存在匹配域重叠的不同优先级规则添加标签值以进行区分;进而,通过预先向数据包头部编码路径规则标签值的方法,确保流量转发的合法性。
步骤(1)中,分析每一跳交换机中的规则依赖关系时,通过添加额外的标签值区分有依赖关系的规则,存在依赖关系的规则,标签值均不同;所述的依赖关系定义为:同一交换机中优先级不同的两条规则,存在可以匹配的相同数据包。
所述规则依赖关系图的构建使用HSA方法,具体过程为:将交换机中规则的匹配域抽象为成都L的字符串,字符串中只包含0、1和x,其中0代表二进制0,1代表二进制1,x代表二进制0或1。
步骤(2)中,控制器进行规则依赖关系图查询时,对应单跳交换机的局部规则依赖关系图,查询的对象为给定数据包头部,通过查询数据包头,返回能够匹配该数据包的最高优先级规则;对应网络中所有交换机的全局规则依赖关系图,计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值。
对于交换机中的规则,通过控制器进行安装或删除,安装或删除需要先更新规则依赖关系图;控制器负责为新的规则生成标签值,并将该值添加到规则匹配域中,在动作域添加标签的弹出操作。
规则依赖关系图的更新包括以递增的方式添加新的规则,以及以递减的方式删除一条原有的规则。
步骤(4)中,控制器监听该类型的数据包并定位到安装错误的规则的具体过程为:
Packet_in消息中包含失配数据包的头部,首先将其恢复成长度L的二进制字符串;然后根据模型计算出该数据包的合法转发路径,包含一系列的流表规则和规则对应的标签值;接着对比数据包头部携带的剩余未匹配的标签值,定位到安装错误的规则和其所在的流表。
步骤(4)中,失配数据包对应的异常流量没有处理规则,被部分缓存在缓冲区中,超出部分被丢弃,以此实现异常流量的过滤。
与现有技术相比,本发明具有以下有益效果:
1、能够检测到所有因规则错配发生的流量异常转发错误。
2、能够在错误发生时及时过滤掉异常转发流量。
3、能够在标准功能的SDN硬件交换机上部署。
附图说明
图1为本发明方法的主要流程示意图。
具体实施方式
下面结合附图和实施例对本发明做进一步详细描述,需要指出的是,以下所述实施例旨在便于对本发明的理解,而对其不起任何限定作用。
本发明的核心原理是分析交换机中的规则依赖关系,通过添加额外的标签值区分有依赖关系的规则。凡存在依赖关系的规则,标签值均不同。依赖关系的定义为:同一交换机中优先级不同的两条规则,存在可以匹配的相同数据包。数据包在转发前预先携带路径上每一跳交换机需要匹配规则的标签值,并在每一跳交换机转发时对标签值进行验证。这样一来,假如出现某条规则安装出错或丢失的情况,数据包携带的标签值与实际匹配到规则的标签值不同,也不会产生错误的匹配。通过在交换机中添加通配任意数据包的规则捕获失配数据包,可以实现在错误发生时,由交换机及时向控制器进行汇报。
本发明借鉴了源路由(Source routing)的思想,但是不同之处在于一般源路由的信息粒度为数据包转发过程中的每一跳设备节点,而本发明使用的信息粒度为每一跳交换机中具体匹配的最高优先级规则。因为异常转发出现往往是在同一交换机中匹配了错误的规则,因此仅使用交换机粒度信息做验证是无效的。使用规则依赖关系图生成标签值的意义在于可以使同一值在没有依赖的规则间得到复用,从而显著的缩短标签域的比特位长度。记录整个路径标签信息而不是第一跳规则标签信息的原因在于交换机间规则的匹配并非一一对应关系。如相连的两跳交换机S1和S2,S1中某规则R处理的数据包可能被S2中多条规则处理,因此仅凭前后两跳信息无法判断出被S1中R处理的数据包应该被打上S2中具体哪条规则的标签。
规则依赖关系的分析结果记录在规则依赖关系图中,可用于数据包转发路径的计算和规则标签值的生成。规则依赖关系图的构建使用了HSA方法(Header Space Analysis:Static Checking for Networks,NSDI,2012)。具体过程可表述为将规则的匹配域抽象为长度L的字符串,字符串中只包含0、1和x,其中0代表二进制0,1代表二进制1,x代表二进制0或1。例如,规则R1和R2存在依赖关系,且R1优先级更高,则将R1作为子节点,R2作为父节点,构建从R1指向R2的有向边。依赖图需要记录R1的匹配域MR1,R2的匹配域MR2,有向边的匹配域ME(ME=MR1∩MR2)。向图中添加最低优先级的全通配符规则R0(R0的匹配域MR0为长度L的全x字符串),动作域定义为转发到控制器。这样做的意义是保证任何数据包存在可匹配规则(至少可以匹配规则R0),且原则上可以实现对所有数据包转发流量的监控。规则依赖关系图构建的时间复杂度在最坏情况下小于O(N2),N为图中的规则数目。
本发明方法工作的主要流程如图1所示。其中步骤①③④主要涉及数据流转发操作,步骤②为交换机规则的安装,步骤⑤为规则依赖关系图的查询和更新。
①发送端发出连接建立请求,控制器根据整个网络的规则依赖关系图计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则编号。控制器将路径信息对应的标签序列反馈给发送端。发送端将标签序列记录在数据包头部,然后发送数据包。
②控制器向交换机安装或删除规则前,需要更新规则依赖关系图。控制器负责为新的规则生成标签值,并将该值添加到规则匹配域中,在动作域添加标签的弹出操作。
③当数据包正确匹配规则后,对应此跳交换机匹配信息的标签被弹出,数据包被转发到下一跳,重复此过程直到目的地址。
④如果数据包在某跳交换机无法匹配任何规则,交换机通过Packet_In消息向控制器发送警告信息,问题数据包的头部会一并上传给控制器。控制器监听这种类型的数据包并判断是否为汇报异常的数据包,如果是则可根据规则依赖关系图结合警告信息,快速诊断出安装出错的规则。管理员可以根据诊断信息,对交换机进行纠错。
⑤规则依赖关系图的更新包括以递增的方式添加新的规则,以递减的方式删除一条原有的规则。规则依赖关系图的查询为给定数据包头部,返回能够匹配该数据包的最高优先级规则。
为验证本发明的效果,在Mininet模拟器环境中进行了运行,本实施例依据开源数据集模拟了斯坦福大学校园网,包括其网络拓扑结构和16个路由器节点,总计757000条转发规则和1500条ACL规则。使用Python语言实现模型,测试使用操作系统Ubuntu 18.04,CPU为8核2.5GHz主频的
Figure BDA0002612560900000081
Platinum 8269CY(Cascade Lake),内存大小为16GB,使用软件交换机Open vSwitch模拟OpenFlow硬件交换机行为。
异常转发流量的检测和过滤方法如下:
1)当交换机产生失配数据包时,会向控制器发送Packet_In消息。我们在控制器中添加新的模块实现对Packet_in消息的处理。
2)Packet_in消息中会包含失配数据包的头部,我们首先将其恢复成长度L的二进制字符串。然后根据模型计算出该数据包的合法转发路径,应该包含一系列的流表规则和规则对应的标签值。
3)然后对比数据包头部携带的剩余未匹配的标签值,可以定位到安装错误的规则和其所在的流表。管理员可以通过重装该规则,实现故障恢复。在这个过程中,异常流量因为没有处理规则,会被部分缓存在缓冲区中,超出部分会被丢弃,但是不会被错误转发,以此实现异常流量的过滤。
除斯坦福数据集外,本实施例还使用了多个开源数据集来测试标签编码的比特位数以及模型的检测效率,表1中提供了相关测试指标和结果。
表1
测试指标 测试结果
规则节点添加/毫秒 1.058373
规则节点删除/毫秒 0.069695
计算规则节点标签/毫秒 0.013322
计算数据包路由/秒 0.662491
标签最大比特位数 4
综上所述,我们的模型是有效的,本发明的方法可以使SDN网络中的转发异常被正确的、及时的检测到。
以上所述的实施例对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的具体实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换,均应包含在本发明的保护范围之内。

Claims (7)

1.一种软件定义网络中异常转发流量的自动化过滤方法,其特征在于,包括:
(1)分析每一跳交换机中的规则依赖关系,构建每一跳交换机的规则依赖关系图;
分析每一跳交换机中的规则依赖关系时,通过添加额外的标签值区分有依赖关系的规则,存在依赖关系的规则,标签值均不同;所述的依赖关系定义为:同一交换机中优先级不同的两条规则,存在可以匹配的相同数据包;
(2)数据包发送到控制器时,发送端发出连接建立的请求,控制器进行规则依赖关系图查询,根据整个网络的规则依赖关系图计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值;控制器将转发路径信息对应的标签序列反馈给发送端,发送端将标签序列记录在数据包头部,然后发送数据包;
(3)数据包在每一跳交换机转发时,对标签值进行验证,数据包正确匹配规则后,对应此跳交换机匹配信息的标签被弹出,数据包被转发到下一跳,重复此过程直到目的地址;
(4)如果数据包在某跳交换机无法匹配任何规则,交换机向控制器发送Packet_in消息,Packet_in消息中包含失配数据包的头部;控制器监听包含失配数据包头部的Packet_in消息的数据包并定位到安装错误的规则,管理员通过重装该规则实现故障恢复;从而避免异常流量错误转发,完成异常流量的过滤。
2.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,步骤(1)中,所述规则依赖关系图的构建使用HSA方法,具体过程为:将交换机中规则的匹配域抽象为长度L的字符串,字符串中只包含0、1和x,其中0代表二进制0,1代表二进制1,x代表二进制0或1。
3.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,步骤(2)中,控制器进行规则依赖关系图查询时,对应单跳交换机的局部规则依赖关系图,查询的对象为给定数据包头部,通过查询数据包头,返回能够匹配该数据包的最高优先级规则;对应网络中所有交换机的全局规则依赖关系图,计算出数据包的转发路径信息,包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值。
4.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,对于交换机中的规则,通过控制器进行安装或删除,安装或删除需要先更新规则依赖关系图;控制器负责为新的规则生成标签值,并将该值添加到规则匹配域中,在动作域添加标签的弹出操作。
5.根据权利要求4所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,规则依赖关系图的更新包括以递增的方式添加新的规则,以及以递减的方式删除一条原有的规则。
6.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,步骤(4)中,控制器监听包含失配数据包头部的Packet_in消息的数据包并定位到安装错误的规则的具体过程为:
Packet_in消息中包含失配数据包的头部,首先将其恢复成长度L的二进制字符串;然后根据模型计算出该数据包的合法转发路径,包含一系列的流表规则和规则对应的标签值;接着对比数据包头部携带的剩余未匹配的标签值,定位到安装错误的规则和其所在的流表。
7.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法,其特征在于,步骤(4)中,失配数据包对应的异常流量没有处理规则,被部分缓存在缓冲区中,超出部分被丢弃,以此实现异常流量的过滤。
CN202010759118.8A 2020-07-31 2020-07-31 一种软件定义网络中异常转发流量的自动化过滤方法 Active CN111865814B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010759118.8A CN111865814B (zh) 2020-07-31 2020-07-31 一种软件定义网络中异常转发流量的自动化过滤方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010759118.8A CN111865814B (zh) 2020-07-31 2020-07-31 一种软件定义网络中异常转发流量的自动化过滤方法

Publications (2)

Publication Number Publication Date
CN111865814A CN111865814A (zh) 2020-10-30
CN111865814B true CN111865814B (zh) 2022-04-29

Family

ID=72953826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010759118.8A Active CN111865814B (zh) 2020-07-31 2020-07-31 一种软件定义网络中异常转发流量的自动化过滤方法

Country Status (1)

Country Link
CN (1) CN111865814B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302021A (zh) * 2016-08-18 2017-01-04 清华大学深圳研究生院 一种网络流转发异常检测方法
CN106817275A (zh) * 2016-12-16 2017-06-09 江苏省未来网络创新研究院 一种自动化预防和编排处理策略冲突的系统和方法
CN107615709A (zh) * 2015-10-20 2018-01-19 华为技术有限公司 Sdn的转发单元和控制器单元
CN109936479A (zh) * 2019-03-18 2019-06-25 浙江大学 基于差分检测的控制平面故障诊断系统及其实现方法
CN110225008A (zh) * 2019-05-27 2019-09-10 四川大学 一种云环境下sdn网络状态一致性验证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107615709A (zh) * 2015-10-20 2018-01-19 华为技术有限公司 Sdn的转发单元和控制器单元
CN106302021A (zh) * 2016-08-18 2017-01-04 清华大学深圳研究生院 一种网络流转发异常检测方法
CN106817275A (zh) * 2016-12-16 2017-06-09 江苏省未来网络创新研究院 一种自动化预防和编排处理策略冲突的系统和方法
CN109936479A (zh) * 2019-03-18 2019-06-25 浙江大学 基于差分检测的控制平面故障诊断系统及其实现方法
CN110225008A (zh) * 2019-05-27 2019-09-10 四川大学 一种云环境下sdn网络状态一致性验证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Is Every Flow on The Right Track?:Inspect SDN Forwarding with RuleScope;Kai Bu 等;《IEEE INFOCOM 2016 - The 35th Annual IEEE International》;20160728;第1-9页 *
RuleScope: Inspecting Forwarding Faults for Software-Defined Networking;Xitao Wen 等;《IEEE/ACM Transactions on Networking ( Volume: 25, Issue: 4, Aug. 2017)》;20170404;第1-14页 *

Also Published As

Publication number Publication date
CN111865814A (zh) 2020-10-30

Similar Documents

Publication Publication Date Title
Sultana et al. Flightplan: Dataplane disaggregation and placement for p4 programs
US10200279B1 (en) Tracer of traffic trajectories in data center networks
Shukla et al. Towards meticulous data plane monitoring
KR101098744B1 (ko) 장애의 탐지 및 진단
JP6419967B2 (ja) ネットワーク管理のためのシステムおよび方法
CN108028775B (zh) 网络环境中的触发式带内操作、管理和维护的方法和装置
Zhang et al. Mind the gap: Monitoring the control-data plane consistency in software defined networks
US10129127B2 (en) Software defined network controller, service function chaining system and trace tracking method
US9225601B2 (en) Network-wide verification of invariants
US8347143B2 (en) Facilitating event management and analysis within a communications environment
CN107317695B (zh) 用于调试联网故障的方法、系统和装置
US20110270957A1 (en) Method and system for logging trace events of a network device
US7843836B2 (en) Systems, methods and computer program products for controlling high speed network traffic in server blade environments
US20200334123A1 (en) Rule-based continuous diagnosing and alerting from application logs
CN114338509B (zh) 一种基于带内网络遥测技术的数据包转发环路实时检测系统及检测方法
US20170149814A1 (en) Real-Time Detection of Abnormal Network Connections in Streaming Data
CN105743732B (zh) 一种记录局域网文件传输路径和分布情况的方法及系统
CN110958157A (zh) 一种网络测试方法、系统、存储介质及电子设备
CN100370762C (zh) 告警报文的处理方法、装置和系统
CN114567582B (zh) 一种基于路径跟踪反馈的sdn网络可信路由调度方法
CN111343184B (zh) 一种通信协议的验证方法和装置
CN108400900B (zh) 报文检测、配置、转发、统计方法及设备、控制器和系统
CN111865814B (zh) 一种软件定义网络中异常转发流量的自动化过滤方法
US7593323B2 (en) Apparatus and methods for managing nodes on a fault tolerant network
Zhao et al. Troubleshooting data plane with rule verification in software-defined networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PP01 Preservation of patent right
PP01 Preservation of patent right

Effective date of registration: 20230817

Granted publication date: 20220429