一種基于nacc對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的sdn控制器的制造方法
【專利摘要】本發(fā)明公開了一種基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器��,是在現(xiàn)有SDN控制器中增加了采用并行處理方式的NACC分類器線程�;通過對OFPAK協(xié)議數(shù)據(jù)包進行去消息頭、特征向量提取����、分類器調(diào)度后,應(yīng)用多個NACC分類器線程得到分類結(jié)果�,最后將分類結(jié)果寫入流表中并下發(fā)到OpenFlow交換機中。本發(fā)明通過集中部署方式�����,有效避免了流量分類產(chǎn)品軟件的部署次數(shù)�����,只需要在網(wǎng)絡(luò)中一次部署,所有支持openflow協(xié)議的交換機都可以完成對流量分類的功能�,從而實現(xiàn)在線的流量分類。
【專利說明】一種基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種SDN控制器��,更特別地說����,是指一種利用基于最近應(yīng)用簇的分類 方法(NearestApplicationClusterbasedClassifier,NACC)來進行數(shù)據(jù)包快速分類的 SDN控制器�。
【背景技術(shù)】
[0002] 2013年9月第1次印刷,電子工業(yè)出版社�����,《SDN核心技術(shù)剖析和實戰(zhàn)指南》雷葆華 等編著��。在第15頁圖1-6公開的SDN核心技術(shù)體系圖中(記為圖1)�,介紹了在SDN架構(gòu)的 每一層次上都具有很多核心技術(shù)���,其目標(biāo)是有效地分離控制層面與轉(zhuǎn)發(fā)層面���,支持邏輯上 集中化的統(tǒng)一控制,提供靈活的開發(fā)接口等。其中�����,控制層是整個SDN的核心�,系統(tǒng)中的南 向接口與北向接口也是以它為中心進行命名的。轉(zhuǎn)發(fā)層面通過一個Packet_in消息將數(shù)據(jù) 包(Packet�,也稱為報文)發(fā)送給控制層面。SDN(SofewareDefinedNetworking,軟件定 義網(wǎng)絡(luò))是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù)�,其最大的特點在于具有松耦合的控制 平面與數(shù)據(jù)平面、支持集中化的網(wǎng)絡(luò)狀態(tài)控制�、實現(xiàn)底層網(wǎng)絡(luò)設(shè)施對上層應(yīng)用的透明。正如 SDN的名字所言����,它具有靈活的軟件編程能力,使得網(wǎng)絡(luò)的自動化管理和控制能力獲得了空 前的提升���,能夠有效地解決當(dāng)前網(wǎng)絡(luò)系統(tǒng)所要面臨的資源規(guī)模擴展受限�、組網(wǎng)靈活性差��、難 以快速滿足業(yè)務(wù)需求等問題���。
[0003] 網(wǎng)絡(luò)流量分類技術(shù)在現(xiàn)代網(wǎng)絡(luò)安全和管理方面起著很重要的作用����。近年,基于機 器學(xué)習(xí)方法的流量分類技術(shù)得到廣泛的研宄���。根據(jù)是否需要經(jīng)驗知識����,機器學(xué)習(xí)方法大致 分為兩大類:監(jiān)督學(xué)習(xí)方法和無監(jiān)督學(xué)習(xí)方法�����。請參考《網(wǎng)絡(luò)流量分類方法與實踐》汪立東��, 錢麗萍主編��,2013年10月第1版���,第51-68頁的內(nèi)容?��?紤]對流量進行聚類��,當(dāng)今應(yīng)用的行 為變得越來越負(fù)載���,應(yīng)用的表征方式可以使用應(yīng)用流量的簇中心點(離平均點最近的實際 簇內(nèi)點���,參考2012年9月第1版的《大數(shù)據(jù):互聯(lián)網(wǎng)大規(guī)模數(shù)據(jù)挖掘與分布式處理》,王斌��, 譯文的第179頁)表征分類結(jié)果廣泛應(yīng)用于網(wǎng)絡(luò)規(guī)劃����,服務(wù)質(zhì)量分析,入侵檢測�,用戶收費 等網(wǎng)絡(luò)管理方面。另一方面����,也可應(yīng)用于用戶的行為分析,流量分類技術(shù)對于服務(wù)提供商而 言可以更好的理解用戶的行為從而提供更具個性化的服務(wù)來提高用戶的滿意度����。
[0004] OpenFlow是一種新提出的網(wǎng)絡(luò)架構(gòu),OpenFlow交換機將原來完全由交換機/路 由器控制的報文轉(zhuǎn)發(fā)過程轉(zhuǎn)化為由OpenFlow交換機(OpenFlowSwitch)和控制服務(wù)器 (Controller)來共同完成�����,從而實現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)和路由控制的分離��。控制器可以通過事先 規(guī)定好的接口操作來控制OpenFlow交換機中的流表����,從而達(dá)到控制數(shù)據(jù)轉(zhuǎn)發(fā)的目的。結(jié)合 SDN/OpenFlow的特性����,應(yīng)用識別變得更加重要。從網(wǎng)絡(luò)流量中識別一個應(yīng)用的名字或者類 型正變得越來越重要����。
[0005] 網(wǎng)絡(luò)流,在一段時間內(nèi)����,一個源IP地址和目的IP地址之間傳輸?shù)膯蜗驁笪牧鳎?有報文具有相同的源端口號srcPort��、目的端口號dstPort�����、協(xié)議號tran����、源IP地址srcIP 和目的IP地址dstIP,即五元組內(nèi)容相同����。
[0006] 目前設(shè)計的SDN/OpenFlow控制器不具有對網(wǎng)絡(luò)流進行流量分類,也不能對網(wǎng)絡(luò) 數(shù)據(jù)包進行控制���,因此不能應(yīng)用于基于流量分類的網(wǎng)絡(luò)服務(wù)�。
【發(fā)明內(nèi)容】
[0007] 為了解決在SDN架構(gòu)下對流量進行分類����,本發(fā)明將NACC分類器線程做為一個控制 模塊部署到SDN控制器中。當(dāng)一個數(shù)據(jù)包進入到SDN網(wǎng)絡(luò)中�����,首先會存儲在支持openflow 交換機處����,交換機收到該數(shù)據(jù)包,會結(jié)合本交換機的流表對流進行匹配���,若找到匹配項�����,則 直接進行轉(zhuǎn)發(fā)�,否則,遞交給控制器中的分類器模塊�����,對流進行特征處理��,分類得到流的 類別之后�����,根據(jù)流的類別和對應(yīng)的策略��,下發(fā)到openflow交換機中��。后續(xù)的數(shù)據(jù)包則在 openflow交換機這一數(shù)據(jù)層直接轉(zhuǎn)發(fā)���。本發(fā)明通過集中部署方式����,有效避免了流量分類產(chǎn) 品軟件的部署次數(shù)��,只需要在網(wǎng)絡(luò)中一次部署,所有支持openflow協(xié)議的交換機都可以完 成對流量分類的功能����,從而實現(xiàn)在線的流量分類���。
[0008] 本發(fā)明設(shè)計了一種基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器�,是在現(xiàn)有 SDN控制器中增加了輸入控制模塊����、分類器處理模塊和流表下發(fā)模塊,所述分類器處理模塊 采用并行處理方式��,即通過修改OpenFlow協(xié)議����,基于NACC的SDN控制器和網(wǎng)絡(luò)交換機通信 獲取數(shù)據(jù)包,然后將特征向量分發(fā)給NACC分類器做分類�����,并下發(fā)流表到交換機來控制后續(xù) 數(shù)據(jù)包的轉(zhuǎn)發(fā)����;
[0009] 所述輸入控制模塊包括有去消息頭模塊、特征向量提取模塊、分類器調(diào)度模塊�����;
[0010] 所述分類器處理模塊包括有第一個NACC分類器���、第二個NACC分類器�、第N個NACC 分類器��;
[0011] 所述流表下發(fā)模塊包括有以表格形式存在的應(yīng)用-策略表和流表�;
[0012] 當(dāng)一個數(shù)據(jù)包進入到SDN網(wǎng)絡(luò)中,首先會存儲在支持openflow交換機處�����,交換機 收到該數(shù)據(jù)包�����,會結(jié)合本交換機的流表對流進行匹配��,若找到匹配項���,則直接進行轉(zhuǎn)發(fā)��,否 貝1J��,遞交給控制器中的分類器模塊���,對流進行特征處理,分類得到流的類別之后�,根據(jù)流的 類別和對應(yīng)的應(yīng)用-策略表,下發(fā)到openflow交換機中�����;后續(xù)的數(shù)據(jù)包則在openflow交換 機這一數(shù)據(jù)層直接轉(zhuǎn)發(fā)��。
[0013] 本發(fā)明基于NACC的SDN控制器的優(yōu)點在于:
[0014] ①本發(fā)明將NACC部署到SDN架構(gòu)的控制層中�,通過流量分類信息可用于網(wǎng)絡(luò)智能 化部署,也可通過北向API傳輸?shù)綉?yīng)用層以供使用����。
[0015] ②本發(fā)明通過更改OpenFlow協(xié)議,使得NACC能夠在SDN控制層部署��,而無需在各 個交換機節(jié)點部署NACC���,降低成本�����。
[0016] ③本發(fā)明中基于流連接(connection-level)并行NACC方法使得各個處理線程負(fù) 載均衡��,數(shù)據(jù)流的分組調(diào)度更加符合實際流量特點��。
[0017] ④使用應(yīng)用流量聚類得到的簇中心點表征應(yīng)用����,提高了應(yīng)用的檢測精確度。
【專利附圖】
【附圖說明】
[0018] 圖1是傳統(tǒng)的SDN控制器的體系結(jié)構(gòu)圖����。
[0019] 圖2是本發(fā)明基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器的結(jié)構(gòu)框圖。 [0020] 圖3是采用本發(fā)明增加了NACC分類器進行分類結(jié)果的流程圖��。
[0021] 圖4是本發(fā)明的分類器線程的的處理流程圖��。
【具體實施方式】
[0022] 下面將結(jié)合附圖和實施例對本發(fā)明做進一步的詳細(xì)說明����。
[0023] NACC是指Nearest Application Cluster based Classifier,譯文為基于最近應(yīng) 用簇的分類方法��。
[0024] 在本發(fā)明中�,通過NACC方法對SDN/OpenFlow控制器中的流量進行分類�,得到NACC 分類器���。
[0025] 參見圖1��、圖2所示�,本發(fā)明是一種基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制 器�,該基于NACC的SDN控制器是在現(xiàn)有SDN控制器中增加了輸入控制模塊、分類器處理模 塊和流表下發(fā)模塊�����,所述分類器處理模塊采用并行處理方式���,即通過修改OpenFlow協(xié)議, 基于NACC的SDN控制器和網(wǎng)絡(luò)交換機通信獲取數(shù)據(jù)包���,然后將特征向量分發(fā)給NACC分類 器做分類����,并下發(fā)流表到交換機來控制后續(xù)數(shù)據(jù)包的轉(zhuǎn)發(fā)�。
[0026] 所述輸入控制模塊包括有去消息頭模塊、特征向量提取模塊����、分類器調(diào)度模塊��。
[0027] 所述分類器處理模塊包括有第一個NACC分類器���、第二個NACC分類器、第N個NACC 分類器���。
[0028] 所述流表下發(fā)模塊包括有以表格形式存在的應(yīng)用-策略表和流表���。
[0029] 當(dāng)一個數(shù)據(jù)包進入到SDN網(wǎng)絡(luò)中,首先會存儲在支持openflow交換機處����,交換機 收到該數(shù)據(jù)包,會結(jié)合本交換機的流表對流進行匹配��,若找到匹配項�,則直接進行轉(zhuǎn)發(fā),否 貝1J�,遞交給控制器中的分類器模塊,對流進行特征處理����,分類得到流的類別之后����,根據(jù)流的 類別和對應(yīng)的應(yīng)用 -策略表��,下發(fā)到openflow交換機中����。后續(xù)的數(shù)據(jù)包則在openflow交 換機這一數(shù)據(jù)層直接轉(zhuǎn)發(fā)。
[0030] 為了更好地理解本發(fā)明及其優(yōu)點��,下面結(jié)合附圖以及具體的示例對本發(fā)明做進一 步詳細(xì)的說明���。
[0031] (一)去消息頭模塊
[0032] 去消息頭模塊用于將接收到的0FPAK協(xié)議數(shù)據(jù)包0FPAK= {(head, op),(head, op2)�,…,(head, opz)}進行去除OpenFlow協(xié)議頭head�,得到原始數(shù)據(jù) 包OP=lop" op2,…,opz}�����。
[0033]oPi表示去除了OpenFlow協(xié)議頭的第一個數(shù)據(jù)包�����;
[0034] op2表示去除了OpenFlow協(xié)議頭的第二個數(shù)據(jù)包;
[0035]opz表示去除了OpenFlow協(xié)議頭的最后一個數(shù)據(jù)包��,為了普識性說明�����,opz也稱為 任意一個數(shù)據(jù)包�����,Z表示數(shù)據(jù)包的標(biāo)識號���。
[0036] 在本發(fā)明中���,任意一個數(shù)據(jù)包〇^包含有源端口號srcPort、目的端口號dstPort���、 協(xié)議號tran����、源IP地址srcIP和目的IP地址dstIP的五元組內(nèi)容opz= {srcPort,dstPo rt,tran,srcIP,dstIP}〇
[0037](二)特征向量提取模塊
[0038] 特征向量提取模塊對接收到的任意一個數(shù)據(jù)包叩2進行相同五元組內(nèi)容的拾取��, 找出所述任意一個數(shù)據(jù)包〇Pz對應(yīng)的流的流連接CtB。
[0039] 在本發(fā)明中�����,SDN控制器中存在有多個的流連接����,所述流連接采用集合形式表達(dá)為 CT= {cti,ct2,…,ctB}��,叫表示SDN控制器中的第一條流連接����,ct2表示SDN控制器中的第 二條流連接,ctB表示SDN控制器中的最后一條流連接�����,為了普識性說明��,ctB也稱為任意一 條流連接���,B表示流連接的標(biāo)識號。所述的任意一條流連接ctB*包含有流連接標(biāo)識號ID���、 數(shù)據(jù)包的個數(shù)packetnum����、流連接的長度flen、源IP地址srcIP�����、目的IP地址dstIP��、源端 口號srcPort���、目的端口號dstPort和協(xié)議號tran��,采用集合形式表達(dá)為ctB= {ID,packe tnum,flen,srcIP,srcPort,dstIP,dstPort,tran} 〇
[0040] 在本發(fā)明中����,SDN控制器中可能存在多個原始數(shù)據(jù)包OP={oppop2�,…,opz}對應(yīng) 同一條流連接ctB���,也可能一個數(shù)據(jù)包<^2對應(yīng)一條流連接ctB���。
[0041] 在本發(fā)明中,每一條流連接ctB對應(yīng)一個流特征向量featureB,所述
【權(quán)利要求】
1. 一種基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器�,其特征在于:該基于NACC的 SDN控制器是在現(xiàn)有SDN控制器中增加了輸入控制模塊、分類器處理模塊和流表下發(fā)模塊���, 所述分類器處理模塊采用并行處理方式���,即通過修改OpenFlow協(xié)議,基于NACC的SDN控制 器和網(wǎng)絡(luò)交換機通信獲取數(shù)據(jù)包�,然后將特征向量分發(fā)給NACC分類器做分類,并下發(fā)流表 到交換機來控制后續(xù)數(shù)據(jù)包的轉(zhuǎn)發(fā)�; 所述輸入控制模塊包括有去消息頭模塊、特征向量提取模塊��、分類器調(diào)度模塊�; 所述分類器處理模塊包括有第一個NACC分類器、第二個NACC分類器�����、第N個NACC分 類器�; 所述流表下發(fā)模塊包括有以表格形式存在的應(yīng)用-策略表和流表; 當(dāng)一個數(shù)據(jù)包進入到SDN網(wǎng)絡(luò)中�����,首先會存儲在支持openflow交換機處�����,交換機收到 該數(shù)據(jù)包�����,會結(jié)合本交換機的流表對流進行匹配�����,若找到匹配項��,則直接進行轉(zhuǎn)發(fā)����,否則,遞 交給控制器中的分類器模塊��,對流進行特征處理���,分類得到流的類別之后��,根據(jù)流的類別和 對應(yīng)的應(yīng)用-策略表�,下發(fā)到openflow交換機中;后續(xù)的數(shù)據(jù)包則在openflow交換機這一 數(shù)據(jù)層直接轉(zhuǎn)發(fā)����。
2. 根據(jù)權(quán)利要求1所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器,其特征在 于:去消息頭模塊用于將接收到的OFPAK協(xié)議數(shù)據(jù)包OFPAK={ (head,Op1)�����,(head,op2)��,… ��,(head,opz)}進行去除OpenFlow協(xié)議頭head�����,得到原始數(shù)據(jù)包OP=Iop1,op2,…��,opz} 〇
3. 根據(jù)權(quán)利要求1所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器���,其特征 在于:特征向量提取模塊對接收到的任意一個數(shù)據(jù)包〇pz進行相同五元組內(nèi)容的拾取��,找 出所述任意一個數(shù)據(jù)包OPz對應(yīng)的流的流連接CtB;每一條流連接ctB對應(yīng)一個流特征向量 featureB〇
4. 根據(jù)權(quán)利要求1所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器����,其特 征在于:分類器調(diào)度模塊采用先進先出方式對接收到的所有流連接的流特征向量FEA= Reature1,feature2,…��,featureB}進行分類器的分配����,即將先進入的第一個流連接的流特 征向量先分配給第一個NACC分類器進行處理�,然后是順次進行流連接的流特征向量與分 類器的分配。
5. 根據(jù)權(quán)利要求1所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器�����,其特征在 于:分類器處理模塊中的各個NACC分類器依據(jù)自身是否處理完成了上一次的任務(wù)來索取 下一次的任務(wù)進行處理���;若上一次的任務(wù)已經(jīng)完成���,則直接從分類器調(diào)度模塊中索取任務(wù) 來進行;若本次任務(wù)未完成�����,則等待完成后再索取下一次的任務(wù)��。
6. 根據(jù)權(quán)利要求1所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器��,其特征在 于:流表構(gòu)建模塊包括有應(yīng)用-策略表和流表;所述應(yīng)用-策略表是將接收到的應(yīng)用PR按 照應(yīng)用-策略表形式填入相關(guān)項�,得到分類結(jié)果;然后對分類結(jié)果應(yīng)用策略表得到對應(yīng)執(zhí) 行動作PBct��,最后將執(zhí)行動作���?8°3真入流表的指令項中��。
7. 根據(jù)權(quán)利要求6所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器�����,其特征在 于策略表格式為:
8. 根據(jù)權(quán)利要求6所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器���,其特征在 于流表的格式為:
9.根據(jù)權(quán)利要求1所述的基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的SDN控制器,其特征在 于基于NACC對數(shù)據(jù)包進行網(wǎng)絡(luò)流分類的步驟如下: 步驟Sl:支持OpenFlow協(xié)議的交換機接受到來自網(wǎng)絡(luò)中設(shè)備發(fā)送的數(shù)據(jù)包封裝成OpenFlow協(xié)議數(shù)據(jù)包記為OFPAK={ (head,Op1)�,(head,op2),…�,(head,opz) },然后將 OFPAK={ (head,Op1)����,(head,op2),…���,(head,opz)}發(fā)送給基于NACC的SDN控制器���; 步驟S2 :在基于NACC的SDN控制器中����,將OFPAK={ (head,oPl)����,(head,op2)�����,… ����,(head,opz)}中的每個協(xié)議數(shù)據(jù)包的包頭去除��,得到OP= {oppop^'opj; 根據(jù)任意一個數(shù)據(jù)包〇Pz的五元組信息�,得到具有相同五元組信息的數(shù)據(jù)包所屬的連 接記為CT=Ict1,ct2,…,ctB}��,且B<Z��,其中ctB= {ID,packetnum,flen����,srcIP,srcPor t,dstIP,dstPort,tran}����; ID表示連接標(biāo)識號;packetnum表示數(shù)據(jù)包的個數(shù)����; fIen表示連接的長度; srcIP表示源IP地址�����; dstIP表示目的IP地址��; srcPort表示源端口號�; dstPort表示目的端口號; tran表示傳輸層協(xié)議�; 根據(jù)NT=Int1,nt2,…�,ntj中NACC分類器的空閑狀態(tài),從流連接CT=Ict1,Ct2,… �,ctB}中選取被執(zhí)行的流連接特征向量; 關(guān)于特征向量提取模塊和NACC分類器處理線程模塊具體的步驟如下: 5301 :從步驟S2獲得原始數(shù)據(jù)包opz; 5302 :判斷該數(shù)據(jù)包是否有效���,若無效�,則丟棄�����,從新執(zhí)行S301�����,否則執(zhí)行S303 S303:提取數(shù)據(jù)包opz的頭部五元組信息srcPort,dstPort,tran,srcIP,dstIP;所述 五元組包括源IP地址��、源端口����、目的IP地址��、目的端口和傳輸層協(xié)議����;然后根據(jù)五元組信息 判斷該數(shù)據(jù)包〇Pz信息是否對應(yīng)的新的流連接ctB;如果流連接表中不存在該標(biāo)識流連接條 目,則執(zhí)行S308,創(chuàng)建該數(shù)據(jù)包所屬的流連接;如果已經(jīng)存在該流連接條目ctB����,則繼續(xù)執(zhí)行 S304 ; 5304 :判斷流連接數(shù)據(jù)包個數(shù)是否大于10,若否�����,則執(zhí)行S309,數(shù)據(jù)包加入到對應(yīng)的流 連接��;若是��,則執(zhí)行S305提取特征向量�; 5305 :提取數(shù)據(jù)包個數(shù)大于10流連接,得到流連接特征向量�����,加入到流特征向量中FEA ={feature^feature2,…����,featureB}中,轉(zhuǎn)入執(zhí)行步驟S3O6 ; 5306 :NACC分類器處理線程獲取流特征向量中FEA=Ifeature1,feature^.. ��,featureB}的某個流特征向量featureB�,進行分類處理,轉(zhuǎn)入執(zhí)行步驟S307; S307 :將分類結(jié)果返還給S4 ; 步驟S4 :流表下發(fā)模塊收到所有NACC分類器處理線程NT=Int1,nt2,…���,ntJ的分類 結(jié)果PR����,根據(jù)PR和系統(tǒng)設(shè)定的策略表�,得到當(dāng)前流的執(zhí)行動作PBct,將執(zhí)行動作PBct填入流 表的指令項中�,將1填入流表的標(biāo)記字段中,并下發(fā)流表到所有交換機����。
【文檔編號】H04L12/869GK104468403SQ201410645992
【公開日】2015年3月25日 申請日期:2014年11月14日 優(yōu)先權(quán)日:2014年11月14日
【發(fā)明者】李巍, 李國君, 于秀芬, 李麗輝 申請人:北京航空航天大學(xué)