本發明提供了一種基于別名集規則縮減的流表規則沖突優化方法，其特征在于，將控制器分為沖突檢測模塊和沖突解決模塊，包括沖突檢測方法和沖突解決方法：所述的沖突檢測模塊內部分成了三個模塊，包括路徑計算模塊、防火墻計算模塊和沖突分析模塊；不僅避免了沖突誤報的現象，而且在檢測和解決沖突的效率上同樣是符合要求的。

技術領域

本發明涉及規則沖突檢測技術領域，尤其涉及一種基于別名集規則縮減的流表規則沖突優化方法。

背景技術

隨著新型網絡架構軟件定義網絡的盛行，其相關的設備產品已逐漸趨于實用化、市場化，并得到了諸多研究人員的認可。但是，軟件定義網絡仍是處于發展階段的新興技術，當用戶通過北向接口向控制器下發應用策略時，由于內部可能會同時運行多個應用策略，其中包括防火墻等安全應用。由于這些應用執行不同的功能，難免會產生配置規則之間沖突的現象，其中包括非安全應用間的沖突以及非安全應用與安全應用間的沖突。相對于前者的沖突類型，后者的沖突危害性更大。攻擊者可以不斷地下發與安全應用間形成沖突的應用策略，以達到攻擊網絡的目的，從而造成網絡混亂，降低網絡安全防御能力。鑒于以上問題，如何快速地檢測出應用策略之間的沖突并采取行之有效的方法去解決已受變得尤為重要。

為了檢測流表項規則和防火墻規則之間是否存在沖突，別名集規則縮減算法是把配置規則（包括防火墻規則）轉換為集合化的形式，將源地址構成一個集合稱之為源規則集，目的地址構成一個集合稱之為目的規則集。分別對流表項和防火墻的源規則集和目的規則集進行集合匹配并分析是否存在沖突。雖然，該算法可以通過集合化的形式檢測流表項規則和防火墻規則之間的沖突，但是其同樣存在著沖突檢測誤報以及沖突解決方式單一的不足之處。

發明內容

本發明的目的在于一種基于別名集規則縮減的流表規則沖突優化算法，目的是消除原始算法沖突檢測誤報的現象，并根據不同類型的配置規則提出不同的沖突解決方法以準確、有效地解決沖突。

為解決上述技術問題，本發明提供了一種基于別名集規則縮減的流表規則沖突優化方法，將控制器分為沖突檢測模塊和沖突解決模塊，包括沖突檢測方法和沖突解決方法：

所述的沖突檢測模塊內部又分成了三個模塊，包括路徑計算模塊、防火墻計算模塊和沖突分析模塊；

所述的沖突檢測方法包括：

S1、路徑計算模塊是基于頭部空間解析模型（HSA）獲取網絡中的可達路徑，通過該路徑即可獲得源地址和目的地址進行接下來的規則匹配，沖突檢測方式同樣采用原始算法集合化的形式，有所不同的是優化算法分別將交換機流表項規則和防火墻規則的源地址和目的地址提取出來形成一個二元組集合，形如（源地址，目的地址），然后提交給沖突分析模塊進行后續的沖突檢測；

S2、防火墻計算模塊主要的作用是維護防火墻drop規則的二元組集合，形式如同流表項規則集合。對更新的防火墻規則及時做集合化處理，并提交給沖突分析模塊進行后續的沖突檢測；

S3、沖突分析模塊主要對路經計算模塊和防火墻計算模塊分別形成的二元組集合做匹配分析，集合匹配成功說明存在沖突，否則不存在沖突；

沖突解決方法包括：沖突解決模塊分為5種沖突解決的方法，包括新流拒絕、更新接受、更新拒絕、規則移除和數據包阻塞；該模塊會根據配置規則下發的不同方式采用不同的沖突解決方法，以應對復雜多變的網絡場景。

本申請實施例中提供的一個或多個技術方案，至少具有如下技術效果或優點：

該算法在控制器中設計沖突檢測模塊和沖突解決模塊，針對應用層下發不同類型的配置規則進行實時的沖突檢測，判斷更新發生時是否產生沖突，同時提供5種不同的沖突解決方式來解決沖突。通過原始算法和優化算法的對比實驗，充分論證了優化算法不僅避免了沖突誤報的現象，而且在檢測和解決沖突的效率上同樣是符合要求的。

附圖說明