基于OpenFlow流表规则优化与管理的研究

摘要

软件定义网络（Software Defined Network，SDN）是下一代互联网的代表技术。它的核心思想是转发与控制分离，将网络设备的控制功能集中到控制层的控制器中，底层转发设备根据控制层下发的要求对数据流做出快速转发等相应的处理，从而实现对网络的集中管理。实现快速转发的核心就是流表（Flow Table）这一重要组件。流表资源是多用户、多模块共享的，并且SDN应用是相互独立的，因此不同的网络策略容易产生异常，导致策略失效等问题。此外，由于流表几乎是无状态性的，并且很灵活，可以在数据包进行转发的过程中对包头部分进行修改或重写，这样给网络带来了可控性和可编程性，同时也带来了一些安全问题。 因此，本文对流表进行研究，发现流表优化与管理亟待解决的问题是流表规则异常引起的诸多问题。一方面，本文针对新加入流规则可能带来流规则异常的问题，提出了基于DetectTree模型的异常检测与处理方法，通过建立DetectTree节点分层树异常检测模型，将规则关系和规则异常进行了细化定义，并将其作为DetectTree的检测节点，接着对异常类型关系进行分析，最后对检测出的异常进行处理。第二方面，本文针对因数据共享需求而引起的流表冲突问题，提出了基于事务的共享冲突检测与处理算法，在利用SDN进行数据流复制时，动态创建新规则满足多个网络监控工具对相同流数据的需求，完成数据共享。第三方面，本文针对因流表项修改导致间接绕行防火墙的问题，对Philip Porras提出的OpenFlow安全内核方案进行了优化，提出了基于别名集的Modified-Flow地址集的建立，在此基础上进行冲突预判，然后利用HSA（Header Space Analysis，头部空间分析）框架进行可达性计算对预判结果进行复核。仿真实验表明，在不同流表项和不同复杂程度的网络拓扑下，改进方案较原方案在检测时延方面均有所下降。 综合以上理论研究，本文设计与实现了一个流表优化检测系统，主要包含异常检测与处理、安全冲突检测和共享冲突检测与处理三个模块。最后，对系统进行了测试，证明了系统的有效性。

目录

声明

第一章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.2.1 流规则异常研究现状

1.2.2 流规则安全研究现状

1.3 论文的主要研究内容

1.4 论文架构

第二章 相关技术

2.1 SDN体系结构

2.2 OpenFlow

2.2.1 OpenFlow概述

2.2.2 OpenFlow协议

2.2.3 流表

2.2.4 OpenFlow控制器

2.3 本章小结

第三章 流表规则异常检测与处理算法

3.1 引言

3.2 重要定义

3.2.1 规则关系定义

3.2.2 规则异常分析

3.3 基于DetectTree的异常检测算法

3.3.1 DetectTree异常检测模型

3.3.2 算法设计

3.4 异常处理

3.5 仿真与性能评估

3.6 本章小结

第四章 基于事务的共享冲突检测与处理

4.1 网络管理与监控

4.1.1 传统网络数据导流

4.1.2 基于SDN的数据导流

4.2 共享冲突问题

4.3.1 关键定义

4.3.2 算法设计

4.4 实验分析

4.5 本章小结

第五章 流表规则与安全规则冲突检测

5.1 OpenFlow流表项绕行防火墙问题

5.2Philip Porras提出的冲突规则检测方案

5.2.1 针对流表修改间接违反安全规则的研究方案

5.2.2 Philip Porras检测方案的原理

5.3 基于Philip Porras冲突检测方案的改进方案

5.3.1 Modified-Flow地址集

5.3.2 头部空间分析框架

5.4 仿真与性能评估

5.5 本章小结

第六章 流表优化检测系统设计与实现

6.1 系统设计

6.2 系统核心功能模块设计与实现

6.2.1 异常检测与处理模块

6.2.2 共享冲突检测与处理模块

6.2.3 安全冲突检测模块

6.3 仿真平台搭建

6.4 系统测试

6.5 本章小结

第七章 总结与展望

7.1 工作总结

7.2 下一步工作展望

致谢

参考文献