CN114448728A - 用于调整交换机流表项的方法、装置和计算机可读介质 - Google Patents

用于调整交换机流表项的方法、装置和计算机可读介质 Download PDF

Info

Publication number
CN114448728A
CN114448728A CN202210357055.2A CN202210357055A CN114448728A CN 114448728 A CN114448728 A CN 114448728A CN 202210357055 A CN202210357055 A CN 202210357055A CN 114448728 A CN114448728 A CN 114448728A
Authority
CN
China
Prior art keywords
time
flow table
flow
entry
increment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210357055.2A
Other languages
English (en)
Other versions
CN114448728B (zh
Inventor
苏英豪
郑霄
熊达鹏
王宇
钱克昌
朱诗兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Original Assignee
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peoples Liberation Army Strategic Support Force Aerospace Engineering University filed Critical Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority to CN202210357055.2A priority Critical patent/CN114448728B/zh
Publication of CN114448728A publication Critical patent/CN114448728A/zh
Application granted granted Critical
Publication of CN114448728B publication Critical patent/CN114448728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/021Ensuring consistency of routing table updates, e.g. by using epoch numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/742Route cache; Operation thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开的实施例公开了用于调整交换机流表项的方法、装置和计算机可读介质。该方法的一具体实施方式包括:获取交换机流表项信息;根据交换机流表项信息,生成流表项增量与时间的序列;根据序列确定目标时间周期内流表项的增量;根据目标时间周期内流表项的增量,确定在目标时间周期内的空间占用率;根据空间占用率,对流表项进行调整。该实施方式可以根据不同的空间剩余率来对DDoS攻击做出不同的应对,实现了对于DDoS攻击更加完善的防御。

Description

用于调整交换机流表项的方法、装置和计算机可读介质
技术领域
本公开的实施例涉及计算机技术领域,具体涉及一种用于调整交换机流表项的方法、装置和计算机可读介质。
背景技术
软件定义网络(Software Define Network,SDN)作为一种新型的网络架构,实现了传统网络中的网络转发设备的控制平面和数据平面的分离。由于SDN采用了控制平面与数据平面相分离的架构,导致SDN环境下不仅存在着针对主机等设备的传统DDoS(Distributed Denial of Service,分布拒绝服务)攻击,还存在对于数据平面的慢速率DDoS攻击。
传统网络的DDoS攻击的检测与缓解技术主要针对主机和服务器等设备的攻击进行防护,对于SDN网络中的交换机和控制器没有成熟防护策略,对于慢速率DDoS攻击无法做到很好的检测与缓解。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了用于调整流表项的方法、装置、电子设备和计算机可读介质,来解决以上背景技术部分提到的技术问题。
第一方面,本公开的一些实施例提供了一种用于调整流表项的方法,该方法包括:获取交换机流表项信息;根据上述交换机流表项信息,生成流表项增量与时间的序列;根据上述序列确定目标时间周期内流表项的增量;根据上述目标时间周期内流表项的增量,确定在上述目标时间周期内的空间占用率;根据上述空间占用率,对流表项进行调整。
第二方面,本公开的一些实施例提供了一种调整流表项装置,装置包括:获取单元,被配置成获取交换机流表项信息;生成单元,被配置成根据上述交换机流表项信息,生成流表项增量与时间的序列;第一确定单元,被配置成根据上述序列确定目标时间周期内流表项的增量;第二确定单元,被配置成根据上述目标时间周期内流表项的增量,确定在上述目标时间周期内的空间占用率;调整单元,被配置成根据上述空间占用率,对流表项进行调整。
第三方面,本申请实施例提供了一种电子设备,该网络设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先获取交换机流表项信息,之后根据获取到的交换机流表项信息,生成流表项增量与时间的序列,再根据序列确定目标时间周期内流表项的增量,进而根据目标时间周期内流表项的增量,确定在目标时间周期内的空间占用率,最后根据上述空间占用率,对流表项进行调整,从而对下一周期内空间使用情况有了较为精准的预测,从而可以根据不同的空间剩余率来对DDoS攻击做出不同的应对,实现了对于DDoS攻击更加完善的防御。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1是根据本公开的一些实施例的调整流表项方法的一个应用场景的示意图;
图2是根据本公开的调整流表项方法的一些实施例的流程图;
图3是根据本公开的调整流表项装置的一些实施例的结构示意图;
图4是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1是根据本公开的一些实施例的调整流表项方法的一个应用场景的示意图。
如图1所示,服务器101可以获取交换机流表项信息102,之后根据上述交换机流表项信息102,生成流表项增量与时间的序列103,接着根据流表项增量与时间的序列103确定目标时间周期内流表项的增量104,再根据目标时间周期内流表项的增量104,确定在上述目标时间周期内的空间占用率105,最后根据上述空间占用率105,对流表项106进行调整。
可以理解的是,调整流表项方法可以是由终端设备来执行,或者也可以是由服务器101来执行,上述方法的执行主体还可以包括上述终端设备与上述服务器101通过网络相集成所构成的设备,或者还可以是各种软件程序来执行。其中,终端设备可以是具有信息处理能力的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。执行主体也可以体现为服务器201、软件等。当执行主体为软件时,可以安装在上述所列举的电子设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图2中的服务器数目仅仅是示意性的。根据实现需要,可以具有任意数目的服务器。
继续参考图2,示出了根据本公开的调整流表项方法的一些实施例的流程200。该调整流表项方法,包括以下步骤:
步骤201,获取交换机流表项信息。
在一些实施例中,调整流表项方法的执行主体(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式获取交换机流表项信息。需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultrawideband)连接、以及其他现在已知或将来开发的无线连接方式。
在这里,上述交换机流表项信息通常是指在采样周期内交换机的寻址寄存器(TCAM)中的流表数信息。
步骤202,根据上述交换机流表项信息,生成流表项增量与时间的序列。
在一些实施例中,基于步骤201中得到的网址,上述执行主体(例如图1所示的服务器)可以生成流表项增量与时间的序列。在这里,上述流表项增量与时间的序列通常是指以采样周期为单位的流表项增量的序列。作为示例,上述序列可以是以下形式:(第一采样周期,第一采样周期内增量),(第二采样周期,第二采样周期内增量)…(第n采样周期,第n采样周期内增量)。
在一些实施例的一些可选的实现方式中,流表项增量与时间的序列是根据以下公式生成的:
Figure 943583DEST_PATH_IMAGE001
Figure 427654DEST_PATH_IMAGE002
Figure 97145DEST_PATH_IMAGE003
其中,
Figure 846927DEST_PATH_IMAGE004
表示存储空间的总容量;
Figure 630206DEST_PATH_IMAGE005
Figure 719516DEST_PATH_IMAGE006
表示在
Figure 825488DEST_PATH_IMAGE007
时刻的未使用空间容量;
Figure 248DEST_PATH_IMAGE008
表示在
Figure 931426DEST_PATH_IMAGE009
时刻的已使用空间容量;
Figure 934630DEST_PATH_IMAGE010
表示在
Figure 214433DEST_PATH_IMAGE009
时刻的未使用空间容量;
Figure 125757DEST_PATH_IMAGE011
Figure 250839DEST_PATH_IMAGE012
表示流表项增量与时间的序列。
步骤203,根据序列确定目标时间周期内流表项的增量。
在一些实施例中, 上述执行主体可以根据上述序列确定目标时间周期内流表项的增量。在这里,上述目标时间周期通常是指下一个时间周期或由用户指定的时间周期。
在这里,上述执行主体有多种方式根据上述序列确定目标时间周期内流表项的增量。作为示例,上述执行主体可以生成时间周期与增量的函数关系式,并用上述函数关系式预测目标时间周期内的流表项的增量。
步骤204,根据目标时间周期内流表项的增量,确定在目标时间周期内的空间占用率。
在一些实施例中,上述执行主体可以根据目标时间周期内流表项的增量,确定在目标时间周期内的空间占用率。在这里,上述空间占用率通常是指TCAM的存储空间的使用情况。TCAM (ternary content addressable memory)通常是指一种三态内容寻址存储器,主要用于快速查找ACL、路由等表项。
步骤205,根据上述空间占用率,对流表项进行调整。
在一些实施例中,上述执行主体可以对流表项进行调整。在这里,上述对流表项进行调整通常是指对流表项进行删除或修改流表项预先设置的存储时间等操作。
在一些实施例的一些可选的实现方式中,上述执行主体可以响应于上述空间占用率满足第一预设条件,根据以下公式确定调整后的空闲超时时间:
Figure 580320DEST_PATH_IMAGE013
,其中,
Figure 762515DEST_PATH_IMAGE014
表示调整后得到的空闲超时时间;
Figure 708606DEST_PATH_IMAGE015
表示权重参数;
Figure 106220DEST_PATH_IMAGE016
表示第i条流表项
Figure 24629DEST_PATH_IMAGE017
的空闲超时时间;
Figure 98764DEST_PATH_IMAGE018
表示数据包的平均匹配时间,根据以下公式确定:
Figure 529221DEST_PATH_IMAGE019
,其中,
Figure 261684DEST_PATH_IMAGE020
表示第i条流表项
Figure 300179DEST_PATH_IMAGE017
匹配的数据包数目;
Figure 92685DEST_PATH_IMAGE021
表示第i条流表项
Figure 971559DEST_PATH_IMAGE017
的存活时间;
Figure 710976DEST_PATH_IMAGE022
表示第i条流表项
Figure 666294DEST_PATH_IMAGE017
的未命中时间。
作为示例,上述第一预设条件可以是空间占用率小于或等于百分之30。上述空闲超时时间通常是指闲置到指定时间后删除的时间。
在一些实施例的一些可选的实现方式中,上述执行主体可以响应于上述空间占用率满足第二预设条件,根据以下公式确定调整后的空闲超时时间:
Figure 82231DEST_PATH_IMAGE023
,其中,
Figure 427893DEST_PATH_IMAGE024
表示与存储容量相关的权重参数,取值范围为
Figure 764809DEST_PATH_IMAGE025
。作为示例,上述第二预设条件可以是空间占用率大于百分之八十小于或等于百分之百。
在一些实施例的一些可选的实现方式中,上述执行主体可以响应于上述空间占用率满足第三预设条件,根据以下公式确定调整后的空闲超时时间:
Figure 512316DEST_PATH_IMAGE026
,其中,
Figure 849888DEST_PATH_IMAGE027
表示网络中需要删除的流表项数目;
Figure 745163DEST_PATH_IMAGE004
表示存储空间的总容量;
Figure 75650DEST_PATH_IMAGE008
表示在
Figure 737051DEST_PATH_IMAGE009
时刻的已使用空间容量;
Figure 245524DEST_PATH_IMAGE028
表示
Figure 565778DEST_PATH_IMAGE029
时刻流表增量;根据上述流表项的存活时间,对存储空间内的流表项进行排序,得到流表项队列;根据上述需要删除的流表项数目,对上述流表项队列中的流表项进行删除。作为示例,上述第三预设条件可以是当目标周期内空间占用率大于百分之百。在这里,上述流表项队列通常是根据流表项的存活时间由大到小排列生成的序列。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先获取交换机流表项信息,之后根据获取到的交换机流表项信息,生成流表项增量与时间的序列,再根据序列确定目标时间周期内流表项的增量,进而根据目标时间周期内流表项的增量,确定在目标时间周期内的空间占用率,最后根据上述空间占用率,对流表项进行调整,从而对下一周期内空间使用情况有了较为精准的预测,从而可以根据不同的空间剩余率来对DDoS攻击做出不同的应对,实现了对于DDoS攻击更加完善的防御。
进一步参考图3,作为对上述各图所示方法的实现,本公开提供了一种调整流表项装置的一些实施例,这些装置实施例与图2所示的那些方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,一些实施例的调整流表项装置300包括:获取单元301、生成单元302、第一确定单元303、第二确定单元304和调整单元305。其中,获取单元301,被配置成获取交换机流表项信息;生成单元302,被配置成根据上述交换机流表项信息,生成流表项增量与时间的序列;第一确定单元303,被配置成根据上述序列确定目标时间周期内流表项的增量;第二确定单元304,被配置成根据上述目标时间周期内流表项的增量,确定在上述目标时间周期内的空间占用率;调整单元305,被配置成根据上述空间占用率,对流表项进行调整。
在一些实施例的可选实现方式中,流表项增量与时间的序列是根据以下公式生成的:
Figure 247426DEST_PATH_IMAGE030
Figure 701017DEST_PATH_IMAGE002
Figure 442708DEST_PATH_IMAGE003
其中,
Figure 499525DEST_PATH_IMAGE004
表示存储空间的总容量;
Figure 188127DEST_PATH_IMAGE031
表示在
Figure 499154DEST_PATH_IMAGE007
时刻的已使用空间容量;
Figure 612079DEST_PATH_IMAGE032
表示在
Figure 438083DEST_PATH_IMAGE007
时刻的未使用空间容量;
Figure 461534DEST_PATH_IMAGE008
表示在
Figure 141914DEST_PATH_IMAGE009
时刻的已使用空间容量;
Figure 428670DEST_PATH_IMAGE010
表示在
Figure 739041DEST_PATH_IMAGE009
时刻的未使用空间容量;
Figure 35024DEST_PATH_IMAGE011
Figure 320643DEST_PATH_IMAGE012
表示流表项增量与时间的序列。
在一些实施例的可选实现方式中,调整单元被进一步的配置成:响应于上述空间占用率满足第一预设条件,根据以下公式确定调整后的空闲超时时间:
Figure 27568DEST_PATH_IMAGE013
,其中,
Figure 297007DEST_PATH_IMAGE014
表示调整后得到的空闲超时时间;
Figure 862593DEST_PATH_IMAGE015
表示权重参数;
Figure 330614DEST_PATH_IMAGE016
表示第i条流表项
Figure 693594DEST_PATH_IMAGE017
的空闲超时时间;
Figure 699596DEST_PATH_IMAGE018
表示数据包的平均匹配时间,根据以下公式确定:
Figure 602961DEST_PATH_IMAGE019
,其中,
Figure 860242DEST_PATH_IMAGE020
表示第i条流表项
Figure 456440DEST_PATH_IMAGE017
匹配的数据包数目;
Figure 434891DEST_PATH_IMAGE021
表示第i条流表项
Figure 345210DEST_PATH_IMAGE017
的存活时间;
Figure 974774DEST_PATH_IMAGE022
表示第i条流表项
Figure 965643DEST_PATH_IMAGE017
的未命中时间。
在一些实施例的可选实现方式中,调整单元被进一步的配置成:响应于上述空间占用率满足第二预设条件,根据以下公式确定调整后的空闲超时时间:
Figure 228128DEST_PATH_IMAGE023
,其中,
Figure 942137DEST_PATH_IMAGE024
表示与存储容量相关的权重参数,取值范围为
Figure 442520DEST_PATH_IMAGE025
在一些实施例的可选实现方式中,调整单元被进一步的配置成:响应于上述空间占用率满足第三预设条件,根据以下公式确定调整后的空闲超时时间:
Figure 567471DEST_PATH_IMAGE026
,其中,
Figure 314323DEST_PATH_IMAGE027
表示网络中需要删除的流表项数目;
Figure 300864DEST_PATH_IMAGE004
表示存储空间的总容量;
Figure 452491DEST_PATH_IMAGE008
表示在
Figure 499076DEST_PATH_IMAGE009
时刻的已使用空间容量;
Figure 936486DEST_PATH_IMAGE028
表示
Figure 789035DEST_PATH_IMAGE029
时刻流表增量;根据上述流表项的存活时间,对存储空间内的流表项进行排序,得到流表项队列;根据上述需要删除的流表项数目,对上述流表项队列中的流表项进行删除。
可以理解的是,该装置300中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置300及其中包含的单元,在此不再赘述。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先获取交换机流表项信息,之后根据获取到的交换机流表项信息,生成流表项增量与时间的序列,再根据序列确定目标时间周期内流表项的增量,进而根据目标时间周期内流表项的增量,确定在目标时间周期内的空间占用率,最后根据上述空间占用率,对流表项进行调整,从而对下一周期内空间使用情况有了较为精准的预测,从而可以根据不同的空间剩余率来对DDoS攻击做出不同的应对,实现了对于DDoS攻击更加完善的防御。
下面参考图4,其示出了适于用来实现本公开的一些实施例的电子设备(例如图1中的服务器)400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图4中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取交换机流表项信息;根据上述交换机流表项信息,生成流表项增量与时间的序列;根据上述序列确定目标时间周期内流表项的增量;根据上述目标时间周期内流表项的增量,确定在上述目标时间周期内的空间占用率;根据上述空间占用率,对流表项进行调整。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、生成单元、第一确定单元、第二确定单元和调整单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,接收单元还可以被描述为“获取交换机流表项信息的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种用于调整交换机流表项的方法,包括:
步骤100:获取交换机流表项信息;
步骤200:根据所述交换机流表项信息,生成流表项增量与时间的序列;
步骤300:根据所述序列确定目标时间周期内流表项的增量;
步骤400:根据所述目标时间周期内流表项的增量,确定在所述目标时间周期内的空间占用率;
步骤500:根据所述空间占用率是否满足预设条件,对交换机流表项进行调整。
2.根据权利要求1所述的方法,其中,步骤200中所述流表项增量与时间的序列是根据以下公式生成的:
Figure 412768DEST_PATH_IMAGE001
Figure 879521DEST_PATH_IMAGE002
Figure 335386DEST_PATH_IMAGE003
其中,
Figure 726047DEST_PATH_IMAGE004
表示存储空间的总容量;
Figure 586687DEST_PATH_IMAGE005
表示在
Figure 975074DEST_PATH_IMAGE006
时刻的已使用空间容量;
Figure 918235DEST_PATH_IMAGE007
表示在
Figure 315849DEST_PATH_IMAGE006
时刻的未使用空间容量;
Figure 296575DEST_PATH_IMAGE008
表示在
Figure 121442DEST_PATH_IMAGE009
时刻的已使用空间容量;
Figure 7359DEST_PATH_IMAGE010
表示在
Figure 736893DEST_PATH_IMAGE009
时刻的未使用空间容量;
Figure 775387DEST_PATH_IMAGE011
Figure 567894DEST_PATH_IMAGE012
表示流表项增量与时间的序列。
3.根据权利要求1所述的方法,其中,所述步骤500包括:
若所述空间占用率满足第一预设条件,则根据以下公式确定调整后的空闲超时时间:
Figure 426259DEST_PATH_IMAGE013
其中,
Figure 693905DEST_PATH_IMAGE014
表示调整后得到的空闲超时时间;
Figure 649223DEST_PATH_IMAGE015
表示权重参数;
Figure 550314DEST_PATH_IMAGE016
表示第i条流表项
Figure 692713DEST_PATH_IMAGE017
的空闲超时时间;
Figure 29629DEST_PATH_IMAGE018
表示数据包的平均匹配时间。
4.根据权利要求3所述的方法,其中,所述
Figure 26404DEST_PATH_IMAGE018
根据以下公式确定:
Figure 160713DEST_PATH_IMAGE019
其中,
Figure 790409DEST_PATH_IMAGE020
表示第i条流表项
Figure 871629DEST_PATH_IMAGE017
匹配的数据包数目;
Figure 494150DEST_PATH_IMAGE021
表示第i条流表项
Figure 64940DEST_PATH_IMAGE017
的存活时间;
Figure 385194DEST_PATH_IMAGE022
表示第i条流表项
Figure 253793DEST_PATH_IMAGE017
的未命中时间。
5.根据权利要求1所述的方法,其中步骤500包括:
若所述空间占用率满足第二预设条件,则根据以下公式确定调整后的空闲超时时间:
Figure 241471DEST_PATH_IMAGE023
其中,
Figure 449074DEST_PATH_IMAGE014
表示调整后得到的空闲超时时间;
Figure 318941DEST_PATH_IMAGE024
表示与存储容量相关的权重参数,取值范围为
Figure 476384DEST_PATH_IMAGE025
6.根据权利要求1所述的方法,所述步骤500包括:
若所述空间占用率满足第三预设条件,则根据以下公式确定调整后的空闲超时时间:
Figure 115307DEST_PATH_IMAGE026
其中,
Figure 759391DEST_PATH_IMAGE027
表示网络中需要删除的流表项数目;
Figure 788658DEST_PATH_IMAGE004
表示存储空间的总容量;
Figure 812109DEST_PATH_IMAGE008
表示在
Figure 758068DEST_PATH_IMAGE009
时刻的已使用空间容量;
Figure 779245DEST_PATH_IMAGE028
表示
Figure 355195DEST_PATH_IMAGE029
时刻流表增量;
以及,根据所述流表项的存活时间,对存储空间内的流表项进行排序,得到流表项队列;
根据所述需要删除的流表项数目,对所述流表项队列中的流表项进行删除。
7.一种用于调整交换机流表项的装置,包括:
信息获取单元,被配置成获取交换机流表项信息;
序列生成单元,被配置成根据所述交换机流表项信息,生成流表项增量与时间的序列;
增量确定单元,被配置成根据所述序列确定目标时间周期内流表项的增量;
占用率确定单元,被配置成根据所述目标时间周期内流表项的增量,确定在所述目标时间周期内的空间占用率;
调整单元,被配置成根据所述空间占用率是否满足预设条件,对交换机流表项进行调整。
8.根据权利要求7所述的装置,其中,所述调整单元用于执行以下操作:
若所述空间占用率满足第一预设条件,则根据以下公式确定调整后的空闲超时时间:
Figure 854440DEST_PATH_IMAGE013
其中,
Figure 467956DEST_PATH_IMAGE014
表示调整后得到的空闲超时时间;
Figure 660034DEST_PATH_IMAGE015
表示权重参数;
Figure 178740DEST_PATH_IMAGE016
表示第i条流表项
Figure 541063DEST_PATH_IMAGE017
的空闲超时时间;
Figure 946768DEST_PATH_IMAGE018
表示数据包的平均匹配时间。
9.根据权利要求7所述的装置,其中,所述调整单元用于执行以下操作:
若所述空间占用率满足第二预设条件,则根据以下公式确定调整后的空闲超时时间:
Figure 309747DEST_PATH_IMAGE023
其中,
Figure 66482DEST_PATH_IMAGE014
表示调整后得到的空闲超时时间;
Figure 687956DEST_PATH_IMAGE024
表示与存储容量相关的权重参数,取值范围为
Figure 7554DEST_PATH_IMAGE025
10.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。
CN202210357055.2A 2022-04-07 2022-04-07 用于调整交换机流表项的方法、装置和计算机可读介质 Active CN114448728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210357055.2A CN114448728B (zh) 2022-04-07 2022-04-07 用于调整交换机流表项的方法、装置和计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210357055.2A CN114448728B (zh) 2022-04-07 2022-04-07 用于调整交换机流表项的方法、装置和计算机可读介质

Publications (2)

Publication Number Publication Date
CN114448728A true CN114448728A (zh) 2022-05-06
CN114448728B CN114448728B (zh) 2022-07-01

Family

ID=81358979

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210357055.2A Active CN114448728B (zh) 2022-04-07 2022-04-07 用于调整交换机流表项的方法、装置和计算机可读介质

Country Status (1)

Country Link
CN (1) CN114448728B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017035717A1 (zh) * 2015-08-29 2017-03-09 华为技术有限公司 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN106911726A (zh) * 2017-05-02 2017-06-30 深圳大学 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置
CN110225022A (zh) * 2019-06-05 2019-09-10 东南大学 一种SDN流表驱动的DDoS攻击检测方案
CN113452695A (zh) * 2021-06-25 2021-09-28 中国舰船研究设计中心 一种SDN环境下的DDoS攻击检测和防御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017035717A1 (zh) * 2015-08-29 2017-03-09 华为技术有限公司 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN106911726A (zh) * 2017-05-02 2017-06-30 深圳大学 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置
CN110225022A (zh) * 2019-06-05 2019-09-10 东南大学 一种SDN流表驱动的DDoS攻击检测方案
CN113452695A (zh) * 2021-06-25 2021-09-28 中国舰船研究设计中心 一种SDN环境下的DDoS攻击检测和防御方法

Also Published As

Publication number Publication date
CN114448728B (zh) 2022-07-01

Similar Documents

Publication Publication Date Title
US11509534B2 (en) Collection of error packet information for network policy enforcement
US20160072684A1 (en) Distributed deep packet inspection
KR20220062101A (ko) 정보 송신 방법, 장치, 판독 가능한 매체 및 전자 장치
CN108173938A (zh) 服务器负载分流方法及装置
US9331915B1 (en) Dynamic network traffic mirroring
US10158733B2 (en) Automated DPI process
US10491584B2 (en) Role-based resource access control
CN113364804B (zh) 一种流量数据的处理方法和装置
CN110650209A (zh) 实现负载均衡的方法和装置
CN115955347A (zh) 一种入侵防御规则处理方法、装置、设备及介质
CN114071544B (zh) 网络测试方法、装置和电子设备
US9195564B2 (en) Advanced notification of workload
CN114039926A (zh) 传输控制协议确定方法、装置、可读介质及电子设备
CN113298573A (zh) 内容投放策略比较方法、装置、可读介质及电子设备
CN114448728B (zh) 用于调整交换机流表项的方法、装置和计算机可读介质
CN114422277B (zh) 防御网络攻击的方法、装置、电子设备和计算机可读介质
CN111262907A (zh) 服务实例访问方法、装置和电子设备
US20140136647A1 (en) Router and operating method thereof
CN113778850A (zh) 数据处理方法、装置、电子设备和计算机可读介质
CN112436951A (zh) 一种预知流量路径的方法和装置
CN113765692B (zh) 限流方法、装置、电子设备和计算机可读介质
CN117424764B (zh) 系统资源访问请求信息处理方法、装置、电子设备和介质
CN112887213B (zh) 报文清洗方法和装置
CN114826707B (zh) 处理用户威胁的方法、装置、电子设备和计算机可读介质
CN112685455B (zh) 实时数据分类显示方法、装置、电子设备和可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant