[发明专利]一种面向软件定义网络的协作式大流检测方法及系统

说明书

本发明属于通信技术领域，公开了一种面向软件定义网络的协作式大流检测方法及系统，设置多个边缘交换机，部署大流检测节点，并记录每个流标识对应的本地计数值、本地阈值；若某个流标识对应的本地计数值大于本地阈值，则判断为当前可能大流，对应边缘交换机向中心控制器发送报告；中心控制器获取所有的边缘交换机中对应流标识的全局估计值；若全局估计值大于等于全局阈值，则中心控制器获取所有未触发报告机制的边缘交换机中对应流标识的本地计数值，并结合触发报告机制的边缘交换机的本地计数值，得到流标识对应的全局真实值；若全局真实值大于等于全局阈值，则判断为大流。本发明在通信代价和资源受限的情况下，能够更好地提升检测性能。

技术领域

本发明涉及通信技术领域，尤其涉及一种面向软件定义网络的协作式大流检测方法及系统。

背景技术

随着流量的激增，云计算和大数据等新兴业务的出现，云计算数据中心面临着各种各样的挑战。在网络服务提供商(ISP)和企业核心网的云计算和数据网络管理中心中，网络测量所起的作用必不可少。目前的问题是，面对大规模的网络流量和网络部署时，无差错的监测需要追踪海量流信息。如今的数据中心可以在短时间内拥有数万个并发流，对每条流进行跟踪这将消耗大量的资源，传统网络以TCP/IP为核心的架构难以对网络中海量数据进行实时精细化的管理、度量和统计。

为了解决传统数据中心以TCP/IP为核心的架构的不足，一种通过将控制和转发进行解耦的新型网络架构SDN近年来得到了工业界和学术界的广泛关注。其通过对下层基础网络转发设备的逻辑功能进行抽象、剥离，集中到上层的统一的控制器中，使下层基础网络转发设备为只具有转发功能的白盒设备，利用控制器对外界提供的南北向可编程接口，集中统一管理网络设备，并与NFV、云计算等技术相结合，实现对网络资源的弹性调度，划片管理，对网络设备进行快速配合部署，加快了网络应用的创新过程，减少了网络部署的时间成本和人力消耗。控制器作为网络的核心，需要满足数据中心对流量实时精细化的管理，基于全局视图的管控机制对于网络设备和网络流量的监控具有良好的优势。如何在不增加控制器消耗的前提下，对网络进行全局的监测具备较大的意义。

网络运营商通常需要识别网络流量中的异常值，以检测攻击或诊断性能问题。检测异常流量的一种常见方法是执行“大流”检测，根据某些度量来识别top-k流(或超过预先确定的阈值的流)。在网络测量领域，大流是指占据了网络大部分流量的流，具体可定义为在测量周期内传输报文数或字节数超过当前链路上实际传输流量的一定比例。大流被调度到同一链路上发生碰撞，会长期占用链路带宽，导致出口端队列中其他小流排队等待，造成网络延时高的问题。如何对大流进行有效识别成为一个热点问题。

企业和网络运营商的管理员需要监控整个网络的大流情况。如果只在一个位置单个节点上部署大流检测，很有可能造成一些网络问题无法被检测出来，例如端口扫描或者super spreader，从而造成检测盲点。因此，在全网范围内，能够产生大型流量的流，很可能在个别交换机上并不明显，因而逃离检测。

发明内容

本发明通过提供一种面向软件定义网络的协作式大流检测方法及系统，解决了现有技术中大流检测的通信代价过大、检测效果较差的问题。

本发明提供一种面向软件定义网络的协作式大流检测方法，包括以下步骤：

步骤1、设置n个边缘交换机，在每个所述边缘交换机上部署一个大流检测节点；针对每个所述边缘交换机，所述边缘交换机记录每个流标识对应的本地计数值、本地阈值；

步骤2、若第s个边缘交换机中标识符为f的流对应的本地计数值大于标识符为f的流对应的本地阈值，则将标识符为f的流判断为当前可能大流，所述第s个边缘交换机触发报告机制，向中心控制器发送报告；所述报告包括当前可能大流的标识符及其对应的本地计数值；

步骤3、所述中心控制器获取所有的边缘交换机中标识符为f的流对应的计数值，并得到标识符为f的流对应的全局估计值；所述计数值包括触发报告机制的边缘交换机记录的本地计数值、未触发报告机制的边缘交换机记录的估计计数值；