CN114884821B - 一种自智网络中的多策略冲突规避方法 - Google Patents
一种自智网络中的多策略冲突规避方法 Download PDFInfo
- Publication number
- CN114884821B CN114884821B CN202210692833.3A CN202210692833A CN114884821B CN 114884821 B CN114884821 B CN 114884821B CN 202210692833 A CN202210692833 A CN 202210692833A CN 114884821 B CN114884821 B CN 114884821B
- Authority
- CN
- China
- Prior art keywords
- strategy
- sequence
- conflict
- network
- subset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000004088 simulation Methods 0.000 claims abstract description 64
- 230000005856 abnormality Effects 0.000 claims abstract description 20
- 238000013138 pruning Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 16
- 230000009471 action Effects 0.000 claims description 4
- 238000002347 injection Methods 0.000 claims description 2
- 239000007924 injection Substances 0.000 claims description 2
- 238000012545 processing Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 2
- 238000012795 verification Methods 0.000 description 13
- 238000005457 optimization Methods 0.000 description 4
- 238000013519 translation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0873—Checking configuration conflicts between network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种自智网络中的多策略冲突规避方法,包括:采集网络状态信息;获取待验证多策略集合;构建包含所有多策略执行顺序的策略排序空间树;对策略排序空间树进行深度优先遍历,提取一条待验证的多策略执行顺序,然后构建一个初始仿真数据平面,将多策略执行顺序中的每条策略按序逐条注入至仿真数据平面中,存储每条策略插入后的仿真数据平面;检测每条策略被执行后生成的仿真数据平面是否存在冲突异常,推理冲突策略顺序中多策略间的依赖关系,对策略排序空间树进行剪枝,以高效挑选避免冲突的多策略执行顺序并下发。本发明属于通信领域,能对多策略下发的网络中间状态异常进行验证,同时根据多策略间的依赖关系高效挑选出避免冲突的正确执行顺序。
Description
技术领域
本发明涉及一种自智网络中的多策略冲突规避方法,属于通信领域。
背景技术
自智网络是应网络智能化发展而生,旨在构建网络全生命周期的自动化、打造“自配置、自修复、自优化”的数智化运维能力。同时,自智网络中引入了意图,用来表达用户需求、目标和约束,允许系统相应地调整操作方式,将意图转译为网络配置策略,实际部署应用。
无论是基于网络环境“自配置、自修复、自优化”生成的策略,还是根据意图转译得到的策略,为避免网络安全隐患甚至是网络瘫痪问题,策略应在下发前进行严格验证。现有方案一般通过构建仿真网络,模拟策略下发至仿真网络后,仿真网络内是否存在冲突,判断网络策略可行性,若存在冲突,提出预警,并尝试解决冲突。
自智网络通常需要一次性自动化生成、部署多条配置策略来应对网络全局变化。同时,自智网络在分析用户意图时,往往将其转译、配置为多条策略。当前,自智网络架构及相关方法通常是基于软件定义网络(Software-Defined Network,SDN)架构。由于网络是具有许多分布式交换机的复杂系统,控制器在某一时刻通常只能对一台交换机进行配置修改。因此多条策略的下发过程是有顺序的。网络在部署多策略时,需要经过一系列中间状态来达到预期的最终配置。
专利申请CN 202011464295.X(申请名称:意图驱动网络中的策略自动化验证技术,申请日:2020年12月12日,申请人:东北大学)公开了一种意图驱动网络中的策略自动化验证技术,针对策略在实现时出现的各种问题提出对应的解决方案,首先,针对用户意图中的意图指标、性能参数可能在转译后与用户意图相违背的情况,设计了基于形式化验证的方法来验证意图转译带来的策略不一致性问题。其次针对策略在下发时与网络中现有的策略发生冲突的情况,设计了基于流规则的策略冲突验证的方法。最后针对底层网络资源不够无法满足用户需求,从而导致策略的实现与用户意图违背的情况,设计了基于实时数据库的资源可用性验证的方法。但该方案仅验证多策略全部下发完是否与已有策略冲突,一方面缺少对多策略在下发过程中的网络中间状态是否出现数据包循环、防火墙冲突等冲突的验证,另一方面无法根据待验证多策略间的依赖关系来挑选获得避免冲突的正确执行顺序。
因此,如何对多策略下发过程中的网络中间状态的异常进行验证,同时根据待验证多策略间的依赖关系高效挑选出避免冲突的正确执行顺序,已成为技术人员重点关注的技术问题。
发明内容
有鉴于此,本发明的目的是提供一种自智网络中的多策略冲突规避方法,能对多策略下发过程中的网络中间状态的异常进行验证,同时根据待验证多策略间的依赖关系高效挑选出避免冲突的正确执行顺序。
为了达到上述目的,本发明提供了一种自智网络中的多策略冲突规避方法,包括有:
步骤一、采集网络状态信息,所述网络状态信息包括网络拓扑、配置信息,以及网络流量中的网络数据;
步骤二、获取待验证的多策略集合;
步骤三、基于多策略集合生成所有多策略执行顺序,然后采用树的数据结构,构建包含有所有多策略执行顺序的策略排序空间树:以树的节点代表网络状态,边代表网络命令,从根到叶子的一条路径表示网络从初始状态按边上的网络命令顺序执行的过程,将每条多策略执行顺序转化成树上的一条从根到叶节点的路径;
步骤四、对策略排序空间树进行深度优先遍历,从中提取一条待验证的多策略执行顺序,然后将步骤一的网络状态信息作为网络的初始状态,并利用软件形式化模拟网络中各个网元的转发表,从而构建一个初始的仿真数据平面,再将待验证的多策略执行顺序中的每条策略按序逐条注入至仿真数据平面中,模拟计算每条策略被执行后生成的仿真数据平面,并存储所有生成的仿真数据平面;
步骤五、检测待验证的多策略执行顺序中每条策略被执行后生成的仿真数据平面是否存在冲突异常,并据此构成冲突策略顺序,然后推理冲突策略顺序中多策略间的依赖关系,对策略排序空间树进行剪枝,最终挑选出避免冲突的多策略执行顺序,按序下发多策略至实际的网络数据平面。
与现有技术相比,本发明的有益效果是:网络在部署多策略时,需要经过一系列中间状态来达到预期的最终配置,现有策略验证工作仅仅验证网络策略全部署完时网络最终状态是否引起网络异常,而缺少在整个策略集逐条下发时,对网络每个中间状态的验证,本发明既验证多策略完全部署后网络稳定,也保障多策略逐条下发过程中网络不存在异常;针对多策略下发过程中网络存在策略冲突情况,本发明可以高效计算得到正确的多策略执行顺序,以避免冲突,策略数量为n的多策略集合共有n!种排序方案,直接遍历时间复杂度极高,本发明挖掘多策略集中各条策略依赖关系,当验证发现当前排序方案冲突时,本发明不轻易回溯,尝试通过删减出错策略前置策略、引入未执行策略等方式确定正确策略顺序子集或最小策略冲突子集,并据此对策略排序空间树剪枝;策略验证在模拟新规则注入,生成仿真数据平面时的时间开销最大,本发明从减少仿真数据平面重复生成的角度对验证过程提速,对按某顺序执行的n条多策略进行验证时,将逐条注入每条策略后的各个仿真数据平面进行记录,共计n个,对新排序验证时,优先检查能否直接利用已有仿真数据平面记录或在已有记录的基础上更新,提高验证速度。
附图说明
图1是本发明一种自智网络中的多策略冲突规避方法的流程图。
图2是图1步骤五的具体实施步骤流程图。
图3是图2步骤53的具体实施步骤流程图。
图4是应用本发明的一个小型数据中心实施例的网络拓扑图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
如图1所示,本发明一种自智网络中的多策略冲突规避方法,包括有:
步骤一、采集网络状态信息,所述网络状态信息可以包括网络拓扑、配置信息,以及网络流量中的关键网络数据,例如:时延、带宽、丢包率等;
步骤二、获取待验证的多策略集合;
步骤二可以基于采集到的网络状态信息,根据网络环境波动利用AI算法智能生成相应的优化或自愈策略;或者接受用户意图,将用户意图转译成网络策略。由于网络的复杂性,优化、自愈、意图配置方案通常需要多策略实现;
步骤三、基于多策略集合生成所有多策略执行顺序,然后采用树的数据结构,构建包含有所有多策略执行顺序的策略排序空间树:以树的节点代表网络状态,边代表网络命令,从根到叶子的一条路径表示网络从初始状态按边上的网络命令顺序执行的过程,将每条多策略执行顺序转化成树上的一条从根到叶节点的路径;
也即是说,若多策略集合中的策略数为n时,策略排序空间树包含有n!条从根到叶节点的路径;
步骤四、对策略排序空间树进行深度优先遍历,从中提取一条待验证的多策略执行顺序,然后将步骤一的网络状态信息作为网络的初始状态,并利用软件形式化模拟网络中各个网元的转发表,从而构建一个初始的仿真数据平面,再将待验证的多策略执行顺序中的每条策略按序逐条注入至仿真数据平面中,模拟计算每条策略被执行后生成的仿真数据平面,并存储所有生成的仿真数据平面;
步骤四中,每个网元的转发表表项由三元组(match、priority、action)组成,其中match表示数据包头部匹配域,priority表示转发策略的优先级,action表示匹配到数据包进行的操作。本发明记录网络的初始仿真状态,每当有新策略插入时,根据新策略中各数据包的match(匹配域)对原本仿真数据平面的转发表做增量更新。按多策略执行顺序将策略逐条注入至当前模拟的仿真数据平面中,存储每条新策略插入后得到的仿真数据平面(策略数为n时,仅存储最新n个仿真数据平面)。每次更新仿真数据平面时,本发明检查是否能在已存储的仿真数据平面基础上进行更新,从而提高数据平面建模效率。当待验证的多策略全部按序插入完毕后,对生成的n个仿真数据平面进行网络冲突校验;
步骤五、检测待验证的多策略执行顺序中每条策略被执行后生成的仿真数据平面是否存在冲突异常,所述冲突异常可以包括:循环、黑洞或防火墙冲突异常,并据此构成冲突策略顺序,然后推理冲突策略顺序中多策略间的依赖关系,对策略排序空间树进行剪枝,最终挑选出避免冲突的多策略执行顺序,按序下发多策略至实际的网络数据平面。
本发明不仅验证多策略集合中全部策略下发完毕的网络最终状态是否稳定,同时还对多策略按顺序逐条下发过程中的网络中间状态进行验证,并对错误顺序及时调整,从而获得保障网络每个中间状态均稳定的多策略执行顺序。如图2所示,步骤五可以进一步包括有:
步骤51、判断所有策略被执行后生成的仿真数据平面是否存在冲突异常?如果是,则表示多策略集合存在无法避免的网络冲突,与多策略执行顺序无关,反馈错误信息,本流程结束;如果否,则继续下一步;
步骤52、判断策略逐条注入过程中生成的所有仿真数据平面是否存在冲突异常?如果是,则按照执行顺序,提取冲突异常的仿真数据平面上所有已执行过的策略,从而构成冲突策略顺序,然后继续下一步;如果否,则表示待验证的多策略执行顺序是正确的执行顺序,按照多策略执行顺序逐一下发所有策略至实际网络,从而完成多策略在实际网络中的部署,本流程结束;
步骤53、采用策略冲突推理算法,通过在冲突策略顺序中删除前置策略或插入未执行策略,以计算获得正确策略顺序子集或最小策略冲突子集;
步骤54、根据计算得到的正确策略顺序子集或最小策略冲突子集,对策略排序空间树进行剪枝:去除与正确策略顺序子集中的策略执行顺序不一致的多策略执行顺序、或者以最小策略冲突子集开始的多策略执行顺序,然后转向步骤四。
其中,检测仿真数据平面是否存在冲突异常,可以进一步包括有:
对仿真数据平面中每个网元的转发表采用深度优先遍历,检查匹配域相同的数据包是否在遍历过程中遇到路径循环,是否在某节点处没有对应的处理规则,或是否违反当前节点访问控制列表。
如图3所示,步骤53可以进一步包括有:
步骤531、从冲突策略顺序中读取排序位于最后的策略,然后从冲突策略顺序中逐一删除所读取策略的每个前置策略,删除每个前置策略后的冲突策略顺序是一条前置策略顺序子集,由所有前置策略顺序子集构成所读取策略的前置策略顺序子集群;
前置策略是冲突策略顺序中位于所读取策略之前的一个或多个策略;
步骤532、从所读取策略的前置策略顺序子集群中逐一提取每个前置策略顺序子集,然后将所提取前置策略顺序子集中的每条策略按序逐条注入至仿真数据平面中,并存储所有策略全部插入后生成的仿真数据平面,最后判断所存储的仿真数据平面是否存在冲突异常,如果否,则所提取前置策略顺序子集是正确策略顺序子集,转向步骤54;如果是,则继续从所读取策略的前置策略顺序子集群中提取下一个前置策略顺序子集,当已提取完前置策略顺序子集群中的所有前置策略顺序子集时,则表示通过删除前置策略无法规避冲突,所读取策略是最小策略冲突子集,然后继续下一步;
步骤533、获取冲突策略顺序的每个未执行策略,并在最小策略冲突子集前逐一插入每个未执行策略,未执行策略和最小策略冲突子集构成一条未执行策略顺序子集,由所有未执行策略顺序子集构成未执行策略顺序子集群;
未执行策略是多策略执行顺序中不属于冲突策略顺序的其他策略;
步骤534、从未执行策略顺序子集群中逐一提取每个未执行策略顺序子集,然后将所提取未执行策略顺序子集中的每条策略按序逐条注入至仿真数据平面中,并存储所有策略全部插入后生成的仿真数据平面,最后判断所存储的仿真数据平面是否存在冲突异常,如果否,则所提取未执行策略顺序子集是正确策略顺序子集,转向步骤54;如果否,则继续从未执行策略顺序子集群中提取下一个未执行策略顺序子集,当已提取完未执行策略顺序子集群中的所有未执行策略顺序子集时,则表示无法获得规避冲突的正确策略顺序子集,转向步骤54。
为了更清楚的解释步骤53的实施流程,下面将以一条待验证的多策略执行顺序a-b-c-d为例进行说明,步骤四将待验证的多策略执行顺序a-b-c-d注入至仿真数据平面,步骤五检测发现插入策略a和b的仿真数据平面不存在冲突异常,但插入策略c的仿真数据平面存在冲突异常,从而获得冲突策略顺序a-b-c:
步骤a、从冲突策略顺序a-b-c中读取排序位于最后的策略c,删除c的前置策略a、b、ab,从而得到前置策略顺序子集:b-c、a-c、c;(对应于步骤531)
步骤b、验证发现前置策略顺序子集b-c、a-c、c对应的仿真数据平面均异常,得到最小策略冲突子集c;(对应于步骤532)
步骤c、在最小冲突子集c前插入未执行策略d,得到未执行策略顺序子集:d-c;(对应于步骤533)
步骤d、验证发现未执行策略顺序子集d-c对应的仿真数据平面不存在冲突异常,得到正确策略顺序子集d-c,并据此对策略排序空间树进行剪枝。(对应于步骤534)
图4是应用本发明的一个小型数据中心的网络拓扑图的实施例。如图4所示,其包含两个核心交换机(C1、C2)、四个汇聚交换机(A1、A2、A3、A4)、四个接入交换机(T1、T2、T3、T4)与四个主机(H1、H2、H3、H4)。假设收到用户意图:将从H1到H3的流量路径从T1-A1-C1-A3-T3切换为T1-A2-C1-A4-T3,并保证该流量中所有的数据包都经A1或A4处的防火墙进行过滤。首先,对该用户意图进行转译,生成对应的网络配置策略集合,其中共计4条策略,包括:updateA2:新增交换机A2流表项,将源地址来自H1的数据包转发到C1;update A4:新增交换机A4流表项,将源地址来自H1的数据包转发到T3;updateT1:修改交换机T1流表项,将源地址来自H1的数据包转发到A2;updateC1:修改交换机C1流表项,将源地址来自H1的数据包转发到A4。然后:
(1)构建4条策略的策略排序空间树,基于深度优先遍历选择updateA2-updateA4-updateT1-updateC1顺序。对其下发到数据平面的行为进行模拟,分别生成逐步插入各条命令的仿真数据平面,经可行性验证算法检验,四条指令完全下发后网络最终状态稳定,但当仿真网络执行完updateA2-updateA4-updateT1策略时,发现H1至H3的数据包存在同时绕开A1、A4处防火墙的网络异常;
(2)利用策略冲突推理算法分析updateA2-updateA4-updateT1此冲突策略顺序,通过验证删减updataT1的前置策略updateA2、updateA4后该冲突仍存在,确定updateT1为最小策略冲突子集,其直接导致数据包绕开A1处防火墙且未途径A4处防火墙的网络异常。然后,尝试引入未执行策略updateC1来解决策略冲突,确定updateC1-updateT1为正确策略顺序子集,可避免此冲突;
(3)利用计算得到的正确策略顺序子集剪枝优化策略排序空间树。优先考虑包含正确策略顺序子集updateC1-updateT1的多策略执行顺序,尝试计算updateA2-updateA4-updateC1-updateT1顺序的可行性。按顺序逐步插入各条命令,得到的各网络仿真数据平面均稳定,确定其为实现该网络多策略集合的正确执行顺序,最终将对应流表按序下发至实际网络数据平面。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (5)
1.一种自智网络中的多策略冲突规避方法,其特征在于,包括有:
步骤一、采集网络状态信息,所述网络状态信息包括网络拓扑、配置信息,以及网络流量中的网络数据;
步骤二、获取待验证的多策略集合;
步骤三、基于多策略集合生成所有多策略执行顺序,然后采用树的数据结构,构建包含有所有多策略执行顺序的策略排序空间树:以树的节点代表网络状态,边代表网络命令,从根到叶子的一条路径表示网络从初始状态按边上的网络命令顺序执行的过程,将每条多策略执行顺序转化成树上的一条从根到叶节点的路径;
步骤四、对策略排序空间树进行深度优先遍历,从中提取一条待验证的多策略执行顺序,然后将步骤一的网络状态信息作为网络的初始状态,并利用软件形式化模拟网络中各个网元的转发表,从而构建一个初始的仿真数据平面,再将待验证的多策略执行顺序中的每条策略按序逐条注入至仿真数据平面中,模拟计算每条策略被执行后生成的仿真数据平面,并存储所有生成的仿真数据平面;
步骤五、检测待验证的多策略执行顺序中每条策略被执行后生成的仿真数据平面是否存在冲突异常,并据此构成冲突策略顺序,然后推理冲突策略顺序中多策略间的依赖关系,对策略排序空间树进行剪枝,最终挑选出避免冲突的多策略执行顺序,按序下发多策略至实际的网络数据平面。
2.根据权利要求1所述的方法,其特征在于,步骤四中,每个网元的转发表表项由三元组(match、priority、action)组成,其中match表示数据包头部匹配域,priority表示转发策略的优先级,action表示匹配到数据包进行的操作。
3.根据权利要求1所述的方法,其特征在于,步骤五进一步包括有:
步骤51、判断所有策略被执行后生成的仿真数据平面是否存在冲突异常,如果是,则表示多策略集合存在无法避免的网络冲突,与多策略执行顺序无关,反馈错误信息,本流程结束;如果否,则继续下一步;
步骤52、判断策略逐条注入过程中生成的所有仿真数据平面是否存在冲突异常,如果是,则按照执行顺序,提取冲突异常的仿真数据平面上所有已执行过的策略,从而构成冲突策略顺序,然后继续下一步;如果否,则表示待验证的多策略执行顺序是正确的执行顺序,按照多策略执行顺序逐一下发所有策略至实际网络,从而完成多策略在实际网络中的部署,本流程结束;
步骤53、采用策略冲突推理算法,通过在冲突策略顺序中删除前置策略或插入未执行策略,以计算获得正确策略顺序子集或最小策略冲突子集;
步骤54、根据计算得到的正确策略顺序子集或最小策略冲突子集,对策略排序空间树进行剪枝:去除与正确策略顺序子集中的策略执行顺序不一致的多策略执行顺序、或者以最小策略冲突子集开始的多策略执行顺序,然后转向步骤四。
4.根据权利要求3所述的方法,其特征在于,步骤53进一步包括有:
步骤531、从冲突策略顺序中读取排序位于最后的策略,然后从冲突策略顺序中逐一删除所读取策略的每个前置策略,删除每个前置策略后的冲突策略顺序是一条前置策略顺序子集,由所有前置策略顺序子集构成所读取策略的前置策略顺序子集群;
步骤532、从所读取策略的前置策略顺序子集群中逐一提取每个前置策略顺序子集,然后将所提取前置策略顺序子集中的每条策略按序逐条注入至仿真数据平面中,并存储所有策略全部插入后生成的仿真数据平面,最后判断所存储的仿真数据平面是否存在冲突异常,如果否,则所提取前置策略顺序子集是正确策略顺序子集,转向步骤54;如果是,则继续从所读取策略的前置策略顺序子集群中提取下一个前置策略顺序子集,当已提取完前置策略顺序子集群中的所有前置策略顺序子集时,则表示通过删除前置策略无法规避冲突,所读取策略是最小策略冲突子集,然后继续下一步;
步骤533、获取冲突策略顺序的每个未执行策略,并在最小策略冲突子集前逐一插入每个未执行策略,未执行策略和最小策略冲突子集构成一条未执行策略顺序子集,由所有未执行策略顺序子集构成未执行策略顺序子集群;
步骤534、从未执行策略顺序子集群中逐一提取每个未执行策略顺序子集,然后将所提取未执行策略顺序子集中的每条策略按序逐条注入至仿真数据平面中,并存储所有策略全部插入后生成的仿真数据平面,最后判断所存储的仿真数据平面是否存在冲突异常,如果否,则所提取未执行策略顺序子集是正确策略顺序子集,转向步骤54;如果否,则继续从未执行策略顺序子集群中提取下一个未执行策略顺序子集,当已提取完未执行策略顺序子集群中的所有未执行策略顺序子集时,则表示无法获得规避冲突的正确策略顺序子集,转向步骤54。
5.根据权利要求3或4所述的方法,其特征在于,检测仿真数据平面是否存在冲突异常,所述冲突异常包括:循环、黑洞或防火墙冲突异常,进一步包括有:
对仿真数据平面中每个网元的转发表采用深度优先遍历,检查匹配域相同的数据包是否在遍历过程中遇到路径循环,是否在节点处没有对应的处理规则,或是否违反当前节点访问控制列表。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210692833.3A CN114884821B (zh) | 2022-06-17 | 2022-06-17 | 一种自智网络中的多策略冲突规避方法 |
US18/115,453 US11909592B2 (en) | 2022-06-17 | 2023-02-28 | Method for multi-policy conflict avoidance in autonomous network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210692833.3A CN114884821B (zh) | 2022-06-17 | 2022-06-17 | 一种自智网络中的多策略冲突规避方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114884821A CN114884821A (zh) | 2022-08-09 |
CN114884821B true CN114884821B (zh) | 2023-07-18 |
Family
ID=82681665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210692833.3A Active CN114884821B (zh) | 2022-06-17 | 2022-06-17 | 一种自智网络中的多策略冲突规避方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11909592B2 (zh) |
CN (1) | CN114884821B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115794853B (zh) * | 2023-02-03 | 2023-06-23 | 天翼云科技有限公司 | 政务数据资源目录的更新方法、装置、电子设备及介质 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103096353A (zh) * | 2011-11-02 | 2013-05-08 | 中兴通讯股份有限公司 | 一种北向数据配置与自组织网络配置协调处理方法及系统 |
WO2016033963A1 (zh) * | 2014-09-05 | 2016-03-10 | 中兴通讯股份有限公司 | 策略调整触发、策略调整方法及装置、策略调整系统 |
WO2017020601A1 (zh) * | 2015-08-06 | 2017-02-09 | 中兴通讯股份有限公司 | 策略的运营、配置下发、冲突处理和闭环管理方法及系统 |
CN106817275A (zh) * | 2016-12-16 | 2017-06-09 | 江苏省未来网络创新研究院 | 一种自动化预防和编排处理策略冲突的系统和方法 |
CN109889546A (zh) * | 2019-03-28 | 2019-06-14 | 北京邮电大学 | 一种快速细粒度多域网络互联安全控制方法 |
CN109906586A (zh) * | 2016-12-30 | 2019-06-18 | 谷歌有限责任公司 | 跨安全网络边界的配置验证的系统和方法 |
CN110099056A (zh) * | 2019-04-30 | 2019-08-06 | 哈尔滨英赛克信息技术有限公司 | 一种IPSec安全网关的策略冲突动态检测方法 |
CN110225008A (zh) * | 2019-05-27 | 2019-09-10 | 四川大学 | 一种云环境下sdn网络状态一致性验证方法 |
CN111490906A (zh) * | 2020-06-29 | 2020-08-04 | 武汉思普崚技术有限公司 | 一种网关设备策略的分析方法、装置及可读存储介质 |
CN112448915A (zh) * | 2019-08-28 | 2021-03-05 | 华为技术有限公司 | 配置报文的验证方法及装置、计算机存储介质 |
CN112470431A (zh) * | 2018-07-26 | 2021-03-09 | 思科技术公司 | 使用自动布尔学习的网络的模型的合成 |
CN112565193A (zh) * | 2020-11-06 | 2021-03-26 | 西安电子科技大学 | 一种网络安全策略冲突分解方法、系统、存储介质、设备 |
CN112636958A (zh) * | 2020-12-12 | 2021-04-09 | 东北大学 | 意图驱动网络中的策略自动化验证技术 |
CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
CN114095347A (zh) * | 2020-07-31 | 2022-02-25 | 华为技术有限公司 | 网络业务自动化平台、冲突管理方法、设备及存储介质 |
US11283691B1 (en) * | 2020-10-21 | 2022-03-22 | Juniper Networks, Inc. | Model driven intent policy conflict detection and resolution through graph analysis |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9959509B2 (en) * | 2008-11-26 | 2018-05-01 | International Business Machines Corporation | Computing dependent and conflicting changes of business process models |
US9894100B2 (en) * | 2014-12-30 | 2018-02-13 | Fortinet, Inc. | Dynamically optimized security policy management |
US11575571B2 (en) * | 2020-05-08 | 2023-02-07 | Rockwell Automation Technologies, Inc. | Centralized security event generation policy |
-
2022
- 2022-06-17 CN CN202210692833.3A patent/CN114884821B/zh active Active
-
2023
- 2023-02-28 US US18/115,453 patent/US11909592B2/en active Active
Patent Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103096353A (zh) * | 2011-11-02 | 2013-05-08 | 中兴通讯股份有限公司 | 一种北向数据配置与自组织网络配置协调处理方法及系统 |
WO2016033963A1 (zh) * | 2014-09-05 | 2016-03-10 | 中兴通讯股份有限公司 | 策略调整触发、策略调整方法及装置、策略调整系统 |
WO2017020601A1 (zh) * | 2015-08-06 | 2017-02-09 | 中兴通讯股份有限公司 | 策略的运营、配置下发、冲突处理和闭环管理方法及系统 |
CN106817275A (zh) * | 2016-12-16 | 2017-06-09 | 江苏省未来网络创新研究院 | 一种自动化预防和编排处理策略冲突的系统和方法 |
CN109906586A (zh) * | 2016-12-30 | 2019-06-18 | 谷歌有限责任公司 | 跨安全网络边界的配置验证的系统和方法 |
CN112470431A (zh) * | 2018-07-26 | 2021-03-09 | 思科技术公司 | 使用自动布尔学习的网络的模型的合成 |
CN109889546A (zh) * | 2019-03-28 | 2019-06-14 | 北京邮电大学 | 一种快速细粒度多域网络互联安全控制方法 |
CN110099056A (zh) * | 2019-04-30 | 2019-08-06 | 哈尔滨英赛克信息技术有限公司 | 一种IPSec安全网关的策略冲突动态检测方法 |
CN110225008A (zh) * | 2019-05-27 | 2019-09-10 | 四川大学 | 一种云环境下sdn网络状态一致性验证方法 |
CN112448915A (zh) * | 2019-08-28 | 2021-03-05 | 华为技术有限公司 | 配置报文的验证方法及装置、计算机存储介质 |
CN111490906A (zh) * | 2020-06-29 | 2020-08-04 | 武汉思普崚技术有限公司 | 一种网关设备策略的分析方法、装置及可读存储介质 |
CN114095347A (zh) * | 2020-07-31 | 2022-02-25 | 华为技术有限公司 | 网络业务自动化平台、冲突管理方法、设备及存储介质 |
US11283691B1 (en) * | 2020-10-21 | 2022-03-22 | Juniper Networks, Inc. | Model driven intent policy conflict detection and resolution through graph analysis |
CN114465901A (zh) * | 2020-10-21 | 2022-05-10 | 瞻博网络公司 | 通过图分析的模型驱动的意图策略冲突检测和解决方案 |
CN112565193A (zh) * | 2020-11-06 | 2021-03-26 | 西安电子科技大学 | 一种网络安全策略冲突分解方法、系统、存储介质、设备 |
CN112636958A (zh) * | 2020-12-12 | 2021-04-09 | 东北大学 | 意图驱动网络中的策略自动化验证技术 |
CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
Non-Patent Citations (7)
Title |
---|
Prefix-Graph: A Versatile Log Parsing Approach Merging Prefix Tree with Probabilistic Graph;jingyu wang等;《 2021 IEEE 37th International Conference on Data Engineering (ICDE)》;全文 * |
一种XACML规则冲突及冗余分析方法;王雅哲;冯登国;;计算机学报(第03期);全文 * |
可信可控网络资源控制的冲突检测机制;曲延盛;罗军舟;李伟;王鹏;谭晶;;通信学报(第10期);全文 * |
基于GMCR-NPAWLAK混合模型的冲突分析研究;孟宏鹏;徐海燕;侯宇航;;运筹与管理(第10期);全文 * |
基于决策树模型的策略冲突检测方法;吴世洲;黄鹂声;马绍良;丘晓彤;;计算机应用(第S2期);全文 * |
知识定义的意图网络自治;王敬宇;《电信科学》(第9期);第1-6页 * |
面向应用的IPSec系统策略管理机制;周辉;程东年;权乐;;计算机工程与科学(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
US11909592B2 (en) | 2024-02-20 |
US20230412457A1 (en) | 2023-12-21 |
CN114884821A (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3251298B1 (en) | Data extraction | |
West | Protocol validation in complex systems | |
CN114884821B (zh) | 一种自智网络中的多策略冲突规避方法 | |
EP3101842B1 (en) | Method, system and computer readable medium for network management automation | |
CN104506340A (zh) | 基于工业以太网故障诊断方法中决策树的创建方法 | |
CN105141441A (zh) | 一种ip网络图形化配置的方法 | |
CN112702215A (zh) | 告警关联规则匹配优先级排序方法、装置及存储介质 | |
CN107749800B (zh) | 一种实现通信设备自动化测试配置隐式删除的方法 | |
Fang et al. | Checking intra-switch conflicts of rules during preprocessing of network verification in SDN | |
CN108667659B (zh) | 网络拓朴图中环路节点的搜索方法及系统 | |
CN112437065B (zh) | Sdn环境下基于图形表示的策略冲突检测及解决方法 | |
CN113760753B (zh) | 基于灰盒模糊技术的quic协议测试方法 | |
CN113259371B (zh) | 基于soar系统的网络攻击事件阻止方法及系统 | |
CN104735060A (zh) | 路由器及其数据平面信息的验证方法和验证装置 | |
Wolf et al. | Adaptive modelling for security analysis of networked control systems | |
CN111431732B (zh) | 一种对计算机网络数据平面进行增量验证的方法与系统 | |
Li et al. | A network attack model based on colored petri net | |
Rothmaier et al. | Using Spin and Eclipse for optimized high-level modeling and analysis of computer network attack models | |
US11184282B1 (en) | Packet forwarding in a network device | |
CN117955848A (zh) | 多策略验证方法、装置、电子设备和可读存储介质 | |
CN109067572A (zh) | 基于命令行编辑snmp配置文件的方法、装置及设备 | |
CN116455798B (zh) | 协议程序测试模型自动生成方法及装置 | |
CN112653937B (zh) | 光网络接入设备管理方法及装置 | |
Wang et al. | Comparison model and algorithm for distributed firewall policy | |
Aryan et al. | Net Auto-Solver: A formal approach for automatic resolution of OpenFlow anomalies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |