基于OpenFlow的软件定义网络流规则冲突检测系统

doi:10.11772/j.issn.1001-9081.2021020362

《计算机应用》唯一官方网站 ›› 2022, Vol. 42 ›› Issue (2): 528-533.DOI: 10.11772/j.issn.1001-9081.2021020362

• 网络空间安全 • 上一篇

基于OpenFlow的软件定义网络流规则冲突检测系统

张立群, 林海涛(), 郇文明, 毕文婷

海军工程大学电子工程学院，武汉 430033

收稿日期:2021-03-10 修回日期:2021-05-26 接受日期:2021-06-02 发布日期:2021-07-27 出版日期:2022-02-10
通讯作者: 林海涛
作者简介:张立群（1996—），男，山东青州人，硕士研究生，主要研究方向：软件定义网络、网络安全；
林海涛（1974—），男，山东潍坊人，副教授，博士，主要研究方向：信息网络管理与规划；
郇文明（1995—），男，山东临沂人，硕士研究生，主要研究方向：数据挖掘、网络安全；
毕文婷（1998—），女，湖北荆州人，硕士研究生，主要研究方向：网络信息安全、攻防博弈对抗。

Software defined network flow rule conflict detection system based on OpenFlow

Liqun ZHANG, Haitao LIN(), Wenming HUAN, Wenting BI

College of Electronic Engineering，Naval University of Engineering，Wuhan Hubei 430033，China

Received:2021-03-10 Revised:2021-05-26 Accepted:2021-06-02 Online:2021-07-27 Published:2022-02-10
Contact: Haitao LIN
About author:ZHANG Liqun， born in 1996， M. S. candidate. His research interests include software defined network， cyber security.
LIN Haitao， born in 1974， Ph. D.， associate professor. His research interests include information network management and planning.
HUAN Wenming， born in 1995， M. S. candidate. His research interests include data mining， cyber security.
BI Wenting， born in 1998， M. S. candidate. Her research interests include network information security， game of attack and defense.

摘要/Abstract

摘要：

在软件定义网络（SDN）中，各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突，而控制平面与转发平面的分离使得交换设备缺乏策略分析能力，无法独立检测内部的流规则冲突。针对这一问题，提出一种流规则冲突检测系统和检测算法。首先，通过监听、捕获控制平面与转发平面之间的OpenFlow报文，获取即将下发的流规则的信息。然后，使用冲突检测算法判定流规则的冲突类型。该算法根据流规则的匹配协议选择对应的规则集合，从而缩小了检测规模；而且在检测时优先对无冲突（NC）规则的特征进行检测，使得对NC规则的检测效率要高于其他类型的冲突规则。最后，根据冲突类型对流规则进行冲突消解。实验结果表明，所提冲突检测算法的检测准确率可以达到100%，与动态冲突检测模型相比该算法在同等规模的规则集合下的检测时间缩短约47%。且检测时间随NC规则占比的提高而缩短。

关键词: 软件定义网络, OpenFlow, 流规则冲突检测, 冲突消解

Abstract:

In Software Defined Network （SDN）， independent development of various network applications and multi-user network management may cause conflicts in the flow rules issued to switching equipment. Due to the separation of the control plane and the forwarding plane， the switching equipments lack strategy analysis capability， and cannot independently detect internal flow rule conflicts. Aiming at this problem， a flow rule conflict detection system and a detection algorithm were proposed. Firstly， by monitoring and capturing OpenFlow messages between the control plane and the forwarding plane， the information about the flow rules to be issued was obtained. Then， the conflict detection algorithm was used to determine the conflict type of the flow rules. The corresponding rule set was selected by the algorithm according to the matching protocol of flow rules， thereby reducing the detection scale. In the detection， the features of Non-Conflict （NC） rules were detected at first， so that the detection efficiency of NC rules was higher than those of other types of conflict rules. Finally， the flow rule conflicts were resolved according to the conflict types. Experimental results show that the detection accuracy of the proposed algorithm can reach 100%； compared with the dynamic conflict detection model， the proposed algorithm shortens the detection time by about 47% under the same scale of rule set. And the detection time is shortened as the proportion of NC rules increases.

Key words: Software?Defined?Network (SDN), OpenFlow, flow rule conflict detection, conflict resolution

中图分类号:

TP393.08

张立群, 林海涛, 郇文明, 毕文婷. 基于OpenFlow的软件定义网络流规则冲突检测系统[J]. 计算机应用, 2022, 42(2): 528-533.

Liqun ZHANG, Haitao LIN, Wenming HUAN, Wenting BI. Software defined network flow rule conflict detection system based on OpenFlow[J]. Journal of Computer Applications, 2022, 42(2): 528-533.

图/表 10

图1 SDN基本架构

Fig. 1 SDN basic architecture

表1 上述检测方法的主要不足

Tab. 1 Main shortages of the above detection methods

方法	主要不足
VeriFlow^［6］	拓展性较差
实验分析冲突的通用方法^［7］	网络适应性差
FortNOX^［8］	可移植性差
反射代理模型^［10］	未对冲突类型进行细致划分
动态冲突检测模型^［11］	检测时间长

图2 系统结构

Fig. 2 System structure

表2 某个流规则中的字段名及含义

Tab. 2 Field names and meanings in a flow rule

域名	字段名	含义
match	ingress	数据流入端口
	mac_src	数据流源MAC地址
	mac_dst	数据流目的MAC地址
	ip_src	数据流源IP地址
	ip_dst	数据流目的IP地址
	pro	数据流协议类型
	port_src	数据流源端口
	port_dst	数据流目的端口
action	drop	将数据流丢弃
	set_field： n	将field字段的值改为n
	output： port	将数据流从port端口输出

图3 存储结构

Fig. 3 Storage structure

表3 冲突消解方案

Tab. 3 Scheme of conflict resolution

序号	类型	解决方案
0	NC	直接下发R_i
1	RCP	中止下发R_i
2	RCG	删除R_j后下发R_i
3	SCG	删除R_j后下发R_i
4	SCP	删除R_j，生成新规则 $R i j'$ ，与R_i一起下发
5	CC	删除R_j，生成新规则 $R i j'$ ，与R_i一起下发

表3 冲突消解方案

Tab. 3 Scheme of conflict resolution

序号	类型	解决方案
0	NC	直接下发R_i
1	RCP	中止下发R_i
2	RCG	删除R_j后下发R_i
3	SCG	删除R_j后下发R_i
4	SCP	删除R_j，生成新规则 $R i j'$ ，与R_i一起下发
5	CC	删除R_j，生成新规则 $R i j'$ ，与R_i一起下发

表4 PDCD与动态冲突检测模型检测准确率对比

Tab. 4 Comparison of detection accuracy between PDCD and dynamic conflict detection model

集合规模	冲突规则数	PDCD		动态冲突检测模型
集合规模	冲突规则数	检测冲突规则数	准确率/%	检测冲突规则数	准确率/%
100	17	17	100	17	100
200	35	35	100	35	100
500	60	60	100	60	100
1 000	100	100	100	100	100
2 000	210	210	100	210	100

图4 检测时间与流规则集合规模的关系

Fig. 4 Relationship between detection time and size of flow rule set

表5 各类冲突规则所占比重 ( %)

Tab. 5 Percentages of various types of conflict rules

NC	RCP	RCG	SCP	SCG	CC
40.00	10.00	10.00	10.00	10.00	20.00
45.00	7.50	7.50	10.00	10.00	20.00
50.00	7.50	7.50	7.50	7.50	20.00
55.00	7.50	7.50	7.50	7.50	15.00
60.00	5.00	5.00	7.50	7.50	15.00
65.00	5.00	5.00	5.00	5.00	15.00
70.00	5.00	5.00	5.00	5.00	10.00
75.00	2.50	2.50	5.00	5.00	10.00
80.00	2.50	2.50	2.50	2.50	10.00
85.00	2.50	2.50	2.50	2.50	5.00
90.00	1.25	1.25	1.25	1.25	5.00

图5 检测时间与NC规则占比的关系

Fig. 5 Relationship between detection time and percentage of NC rules

参考文献 19

1	赵婵婵.软件定义网络中若干安全问题研究［D］.北京：北京交通大学， 2018： 1-40.
	ZHAO C C. Several security issues in software defined networking［D］. Beijing： Beijing Jiaotong University， 2018： 1-40.
2	任高明.软件定义网络研究综述［J］.信息与电脑（理论版）， 2020， 32（4）： 167-169.
	REN G M. A survey of software defined networking［J］. China Computer and Communication， 2020， 32（4）： 167-169.
3	McKEOWN N， ANDERSON T， BALAKRISHNAN H， et al. OpenFlow： enabling innovation in campus networks［J］. ACM SIGCOMM Computer Communication Review， 2008， 38（2）： 69-74. 10.1145/1355734.1355746
4	GÖRANSSON P， BLACK C， CULVER T.深度剖析软件定义网络（第二版）［M］.王海，张娟，郭晓，等，译.北京：电子工业出版社， 2019： 54-121.
	GÖRANSSON P， BLACK C， CULVER T. Software Defined Networks： a Comprehensive Approach （Second Edition）［M］. WANG H， ZHANG J， et al. translated. Beijing： Publishing House of Electronics Industry， 2019： 54-121.
5	王鑫，高能，马存庆，等.分布式SDN控制器的规则冲突解决方案［J］.信息网络安全， 2014（9）： 6-11. 10.3969/j.issn.1671-1122.2014.09.002
	WANG X， GAO N， MA C Q， et al. Solution for rule conflict under distributed SDN controller system［J］. Netinfo Security， 2014（9）： 6-11. 10.3969/j.issn.1671-1122.2014.09.002
6	KHURSHID A， ZOU X， ZHOU W X， et al. VeriFlow： verifying network-wide invariants in real time ［C］// Proceedings of the 10th USENIX Symposium on Networked Systems Design and Implementation. Berkeley： USENIX Association， 2013： 15-27.
7	TRAN C N， DANCIU V. A general approach to conflict detection in software-defined networks［J］. SN Computer Science， 2020， 1（1）： No.9. 10.1007/s42979-019-0009-9
8	PORRAS P， SHIN S， YEGNESWARAN V， et al. A security enforcement kernel for OpenFlow networks ［C］// Proceedings of the 1st Workshop on Hot Topics in Software Defined Networks. New York： ACM， 2012： 121-126. 10.1145/2342441.2342466
9	GUDE N， KOPONEN T， PETTIT J， et al. NOX： towards an operating system for networks［J］. ACM SIGCOMM Computer Communication Review， 2008， 38（3）： 105-110. 10.1145/1384609.1384625
10	BATISTA B LA， LIMA DE CAMPOS G A， FERNANDEZ M P. Flow-based conflict detection in OpenFlow networks using first-order logic ［C］// Proceedings of the 2014 IEEE Symposium on Computers and Communications. Piscataway： IEEE， 2014： 1-6. 10.1109/iscc.2014.6912577
11	邱晓晨. SDN流规则合法性检测机制研究与实现［D］.北京：北京邮电大学， 2019： 21-39.
	QIU X C. Research and implementation of detection mechanism for SDN flow rules’ legality［D］. Beijing： Beijing University of Posts and Telecommunications， 2019： 21-39.
12	杨泽卫，李呈.重构网络： SDN架构与实现［M］.北京：电子工业出版社， 2017： 21-55.
	YANG Z W， LI C. Refactoring Networks： SDN Architecture and Implementation［M］. Beijing： Publishing House of Electronics Industry， 2017： 21-55.
13	Open Networking Foundation. OpenFlow Switch Specification： Version1.0.0（Wire Protocol 0x01）， ONF TS-001［EB/OL］. （2009-12-31）［2021-03-05］. .
14	Open Networking Foundation. OpenFlow Switch Specification Version1.3.0（Wire Protocol 0x04）， ONF TS-006［EB/OL］. （2012-06-25）［2021-03-05］. .
15	PISHARODY S， CHOWDHARY A， HUANG D J. Security policy checking in distributed SDN based clouds ［C］// Proceedings of the 2016 IEEE Conference on Communications and Network Security. Piscataway： IEEE， 2016： 19-27. 10.1109/cns.2016.7860466
16	朱海婷，丁伟，缪丽华，等. UDP流量对TCP往返延迟的影响［J］.通信学报， 2013， 34（1）： 19-29. 10.3969/j.issn.1000-436x.2013.01.003
	ZHU H T， DING W， MIAO L H， et al. Effect of UDP traffic on TCP’s round-trip delay［J］. Journal on Communications， 2013， 34（1）： 19-29. 10.3969/j.issn.1000-436x.2013.01.003
17	郝巍，伊鹏，江逸茗.一种快速的SDN规则冲突检测机制［J］.计算机工程， 2019， 45（2）： 139-143. 10.19678/j.issn.1000-3428.0049918
	HAO W， YI P， JIANG Y M. A fast SDN rule conflict detection mechanism［J］. Computer Engineering， 2019， 45（2）： 139-143. 10.19678/j.issn.1000-3428.0049918
18	DONG S， ABBAS K， JAIN R. A survey on Distributed Denial of Service （DDoS） attacks in SDN and cloud computing environments［J］. IEEE Access， 2019， 7： 80813-80828. 10.1109/access.2019.2922196
19	董仕.软件定义网络安全问题研究综述［J］.计算机科学， 2021， 48（3）： 295-306. 10.11896/jsjkx.200300119
	DONG S. Survey on software defined networks security［J］. Computer Science， 2021， 48（3）： 295-306. 10.11896/jsjkx.200300119

[1]	许红亮, 杨桂芹, 蒋占军. 基于软件定义网络的数据中心自适应多路径负载均衡算法[J]. 计算机应用, 2021, 41(4): 1160-1164.
[2]	马晓航, 廖灵霞, 李智, 秦斌, 赵涵捷. 基于动态混合超时的软件定义网络多目标优化[J]. 《计算机应用》唯一官方网站, 2021, 41(12): 3658-3665.
[3]	陈港, 孟相如, 康巧燕, 阳勇. 基于拓扑分割与聚类分析的虚拟软件定义网络映射算法[J]. 《计算机应用》唯一官方网站, 2021, 41(11): 3309-3318.
[4]	王明芬. 软件定义无线局域网的切换接入机制[J]. 计算机应用, 2020, 40(9): 2706-2711.
[5]	朱梦迪, 束永安. 软件定义网络中控制数据平面一致性的验证[J]. 计算机应用, 2020, 40(6): 1751-1754.
[6]	向雄, 田检. 基于软件定义网络的对等网传输调度优化[J]. 计算机应用, 2020, 40(3): 777-782.
[7]	赵季红, 吴豆豆, 曲桦, 殷振宇. 基于软件定义网络的可靠性虚拟网络映射保障机制[J]. 计算机应用, 2020, 40(3): 770-776.
[8]	池亚平, 莫崇维, 杨垠坦, 陈纯霞. 面向软件定义网络架构的入侵检测模型设计与实现[J]. 计算机应用, 2020, 40(1): 116-122.
[9]	贾梦瑶, 王兴伟, 张爽, 易波, 黄敏. 基于软件定义网络的卫星网络容错路由机制[J]. 计算机应用, 2019, 39(6): 1772-1779.
[10]	李兆斌, 刘泽一, 魏占祯, 韩禹. 基于哈希链的软件定义网络路径安全[J]. 计算机应用, 2019, 39(5): 1368-1373.
[11]	邹承明, 刘攀文, 唐星. 动态主机配置协议泛洪攻击在软件定义网络中的实时防御[J]. 计算机应用, 2019, 39(4): 1066-1072.
[12]	范宏伟, 胡宇翔, 兰巨龙. 两段式虚拟网络功能硬件加速资源部署机制[J]. 计算机应用, 2018, 38(9): 2575-2580.
[13]	朱晓东, 王劲林, 王玲芳. 软件定义网络中协同存储数据面快速转发[J]. 计算机应用, 2018, 38(8): 2343-2347.
[14]	王孝龙, 刘勤让, 林森杰, 黄雅静. 基于独立规则集位提取的包分类压缩方法[J]. 计算机应用, 2018, 38(8): 2375-2380.
[15]	李兆斌, 李伟隆, 魏占祯, 刘梦甜. SDN数据安全处理机制关键模块的研究与实现[J]. 计算机应用, 2018, 38(7): 1929-1935.

基于OpenFlow的软件定义网络流规则冲突检测系统

Software defined network flow rule conflict detection system based on OpenFlow

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 19

相关文章 15

编辑推荐

Metrics