[发明专利]一种面向软件定义网络的协作式大流检测方法及系统

权利要求书

1.一种面向软件定义网络的协作式大流检测方法，其特征在于，包括以下步骤：

步骤1、设置n个边缘交换机，在每个所述边缘交换机上部署一个大流检测节点；针对每个所述边缘交换机，所述边缘交换机记录每个流标识对应的本地计数值、本地阈值；

步骤2、若第s个边缘交换机中标识符为f的流对应的本地计数值大于标识符为f的流对应的本地阈值，则将标识符为f的流判断为当前可能大流，所述第s个边缘交换机触发报告机制，向中心控制器发送报告；所述报告包括当前可能大流的标识符及其对应的本地计数值；

步骤3、所述中心控制器获取所有的边缘交换机中标识符为f的流对应的计数值，并得到标识符为f的流对应的全局估计值；所述计数值包括触发报告机制的边缘交换机记录的本地计数值、未触发报告机制的边缘交换机记录的估计计数值；

所述未触发报告机制的边缘交换机记录的估计计数值通过下式得到：

其中，value表示估计计数值，C_i,f表示未触发报告机制的第i个边缘交换机中标识符为f的流对应的当前流量计数值，T_i,f表示未触发报告机制的第i个边缘交换机中标识符为f的流对应的本地阈值；

步骤4、若所述标识符为f的流对应的全局估计值大于等于全局阈值，则所述中心控制器获取所有未触发报告机制的边缘交换机中标识符为f的流对应的本地计数值，并结合触发报告机制的边缘交换机中标识符为f的流对应的本地计数值，得到标识符为f的流对应的全局真实值；

若所述标识符为f的流对应的全局真实值大于等于所述全局阈值，则将标识符为f的流判断为大流；若所述标识符为f的流对应的全局真实值小于所述全局阈值则，则将标识符为f的流判断为非大流；

若所述标识符为f的流对应的全局估计值小于所述全局阈值，则将标识符为f的流判断为非大流。

2.根据权利要求1所述的面向软件定义网络的协作式大流检测方法，其特征在于，在所述边缘交换机未向中心控制器发送报告的情况下，所述中心控制器下发初始本地阈值至所述边缘交换机，所述边缘交换机中流标识对应的本地阈值采用所述初始本地阈值；

在所述边缘交换机向中心控制器发送过报告的情况下，所述中心控制器根据历史报告对所述边缘交换机中流标识对应的本地阈值进行动态调整，流标识对应的本地阈值采用动态调整后的本地阈值。

3.根据权利要求2所述的面向软件定义网络的协作式大流检测方法，其特征在于，所述初始本地阈值表示为：

T_L＝T_G/n

其中，T_L表示初始本地阈值，T_G表示全局阈值，n表示边缘交换机的数量。

4.根据权利要求2所述的面向软件定义网络的协作式大流检测方法，其特征在于，所述中心控制器根据历史报告对所述边缘交换机中流标识对应的本地阈值进行动态调整的具体实现方式为：

所述中心控制器采用本地计数值和全局真实值的指数加权移动平均EWMA来动态调节本地阈值。

5.一种面向软件定义网络的协作式大流检测系统，其特征在于，包括：n个边缘交换机、一个中心控制器；

所述面向软件定义网络的协作式大流检测系统用于实现如权利要求1-4中任一所述的面向软件定义网络的协作式大流检测方法中的步骤。

6.根据权利要求5所述的面向软件定义网络的协作式大流检测系统，其特征在于，所述边缘交换机进入网络的相同流的标识符通过源地址、源目地址对或者五元组的形式来判断。

7.根据权利要求5所述的面向软件定义网络的协作式大流检测系统，其特征在于，所述中心控制器中创建有映射数据结构MAP，通过所述映射数据结构MAP维护流标识与边缘交换机ID之间的映射关系。

8.根据权利要求7所述的面向软件定义网络的协作式大流检测系统，其特征在于，若一个新流或者意外流进入所述边缘交换机，则所述边缘交换机发送询问信息至所述中心控制器；所述中心控制器从所述询问信息中提取流标识、边缘交换机的ID，并判断该提取的标识是否在所述映射数据结构MAP里；若提取的流标识在所述映射数据结构MAP里，则在所述映射数据结构MAP中的提取的流标识的路径里添加边缘交换机的ID；若提取的流标识不在所述映射数据结构MAP里，则在所述映射数据结构MAP中添加提取的流标识的映射。