[发明专利]一种软件定义网络中异常转发流量的自动化过滤方法

权利要求书

1.一种软件定义网络中异常转发流量的自动化过滤方法，其特征在于，包括：

(1)分析每一跳交换机中的规则依赖关系，构建每一跳交换机的规则依赖关系图；

分析每一跳交换机中的规则依赖关系时，通过添加额外的标签值区分有依赖关系的规则，存在依赖关系的规则，标签值均不同；所述的依赖关系定义为：同一交换机中优先级不同的两条规则，存在可以匹配的相同数据包；

(2)数据包发送到控制器时，发送端发出连接建立的请求，控制器进行规则依赖关系图查询，根据整个网络的规则依赖关系图计算出数据包的转发路径信息，包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值；控制器将转发路径信息对应的标签序列反馈给发送端，发送端将标签序列记录在数据包头部，然后发送数据包；

(3)数据包在每一跳交换机转发时，对标签值进行验证，数据包正确匹配规则后，对应此跳交换机匹配信息的标签被弹出，数据包被转发到下一跳，重复此过程直到目的地址；

(4)如果数据包在某跳交换机无法匹配任何规则，交换机向控制器发送Packet_in消息，Packet_in消息中包含失配数据包的头部；控制器监听包含失配数据包头部的Packet_in消息的数据包并定位到安装错误的规则，管理员通过重装该规则实现故障恢复；从而避免异常流量错误转发，完成异常流量的过滤。

2.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法，其特征在于，步骤(1)中，所述规则依赖关系图的构建使用HSA方法，具体过程为：将交换机中规则的匹配域抽象为长度L的字符串，字符串中只包含0、1和x，其中0代表二进制0，1代表二进制1，x代表二进制0或1。

3.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法，其特征在于，步骤(2)中，控制器进行规则依赖关系图查询时，对应单跳交换机的局部规则依赖关系图，查询的对象为给定数据包头部，通过查询数据包头，返回能够匹配该数据包的最高优先级规则；对应网络中所有交换机的全局规则依赖关系图，计算出数据包的转发路径信息，包含途径的每一跳交换机及数据包在该跳交换机中匹配的规则的标签值。

4.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法，其特征在于，对于交换机中的规则，通过控制器进行安装或删除，安装或删除需要先更新规则依赖关系图；控制器负责为新的规则生成标签值，并将该值添加到规则匹配域中，在动作域添加标签的弹出操作。

5.根据权利要求4所述的软件定义网络中异常转发流量的自动化过滤方法，其特征在于，规则依赖关系图的更新包括以递增的方式添加新的规则，以及以递减的方式删除一条原有的规则。

6.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法，其特征在于，步骤(4)中，控制器监听包含失配数据包头部的Packet_in消息的数据包并定位到安装错误的规则的具体过程为：

Packet_in消息中包含失配数据包的头部，首先将其恢复成长度L的二进制字符串；然后根据模型计算出该数据包的合法转发路径，包含一系列的流表规则和规则对应的标签值；接着对比数据包头部携带的剩余未匹配的标签值，定位到安装错误的规则和其所在的流表。

7.根据权利要求1所述的软件定义网络中异常转发流量的自动化过滤方法，其特征在于，步骤(4)中，失配数据包对应的异常流量没有处理规则，被部分缓存在缓冲区中，超出部分被丢弃，以此实现异常流量的过滤。